《计算机网络管理理论与实践教程part5.5》由会员分享,可在线阅读,更多相关《计算机网络管理理论与实践教程part5.5(166页珍藏版)》请在金锄头文库上搜索。
1、收集计费信息,计费管理的关键是计费信息的收集。对不同的网络应用,计费信息的收集方法也是不一样的。一般来说,资源访问的计费信息格式如下:用户名、来源、访问开始时间、访问终止时间、服务类型、服务量。这些是计费管理中的主要信息。当然也有些其他类型的网络服务的计费信息不是这样的,但一般来说要更加简单一些。,网络流量的数据采集,基于网络流量的计费中,计费信息采集主要是获取网络上所有IP协议数据包,分析其包头数据,提取源IP地址、目的地址、数据包大小、数据协议类型等有关数据,并将它插入到数据库中。用户信息和计费策略输入则是由网络管理员根据实际情况和单位的计费策略将网络用户的有关信息和计费策略信息输入到数据
2、库或配置文件中。计费应用根据数据库中的信息,向网络管理员和网络用户提供各种统计应用,查询网络使用情况、用户交费信息等。TCP/IP网络流量的采集方式包括基于网络监听技术的采集方法、基于路由器IP数据包统计的采集方法和基于代理服务器的流量统计的采集方法等。,基于以太局域网监听技术的流量数据采集方法,以太网网卡的工作方式,基于路由器IP数据包统计的流量数据采集方法,依据路由器的IP数据包统计功能来实现网络流量统计的技术具有以下特点 统计数据有效而准确 基于标准的SNMP方法实现,从而在数据采集手段上与其他网络管理功能保持一致。 计费服务器不受地点限制。,基于代理服务器的流量数据采集方法,代理服务器
3、为每个用户分给一个帐户和密码。用户只有通过授权认证后才能使用代理,当用户通过代理服务器访问Internet时,代理服务器记录用户的IP地址、帐户、请求时间、URL、信息长度等详细数据,然后定期进行分类统计和记账。,基于访问日志的事后流量计费,基于访问日志的事后流量计费的方法是以IP为单位将访问记录实时存储下来,定时对此记录信息进行分析统计,得出最终的流量费用。此方法对于存储和运算的要求异常的高。比如对于100M的出口流量,每个小时大约会有200M左右的访问日志将被存储下来,每天就会有 4.8G的数据。每天分析4.8G的数据对于服务器压力非常大。除此之外,只能对IP地址进行流量计费,不支持对用户
4、的流量计费。,用户的认证与管理,用户认证与管理的方式 基于DHCP+Web的用户管理 基于DHCP+Web的用户管理是在接入服务器内部运行一个DHCP服务器,然后客户端采用DHCP来随机获得一个内部IP地址,用户每次上网先登入内部网络,然后输入管理员分配的用户和密码。用户和密码经过系统认证通过之后,系统将记录相关的信息,并且为用户开通。用户如果不想再继续使用本网络就要登入主页,然后选择下网,系统会自动记录,并关闭该用户。,无认证基于固定地址用户管理,采用无认证方式的基于地址的用户管理方式是给每个用户分配一个固定的IP地址,宽带接入管理服务器进行集中管理。,基于PPPOE方式的用户管理,PPPO
5、E(Point to Point Protocol Over Ethernet)是一个点对点的协议。每个用户在进行系统登记的时候,必须运行一个客户端的程序,通过PPPOE协议的点对点方式进行虚拟拨号,然后进行认证,并且从系统随机取得用户所需要的IP地址、网关、DNS等参数,然后在用户中心进行认证和登记。 PPPOE客户端除了完成用户登记及用户连接检测之外,还实时控制用户是否中断。当用户连接生成后,PPPOE客户端程序起着监护程序的作用,如果与用户的连接发生中断就进行记录,在服务器端形成报告。,基于SRAP用户认证管理,SRAP(Simple Remote Authentication Prot
6、ocol)的认证方式和PPPOE方式一样,它也要求用户终端需安装一个支持SRAP协议的客户端程序。但是SRAP不仅能控制用户的网络访问,支持视频组播及所有宽带应用,而且支持基于宽带服务的认证和计费。 SRAP基于客户端/服务器结构,它包括三个阶段:初始化阶段、认证阶段和连接断开阶段。,认证协议与机制,RADIUS认证协议分析 远程拨号用户身份认证及计费服务RADIUS (Remote Authentication Dial-In User Service)最初是由Livingston公司提出的,原先的目的是为拨号用户进行认证和计费。后来经过多次改进,形成了一个通用的认证、计费协议,并定义于In
7、ternet特别工作组IETF提交的RFC2865和RFC2866文件中。RADIUS是一种基于客户端/服务器方式的安全认证协议,它是在IETF制定的分布式安检模式基础上开发的。RADIUS的客户方通过它与RADIUS的服务方进行通信,以验证用户是否有权限获得相应的服务。,RADIUS协议的工作原理,RADIUS是一种基于客户端/服务器结构的协议,它的客户端最初是访问服务器NAS(Net Access Server)服务器,现在任何运行RADIUS客户端软件的计算机都可以成为认证服务器(Radius Server)的客户端。Radius Server是一个可以运行在UNIX、LINUX或Win
8、dows上的软件。它通过一个集中存放用户信息(包括用户ID及口令、访问权限等)的用户数据库来负责对用户的连接请求进行认证和授权。,Radius数据包的结构,Radius协议的认证方式,RADIUS协议认证协商过程,1、用户发出登录请求(如PPPOE拨号登录),向NAS发送用户名、密码等认证信息。 2、NAS接收到用户的认证信息后,组装认证请求报文(Access-Request)。并根据用户所在的域把认证请求包发给相应的Radius服务器。 3、Radius服务器判断用户是否合法。如果合法,则向NAS发送认证通过响应(Access-Accept);否则,Radius服务器向NAS发送拒绝响应Ac
9、cess-Reject)。 4、NAS接收到Access-Reject,拒绝用户的连接请求;NAS接收到Access-Accept响应后,从该响应数据包中解析出授权信息(可用时间、流量、接入速率控制等),并根据这些信息配置用户的权限,接通用户数据通路。 5、如果允许用户正常上线,NAS向Radius服务器发送实时计费请求报文(Accounting-Request Start)。 6、Radius服务器开始计费,并回送响应(Accounting-Response Start),以表示收到计费报文。如果Radius服务器连续几次没有收到实时计费请求,Radius服务器会认为用户已经离线。发送回应包
10、终止用户计费。 7、用户发送注销请求。 8、NAS向Radius服务器发送计费结束请求(Accounting-Request Stop),其中包含用户连线时长、流量和数据包数量等信息。与登录请求时的计费请求包(Access-Request)不同之处在于其中包含了用户计费终止信息。 9、Radius服务器接收到后,验证用户名相关信息。如果正确就发送计费结束回应(Accounting -Response Stop)。 10、NAS随即中止用户的连接。,RADIUS协议的特点,Diameter协议,一个良好的AAA协议必须具有如下特点: 协议必须对典型的信息和协同工作的需求进行明确的规定。 协议必须
11、定义错误信息类别,并且可以正确地根据错误类别返回。错误信息类别必须覆盖所有的操作错误。 计费操作模型必须描述所有的上网方式。 协议必须能够在IP v6上正常运行。 协议应该能够在传输过程中正确处理拥塞问题。 支持代理。 与RADIUS兼容。 协议应该定义轻量级数据对象,以便于NAS实现。 协议应该提供协议本身和数据模型的逻辑区别,并且支持更多的数据类型。 必须定义MIB,支持IP v4和IP v6操作。,Diameter用传输控制协议(TCP)和信令控制传输协议(SCTP)取代RADIUS的UDP通信机制,具备连接建立与终止、对等节点能力协商和错误通知等特征,并且可以采用IP 安全协议(IPs
12、ec)或者传输层安全(TLS)协议对连接加密。 Diameter协议兼容RADIUS,消息格式与RADIUS消息相近。Diameter头部包括版本、消息长度、命令标志、命令代码、应用代码、逐跳标志以及端到端标志域。头部之后是若干属性值对,携带的属性值对取决于消息的类型。 完整的Diameter网络包括以下部分: 客户端:位于网络边缘执行访问控制的设备,例如NAS和移动代理。 Diameter服务器:处理认证、授权、计费请求。 中继服务器:不修改Diameter消息,仅根据消息中的内容决定转发的下一个节点。 代理服务器:对接收的Diameter消息作一定修改后转发到下一个节点。 重定向服务器:向
13、发送节点返回路由信息,使之确定Diameter消息的接收节点。 协议转换器:完成Diameter与RADIUS或者其它协议之间的转换。,本章小结,计费管理是网络管理的五大基本功能之一,它包括制定计费策略、收集计费信息、计算用户账单和收取费用等功能。计费管理系统对于一个大型网络及至中、小型网络来说都是不可缺少的重要组成部分。本章主要讲述网络计费管理有关内容,首先介绍了网络计费管理的功能,对网络流量的数据采集方法进行了分类与归纳,分析用户认证与管理的方式,着重讨论了认证协议与认证机制。,练习与思考,网络计费管理有哪些功能? 制定计费策略时应考虑哪些因素? 有哪些网络流量的数据采集方法? 简述基于以
14、太网监听技术的流量采集方法的原理。 SNMP中有哪些与计费有关的MIB变量。 有哪些用户认证与管理的方式? 简述RADIUS协议的工作原理。 简述RADIUS数据包的结构。 简述Diameter协议与RADIUS协议的主要区别。,Thank You !,第14章 网络计费管理案例,路由器IP数据包统计方法的实现,Cisco MIB中与计费相关的数据 对边界路由器进行配置 网络流量数据采集的实现 网络流量数据的采集可分成以下几个步骤: 设置采集数据时间间隔的定时器 装入Cisco MIB 清空检查点数据库,将活动数据库中的记录复制到检查点数据库,同时清空活动数据库 从检查点数据库读取IP 流量
15、将流量信息写入数据库中,网络流量数据采集的实现,设置定时器,装入Cisco - MIB 库,数据读入前的清库准备工作,从检查点数据库读取IP流量,Linux环境下Radius服务器的安装,1.安装FreeRADIUS 2.配置FreeRADIUS1)配置服务器 2)配置客户机 3)配置用户的验证和配置信息 4)配置网络访问服务器,园区网通用控制计费系统的设计与实现,运行环境 计费系统包括计费网关、认证服务器、计费服务器、管理工作站几部分 2.系统软件结构,服务器系统设计,内核IP转发部分 2.认证服务器,计费部分,计时器模块 记录处理模块 日处理模块 月处理模块 季度处理模块 年度处理模块 记
16、录清理模块 查询、控制部分,客户端设计,客户端获得用户输入用户帐户、密码,完成身份验证过程。并且具有超时重发功能增加系统可靠性,客户端还具有定时向服务器发送心跳信号的功能这样在客户端崩溃一段时间以后认证服务器能够发现客户端崩溃从而终止该用户使用,加强了系统的健壮性。,结论,网络收费是一个非常重要但又未能找到妥善解决方案的问题,其合理性、可靠性及安全性是用户非常关心的问题,本文就针对现存计费方式的不足,提出了一个新的解决方法,并且详细描述了一个系统的设计和实现。该系统具有如下特点: 安全性 通用性 易扩展性 灵活性,本章小结,计费管理的主要任务是根据管理部门制定的计费策略,对网络资源的使用情况收
17、取相应的费用,分担网络运行成本。计费管理的关键是计费信息的收集。对不同的网络应用,计费信息的收集方法也是不一样的。本章给出了从Cisco路由器中读取有关网络流量的数据的实例,介绍了在Linux环境下安装Radius服务器的方法。,练习与思考,Cisco MIB中与计费相关的变量有哪些? 如果需要从Cisco路由器中读取有关网络流量的数据,该路由器应如何配置? 读取Cisco路由器中有关网络流量的数据时,为什么要设置定时器? 简述从Cisco路由器中采集网络流量数据的步骤。 从Cisco路由器采集网络流量数据时,为什么部直接从活动数据库中读取? 配置RADIUS服务器时,需要修改哪些文件? 简述RADIUS服务器的安装、配置过程。 练习安装RADIUS服务器。 针对具体单位的网络情况设计网络计费管理的解决方案。,
