问题描述
AAA参与认证时由于经常与第三方友商进行对接 各家的默认机制略有不同,其中在对Radius计费这款尤其。
H3C AC之前的默认计费报文携带IP地址处理策略:
H3C AC早期版本,dot1x/mac认证成功后,必须反查到client的IP地址,才会发送计费开始报文。
IPv4或者IPv6不分优先级,获取任何一个都会触发。
如果反查不到IP,始终不会发送计费开始报文。
如果已经计费成功,在线过程中,检测到client的IPv4或者IPv6变化,会立即触发计费更新报文。
以上做法面对标准不一的厂家而言稍显不便。
解决方法
在对V7 新版本的AC来说已经做了全面的可调整处理。
1.1.1 client-security accounting-delay time
client-security accounting-delay time命令用来开启计费延时功能。
undo client-security accounting-delay time命令用来恢复缺省情况。
【命令】
client-security accounting-delay time time [ no-ip-logoff ]
undo client-security accounting-delay time
【缺省情况】
学习到无线客户端的IP地址后,才会向计费服务器发起计费开始请求。----这点跟老版本策略没有区别
【视图】
无线服务模板视图
【缺省用户角色】
network-admin
mdc-admin
【参数】
time time:计费延时的时长,取值范围为1~60,单位为秒。
no-ip-logoff:如果设备在指定的延时时间内没有获取到无线客户端IP地址,则让客户端下线。若不指定该参数,则设备在指定计费延时时间到达后,将会发送计费开始请求报文。
【使用指导】
如果在指定的计费延时时间内设备没有学习到指定类型客户端的IP地址,则执行相应的计费延时动作。触发计费开始的无线客户端IP地址类型由client-security accounting-start trigger命令的配置决定,当客户端IP地址类型为none时,计费延时功能不生效。
建议根据设备获取IP地址的时长来配置计费延时的时长,若网络环境较差,设备需要较长的时间获取到IP地址,则可适当增大该值。
无线服务模板开启后,再配置本特性,则配置只对新上线的客户端生效,对已经上线的客户端无效。
【举例】
# 在无线服务模板service1下,配置计费延时时间为15秒。
【相关命令】
· client-security accounting-start trigger
1.1.2 client-security accounting-start trigger
client-security accounting-start trigger命令用来配置触发计费开始的无线客户端IP地址类型。
undo client-security accounting-start trigger命令用来恢复缺省情况。
【命令】
client-security accounting-start trigger { ipv4 | ipv4-ipv6 | ipv6 | none }
undo client-security accounting-start trigger
【缺省情况】
触发计费开始的无线客户端IP地址类型为IPv4。---这点相比老版本策略,变化了,但实际使用中目前看都关注的是IPv4,所以这个变化可以说没有什么影响。
【视图】
无线服务模板视图
【缺省用户角色】
network-admin
mdc-admin
【参数】
ipv4:表示无线客户端IP地址类型为IPv4。
ipv4-ipv6:表示无线客户端IP地址类型为IPv4或IPv6。
ipv6:表示无线客户端IP地址类型为IPv6。
none:表示设备在无线客户端认证成功后就会发送计费开始请求报文。
【使用指导】
无线客户端通过802.1X认证或者MAC地址认证方式上线后,设备会根据触发计费开始的无线客户端IP地址类型决定是否向计费服务器发送计费开始请求报文,当计费服务器返回计费开始响应报文后开始对客户端进行计费。
配置触发计费开始的无线客户端IP地址类型时,需要开启相应类型的客户端地址学习功能,配置才会生效,否则无法触发计费开始。有关客户端地址学习功能的详细介绍请参见“WLAN配置指导”中的“WLAN IP Snooping”。
本命令配置的无线客户端IP地址类型需要满足计费服务器的协议要求。
无线服务模板开启后,再配置本特性,新配置只对新上线的客户端生效,对已经上线的客户端无效。
【举例】
# 在无线服务模板service1下,配置触发计费开始的无线客户端IP地址类型为IPv6。
【相关命令】
· client ipv4-snooping arp-learning enable(WLAN命令参考/WLAN IP Snooping)
· client ipv4-snooping dhcp-learning enable(WLAN命令参考/WLAN IP Snooping)
· client ipv6-snooping dhcpv6-learning enable(WLAN命令参考/WLAN IP Snooping)
· client ipv6-snooping nd-learning enable(WLAN命令参考/WLAN IP Snooping)
· client ipv6-snooping snmp-nd-report enable(WLAN命令参考/WLAN IP Snooping)
· client-security accounting-delay
· client-security accounting-update trigger
1.1.3 client-security accounting-update trigger
client-security accounting-update trigger命令用来配置触发计费更新的无线客户端IP地址类型。
undo client-security accounting-update trigger命令用来恢复缺省情况。
【命令】
client-security accounting-update trigger { ipv4 | ipv4-ipv6 | ipv6 }
undo client-security accounting-update trigger
【缺省情况】
根据计费服务器下发或设备配置的实时计费的时间间隔周期性发送计费更新请求报文。 -----也就是默认情况下,IP变化不会触发计费更新报文。这点相对老版本策略变化了,但终端通常情况下不会IP变化,根据需要进行配置
【视图】
无线服务模板视图
【缺省用户角色】
network-admin
mdc-admin
【参数】
ipv4:表示无线客户端IP地址类型为IPv4,设备仅在学习到客户端IPv4地址变化时才会发送计费更新请求报文。
ipv4-ipv6:表示无线客户端IP地址类型为IPv4或IPv6,设备只要学习到客户端IP地址变化就会发送计费更新请求报文。
ipv6:表示无线客户端IP地址类型为IPv6,设备仅在学习到客户端IPv6地址变化时才会发送计费更新请求报文。
【使用指导】
仅当触发计费开始的无线客户端IP地址类型配置生效时,触发计费更新的无线客户端IP地址类型的配置才会生效。
当完成该配置后,该配置和周期性发送计费更新报文功能同时生效。
假设配置的触发计费更新的无线客户端IP地址类型为IPv6,周期性发送计费更新报文功能配置的实时计费间隔为12分钟(timer realtime-accounting命令配置),则设备会每隔12分钟发起一次计费更新请求,且当在线客户端IPv6地址发生变化时,设备也会立即发送计费更新请求报文。
无线服务模板开启后,再配置本特性,则配置只对新上线的客户端生效,对已经上线的客户端无效。
【举例】
# 在无线服务模板下,配置触发计费更新的客户端IP地址类型为IPv6。
【相关命令】
· client-security accounting-start trigger
· timer realtime-accounting(安全命令参考/AAA)
该案例暂时没有网友评论
编辑评论
✖
案例意见反馈
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作