1. 描述

RADIUS计费协议用于定义和装载位于网络接入服务器(NAS)和RADIUS计费服务器(RADIUS Accounting Server:RAS)之间的有关信息.其中,NAS负责向特定的计费服务器RAS发送计费信息,RAS负责接收计费信息并向NAS发送确认.RAS作代理.

2. 数据包格式

RADIUS计费数据包格式与RADIUS访问(认证,授权)数据包格式一致,数据域稍有不同.数据包封装在UDP中进行传送,其中UDP目的端口为1813.

格式说明如下:

0 1 2 3

0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1

+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+

| Code | Identifier | Length |

+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+

| |

| Authenticator |

| |

| |

+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+

| Attributes ...

+-+-+-+-+-+-+-+-+-+-+-+-+-

2.1. Code

4 Accounting-Request

5 Accounting-Response

2.2. Request Authenticator

在Accounting-Request数据包中, Authenticator值是16 字节MD5 校验和,叫做 Request Authenticator.

计算方法为:

RequestAuth = MD5(Code + Identifier + Length + 16 zero octets

+ request attributes + shared secret)

这和RADIUS访问请求数据包(Access-Request)中Request Authenticator 不一样,因为在计费数据包(Accounting-Request)中不包含User-Password 属性.

2.3. Response Authenticator

在Accounting-Response数据包中的Authenticator 叫做Response Authenticator.

其计算方法为:

ResponseAuth = MD5( Code + Identifier + Length + RequestAuth +[ attributes]

+ shared secret)

2.4. Identifier, Length, Attributes

其说明与RADIUS访问数据包相同.

3. 类型说明

RADIUS计费数据包有两种类型分别是: Accounting-Request, Accounting-Response.

说明如下:

3.1 Accounting-Request

这种类型数据包用于从NAS(或其代理)向RAS发送提供业务计费的信息.当收到Accounting-Request且成功记录计费数据包后,RAS必须发送Accounting-Response;如果记录计费数据包失败,RAS不得发送任何应答信息.

User-Password,CHAP-Password,Reply-Message,State不得出现在Accounting-Request中,其它任何在访问请求(Access-Request)和访问接受(Access-Accept)数据包中有效的属性在计费请求(Accounting-Request) 数据包中同样有效.

NAS-IP-Address(或NAS-Identifier)必须在Accounting-Request中提供;NAS-Port(或 NAS-Port-Type或两者)应该在Accounting-Request中提供,除非业务不涉及(物理)端口或是NAS不区分(物理)端口.

当数据包属性值改变,或者收到有效应答,数据包的Identifier值一定改变;重传时Identifier值不得改变.在包含属性Acct-Delay-Time的数据包重传是时,由于Acct-Delay-Time值需要更新,此时Identifier值必须改变且Request Authenticator必须更新.

3.2. Accounting-Response

RAS向NAS发送Accounting-Response数据包以确定已经收到并成功记录了Accounting-Request.NAS收到的Accounting-Response的Identifier值必须与发送的Accounting-Request相应值匹配才算有效.无效的数据包将被自动丢弃.

Accounting-Response一般不包括任何属性.

4. RADIUS计费有关特性说明

RADIUS计费包括以下12个标准特性:

40 Acct-Status-Type

41 Acct-Delay-Time

42 Acct-Input-Octets

43 Acct-Output-Octets

44 Acct-Session-Id

45 Acct-Authentic

46 Acct-Session-Time

47 Acct-Input-Packets

48 Acct-Output-Packets

49 Acct-Terminate-Cause

50 Acct-Multi-Session-Id

51 Acct-Link-Count

4.1. Acct-Status-Type

该属性用于标记用户业务开始(Start)和结束(Stop),也可用于标记计费开始(Accounting-On)和结束(Accounting-Off)

定义如下:

1 Start

2 Stop

7 Accounting-On

8 Accounting-Off

4.2. Acct-Delay-Time

该属性说明NAS要求的数据包最大延迟时间(秒),

4.3. Acct-Input/Output-Octets/Packets,

该属性说明业务提供过程中通过端口的字节数(或数据包个数). Acct-Input-Octets/ Packets显示收到的字节数(或数据包个数);Acct-Output-Octets/ Packets显示发送的字节数(或数据包个数).

对使用Framed Protocol的用户,一般统计数据包个数.

该属性只能出现在使用属性Acct-Status-Type且属性值为Stop的数据包中.

4.4. Acct-Session-Id

该属性提供唯一的计费ID以标记用户业务会话开始(Start)和结束(Stop)数据包之间的匹配.建议使用ASCII字符串.

下面是属性值使用的一种方案:

0 1 2 3

0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1

+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+

| reboot number | user number logging in |

+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+

其中第一个8位可记录256次重启动,后面24位在每次启动后最多可记录2^24个用户注册.

4.5. Acct-Authentic

该属性说明用户以何种方式接受认证:是用RADIUS,是NAS自己进行认证,还是使用的其它远程认证协议.

没有进行认证的用户业务,不应对此产生计吠请求.属性值说明如下:

1 RADIUS

2 Local

3 Remote

4.6. Acct-Session-Time

该属性说明用户收到业务占用了多长时间(秒).

该属性将在Acct-Status-Type=Stop的数据包中使用.

4.7. Acct-Multi-Session-Id

该属性提供唯一的计费ID以标记同一日志文件中具有相互关系的不同用户业务会话.

每个相互关联的用户业务会话有不同的Acct-Session-Id,但有相同的Acct-Multi-Session-Id.

4.8. Acct-Link-Count

该属性在计费请求数据包中记录当前的多链路会话数.

在多链路会话中NAS每产生一个计费请求都应提供当前的会话数,以便于计费服务器RAS确定是否已经收到多链路会话数的所有数据包.例如:

Multi-Session-Id Session-Id Status-Type Link-Count

"10" "10" Start 1

"10" "11" Start 2

"10" "11" Stop

"10" "12" Start 3

"10" "13" Start 4

"10" "12" Stop 4

"10" "13" Stop 4

"10" "10" Stop 4

在多链路会话(ID=10)中,有4个会话(ID分别为本0,11,12,13).只有当收到的的Stop数据包(相同 Acct-Multi-Session-Id,不同 unique Acct-Session- Id 且Acct-Status-Type =

Stop)的数目与所有计费请求数据包中Acct-Link-Count的最大值相等时, RAS认为已经收到多链路会话数的所有数据包,该多链路会话就此完成.

4.9. Acct-Terminate-Cause

该属性说明为什么会话终止. 只在Acct-Status-Type=Stop的数据包中使用

终止原因包括:

1 User Request

用户请求终止,如LCP终止或用户退出

2 Lost Carrier

端口数据载波检测(DCD)停止

3 Lost Service

不再提供业务,如用户到主机的连接被中断

4 Idle Timeout

空闲超时

5 Session Timeout

会话超时

6 Admin Reset

管理员刷新端口或会话

7 Admin Reboot

NAS管理员结束业务,如重启动

8 Port Error

NAS检测到端口错误需要结束会话

9 NAS Error

NAS检测到端口以外错误需要结束会话

10 NAS Request

NAS需要结束会话(与错误错误无关)

11 NAS Reboot

NAS意外(crash)重启动

12 Port Unneeded

资源不满足,如端口带不够

13 Port Preempted

NAS为高优先级用户分配端口而结束会话

14 Port Suspended

NAS为挂起上层(virtual)会话而结束会话

15 Service Unavailable

NAS不能提供所请求的业务

16 Callback

NAS为使用Callback建立新的会话而终止当前会话

17 User Error

用户输入错误

18 Host Request

登陆主机正常情况终止会话

5. 操作流程

NAS要求对RADIUS计费作配置,在向用户开始发送业务时,NAS首先发送数据包通知计费开始 .该数据包描述将要发送的业务类型,用户名等信息.业务发送完毕,NAS将发送数据包通知计费终止. 该数据包描述已经发送的业务类型以及统计信息.

RAS收到以上数据包,正确记录后,须返回确认信息.

NAS要求能够详细描述所要计费的业务以及对通过端口的数据包或字节数作统计

具体包括:

装载用户名

装载NAS标识(NAS ID,IP)

装载业务类型(或者包括用户类型)

装载该业务的其它信息(如用户IP)

提供端口信息(端口号及类型说明)

提示认证类型

分配会话标识

设定会话时间

提示计费状态

统计业务量(通过端口的字节或数据包)

提供会话终止原因

设定计费时延

RAS要求能够生成详细的日志文件以构造计费数据库.RAS在每一次记录数据包时都必须注明时间.

6. 实例

6.1. 规范格式

Acct-Session-Id = "string"

(*)User-Name = "string"

Client-Id = some Ip address

Client-Port-Id = 25

NAS-Port-Type = Async

(*)Acct-Status-Type = Stop|Start

(*)Acct-Session-Time = amt of seconds

Acct-Authentic = RADIUS

(*)Acct-Input-Octets = amt of octets

(*)Acct-Output-Octets = amt of octets

(*)Acct-Terminate-Cause = why ?

(*)User-Service-Type = integer

Framed-Protocol = string ( ie PPP, SLIP, ISDN )

Framed-Address = IP address

Acct-Delay-Time = integer

6.2. 举例

Wed Oct 5 22:00:55 1994

Acct-Session-Id = "06000003"

User-Name = "carl"

Client-Id = 149.198.1.18

Client-Port-Id = 19

Acct-Status-Type = Start

Acct-Authentic = RADIUS

User-Service-Type = Login-User

Login-Service = PortMaster

Login-Host = 149.198.1.70

Acct-Delay-Time = 0

Wed Oct 5 23:15:31 1994

Acct-Session-Id = "06000003"

User-Name = "carl"

Client-Id = 149.198.1.18

Client-Port-Id = 19

Acct-Status-Type = Stop

Acct-Session-Time = 4480

Acct-Authentic = RADIUS

User-Service-Type = Login-User

Login-Service = PortMaster

Login-Host = 149.198.1.70

Acct-Delay-Time = 0

Thu Oct 6 16:14:53 1994

Acct-Session-Id = "06000004"

User-Name = "Pdan"

Client-Id = 149.198.1.18

Client-Port-Id = 19

Acct-Status-Type = Start

Acct-Authentic = Local

User-Service-Type = Framed-User

Framed-Protocol = PPP

Framed-IPX-Network = 108.144.16.16

Acct-Delay-Time = 0

Thu Oct 6 16:15:57 1994

Acct-Session-Id = "06000004"

User-Name = "Pdan"

Client-Id = 149.198.1.18

Client-Port-Id = 19

Acct-Status-Type = Stop

Acct-Session-Time = 64

Acct-Authentic = Local

User-Service-Type = Framed-User

Framed-Protocol = PPP

Framed-IPX-Network = 108.144.16.16

Acct-Delay-Time = 0