认证计费管理平台AFU

信锐AFU系列认证计费平台是信锐技术基于标准的Radius协议开发的认证计费管理系统。配合信锐无线AP和iBrain NMC、NAC网络控制器或安视系列交换机,满足如:高职教校园、中大型园区等Wi-Fi认证计费的应用场景。
AFU3.0.1
认证计费管理平台AFU 文档 功能配置 认证计费系统AFU配置指导手册
{{sendMatomoQuery("认证计费管理平台AFU","认证计费系统AFU配置指导手册")}}

认证计费系统AFU配置指导手册

更新时间:2024-04-03

为高校认证计费平台场景打造统一认证计费解决方案。

1、AFU激活上架

1.1、设备初识

Console口:不可作为设备配置口使用,仅支持在设备故障时调试
 USB口:控制器忘记登陆密码时恢复密码使用

MANAGE口:设备管理接口,作为设备配置接口使用,默认地址为10.252.252.252

ETH口:支持配置二层三层接口模式,作为业务数据转发接口使用1

1.2、入网配置

  1. 电脑直连NAC的MANAGE口,改电脑IP地址为10.252.252.10,掩码255.255.255.0。

  1. 打开浏览器(推荐Chrome、Edge浏览器),访问https://10.252.252.252,初始账号、密码都是admin。

 

TIPS:为方便描述,信锐认证计费平台以下统一简称AFU;

 

2、AFU配置指导

现阶段所有AFU上线,一律需要打补丁包!!!拉群联系贺权全、杨俊星、曹奕!!!

2.1、场景一:学校自运营

2.1.1、场景描述

学校自运营场景下没有运营商,无高校计费平台和出口代拨设备,AFU作为Radius服务器,NAC作为Radius客户端,深信服AF做出口,与AF对接做单点登录1.0。本场景下,套餐、费用的定义等都依赖人为录入,非自动缴费匹配套餐。

2.1.2、场景拓扑

2.1.3、配置指导

2.1.3.1、AFU对接NAC

  1. 首先在激活AFU入网之后,AFU在【认证服务】→【Radius服务】→【Radius客户端】会自动生成一条指向自己的Radius客户端。

  1. 在AFU上【认证服务】→【Radius服务】→【Radius客户端】中新增Radius服务端。

  1. NAC上【认证配置】→【外部服务器】→【认证服务器】配置新增Radius客户端。

2.1.3.2、配置连接请求策略

  1. 然后在AFU上【认证服务】→【Radius服务】→【连接请求策略】中新增一条连接请求策略;

  1. 用户数据库选择“本地用户”;

2.1.3.3、AFU对接AF单点登录

  1. 配置与深信服AF之间的单点登录,选择“深信服单点登录协议1.0”,设备地址填写深信服AC的设备IP地址;

TIPS:AF配置略。

2.1.3.4、配置流量路径

  1. 接着在【选路配置】→【流量路径配置】中点击“新增”,配置与选路设备的流量路径策略;

TIPS:当前模式下的出口设备就是深信服的AF,所以没有二次认证平台;

2.1.3.5、套餐配置

  1. 在【认证服务】→【角色授权】→【流量/时长配额策略】中配置基于时长的分配策略,供套餐策略调取(一般来讲是日套餐、周套餐、月套餐,即使用时长为1天、7天、30天)

  1. 创建了时长策略后,在【套餐管理】→【套餐管理】内新增套餐管理策略;

TIPS:

以一个月举例:24小时计费制即往后推30天。自然日计费即到每月月底,这里就匹配了上一步中定义的套餐时间。

终端数量限制效果等同于SSID内的终端接入数量限制,建议在这里设定,实现同SSID下不同账号的登录规则。

 

  1. 在AFU【用户管理】→【本地用户】中新增用户组,并新增用户(实际项目用户数量多,采用导入方式批量导入客户的用户名单)

TIPS:

自营套餐的费用,可以判断终端是否有余额上网,但是费用的收缴、套餐定义依赖人为管理;

2.1.3.6、无线SSID配置

  1. 在NAC【接入点管理】→【无线网络】中新增无线SSID,认证类型选择【开放式+WEB】,使用账号认证,认证服务器调用本地用户;

  1. 在【高级选项】中勾选【账号计费】,计费服务器选择“认证计费平台Radius”(即一开始NAC上创建的Radius服务器);

TIPS:限制终端数量跟套餐内都生效,建议在套餐内限制,同SSID不同账号分别限制。

  1. 使用终端接入SSID,通过认证后,在AFU和AF上可以看到认证会话;

 

 

2.2、场景二:运营商运营场景

2.2.1、场景描述

多运营商投资,AFU作为Radius服务器,NAC作为Radius客户端,出口设备为代播选路设备,有多个运营商高校计费平台,相比于场景一,用户上网要到运营商平台,二次校验账号真实性和费用余额。

2.2.2、场景拓扑

2.2.3、配置指导

2.2.3.1、AFU对接NAC

  1. 首先在激活AFU入网之后,AFU在【认证服务】→【Radius服务】→【Radius客户端】会自动生成一条Radius客户端。

  1. 在AFU上【认证服务】→【Radius服务】→【Radius客户端】中新增Radius服务端。

  1. NAC上【认证配置】→【外部服务器】→【认证服务器】配置新增Radius客户端。

2.2.3.2、AFU对接高校计费平台

  1. 在AFU上【认证服务】→【外部服务器】→【认证服务器】中新增Radius服务端,对接高校平台。

  1. 测试有效性通过即可。

2.2.3.3、配置连接请求策略

  1. 然后在AFU上【认证服务】→【Radius服务】→【连接请求策略】中新增一条连接请求策略;

  1. 用户数据库选择“本地用户”;

 

2.2.3.4、AFU对接出口代播设备

TIPS:

单运营商投资则没有代播选路设备。

代播设备对接配置略,具体项目联系交付部进行协助。

2.2.3.5、配置流量路径

  1. 接着在【选路配置】→【流量路径配置】中点击“新增”,配置与选路设备的流量路径策略;

TIPS:当前模式下需要二次验证,所以要勾选,且运营商名字要与平台实际保持一致,否则会出错;

2.2.3.6、套餐配置

  1. 在【认证服务】→【角色授权】→【流量/时长配额策略】中配置基于时长的分配策略,供套餐策略调取(因为运营商运营模式下,套餐由高校平台制定,故本模式下的时间直接设置不限制即可

  1. 创建了时长策略后,在【套餐管理】→【套餐管理】内新增套餐管理策略;

终端数量限制效果等同于SSID内的终端接入数量限制,建议在这里设定,实现同SSID下不同账号的登录规则。

流量路径配置要选择高校二次认证。

 

  1. 在AFU【用户管理】→【本地用户】中新增用户组,并新增用户(实际项目用户数量多,采用导入方式批量导入客户的用户名单)

TIPS:

本模式下的套餐是由高校计费平台进行校验,余额可留空。

2.2.3.7、无线SSID配置

  1. 在NAC【接入点管理】→【无线网络】中新增无线SSID,认证类型选择【开放式+WEB】,使用账号认证,认证服务器调用本地用户;

  1. 在【高级选项】中勾选【账号计费】,计费服务器选择“认证计费平台Radius”(即一开始NAC上创建的Radius服务器);

TIPS:限制终端数量跟套餐内都生效,建议在套餐内限制,同SSID不同账号分别限制。

  1. 使用终端接入SSID,通过认证后,在AFU和AF上可以看到认证会话;

 

3、常见问题

1.问题现象:部分终端连上无线后,会弹出必须使用单点登录才能上网的页面,无法认证上网;

问题原因:终端漫游后,IP发生变化,导致防火墙认为是一个新终端,强制单点登录才能上网

解决办法:修改防火墙侧配置解决,改成“不需要认证/单点登录”;

2.问题现象:在认证计费平台配置完高校平台的radius服务器后,本地用户组里都没看到同步过来的信息。

问题原因:运营商限制了9110端口、

解决办法:联系运营商放通该端口,测试账号信息可以正常同步。