准入认证、授权、计费
RADIUS认证、授权、计费
设备作为RADIUS客户端,负责收集用户信息(例如:用户名、密码等),并将这些信息发送到RADIUS服务器。RADIUS服务器则根据这些信息完成用户身份认证以及认证通过后的用户授权和计费。用户、RADIUS客户端和RADIUS服务器之间的交互流程如图1所示。
- 当用户接入网络时,用户发起连接请求,向RADIUS客户端(即设备)发送用户名和密码。
- RADIUS客户端向RADIUS服务器发送包含用户名和密码信息的认证请求报文。
- RADIUS服务器对用户身份的合法性进行检验:
- 如果用户身份合法,RADIUS服务器向RADIUS客户端返回认证接受报文,允许用户进行下一步动作。由于RADIUS协议合并了认证和授权的过程,因此认证接受报文中也包含了用户的授权信息。
- 如果用户身份不合法,RADIUS服务器向RADIUS客户端返回认证拒绝报文,拒绝用户访问接入网络。
- RADIUS客户端通知用户认证是否成功。
- RADIUS客户端根据接收到的认证结果接入/拒绝用户。如果允许用户接入,则RADIUS客户端向RADIUS服务器发送计费开始请求报文。
- RADIUS服务器返回计费开始响应报文,并开始计费。
- 用户开始访问网络资源。
- (可选)在使能实时计费功能的情况下,RADIUS客户端会定时向RADIUS服务器发送实时计费请求报文,以避免因付费用户异常下线导致的不合理计费。
- (可选)RADIUS服务器返回实时计费响应报文,并实时计费。
- 用户发起下线请求,请求停止访问网络资源。
- RADIUS客户端向RADIUS服务器提交计费结束请求报文。
- RADIUS服务器返回计费结束响应报文,并停止计费。
- RADIUS客户端通知用户访问结束,用户结束访问网络资源。
HACA认证、授权、计费
华为乾坤云平台作为HACA服务器部署在云端实现外置Portal服务器以及认证计费服务器。交换机作为用户的认证点,与HACA服务器完成用户认证上线功能。用户的授权信息由HACA服务器指定,用户认证通过后,HACA服务器会授予用户访问网络的权限。HACA认证、授权、计费流程如图2所示。
- 设备与HACA服务器通过HTTP 2.0协议与HACA服务器建立长连接并注册设备信息。
- 在认证之前客户端与设备之间建立起预连接。
- 客户端通过HTTP协议发起认证请求。HACA服务器提供Web页面供用户输入用户名和密码来进行认证。
- 接入设备与HACA服务器之间进行认证报文的交互。
- 用户认证成功后,HACA服务器主动发送授权报文授予用户网络访问权限。
- 用户开始访问网络后,接入设备向HACA服务器发送计费开始请求报文。
- HACA服务器向接入设备发送计费开始响应报文,并开始计费。
- (可选)在使能实时计费功能的情况下,接入设备会定时向HACA服务器发送实时计费请求报文,以避免因付费用户异常下线导致的不合理计费。
- (可选)HACA服务器返回实时计费响应报文,并实时计费。
- 用户发起下线请求。
- HACA服务器向接入设备发送用户下线请求报文。
- 接入设备向HACA服务器返回用户下线响应报文。
- 接入设备向HACA服务器提交计费结束请求报文。
- HACA服务器返回计费结束响应报文,并停止计费。