RADIUS计费配置方案培训教材

目录第一章 AAA和RADIUS介绍 (2)第二章RADIUS协议 (4)2.1 引论 (4)2.2 客户服务器模式 (4)2.3 用户<——>NAS<——>Radius业务流程说明 (4)2.4 网络安全 (5)2.4.1 包签名： (5)2.4.2 口令加密： (6)2.5 AAA在协议栈中的位置 (9)2.6 良好的可扩展性 (9)第三章标准RADIUS协议 (11)3.1 标准Radius协议包结构 (11)3.2 常用标准Radius属性说明 (13)3.3 华为公司宽带产品Radius标准属性 (14)第四章华为公司的Radius扩展协议——Radius+ v1.1 (17)4.1 Radius+简介 (17)4.1.1 扩展Radius+的目的 (17)4.1.2 可靠性、安全性与Radius相同 (17)4.2 Radius+报文 (18)4.2.1 Radius+认证报文 (18)4.2.2 Radius+计费报文 (22)4.2.3 Radius+新增报文 (26)第五章华为NAS设备与Radius Server对接应用实例 (29)5.1 组网图 (29)5.2 用户认证计费应用实例分析 (29)5.2.1 合法用户 (29)5.2.2 非法用户 (32)关键词：RADIUS、AAA、PAP、CHAP、PPP、NAS、TCP、UDP。

摘要：90年代中期以来，Internet 业务量的增长已构成数据业务的主要增长因素，IP成为电信网是不争的事实。

但是目前的IP网络还不是一个电信级的网络，它的可运营、可管理特性同PSTN相比还存在较大差距。

从可运营性方面来说，针对个人用户，IP网络目前仅仅解决了一个上网的问题，用户仅能收发一些电子邮件和从网络上搜索一些信息而已，还不能提供个性化的业务以吸引更多个人用户上网，如Portal、个性化业务管理、本地特色内容业务、内容过滤、看广告免费上网等等。

一个网络允许外部用户通过公用网对其进行访问大量分散用户通过Modem等设备从不同的地方可以对这个网络进行随机的访问也可以从这个网络得到自己想要的信息网络安全就成为很重要的问题了对modem pool 的管理就成为网络接入服务器或路由器的任务获得访问权的用户可以允许使用哪些服务AAA很好的完成了这三项任务存储用户名1.1 客户服务器模式图1 用户ＲＡＤＩＵＳ　服务器的关系路由器上运行的AAA程序对用户来讲为服务器端当用户上网时下面介绍两种用户与路由器之间(本地验证)的验证方法CHAP和PAP用户以明文的形式把用户名和他的密码传递给路由器如果存在相同的用户名和密码表明验证通过,否则表明验证未通过Challenge Handshake Authentication Protocol当用户请求上网时同时还有一个ID号生成一个response传给NASµÃµ½ºÍÓû§¶Ë½øÐмÓÃÜËùÓõÄÒ»ÑùµÄÃÜÂë过程略有不同路由器把用户名和加密过的密码放到验证请求包的相应属性中传递给RADIUS服务器在端口上采用CHAP验证当用户请求上网时同时还有一个ID号生成一个response传给NAS²¢°ÑÔ-À´µÄ16字节随机码传给RADIUS服务器得到和用户端进行加密所用的一样的密码将其结果与传来的Password作比较如果不相同表明验证失败RADIUS服务器同样可以生成一个16字节的随机码对用户进行询问并且RADIUS要求特别的定时器管理机制当处理大量用户时服务器端采用多线程TCP是必须成功建立连接后才能进行数据传输的RADIUS要有重传机制和备用服务器机制TCP不能很好的满足LengthAuthenticator16 字节长分为Request authenticator 和 response authenticatorCode+ID+Length+RequestAuth+Attribute+Secret　－ｎａｍ Ｕｓｅｒ３　 Ｃｏｄｅ　＝　１ （Ａｃｃｅｓｓ－Ｒｅｑｕｅｓｔ）　 ＩＤ　＝　０　 Ｌｅｎｇｔｈ　＝　５６　 Ｒｅｑｕｅｓｔ　Ａｕｔｈｅｎｔｉｃａｔｏｒ　＝　｛１６　ｏｃｔｅｔ　ｒａｎｄｏｍ　ｎｕｍｂｅｒ｝　 Ａｔｔｒｉｂｕｔｅｓ：　 Ｕｓｅｒ－Ｎａｍｅ　＝　＂ｎｅｍｏ＂　告诉把用户 nemo 登陆到主机 192.168.1.3.Code = 2 (Access-Accept) ＩＤ　＝　０ （ｓａｍｅ　ａｓ　ｉｎ　Ａｃｃｅｓｓ－Ｒｅｑｕｅｓｔ）　 Ｌｅｎｇｔｈ　＝　３８　 Ｒｅｓｐｏｎｓｅ　Ａｕｔｈｅｎｔｉｃａｔｏｒ　＝　｛１６－ｏｃｔｅｔ　ＭＤ－５　ｃｈｅｃｋｓｕｍ　ｏｆ　ｔｈｅ　ｃｏｄｅ　（２），　 ｉｄ　（０），　Ｌｅｎｇｔｈ　（３８），　ｔｈｅ　Ｒｅｑｕｅｓｔ　Ａｕｔｈｅｎｔｉｃａｔｏｒ　ｆｒｏｍ　 ａｂｏｖｅ，　ｔｈｅ　ａｔｔｒｉｂｕｔｅｓ　ｉｎ　ｔｈｉｓ　ｒｅｐｌｙ，　ａｎｄ　ｔｈｅ　ｓｈａｒｅｄ　 ｓｅｃｒｅｔ｝　 Ａｔｔｒｉｂｕｔｅｓ：　 Ｓｅｒｖｉｃｅ－Ｔｙｐｅ　＝　Ｌｏｇｉｎ－Ｕｓｅｒ　 Ｌｏｇｉｎ－Ｓｅｒｖｉｃｅ　＝　Ｔｅｌｎｅｔ　 Ｌｏｇｉｎ－Ｈｏｓｔ　＝　１９２．１６８．１．３　1.3.2用CHAP验证的固定用户 Ｕｓｅｒ－ｎａｍｅ ２０ Ｐｒｏｔｏｃｏｌ Ｆｒａｍｅｄ－Ｐｒｏｔｏｃｏｌ＝ＰＰＰ　暗示 RADIUS server 这个用户要使用PPP服务 Ｃｏｄｅ　＝　２ （Ａｃｃｅｓｓ－Ａｃｃｅｐｔ）　 ＩＤ　＝　１ （ｓａｍｅ　ａｓ　ｉｎ　Ａｃｃｅｓｓ－Ｒｅｑｕｅｓｔ）　 Ｌｅｎｇｔｈ　＝　５６　 Ｒｅｓｐｏｎｓｅ　Ａｕｔｈｅｎｔｉｃａｔｏｒ　＝　｛１６－ｏｃｔｅｔ　ＭＤ－５　ｃｈｅｃｋｓｕｍ　ｏｆ　ｔｈｅ　ｃｏｄｅ　（２），　 ｉｄ　（１），　Ｌｅｎｇｔｈ　（５６），　ｔｈｅ　Ｒｅｑｕｅｓｔ　Ａｕｔｈｅｎｔｉｃａｔｏｒ　ｆｒｏｍ　ｍｏｐｓｙ Ｐｏｒｔ　ｌｏｇｇｉｎｇ　ｉｎ　RADIUS server 发送 Access-Challenge UDP 数据包到 NAS. Ｃｏｄｅ　＝　１１ （Ａｃｃｅｓｓ－Ｃｈａｌｌｅｎｇｅ｝　 ＩＤ　＝　２ （ｓａｍｅ　ａｓ　ｉｎ　Ａｃｃｅｓｓ－Ｒｅｑｕｅｓｔ）　 Ｌｅｎｇｔｈ　＝　７８　 Ｒｅｓｐｏｎｓｅ　Ａｕｔｈｅｎｔｉｃａｔｏｒ　＝　｛１６－ｏｃｔｅｔ　ＭＤ－５　ｃｈｅｃｋｓｕｍ　ｏｆ　ｔｈｅ　ｃｏｄｅ　（１１），　 ｉｄ　（２），　ｌｅｎｇｔｈ　（７８），　ｔｈｅ　Ｒｅｑｕｅｓｔ　Ａｕｔｈｅｎｔｉｃａｔｏｒ　ｆｒｏｍ　 ａｂｏｖｅ，　ｔｈｅ　ａｔｔｒｉｂｕｔｅｓ　ｉｎ　ｔｈｉｓ　ｒｅｐｌｙ，　ａｎｄ　ｔｈｅ　ｓｈａｒｅｄ　 ｓｅｃｒｅｔ｝　 Ａｔｔｒｉｂｕｔｅｓ：　 Ｒｅｐｌｙ－Ｍｅｓｓａｇｅ　＝　＂Ｃｈａｌｌｅｎｇｅ　３２７６９４３０． Ｅｎｔｅｒ　ｒｅｓｐｏｎｓｅ　ａｔ　ｐｒｏｍｐｔ．＂　 Ｓｔａｔｅ　＝ ｛Ｍａｇｉｃ　Ｃｏｏｋｉｅ　ｔｏ　ｂｅ　ｒｅｔｕｒｎｅｄ　ａｌｏｎｇ　ｗｉｔｈ　ｕｓｅｒ＇ｓ　ｒｅｓｐｏｎｓｅ；　 ｉｎ　ｔｈｉｓ　ｅｘａｍｐｌｅ　８　ｏｃｔｅｔｓ　ｏｆ　ｄａｔａ｝　用户输入了他的回应,NAS 发送一个新的带有用户输入的回应的Access-Request 给RADIUS server Ｃｏｄｅ　＝　３ （Ａｃｃｅｓｓ－Ｒｅｊｅｃｔ）　 ＩＤ　＝　３ （ｓａｍｅ　ａｓ　ｉｎ　Ａｃｃｅｓｓ－Ｒｅｑｕｅｓｔ）　 Ｌｅｎｇｔｈ　＝　２０　 Ｒｅｓｐｏｎｓｅ　Ａｕｔｈｅｎｔｉｃａｔｏｒ　＝　｛１６－ｏｃｔｅｔ　ＭＤ－５　ｃｈｅｃｋｓｕｍ　ｏｆ　ｔｈｅ　ｃｏｄｅ　（３），　 ｉｄ　（３），　ｌｅｎｇｔｈ（２０），　ｔｈｅ　Ｒｅｑｕｅｓｔ　Ａｕｔｈｅｎｔｉｃａｔｏｒ　ｆｒｏｍ　 ａｂｏｖｅ，　ｔｈｅ　ａｔｔｒｉｂｕｔｅｓ　ｉｎ　ｔｈｉｓ　ｒｅｐｌｙ　ｉｆ　ａｎｙ，　ａｎｄ　ｔｈｅ　 ｓｈａｒｅｄ　ｓｅｃｒｅｔ｝　 Ａｔｔｒｉｂｕｔｅｓ：　 （ｎｏｎｅ，　ａｌｔｈｏｕｇｈ　ａ　Ｒｅｐｌｙ－Ｍｅｓｓａｇｅ　ｃｏｕｌｄ　ｂｅ　ｓｅｎｔ）　ｆｉｌｔｅｒ　ＩＤ等一般用于代理服务器0xfffffffe 让nas去分配地址配置给用户的MTU Framed-Compression连接所用的压缩协议 ０ Ｎｏｎｅ　 １ ＶＪ　ＴＣＰ／ＩＰ　ｈｅａｄｅｒ　ｃｏｍｐｒｅｓｓｉｏｎ　［５］　 ２ ＩＰＸ　ｈｅａｄｅｒ　ｃｏｍｐｒｅｓｓｉｏｎ Login-IP-Host0xffffffff 让用户去选择ＩＰ－Ｈｏｓｔ0 让nas去分配ＩＰ－Ｈｏｓｔ其它使用radius服务器返回的ＩＰ－Ｈｏｓｔ　 Ｌｏｇｉｎ－Ｓｅｒｖｉｃｅ　 ０ Ｔｅｌｎｅｔ　 １ Ｒｌｏｇｉｎ　 ２ ＴＣＰ　Ｃｌｅａｒ　3 PortMaster (proprietary) ４ ＬＡＴ　 Ｌｏｇｉｎ－ＴＣＰ－Ｐｏｒｔ　用户所要连接到的tcp端口号当Ｌｏｇｉｎ－Ｓｅｒｖｉｃｅ也出现的时候而是通过传输协议与nas进行连接 Ｐｏｒｔ－Ｌｉｍｉｔ nas提供给用户可以连接的端口的最大数量Termination-Action当连接断开后。

计算机网络形考5实训14RADIUS服务的配置与使用1. 介绍本文档旨在介绍RADIUS（远程身份验证拨号用户服务）服务的配置与使用。

RADIUS是一种用于提供网络用户身份验证、授权和帐户信息管理的协议。

2. 配置RADIUS服务以下是配置RADIUS服务的步骤：1. 在服务器上安装RADIUS服务器软件，并确保其正确设置。

2. 配置RADIUS服务器的认证方法，可以使用本地数据库或外部认证服务器（例如Active Directory）。

3. 配置RADIUS服务器的授权策略，包括访问控制和帐户管理规则。

4. 配置RADIUS客户端，使其能够与RADIUS服务器进行通信。

5. 测试RADIUS服务器的功能，确保正确配置。

3. 使用RADIUS服务一旦RADIUS服务已成功配置，可以使用它来实现以下功能：1. 用户身份验证：用户可以使用他们的凭据（例如用户名和密码）登录到网络服务。

2. 访问控制：RADIUS可以根据用户的身份和其他属性，决定其对网络资源的访问权限。

3. 记录账户信息：RADIUS可以记录用户的登录信息、使用时间和流量消耗等账户信息。

4. 账号管理：管理员可以使用RADIUS服务管理用户的帐户信息，例如重置密码或修改用户权限。

4. 注意事项在配置和使用RADIUS服务时，需要注意以下事项：1. 安全性：确保RADIUS服务器和通信渠道的安全设置，以防止未经授权的访问和数据泄露。

2. 日志记录：建议启用RADIUS服务器的日志记录功能，以便跟踪用户活动和故障排除。

3. 时钟同步：确保RADIUS服务器和客户端的时钟是同步的，以避免认证和授权问题。

5. 总结RADIUS服务是一种用于网络用户身份验证和授权管理的重要工具。

通过正确配置和使用RADIUS服务器，可以实现安全、可靠的用户访问控制和帐户管理。

在使用RADIUS服务时，务必注意安全性和日志记录等注意事项。

H3C-RADIUS配置⽬录1 AAA配置1.1 AAA简介1.2 RADIUS协议简介1.2.1 客户端/服务器模式1.2.2 安全和认证机制1.2.3 RADIUS的基本消息交互流程1.2.4 RADIUS报⽂结构1.2.5 RADIUS扩展属性1.3 HWTACACS协议简介1.3.1 HWTACACS协议与RADIUS协议的区别1.3.2 HWTACACS的基本消息交互流程1.4 协议规范1.5 AAA配置任务简介1.6 配置AAA1.6.1 配置准备1.6.2 创建ISP域1.6.3 配置ISP域的属性1.6.4 配置ISP域的AAA认证⽅案1.6.5 配置ISP域的AAA授权⽅案1.6.6 配置ISP域的AAA计费⽅案1.6.7 配置本地⽤户的属性1.6.8 配置⽤户组的属性1.6.9 配置强制切断⽤户连接1.6.10 AAA显⽰与维护1.7 配置RADIUS1.7.1 创建RADIUS⽅案1.7.2 配置RADIUS认证/授权服务器1.7.3 配置RADIUS计费服务器及相关参数1.7.4 配置RADIUS报⽂的共享密钥1.7.5 配置RADIUS报⽂的超时重传次数最⼤值1.7.6 配置⽀持的RADIUS服务器的类型1.7.7 配置RADIUS服务器的状态1.7.8 配置发送给RADIUS服务器的数据相关属性1.7.9 配置RADIUS服务器的定时器1.7.10 配置RADIUS服务器的安全策略服务器1.7.11 使能RADIUS客户端的监听端⼝1.7.12 RADIUS显⽰和维护1.8 配置HWTACACS1.8.1 创建HWTACACS⽅案1.8.2 配置HWTACACS认证服务器1.8.3 配置HWTACACS授权服务器1.8.4 配置HWTACACS计费服务器1.8.5 配置HWTACACS报⽂的共享密钥1.8.6 配置发送给HWTACACS服务器的数据相关属性1.8.7 配置HWTACACS服务器的定时器1.8.8 HWTACACS显⽰和维护1.9 AAA典型配置举例1.9.1 Telnet/SSH⽤户通过RADIUS服务器认证、授权、计费的应⽤配置1.9.2 FTP/Telnet⽤户本地认证、授权、计费配置1.9.3 PPP⽤户通过HWTACACS服务器认证、授权、计费的应⽤配置1.10 AAA常见配置错误举例1.10.1 RADIUS认证/授权失败1.10.2 RADIUS报⽂传送失败1.10.3 RADIUS计费功能异常1.10.4 HWTACACS常见配置错误举例1 AAA配置1.1 AAA简介AAA是Authentication、Authorization、Accounting（认证、授权、计费）的简称，是⽹络安全的⼀种管理机制，提供了认证、授权、计费三种安全功能。

Radius培训资料中望商业机器有限公司目录一、基本概念： (1)1、接入层AAA管理 (1)2、什么是RADIUS协议？ (1)3、RADIUS协议规定了什么？ (1)4、什么是RFC文档 (1)5、RAIDIUS协议能在那些场合用？ (2)6、什么是NAS (2)7、什么是服务管理中心？ (3)8、什么是C/S模式？ (3)9、在RADIUS中什么是服务器？ (3)10、在RADIUS中什么是客户机？ (4)11、什么叫用户漫游？ (4)12、什么是用户分类？ (4)13、为什么要用户授权？ (4)14、用户授权有几种方式？ (5)15、什么是上网记录？ (5)16、RADIUS的上网记录能对计费起什么作用？ (5)17、什么是被叫限制和主叫限制？ (5)18、什么是“唯一用户上网”？ (6)19、G UEST用户接入服务 (6)二、RADIUS协议规程 (7)1、RADIUS协议中的角色 (7)2、RADIUS的会话过程 (7)3、RADIUS协议在网络通信安全性措施 (9)4、RADIUS使用的传输层协议 (10)5、RADIUS协议的包格式 (11)6、A TTRIBUTE格式 (13)7、A TTRIBUTE在验证通信包中的要求 (14)8、A TTRIBUTE在统计通信包中的要求 (15)三、RADIUS在中国公众多媒体通信网的实现 (17)1、接入层认证体系结构 (17)2、用户分类 (17)3、用户漫游 (18)4、信息层认证功能扩展 (18)四、RADIUS安装维护指南 (18)一、基本概念：1、接入层AAA管理网络服务提供者要对上网用户进行登记、识别，对不同的用户进行分类，赋予不同的访问权限。

要对用户上网进行记录和数据采集，以便生成帐单，。

这就是通常所说的AAA管理（Authentication, Authorization, Accounting - 验证、授权、统计）。

ROS自带radius认证计费系统应用教程2010-01-30 01:24:36标签：ROS radius首先建立PPPOE服务器，然后设置地址池，这两步就不多说了。

设置ROS服务器与radius服务器的连接，点击菜单radius跳出设置界面点+设置radius服务器的IP地址，连接密钥（自己设定），端口（用默认）等参数。

看图1图1在IE地址栏输入http://路由IP/userman用户名：admin 密码：空登录radius管理页面点击菜单routers下的add跳出设置界面，设置pppoe服务器名和地址及连接密钥，下面的复选框是LOG记录，不勾就不记录。

看图2图2点击菜单Credits下的add跳出设置界面添加信用应用，这是包年的信用设置，这个可以自己任意设，看图3图3设置好后，看图4图4点击菜单users下的add跳出设置菜单添加用户，看图5图5设置好后，看图6 图6用户添加也可以用菜单status页的多用户批量添加，看图7图7用户名和密码都会随机生成。

完成全部设置后就可以认证计费了，可以做到包时、包天、包周、包月、包年，而且可以对指定帐号增加时间，也可以对单帐号单独限速。

如何设置RouterOS中的Radius首先设置RouterOS上的Radius参数和Hotspot的配置，进入路由器的Radius目录设置Radius 服务器的IP地址和访问密码，并配置Hostpot需要通过Radius认证：这里是通过本来Radius做认证，所以address输入的是本地的IP地址，并设置Secret为hotspot。

然后进入/ip hotspot目录，在servers的profile中配置Radius服务：设置完hotspot profile的Radius参数后，这样RouterOS的Radius参数就配置完成，下面需要配置User Manager的参数：进入User Manager中的Router项配置与本地的RouterOS连接参数，我们添加一个项目，将名称取名为“demo”，在User Manager中同样的我们将IP地址设置为RouterOS的本地IP，Secret为hotspot。

RADIUS(计费:Accounting)1. 描述RADIUS计费协议用于定义和装载位于网络接入服务器(NAS)和RADIUS计费服务器(RADIUS Accounting Server:RAS)之间的有关信息.其中,NAS负责向特定的计费服务器RAS发送计费信息,RAS负责接收计费信息并向NAS发送确认.RAS作代理.2. 数据包格式RADIUS计费数据包格式与RADIUS访问(认证,授权)数据包格式一致,数据域稍有不同.数据包封装在UDP中进行传送,其中UDP目的端口为1813.格式说明如下:0 1 2 30 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+| Code | Identifier | Length |+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+| || Authenticator || || |+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+| Attributes ...+-+-+-+-+-+-+-+-+-+-+-+-+-2.1. Code4 Accounting-Request5 Accounting-Response2.2. Request Authenticator在Accounting-Request数据包中, Authenticator值是16 字节MD5 校验和,叫做 Request Authenticator.计算方法为:RequestAuth = MD5(Code + Identifier + Length + 16 zero octets+ request attributes + shared secret)这和RADIUS访问请求数据包(Access-Request)中Request Authenticator 不一样,因为在计费数据包(Accounting-Request)中不包含User-Password 属性.2.3. Response Authenticator在Accounting-Response数据包中的Authenticator 叫做Response Authenticator.其计算方法为:ResponseAuth = MD5( Code + Identifier + Length + RequestAuth +[ attributes] + shared secret)2.4. Identifier, Length, Attributes其说明与RADIUS访问数据包相同.3. 类型说明RADIUS计费数据包有两种类型分别是: Accounting-Request, Accounting-Response.说明如下:3.1 Accounting-Request这种类型数据包用于从NAS(或其代理)向RAS发送提供业务计费的信息.当收到Accounting-Request且成功记录计费数据包后,RAS必须发送Accounting-Response;如果记录计费数据包失败,RAS不得发送任何应答信息.User-Password,CHAP-Password,Reply-Message,State不得出现在Accounting-Request中,其它任何在访问请求(Access-Request)和访问接受(Access-Accept)数据包中有效的属性在计费请求(Accounting-Request) 数据包中同样有效.NAS-IP-Address(或NAS-Identifier)必须在Accounting-Request中提供;NAS-Port(或NAS-Port-Type或两者)应该在Accounting-Request中提供,除非业务不涉及(物理)端口或是NAS不区分(物理)端口.当数据包属性值改变,或者收到有效应答,数据包的Identifier值一定改变;重传时Identifier值不得改变.在包含属性Acct-Delay-Time的数据包重传是时,由于Acct-Delay-Time值需要更新,此时Identifier值必须改变且Request Authenticator必须更新.3.2. Accounting-ResponseRAS向NAS发送Accounting-Response数据包以确定已经收到并成功记录了Accounting-Request.NAS收到的Accounting-Response的Identifier值必须与发送的Accounting-Request相应值匹配才算有效.无效的数据包将被自动丢弃.Accounting-Response一般不包括任何属性.4. RADIUS计费有关特性说明RADIUS计费包括以下12个标准特性:40 Acct-Status-Type41 Acct-Delay-Time42 Acct-Input-Octets43 Acct-Output-Octets44 Acct-Session-Id45 Acct-Authentic46 Acct-Session-Time47 Acct-Input-Packets48 Acct-Output-Packets49 Acct-Terminate-Cause50 Acct-Multi-Session-Id51 Acct-Link-Count4.1. Acct-Status-Type该属性用于标记用户业务开始(Start)和结束(Stop),也可用于标记计费开始(Accounting-On)和结束(Accounting-Off)定义如下:1 Start2 Stop7 Accounting-On8 Accounting-Off4.2. Acct-Delay-Time该属性说明NAS要求的数据包最大延迟时间(秒),4.3. Acct-Input/Output-Octets/Packets,该属性说明业务提供过程中通过端口的字节数(或数据包个数). Acct-Input-Octets/ Packets显示收到的字节数(或数据包个数);Acct-Output-Octets/ Packets显示发送的字节数(或数据包个数).对使用Framed Protocol的用户,一般统计数据包个数.该属性只能出现在使用属性Acct-Status-Type且属性值为Stop的数据包中.4.4. Acct-Session-Id该属性提供唯一的计费ID以标记用户业务会话开始(Start)和结束(Stop)数据包之间的匹配.建议使用ASCII字符串.下面是属性值使用的一种方案:0 1 2 30 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+| reboot number | user number logging in |+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+其中第一个8位可记录256次重启动,后面24位在每次启动后最多可记录2^24个用户注册.4.5. Acct-Authentic该属性说明用户以何种方式接受认证:是用RADIUS,是NAS自己进行认证,还是使用的其它远程认证协议.没有进行认证的用户业务,不应对此产生计吠请求.属性值说明如下:1 RADIUS2 Local3 Remote4.6. Acct-Session-Time该属性说明用户收到业务占用了多长时间(秒).该属性将在Acct-Status-Type=Stop的数据包中使用.4.7. Acct-Multi-Session-Id该属性提供唯一的计费ID以标记同一日志文件中具有相互关系的不同用户业务会话.每个相互关联的用户业务会话有不同的Acct-Session-Id,但有相同的Acct-Multi-Session-Id.4.8. Acct-Link-Count该属性在计费请求数据包中记录当前的多链路会话数.在多链路会话中NAS每产生一个计费请求都应提供当前的会话数,以便于计费服务器RAS确定是否已经收到多链路会话数的所有数据包.例如:Multi-Session-Id Session-Id Status-Type Link-Count"10" "10" Start 1"10" "11" Start 2"10" "11" Stop"10" "12" Start 3"10" "13" Start 4"10" "12" Stop 4"10" "13" Stop 4"10" "10" Stop 4在多链路会话(ID=10)中,有4个会话(ID分别为本0,11,12,13).只有当收到的的Stop数据包(相同 Acct-Multi-Session-Id,不同 unique Acct-Session- Id 且Acct-Status-Type = Stop)的数目与所有计费请求数据包中Acct-Link-Count的最大值相等时, RAS认为已经收到多链路会话数的所有数据包,该多链路会话就此完成.4.9. Acct-Terminate-Cause该属性说明为什么会话终止. 只在Acct-Status-Type=Stop的数据包中使用终止原因包括:1 User Request用户请求终止,如LCP终止或用户退出2 Lost Carrier端口数据载波检测(DCD)停止3 Lost Service不再提供业务,如用户到主机的连接被中断4 Idle Timeout空闲超时5 Session Timeout会话超时6 Admin Reset管理员刷新端口或会话7 Admin RebootNAS管理员结束业务,如重启动8 Port ErrorNAS检测到端口错误需要结束会话9 NAS ErrorNAS检测到端口以外错误需要结束会话10 NAS RequestNAS需要结束会话(与错误错误无关)11 NAS RebootNAS意外(crash)重启动12 Port Unneeded资源不满足,如端口带不够13 Port PreemptedNAS为高优先级用户分配端口而结束会话14 Port SuspendedNAS为挂起上层(virtual)会话而结束会话15 Service UnavailableNAS不能提供所请求的业务16 CallbackNAS为使用Callback建立新的会话而终止当前会话17 User Error用户输入错误18 Host Request登陆主机正常情况终止会话5. 操作流程NAS要求对RADIUS计费作配置,在向用户开始发送业务时,NAS首先发送数据包通知计费开始 .该数据包描述将要发送的业务类型,用户名等信息.业务发送完毕,NAS将发送数据包通知计费终止. 该数据包描述已经发送的业务类型以及统计信息.RAS收到以上数据包,正确记录后,须返回确认信息.NAS要求能够详细描述所要计费的业务以及对通过端口的数据包或字节数作统计具体包括:装载用户名装载NAS标识(NAS ID,IP)装载业务类型(或者包括用户类型)装载该业务的其它信息(如用户IP)提供端口信息(端口号及类型说明)提示认证类型分配会话标识设定会话时间提示计费状态统计业务量(通过端口的字节或数据包)提供会话终止原因设定计费时延RAS要求能够生成详细的日志文件以构造计费数据库.RAS在每一次记录数据包时都必须注明时间.以下是计费全过程:6. 实例6.1. 规范格式<Day> <Month> <day of month> <hr:min:secs> <year>Acct-Session-Id = "string"(*)User-Name = "string"Client-Id = some Ip addressClient-Port-Id = 25NAS-Port-Type = Async(*)Acct-Status-Type = Stop|Start(*)Acct-Session-Time = amt of secondsAcct-Authentic = RADIUS(*)Acct-Input-Octets = amt of octets(*)Acct-Output-Octets = amt of octets(*)Acct-Terminate-Cause = why ?(*)User-Service-Type = integerFramed-Protocol = string ( ie PPP, SLIP, ISDN ) Framed-Address = IP addressAcct-Delay-Time = integer6.2. 举例Wed Oct 5 22:00:55 1994Acct-Session-Id = "06000003"User-Name = "carl"Client-Id = 149.198.1.18Client-Port-Id = 19Acct-Status-Type = StartAcct-Authentic = RADIUSUser-Service-Type = Login-UserLogin-Service = PortMasterLogin-Host = 149.198.1.70Acct-Delay-Time = 0Wed Oct 5 23:15:31 1994Acct-Session-Id = "06000003"User-Name = "carl"Client-Id = 149.198.1.18Client-Port-Id = 19Acct-Status-Type = StopAcct-Session-Time = 4480Acct-Authentic = RADIUSUser-Service-Type = Login-UserLogin-Service = PortMasterLogin-Host = 149.198.1.70Acct-Delay-Time = 0Thu Oct 6 16:14:53 1994Acct-Session-Id = "06000004"User-Name = "Pdan"Client-Id = 149.198.1.18Client-Port-Id = 19Acct-Status-Type = StartAcct-Authentic = LocalUser-Service-Type = Framed-UserFramed-Protocol = PPPFramed-IPX-Network = 108.144.16.16Acct-Delay-Time = 0Thu Oct 6 16:15:57 1994Acct-Session-Id = "06000004"User-Name = "Pdan"Client-Id = 149.198.1.18Client-Port-Id = 19Acct-Status-Type = StopAcct-Session-Time = 64Acct-Authentic = LocalUser-Service-Type = Framed-UserFramed-Protocol = PPPFramed-IPX-Network = 108.144.16.16Acct-Delay-Time = 0。