RADIUS(计费:Accounting)

1. 描述

RADIUS计费协议用于定义和装载位于网络接入服务器(NAS)和RADIUS计费服务器(RADIUS Accounting Server:RAS)之间的有关信息.其中,NAS负责向特定的计费服务器RAS发送计费信息,RAS负责接收计费信息并向NAS发送确认.RAS作代理.

2. 数据包格式

RADIUS计费数据包格式与RADIUS访问(认证,授权)数据包格式一致,数据域稍有不同.数据包封装在UDP中进行传送,其中UDP目的端口为1813.

格式说明如下:

0 1 2 3

0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1

+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+

| Code | Identifier | Length |

+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+

| |

| Authenticator |

| |

| |

+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+

| Attributes ...

+-+-+-+-+-+-+-+-+-+-+-+-+-

2.1. Code

4 Accounting-Request

5 Accounting-Response

2.2. Request Authenticator

在Accounting-Request数据包中, Authenticator值是16 字节MD5 校验和,叫做 Request Authenticator.

计算方法为:

RequestAuth = MD5(Code + Identifier + Length + 16 zero octets

+ request attributes + shared secret)

这和RADIUS访问请求数据包(Access-Request)中Request Authenticator 不一样,因为在计费数据包(Accounting-Request)中不包含User-Password 属性.

2.3. Response Authenticator

在Accounting-Response数据包中的Authenticator 叫做Response Authenticator.

其计算方法为:

ResponseAuth = MD5( Code + Identifier + Length + RequestAuth +[ attributes]

+ shared secret)

2.4. Identifier, Length, Attributes

其说明与RADIUS访问数据包相同.

3. 类型说明

RADIUS计费数据包有两种类型分别是: Accounting-Request, Accounting-Response.

说明如下:

3.1 Accounting-Request

这种类型数据包用于从NAS(或其代理)向RAS发送提供业务计费的信息.当收到Accounting-Request且成功记录计费数据包后,RAS必须发送Accounting-Response;如果记录计费数据包失败,RAS不得发送任何应答信息.

User-Password,CHAP-Password,Reply-Message,State不得出现在Accounting-Request中,其它任何在访问请求(Access-Request)和访问接受(Access-Accept)数据包中有效的属性在计费请求(Accounting-Request) 数据包中同样有效.

NAS-IP-Address(或NAS-Identifier)必须在Accounting-Request中提供;NAS-Port(或 NAS-Port-Type或两者)应该在Accounting-Request中提供,除非业务不涉及(物理)端口或是NAS不区分(物理)端口.

当数据包属性值改变,或者收到有效应答,数据包的Identifier值一定改变;重传时Identifier值不得改变.在包含属性Acct-Delay-Time的数据包重传是时,由于Acct-Delay-Time值需要更新,此时Identifier值必须改变且Request Authenticator必须更新.

3.2. Accounting-Response

RAS向NAS发送Accounting-Response数据包以确定已经收到并成功记录了Accounting-Request.NAS收到的Accounting-Response的Identifier值必须与发送的Accounting-Request相应值匹配才算有效.无效的数据包将被自动丢弃.

Accounting-Response一般不包括任何属性.

4. RADIUS计费有关特性说明

RADIUS计费包括以下12个标准特性:

40 Acct-Status-Type

41 Acct-Delay-Time

42 Acct-Input-Octets

43 Acct-Output-Octets

44 Acct-Session-Id

45 Acct-Authentic

46 Acct-Session-Time

47 Acct-Input-Packets

48 Acct-Output-Packets

49 Acct-Terminate-Cause

50 Acct-Multi-Session-Id

51 Acct-Link-Count

4.1. Acct-Status-Type

该属性用于标记用户业务开始(Start)和结束(Stop),也可用于标记计费开始(Accounting-On)和结束(Accounting-Off)

定义如下:

1 Start

2 Stop

7 Accounting-On

8 Accounting-Off

4.2. Acct-Delay-Time

该属性说明NAS要求的数据包最大延迟时间(秒),

4.3. Acct-Input/Output-Octets/Packets,

该属性说明业务提供过程中通过端口的字节数(或数据包个数). Acct-Input-Octets/ Packets显示收到的字节数(或数据包个数);Acct-Output-Octets/ Packets显示发送的字节数(或数据包个数).

对使用Framed Protocol的用户,一般统计数据包个数.

该属性只能出现在使用属性Acct-Status-Type且属性值为Stop的数据包中.

4.4. Acct-Session-Id

该属性提供唯一的计费ID以标记用户业务会话开始(Start)和结束(Stop)数据包之间的匹配.建议使用ASCII字符串.

下面是属性值使用的一种方案:

0 1 2 3

0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1

+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+

| reboot number | user number logging in |

+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+

其中第一个8位可记录256次重启动,后面24位在每次启动后最多可记录2^24个用户注册.

4.5. Acct-Authentic

该属性说明用户以何种方式接受认证:是用RADIUS,是NAS自己进行认证,还是使用的其它远程认证协议.

没有进行认证的用户业务,不应对此产生计吠请求.属性值说明如下:

1 RADIUS

2 Local

3 Remote

4.6. Acct-Session-Time

该属性说明用户收到业务占用了多长时间(秒).

该属性将在Acct-Status-Type=Stop的数据包中使用.

4.7. Acct-Multi-Session-Id

该属性提供唯一的计费ID以标记同一日志文件中具有相互关系的不同用户业务会话.

每个相互关联的用户业务会话有不同的Acct-Session-Id,但有相同的Acct-Multi-Session-Id.

4.8. Acct-Link-Count

该属性在计费请求数据包中记录当前的多链路会话数.

在多链路会话中NAS每产生一个计费请求都应提供当前的会话数,以便于计费服务器RAS确定是否已经收到多链路会话数的所有数据包.例如:

Multi-Session-Id Session-Id Status-Type Link-Count

"10" "10" Start 1

"10" "11" Start 2

"10" "11" Stop

"10" "12" Start 3

"10" "13" Start 4

"10" "12" Stop 4

"10" "13" Stop 4

"10" "10" Stop 4

在多链路会话(ID=10)中,有4个会话(ID分别为本0,11,12,13).只有当收到的的Stop数据包(相同 Acct-Multi-Session-Id,不同 unique Acct-Session- Id 且Acct-Status-Type =

Stop)的数目与所有计费请求数据包中Acct-Link-Count的最大值相等时, RAS认为已经收到多链路会话数的所有数据包,该多链路会话就此完成.

4.9. Acct-Terminate-Cause

该属性说明为什么会话终止. 只在Acct-Status-Type=Stop的数据包中使用

终止原因包括:

1 User Request

用户请求终止,如LCP终止或用户退出

2 Lost Carrier

端口数据载波检测(DCD)停止

3 Lost Service

不再提供业务,如用户到主机的连接被中断

4 Idle Timeout

空闲超时

5 Session Timeout

会话超时

6 Admin Reset

管理员刷新端口或会话

7 Admin Reboot

NAS管理员结束业务,如重启动

8 Port Error

NAS检测到端口错误需要结束会话

9 NAS Error

NAS检测到端口以外错误需要结束会话

10 NAS Request

NAS需要结束会话(与错误错误无关)

11 NAS Reboot

NAS意外(crash)重启动

12 Port Unneeded

资源不满足,如端口带不够

13 Port Preempted

NAS为高优先级用户分配端口而结束会话

14 Port Suspended

NAS为挂起上层(virtual)会话而结束会话

15 Service Unavailable

NAS不能提供所请求的业务

16 Callback

NAS为使用Callback建立新的会话而终止当前会话

17 User Error

用户输入错误

18 Host Request

登陆主机正常情况终止会话

5. 操作流程

NAS要求对RADIUS计费作配置,在向用户开始发送业务时,NAS首先发送数据包通知计费开始 .该数据包描述将要发送的业务类型,用户名等信息.业务发送完毕,NAS将发送数据包通知计费终止. 该数据包描述已经发送的业务类型以及统计信息.

RAS收到以上数据包,正确记录后,须返回确认信息.

NAS要求能够详细描述所要计费的业务以及对通过端口的数据包或字节数作统计

具体包括:

装载用户名

装载NAS标识(NAS ID,IP)

装载业务类型(或者包括用户类型)

装载该业务的其它信息(如用户IP)

提供端口信息(端口号及类型说明)

提示认证类型

分配会话标识

设定会话时间

提示计费状态

统计业务量(通过端口的字节或数据包)

提供会话终止原因

设定计费时延

RAS要求能够生成详细的日志文件以构造计费数据库.RAS在每一次记录数据包时都必须注明时间.

6. 实例

6.1. 规范格式

Acct-Session-Id = "string"

(*)User-Name = "string"

Client-Id = some Ip address

Client-Port-Id = 25

NAS-Port-Type = Async

(*)Acct-Status-Type = Stop|Start

(*)Acct-Session-Time = amt of seconds

Acct-Authentic = RADIUS

(*)Acct-Input-Octets = amt of octets

(*)Acct-Output-Octets = amt of octets

(*)Acct-Terminate-Cause = why ?

(*)User-Service-Type = integer

Framed-Protocol = string ( ie PPP, SLIP, ISDN )

Framed-Address = IP address

Acct-Delay-Time = integer

6.2. 举例

Wed Oct 5 22:00:55 1994

Acct-Session-Id = "06000003"

User-Name = "carl"

Client-Id = 149.198.1.18

Client-Port-Id = 19

Acct-Status-Type = Start

Acct-Authentic = RADIUS

User-Service-Type = Login-User

Login-Service = PortMaster

Login-Host = 149.198.1.70

Acct-Delay-Time = 0

Wed Oct 5 23:15:31 1994

Acct-Session-Id = "06000003"

User-Name = "carl"

Client-Id = 149.198.1.18

Client-Port-Id = 19

Acct-Status-Type = Stop

Acct-Session-Time = 4480

Acct-Authentic = RADIUS

User-Service-Type = Login-User

Login-Service = PortMaster

Login-Host = 149.198.1.70

Acct-Delay-Time = 0

Thu Oct 6 16:14:53 1994

Acct-Session-Id = "06000004"

User-Name = "Pdan"

Client-Id = 149.198.1.18

Client-Port-Id = 19

Acct-Status-Type = Start

Acct-Authentic = Local

User-Service-Type = Framed-User

Framed-Protocol = PPP

Framed-IPX-Network = 108.144.16.16

Acct-Delay-Time = 0

Thu Oct 6 16:15:57 1994

Acct-Session-Id = "06000004"

User-Name = "Pdan"

Client-Id = 149.198.1.18

Client-Port-Id = 19

Acct-Status-Type = Stop

Acct-Session-Time = 64

Acct-Authentic = Local

User-Service-Type = Framed-User

Framed-Protocol = PPP

Framed-IPX-Network = 108.144.16.16

Acct-Delay-Time = 0

最后编辑于
©著作权归作者所有,转载或内容合作请联系作者
  • 序言:七十年代末,一起剥皮案震惊了整个滨河市,随后出现的几起案子,更是在滨河造成了极大的恐慌,老刑警刘岩,带你破解...
    沈念sama阅读 204,590评论 6 478
  • 序言:滨河连续发生了三起死亡事件,死亡现场离奇诡异,居然都是意外死亡,警方通过查阅死者的电脑和手机,发现死者居然都...
    沈念sama阅读 86,808评论 2 381
  • 文/潘晓璐 我一进店门,熙熙楼的掌柜王于贵愁眉苦脸地迎上来,“玉大人,你说我怎么就摊上这事。” “怎么了?”我有些...
    开封第一讲书人阅读 151,151评论 0 337
  • 文/不坏的土叔 我叫张陵,是天一观的道长。 经常有香客问我,道长,这世上最难降的妖魔是什么? 我笑而不...
    开封第一讲书人阅读 54,779评论 1 277
  • 正文 为了忘掉前任,我火速办了婚礼,结果婚礼上,老公的妹妹穿的比我还像新娘。我一直安慰自己,他们只是感情好,可当我...
    茶点故事阅读 63,773评论 5 367
  • 文/花漫 我一把揭开白布。 她就那样静静地躺着,像睡着了一般。 火红的嫁衣衬着肌肤如雪。 梳的纹丝不乱的头发上,一...
    开封第一讲书人阅读 48,656评论 1 281
  • 那天,我揣着相机与录音,去河边找鬼。 笑死,一个胖子当着我的面吹牛,可吹牛的内容都是我干的。 我是一名探鬼主播,决...
    沈念sama阅读 38,022评论 3 398
  • 文/苍兰香墨 我猛地睁开眼,长吁一口气:“原来是场噩梦啊……” “哼!你这毒妇竟也来了?” 一声冷哼从身侧响起,我...
    开封第一讲书人阅读 36,678评论 0 258
  • 序言:老挝万荣一对情侣失踪,失踪者是张志新(化名)和其女友刘颖,没想到半个月后,有当地人在树林里发现了一具尸体,经...
    沈念sama阅读 41,038评论 1 299
  • 正文 独居荒郊野岭守林人离奇死亡,尸身上长有42处带血的脓包…… 初始之章·张勋 以下内容为张勋视角 年9月15日...
    茶点故事阅读 35,659评论 2 321
  • 正文 我和宋清朗相恋三年,在试婚纱的时候发现自己被绿了。 大学时的朋友给我发了我未婚夫和他白月光在一起吃饭的照片。...
    茶点故事阅读 37,756评论 1 330
  • 序言:一个原本活蹦乱跳的男人离奇死亡,死状恐怖,灵堂内的尸体忽然破棺而出,到底是诈尸还是另有隐情,我是刑警宁泽,带...
    沈念sama阅读 33,411评论 4 321
  • 正文 年R本政府宣布,位于F岛的核电站,受9级特大地震影响,放射性物质发生泄漏。R本人自食恶果不足惜,却给世界环境...
    茶点故事阅读 39,005评论 3 307
  • 文/蒙蒙 一、第九天 我趴在偏房一处隐蔽的房顶上张望。 院中可真热闹,春花似锦、人声如沸。这庄子的主人今日做“春日...
    开封第一讲书人阅读 29,973评论 0 19
  • 文/苍兰香墨 我抬头看了看天上的太阳。三九已至,却和暖如春,着一层夹袄步出监牢的瞬间,已是汗流浃背。 一阵脚步声响...
    开封第一讲书人阅读 31,203评论 1 260
  • 我被黑心中介骗来泰国打工, 没想到刚下飞机就差点儿被人妖公主榨干…… 1. 我叫王不留,地道东北人。 一个月前我还...
    沈念sama阅读 45,053评论 2 350
  • 正文 我出身青楼,却偏偏与公主长得像,于是被迫代替她去往敌国和亲。 传闻我的和亲对象是个残疾皇子,可洞房花烛夜当晚...
    茶点故事阅读 42,495评论 2 343

推荐阅读更多精彩内容

  • RADIUS标准属性 协议RFC2865、RFC2866和RFC3576标准规定了RADIUS标准属性,所有主流设...
    矿先生阅读 21,609评论 0 2
  • 绕过Cisco TACACS+的三种攻击方式 一般来说,在一个大型网络中会有很多网络设备,如何管理这些网络设备的访...
    查无此人asdasd阅读 902评论 0 1
  • 最近花了一周的时间学习了802.1X协议,在这里做个学习总结。 802.1X是基于Client/Server的访问...
    软件测试之二叉树阅读 26,801评论 1 10
  • Spring Cloud为开发人员提供了快速构建分布式系统中一些常见模式的工具(例如配置管理,服务发现,断路器,智...
    卡卡罗2017阅读 134,596评论 18 139
  • 文/玫瑰 我想过很多遍什么是最好的爱 想了无数遍 还是唯一一个答案 如果前方有一条路你执意要去 我希望那时的我不会...
    少女与玫瑰阅读 392评论 1 3