SecPath ACG+CAMS实现认证计费的典型配置

SecPath ACG+CAMS实现认证计费的典型配置

一、 组网需求：

客户端用户（Client）通过启动客户端软件发起802.1x认证, 认证通过后用户接入网络成功，如果用户进一步访问某收费网站，则需要通过 ACG+CAMS进行二次认证成功后，开始计费才可以访问某收费网站。同时可配合ACG可以对各种流量进行阻断、限速等操作。

二、 组网图：

SecPath ACG2000-M：版本为IMW110-E6101；

Cams版本： CamsPlatformF0211-win.zip(平台)

CamsLanF0211-win.zip（认证）

CamsBillF0211-win.zip（计费）

CAMS2.10-F0211P13.zip（补丁）

三、 配置步骤

1.基本参数配置：

1.1 CAMS服务器管理IP：192.168.100.138/24（与交换机1/0/19口相连）

1.2 ACG管理口m0/0 IP：192.168.100.173/24（与交换机1/0/8口相连）

业务口e0/2(与交换机1/0/7口相连)

业务口e0/3(与HTTP服务器相连) 

1.3 HTTP服务器IP：192.168.100.141/24

1.4 PC Client：安装802.1x协议的认证客户端（与交换机1/0/20口相连）

2. 交换机配置：

2.1 vlan划分

[5500-SI]vlan 30

[5500-SI-vlan30]port Ethernet 1/0/7

[5500-SI-vlan30]port Ethernet 1/0/8

[5500-SI-vlan30]port Ethernet 1/0/19

[5500-SI-vlan30]port Ethernet 1/0/20

[5500-SI-vlan30]q

[5500-SI]interface Vlan-interface 30

[5500-SI-Vlan-interface30]ip address 192.168.100.153 255.255.255.0

2.2 Radius参数配置

[5500-SI]radius scheme lxb_scheme

[5500-SI-radius-lxb_scheme]server-type standard

[5500-SI-radius-lxb_scheme]primary authentication 192.168.100.138 1812

[5500-SI-radius-lxb_scheme]primary accounting 192.168.100.138 1813

[5500-SI-radius-lxb_scheme]key authentication test

[5500-SI-radius-lxb_scheme]key accounting test

[5500-SI-radius-lxb_scheme]user-name-format without-domain

2.3 Domain配置

[5500-SI]domain lxb_domain

[5500-SI-isp-lxb_domain]scheme radius-scheme lxb_scheme 

[5500-SI-isp-lxb_domain]authentication radius-scheme lxb_scheme

[5500-SI-isp-lxb_domain]accounting radius-scheme lxb_scheme

2.4 Dot1X配置

[5500-SI]dot1x

[5500-SI]interface Ethernet 1/0/20

[5500-SI-Ethernet 1/0/20]dot1x 

3．ACG web配置:

3.1在“对象管理>动作管理>阻断动作列表”里面设置阻断动作。

3.2 在“对象管理>动作管理>动作集”里面将刚才配置的阻断动作添加到动作集里。

3.3 配置一条“unauth”的策略；将默认规则的动作集设置为block,然后创建一条新规则，引用redir动作集。服务选择“Internet”。

3.4 配置一条“auth”策略；应用默认规则即可。

3.5 将这两条策略引用在“段策略管理”上。

3.6在“准入控制>用户计费策略列表”中“添加用户计费策略”，选择“auth”策略，上下行方向，激活后生效。

3.7（可选）配置内部某特定IP或网段无需计费，Dot1X认证成功后直接访问外网。

  3.7.1 配置一条“in”策略；应用默认规则即可。

3.7.2 在“段策略管理”在引用该策略，激活后生效。

3.8（可选）配置外部某特定免费资源对应的IP，Dot1X认证成功后直接访问该IP地址。

  3.8.1 配置一条“out”策略；应用默认规则即可。

3.8.2 在“段策略管理”在引用该策略，激活后生效。

4．ACG命令行配置:

配置radius服务器。

[H3C]radius-server auth 192.168.100.138 1812 key test

[H3C]radius-server acc 192.168.100.138 1813 key test

启用AAA功能。

[H3C]aaa web-auth authentication radius auth

[H3C]aaa web-auth accounting radius acc

5.CAMS配置：

5.1 登录CAMS服务器网页，在“系统管理 > 系统配置 > 接入设备配置”里添加ACG设备的IP和密钥(key)，和交换机vlan的IP和密钥(key)，即前面所配置的test，保存后需立即生效。

5.2 添加完保存后，点击<立即生效>,即生效。

5.3 在“资费管理 >计费策略”里配置一个计费策略。

5.4 在“服务管理 >服务配置”里添加两个服务，：一个为dot1x服务（不计费），一个为认证计费服务（套用上述计费策略，并且创建该时“服务后缀”必须填写ACG中配置的radius服务器名称：auth ）。

5.5 最后在“用户管理 >账号用户”添加一个用户，套用上述两个服务。

四、 测试结果：

1. PC Client想要访问HTTP资源，首先必须通过802.1X认证。

输入正确的用户名和密码，认证成功，此时用户可以访问免费网站（如上述3.8配置的60.1.1.1）。

2. 当用户访问HTTP服务器（192.168.100.141）时，会触发ACG的“unauth”策略，将HTTP请求重定向到特定的网页：192.168.100.173：9876.

输入正确的用户名和密码后，会弹出下列提示框（注：千万不要关闭此提示框，可以将其最小化），用户便可访问外网，此时CAMS也开始计费。

另外特别注意：在ACG的准入控制页面里有关于计费服务器的配置，这里是我们大家最容易弄错的地方。如图：

我们一直以为必须在这里加上计费服务器的地址，才能正常计费。实际上这个计费服务器与流量计费功能并没有关系。这个功能是和下面的在线用户管理一起构成另一个功能，即通过ACG查看当前在线用户的信息，有点类似于现在ACG Manager做的用户名反查功能。如果配了这个计费服务器，ACG就会从经过它的radius报文中获取与该服务器相关的用户信息，从而显示在web上。

    并且这个功能和流量计费一起使用的话会有问题，如果ACG将radius报文中的用户名读出显示在web上的话，ACG就会把这个用户当成已认证用户，我们的二次认证页面就不会弹出。之前在搭建插卡的流量计费环境时，我们将PC和cams的报文排除，就是为了避免这个问题。实际上，如果我们不在这里配计费服务器的话，即使radius报文通过ACG也不会有问题。这是之前的一个误解！