【www.bbyears.com--J2EE/EJB/服务器】
在无线组网环境中,需要对接入终端进行认证、计费,为了满足该需求,TL-AC1000在Portal认证中提供了对应的认证、计费接口。用户可根据需求接入第三方认证服务器,也可以使用AC内置的认证服务器进行认证计费。 TL-AC1000使用Portal进行认证计费的设置请参考:[TL-AC1000] Portal功能典型配置案例 本文介绍使用Radius认证服务器和本地认证服务器的认证和计费流程及规范。 注意:TL-AC1000需升级到1.2.0 Build 20151125 Rel.51471后的版本才支持计费。
TL-AC1000支持的Radius认证计费类型:只支持按时间计费。无线终端接入无线网络之后,正常的认证、计费的过程如下:
Portal认证流程图
认证计费流程:
1、无线终端连接WiFi,访问任意外网
配置好认证策略且网络连接好后,无线客户端连接上AP发出的WiFi信号后,打开浏览器访问任意外网,触发portal认证。
2、AP拦截无线客户端访问外网的GET数据包,并重定向到WEB服务器
没有通过认证的无线客户端发往外网的GET数据包会被AP拦截,并且AP会向客户端返回重定向条目:http://www.abc.com/?pagetype=xxx&vlan=xxx&staMac=xxx&staIp=xxx&apMac=xxx&apIp=xxx
该条目主要携带以下有效信息:
参数
说明
www.abc.com
WEB服务器地址
pagetype
标志不同的认证方式
vlan
客户端所属的VLAN
staMac
客户端的MAC地址
staIp
客户端的IP地址
apMac
客户端链接的AP设备的MAC地址
apIp
客户端链接的AP设备的IP
3、无线终端访问WEB服务器
无线终端根据第二步返回的重定向条目与WEB服务器建立连接。
4、WEB服务器向无线终端返回认证页面
WEB服务器向无线终端返回认证登录页面。
5、无线终端向TL-AC1000提交用户名和密码
无线终端在WEB服务器推送的认证登录页面填写用户名和密码,点击 登录 按钮,就以GET的方式将username、password、vlan、staMac、staIp、APMac、apIp等参数提交给TL-AC1000,AC对这些信息进行记录。
6、TL-AC1000向Radius认证服务器提交认证信息
TL-AC1000在获取客户端提交的信息之后,从vlan、staMac、staIp、APMac、apIp参数中确定需要进行认证的设备,然后把所有的参数提交给认证服务器进行认证,参数包括:
参数
说明
User-name
用户名
NAS-Identifier
NAS设备标识
Calling-station-Id
需要进行认证设备的MAC
Called-station-Id
AP的MAC和对应的SSID
Framed-IP-Address
需要进行认证设备的IP地址
NAS-IP-Address
NAS设备的IP地址
NAS-port
用户接入端口号
NAS-port-type
NAS设备端口类型
User-password
加密后的密码
7、Radius认证服务器向TL-AC1000返回认证结果
认证服务器根据TL-AC1000提交的信息判断用户是否通过认证,若不通过认证,Radius反馈NAS该用户非法的信息;若通过认证,则将该设备的相关信息记录,并且向TL-AC1000返回认证结果,返回的响应结果中包括以下参数:
参数
说明
Connect-Info
Radius服务器信息
Framed-IP-Address
为用户提供的IP地址
Framed-Routing
为路由器用户设置的路由方式
Framed-MTU
为用户配置的最大传输单元
Session-timeout
用户可用的会话时长
Idle-timeout
允许用户空闲在线的最大时长
Acct-interim-interval
实时计费时间(AC1000目前不支持每隔一段时间进行实时计费,只通过最后断开时的总连接时间来计费)
8、TL-AC1000向无线终端返回认证结果
TL-AC1000根据认证服务器返回来的结果向无线终端返回相应的认证结果。若认证成功,AC则根据之前的vlan、staMac、staIp、APMac、apIp参数信息对相应设备的上网数据给予放行。
9、TL-AC1000向Radius认证服务器发送计费开始请求
TL-AC1000将相应设备的IP、MAC等信息提交给Radius认证服务器,请求开始计费,提交信息包括:
参数
说明
Acct-Session-Id
表示该次计费的唯一标识
User-name
用户名
NAS-Port-Id
用户接入端口标识
Service-type
服务类型
Framed-Protocol
协议类型
Acct-Authentic
接入认证协议
NAS-Identifier
NAS设备标识
Acct-status-type
计费请求报文的类型
Calling-station-Id
需要进行认证设备的MAC
Called-station-Id
AP的MAC和对应的SSID
Framed-IP-Address
需要进行认证设备的IP地址
NAS-IP-Address
NAS设备的IP地址
NAS-port
用户接入端口号
NAS-port-type
NAS设备端口类型
10、Radius认证服务器对计费开始请求给予回应
Radius认证服务器收到计费请求之后,给TL-AC1000相应的回复,同意开始计费。
11、无线设备断开AP的无线连接
无线设备断开AP的无线连接。
12、AP将设备断开连接的信息告知AC
无线设置断开无线连接之后,AP将该信息上传给AC。
13、TL-AC1000向Radius认证服务器发送停止计费请求
AC向Radius认证服务器发送停止计费请求,其中包括相应的设备的IP、MAC和总在线时长等信息,如下:
参数
说明
Acct-Session-Id
表示该次计费的唯一标识
User-name
用户名
NAS-Port-Id
用户接入端口标识
Service-type
服务类型
Framed-Protocol
协议类型
Acct-Authentic
接入认证协议
NAS-Identifier
NAS设备标识
Acct-status-type
计费请求报文的类型
Acct-Session-Time
设备在线时长
Calling-station-Id
需要进行认证设备的MAC
Called-station-Id
AP的MAC和对应的SSID
Framed-IP-Address
需要进行认证设备的IP地址
NAS-IP-Address
NAS设备的IP地址
NAS-port
用户接入端口号
NAS-port-type
NAS设备端口类型
14、Radius认证服务器向TL-AC1000响应计费结束请求
Radius认证服务器收到AC发过来的计费结束请求后,根据设备在线时长统计计费,结束计费。
补充说明:
除了客户端主动请求断线外,若用户账号到期,服务器会主动提出断线请求,过程如下:
1、用户在上网期间账号到期,那么服务器会主动发起断线请求Disconnect-Request,该断线请求中包括信息:
参数
说明
User-name
需要断开连接的用户名
Framed-IP-Address
需要断开连接的用户IP
注意:若Radius认证服务器在外网,需要在前端路由器做端口映射,开放AC的UDP3799端口。
2、当AC1000收到该断线请求后,就会向Radius服务器返回响应信息,并且断开相关设备的连接。
3、AC1000断开相关设备的连接。
使用TL-AC1000内置的本地认证服务器,可以设置免费用户和正式用户两种类型:
免费用户:设置相应的免费上网时长作为计费标准。
正式用户:设置其账户到期时间作为计费标准。
用户可利用正式用户的账户到期时间来进行包月或者包年的计费需求。其过程主要如下:
第1步到第5步过程与上文使用Radius认证服务器时的过程相同,这里不再赘述。
6、返回认证结果
TL-AC1000根据客户端提供的用户名和密码,判断用户是否通过认证,若通过认证则将用户记录,根据用户的IP、MAC对相应的数据放行,并返回相应的结果;免费用户返回免费时长,正式用户返回账户有效期等信息。
7、无线设备断开连接
无线设备主动断开无线连接。
8、无线设备断开连接
无线设备断开连接之后AP将消息上传给AC,AC记录相关设备信息。
9、TL-AC1000主动断开无线设备的连接
若在无线设备上网期间用户的账号到期了或者免费的时长消费完毕,AC会主动断开无线设备的连接,设备需要上网需要再次进行认证。