RADIUS 记账
AOS-10 部署中 RADIUS 记账行为的说明,涵盖与 AOS-8 的一般差异,特别是在快速漫游过程中 Acct-Multi-Session-Id 和 Acct-Session-Id 行为方面的差异。
RADIUS 记账是一种收集资源消耗数据的方法,这些数据会被转发到 RADIUS 服务器。此数据可用于趋势分析、容量规划、计费、审计和成本分析。Network Access Server (NAS) 是负责将用户记账信息传递给 RADIUS 服务器的 RADIUS 客户端。服务器接收此请求并向 NAS 返回响应。
在 AOS-8 园区部署中,RADIUS 记账消息始终由作为 NAS 的控制器直接发送。当客户端设备在 AP 之间漫游时,控制器会持续发送中间更新,无需停止和重新开始消息。
在 AOS-10 部署中,记账行为根据部署场景而异:
- Bridge mode - 仅由 AP 组成的部署。
- Tunneled 和 mixed 模式 - 涉及网关的部署。
在 AOS-10 中进行 RADIUS 记账时,探讨了两个关键属性。
- Acct-Multi-Session-Id:标识符在相关会话中保持不变,例如在客户端漫游期间,将多个事件链接成一个单一的逻辑会话,以实现无缝跟踪。
- Acct-Session-Id:每个会话的唯一标识符会随着每次新会话而变化,例如当客户端使用不同的接入点重新进行认证时,有助于跟踪单个会话事件。
桥接模式 - 无漫游
在无客户端漫游的桥接模式中,每个接入点(AP)直接处理流量转发到客户端所在的本地VLAN。AP充当客户端的NAS,负责启动和管理RADIUS通信。
无客户端漫游的桥接模式通信。
在此场景中,RADIUS会计消息由AP发送。由于不涉及漫游,整个连接期间使用单一的Acct-Session-Id,无需更改Acct-Multi-Session-Id。
会计开始:当客户端连接到AP时,AP向RADIUS服务器发送“Start”消息。
Wireshark捕获显示从AP(NAS)10.82.74.202发出的会计请求“Start”到RADIUS服务器10.82.75.11。
会计中间更新:如果启用中间更新,AP会向RADIUS服务器发送“Alive”更新。
Wireshark捕获显示从AP(NAS)10.82.74.202发出的会计请求“Alive”到RADIUS服务器10.82.75.11。
会计停止:当客户端与AP断开连接时,AP向RADIUS服务器发送“Stop”消息。
Wireshark捕获显示从AP(NAS)10.82.74.202发出的会计请求“Stop”到RADIUS服务器10.82.75.11。
此过程的缓冲追踪:
AP-8-635# show ap debug auth-trace-buf
Auth Trace Buffer
-----------------
Nov 4 15:15:14.651 rad-acct-start -> 1a:3a:2c:f7:f5:75 74:9e:75:41:7c:70/clearpass - -
Nov 4 15:23:32.051 rad-acct-int-update -> 1a:3a:2c:f7:f5:75 74:9e:75:41:7c:70 - -
Nov 4 15:24:06.517 eap-logoff -> 1a:3a:2c:f7:f5:75 74:9e:75:41:7c:70 - -
Nov 4 15:24:06.517 dot1x-timeout * 1a:3a:2c:f7:f5:75 74:9e:75:41:7c:70 11 512 station timeout
Nov 4 15:24:06.527 rad-acct-stop -> 1a:3a:2c:f7:f5:75 74:9e:75:41:7c:70/clearpass - -
AP-8-635# show clock
Current Time :2024-11-04 15:24:32
AP-8-635#
隧道模式 - 无漫游
在无客户端漫游的隧道模式中,客户端流量通过隧道从AP传输到网关。网关充当RADIUS代理,转发所有隧道模式客户端的认证和会计请求。有关隧道转发模式的更多信息,请参阅 Tunnel Forwarding。
在此配置中,源自AP的RADIUS会计消息由网关发送并转发,确保对客户端会话的持续跟踪和会计。由于不涉及客户端漫游,会计行为简单,整个客户端会话期间分配并维护单一的Acct-Session-Id和Acct-Multi-Session-Id。
无客户端漫游的隧道模式RADIUS通信。
会计开始:当客户端关联到AP时,AP会发送会计“Start”请求,网关转发至RADIUS服务器。
Wireshark捕获显示由网关(RADIUS代理)转发的会计请求“Start”:172.30.32.21到RADIUS服务器10.82.75.11。
会计中间更新:如果启用中间更新,网关会向RADIUS服务器转发“Alive”更新。
Wireshark捕获显示由网关(RADIUS代理)转发的会计请求“Alive”:172.30.32.21到RADIUS服务器10.82.75.11。
会计停止:当客户端与AP断开连接时,AP会发送“Stop”请求,网关转发至RADIUS服务器。
此过程的缓冲追踪:
AP-8-635# show ap debug auth-trace-buf
Auth Trace Buffer
-----------------
Nov 4 15:38:32.494 rad-acct-start -> 26:08:2c:70:91:b9 74:9e:75:41:7c:71/__gw_172.30.32.21 - -
Nov 4 15:38:33.605 rad-acct-int-update -> 26:08:2c:70:91:b9 74:9e:75:41:7c:71 - -
Nov 4 15:41:36.080 eap-logoff -> 26:08:2c:70:91:b9 74:9e:75:41:7c:71 - -
Nov 4 15:41:36.081 dot1x-timeout * 26:08:2c:70:91:b9 74:9e:75:41:7c:71 11 512 station timeout
Nov 4 15:41:36.093 rad-acct-stop -> 26:08:2c:70:91:b9 74:9e:75:41:7c:71/__gw_172.30.32.21 - -
AP-8-635# show clock
Current Time :2024-11-04 15:42:06
AP-8-635#
混合模式 - 无漫游
在无客户端漫游的混合模式中,桥接和隧道客户端会话都依赖于网关作为RADIUS代理。在此场景中,无客户端漫游,Acct-Session-Id和Acct-Multi-Session-Id保持稳定,简化了RADIUS会计流程,并在整个连接期间保持一致的会话上下文。有关混合模式的更多信息,请参阅 Mixed Forwarding。
桥接客户端会话
当混合模式WLAN客户端会话作为桥接处理时,客户端流量在AP层进行桥接,用户VLAN直接在AP上分配。然而,网关仍作为代理转发所有RADIUS通信,包括会计消息。
无客户端漫游的混合模式WLAN中桥接客户端会话的RADIUS通信。
会计开始:当客户端关联到AP时,AP会发送会计“Start”请求,网关转发至RADIUS服务器。
Wireshark捕获显示由网关(RADIUS代理)转发的会计请求“Start”:172.30.32.22到RADIUS服务器10.82.75.11。
会计中间更新:如果启用中间更新,网关会向RADIUS服务器转发“Alive”更新。
Wireshark捕获显示由网关(RADIUS代理)转发的会计请求“Alive”:172.30.32.22到RADIUS服务器10.82.75.11。
会计停止:当客户端与AP断开连接时,AP会发送“Stop”请求,网关转发至RADIUS服务器。
此过程的缓冲追踪:
AP-8-635# show ap debug auth-trace-buf
Auth Trace Buffer
-----------------
Nov 4 16:40:10.729 rad-acct-start -> ba:bd:6f:c2:d6:50 74:9e:75:41:7c:72/__gw_172.30.32.22 - -
Nov 4 16:40:10.950 rad-acct-int-update -> ba:bd:6f:c2:d6:50 74:9e:75:41:7c:72 - -
Nov 4 16:41:47.646 rad-acct-stop -> ba:bd:6f:c2:d6:50 74:9e:75:41:7c:72/__gw_172.30.32.22 - -
隧道客户端会话
对于作为隧道处理的混合模式WLAN客户端会话,网关作为RADIUS代理,使用网关的IP地址作为NAS IP。这些客户端的RADIUS会计消息由网关转发,集中管理会话和会计。
无客户端漫游的混合模式WLAN中隧道客户端会话的RADIUS通信。
会计开始:当客户端关联到AP时,AP会发送会计“Start”请求,网关转发至RADIUS服务器。
Wireshark捕获显示由网关(RADIUS代理)转发的会计请求“Start”:172.30.32.22到RADIUS服务器10.82.75.11。
会计中间更新:如果启用中间更新,网关会向RADIUS服务器转发“Alive”更新。
Wireshark捕获显示由网关(RADIUS代理)转发的会计请求“Alive”:172.30.32.22到RADIUS服务器10.82.75.11。
会计停止:当客户端与AP断开连接时,AP会发送“Stop”请求,网关转发至RADIUS服务器。
此过程的缓冲追踪:
AP-8-635# show ap debug auth-trace-buf
Auth Trace Buffer
-----------------
Nov 4 16:40:10.729 rad-acct-start -> ba:bd:6f:c2:d6:50 74:9e:75:41:7c:72/__gw_172.30.32.22 - -
Nov 4 16:40:10.950 rad-acct-int-update -> ba:bd:6f:c2:d6:50 74:9e:75:41:7c:72 - -
Nov 4 16:41:47.646 rad-acct-stop -> ba:bd:6f:c2:d6:50 74:9e:75:41:7c:72/__gw_172.30.32.22 - -
桥接模式带漫游
在桥接模式带客户端漫游时,用户流量在每个AP的VLAN中本地桥接。随着客户端在AP之间移动,每个AP独立作为其连接客户端的NAS,并处理RADIUS通信。
RADIUS会计行为:当客户端从一个AP漫游到另一个AP时,新的AP接管作为NAS,并生成新的RADIUS会计“Start”消息。初始AP会发送会计停止消息,表示该AP对该客户端的会话管理结束。这确保了跨多个AP的客户端会话的准确跟踪和会计。
客户端从AP-1漫游到AP-2时的桥接模式RADIUS通信。
通常,每次新连接都会触发Acct-Session-Id的更改,而一致的Acct-Multi-Session-Id可以连接这些相关事件,实现会话连续性追踪。
以下是客户端从一个AP漫游到另一个AP时会计消息的交换方式:
与初始AP的会计开始:当客户端连接到初始AP时,AP会向RADIUS服务器发送会计开始消息。该消息包含客户端连接的AP的最新信息。
Wireshark捕获显示来自初始AP的会计请求“Start”:10.82.74.202到10.82.75.11。
类似地,进行中间更新:
Wireshark捕获显示来自初始AP的会计请求“Alive”:10.82.74.202到10.82.75.11。
初始AP的会计停止:客户端漫游后,AP会为与初始AP相关的会话发送会计停止消息(AP-8-635)。这结束了与该AP相关的会话。
Wireshark捕获显示来自初始AP的会计请求“Stop”:10.82.74.202到10.82.75.11。
此过程的缓冲追踪:
AP-8-635# show ap debug auth-trace-buf
Auth Trace Buffer
-----------------
Nov 5 16:52:54.440 rad-acct-start -> 1a:3a:2c:f7:f5:75 74:9e:75:41:7c:70/clearpass - -
Nov 5 16:56:13.211 rad-acct-int-update -> 1a:3a:2c:f7:f5:75 74:9e:75:41:7c:70 - -
Nov 5 17:01:13.804 rad-acct-int-update -> 1a:3a:2c:f7:f5:75 74:9e:75:41:7c:70 - -
Nov 5 17:04:30.932 rad-acct-stop -> 1a:3a:2c:f7:f5:75 74:9e:75:41:7c:70/clearpass - -
AP-8-635#
注意多重Acct-Session-Id:val=26082C7091B9-1730847899 和Acct-Session-Id:val=749E75417C71-26082C7091B9-672AA529-2D70E。
从新AP的会计开始:一旦客户端连接到新AP,AP会为新会话发送会计开始消息(AP-3-635)。
Wireshark捕获显示来自新AP的会计请求“Start”:172.30.32.31到10.82.75.11。
中间更新将照常由新AP进行。
Wireshark捕获显示来自新AP的会计请求“Alive”:172.30.32.31到10.82.75.11。
此过程的缓冲追踪:
AP-6-635# show ap debug auth-trace-buf
Auth Trace Buffer
-----------------
Nov 5 17:04:43.601 rad-acct-start -> 1a:3a:2c:f7:f5:75 74:9e:75:41:79:70/clearpass - -
Nov 5 17:05:25.700 rad-acct-int-update -> 1a:3a:2c:f7:f5:75 74:9e:75:41:79:70 - -
AP-6-635#
Acct-Session-Id 和 Acct-Multi-Session-Id 行为:如果漫游是快速漫游,Acct-Multi-Session-Id保持不变,表示相同的客户端会话。然而,Acct-Session-Id会变化,以反映切换到新AP的情况。
初始AP上的Acct-Multi-Session-Id:val=1A3A2CF7F575-1730854373 在新接入点上的 Acct-Multi-Session-Id:值=1A3A2CF7F575-1730854373
在初始接入点上的 Acct-Session-Id:值=749E75417C70-1A3A2CF7F575-672ABDE6-6B51D Acct-Session-Id 在新 AP 上:val=74975417970-1A3A2CF7F575-672ACOAB-92AFB
带漫游的隧道模式
在带客户端漫游的隧道模式中,客户端的流量通过隧道从 AP 传输到网关。网关充当 RADIUS 代理,转发所有隧道模式客户端的认证和记账请求。
RADIUS 记账行为:当客户端从一个 AP 漫游到另一个 AP 时,指定用户的网关 (UDG) 转发反映更新的 AP 信息的新的 RADIUS 记账开始消息,以及针对初始 AP 的记账停止消息。
客户端从 AP-1 漫游到 AP-2 时的隧道模式 RADIUS 通信。
对于快速漫游场景,Acct-Multi-Session-Id 保持一致,将所有相关会话事件关联到同一逻辑会话,而 Acct-Session-Id 会更改以反映新的会话上下文。以下是交换的记账消息:
与初始 AP 的记账开始:当客户端连接到初始 AP(AP-8-635)时,网关(UDG)会向 RADIUS 服务器转发一条 记账开始 消息。该消息包含关于客户端连接的 AP 的更新信息。
Wireshark 抓包显示来自初始用户指定网关(UDG):172.30.32.21 到 RADIUS 服务器:10.82.75.11 的记账请求“开始”。
类似地,用于中间更新:
Wireshark 抓包显示来自初始用户指定网关(UDG):172.30.32.21 到 RADIUS 服务器:10.82.75.11 的记账请求“存活”。
初始 AP 的记账停止:客户端漫游后,网关会转发与初始 AP(AP-8-635)相关联的会话的 记账停止 消息。这关闭了与该 AP 相关联的会话。
Wireshark 抓包显示来自初始用户指定网关(UDG):172.30.32.21 到 RADIUS 服务器:10.82.75.11 的记账请求“停止”。
此过程的缓冲区追踪:
AP-8-635# show ap debug auth-trace-buf
Auth Trace Buffer
-----------------
Nov 5 15:07:21.187 rad-acct-start -> 26:08:2c:70:91:b9 74:9e:75:41:7c:71/__gw_172.30.32.21 - -
Nov 5 15:11:01.515 rad-acct-int-update -> 26:08:2c:70:91:b9 74:9e:75:41:7c:71 - -
Nov 5 15:11:09.949 rad-acct-stop -> 26:08:2c:70:91:b9 74:9e:75:41:7c:71/__gw_172.30.32.21 - -
AP-8-635#
注意多重 Acct-Session-Id:val=26082C7091B9-1730847899 和 Acct-Session-Id:val=749E75417C71-26082C7091B9-672AA529-2D70E
从新 AP 开始的记账:一旦客户端连接到新 AP,网关(UDG)会转发一条 记账开始 消息,表示新会话与新 AP(AP-3-635)相关联。
Wireshark 抓包显示来自用户指定网关(UDG):172.30.32.21 到 RADIUS 服务器:10.82.75.11 的记账请求“开始”。
此过程的缓冲区追踪:
AP-3-635# show ap debug auth-trace-buf
Auth Trace Buffer
-----------------
Nov 5 15:11:10.176 station-up * 26:08:2c:70:91:b9 74:9e:75:41:25:d0 - - wpa2 aes
Nov 5 15:11:10.189 rad-acct-start -> 26:08:2c:70:91:b9 74:9e:75:41:25:d0/__gw_172.30.32.21 - -
Nov 5 15:11:10.190 rad-acct-int-update -> 26:08:2c:70:91:b9 74:9e:75:41:25:d0 - -
Nov 5 15:14:35.753 rad-acct-int-update -> 26:08:2c:70:91:b9 74:9e:75:41:25:d0 - -
AP-3-635#
一张 Wireshark 抓包显示来自 UDG 的 Accounting-Request “Alive”:源地址为 172.30.32.21,目标为 RADIUS 服务器:10.82.75.11。
Acct-Session-Id 和 Acct-Multi-Session-Id 行为:如果漫游是快速漫游,Acct-Multi-Session-Id 保持不变,表明它属于同一客户端会话。然而,Acct-Session-Id 会变化,以反映切换到新的接入点。
初始接入点上的 Acct-Multi-Session-Id:值=26082C7091B9-1730847899 在新接入点上的 Acct-Multi-Session-Id:值=26082C7091B9-1730847899
在初始接入点上的 Acct-Session-Id:值=749E75417C71-26082C7091B9-672AA529-2D70E 在新接入点上的 Acct-Session-Id:值=749E754125D0-26082C7091B9-672AA60E-2DD81
此方法在隧道模式下允许 RADIUS 服务器跟踪客户端的接入点变化,同时通过 Acct-Multi-Session-Id 保持会话的连续性。
混合模式与漫游
在混合模式下,当客户端漫游时,隧道和桥接的客户端会话都依赖网关作为 RADIUS 代理。在这种情况下,当客户端漫游时,Acct-Session-Id 发生变化,而 Acct-Multi-Session-Id 保持不变,从而简化 RADIUS 记账并在客户端连接期间保持一致的 Acct-Multi-Session-Id。欲了解更多关于混合模式的信息,请参考 Mixed Forwarding.
概要
| 场景 | Acct-Multi-Session-Id 行为 | NAS |
|---|---|---|
| 无漫游的桥接 | Acct-Multi-Session-Id 和 Acct-Session-Id 保持不变 | AP |
| 无漫游的隧道 | Acct-Multi-Session-Id 和 Acct-Session-Id 保持不变 | 网关 |
| 无漫游混合 | Acct-Multi-Session-Id 和 Acct-Session-Id 保持不变 | 网关(适用于两种类型) |
| 具有漫游功能的桥接 | Acct-Multi-Session-Id 保持不变,Acct-Session-Id 变化 | AP |
| 隧道与漫游 | Acct-Multi-Session-Id 保持不变,Acct-Session-Id 变化 | 网关 |
| 与漫游混合(桥接 & 隧道) | Acct-Multi-Session-Id 保持不变,Acct-Session-Id 变化 | 网关(适用于两种类型) |
总之,在客户端会话中保持一致的 Acct-Multi-Session-Id,包括在漫游期间,带来多项好处。Acct-Multi-Session-Id 使得用户活动的连续跟踪成为可能,确保即使客户端在接入点之间移动,所有会话数据也能统一。这简化了会话管理、计费和核算,因为所有活动都关联到一个会话,降低了管理复杂性。此外,通过在整个网络中创建清晰且一致的用户活动记录,还增强了安全监控。
最后修改时间:2025年1月15日(f0f1d1b)