003DCBI 认证计费快速配置手册0813.docx
《003DCBI 认证计费快速配置手册0813.docx》由会员分享,可在线阅读,更多相关《003DCBI 认证计费快速配置手册0813.docx(24页珍藏版)》请在冰点文库上搜索。
003DCBI认证计费快速配置手册0813
认证计费快速配置手册
2007-8-13
一、RedHatAS3的安装2
二、DCBI的安装2
1、安装DCBI_Server2
(1)首先解压安装包:
3
(2)执行程序安装脚本:
3
(3)执行dcbi数据库安装脚本:
3
(4)启动DCBI3
2、安装DCBI_userweb4
(1)执行程序安装脚本4
(2)安装完成后查看一下相应文件是否有执行权限:
5
(3)启动dcbi_userweb5
三、交换机开启802.1X认证5
1、首先给交换机配置IP地址和默认路由,使交换机可以Ping通认证服务器6
2、在配置模式开启802.1X认证6
3、在接口上开启802.1X认证6
四、DCBI的配置与管理6
1、运行DCBI管理程序7
2、操作员管理及权限设定8
3、定制计费类别9
4、创建用户组及各组相关策略14
5、开户18
6、日常信息维护21
五、DCBA的配置21
六、认证计费案例21
一、RedHatAS3的安装
详细见文档
二、DCBI的安装
1、安装DCBI_Server
首先检查一下当前系统有没有安装适当的Mysql版本,运行rpm–qa|grep–imysql
如果没有输出或Mysql版本号不是4.1.14,请先删除原mysql安装包,再安装4.1.14版本Mysql
[root@dcbibin]#rpm-qa|grep-imysql
MySQL-shared-standard-4.1.14-0.rhel3
MySQL-client-standard-4.1.14-0.rhel3
MySQL-server-standard-4.1.14-0.rhel3
MySQL-devel-standard-4.1.14-0.rhel3
[root@dcbidcbi_install]#ls
dcbi_server20070717.tgzdcbi_userweb20070717.tgz
(1)首先解压安装包:
[root@dcbidcbi_install]#tarzxvfdcbi_server20070717.tgz
[root@dcbidcbi_install]#tarzxvfdcbi_userweb20070717.tgz
[root@dcbidcbi_install]#ls
dcbi_server20070717.tgzdcbi_userwebdcbi_userweb20070717.tgzinstall
[root@dcbidcbi_install]#cdinstall/
[root@dcbiinstall]#ls
binetcinstalldbinstall.shlibsbinscript
(2)执行程序安装脚本:
[root@dcbiinstall]#./install.sh
installdcbi_3000...............
Pleaseinputyourradiusserveripaddress:
192.168.1.96//DCBI服务器的IP地址
installok!
willyouinstalltheunicomversion?
n
n
willyouinstallthehainanversion?
n
n
(3)执行dcbi数据库安装脚本:
[root@dcbiinstall]#./installdb
initializedatabase......................
initializedatabaseok
(4)启动DCBI
[root@dcbidcbi_userweb]#dcbistart
Startingdcbi
Starting...
Starting/usr/local/sbin/dcbi_server
WedJun2015:
17:
382007:
Info:
Starting-readingconfigurationfiles...
Starting...
Starting/usr/local/sbin/dhcpsnooping
[framework]2007-06-2015:
17:
44,302-server.license.LicenceCheck-1447[main]INFOserver.license.LicenceCheck-this.existUserNumber=0
[framework]2007-06-2015:
17:
44,336-server.license.LicenceCheck-1481[main]INFOserver.license.LicenceCheck-this.limitUserNumber=50
***********************
*RMIServerisStarting.....*
***********************
UserLoginhasstarted
OpGroupManagehasstarted
accountManagehasstarted
ProcessManagehasstarted
OnlineOpManagehasstarted
DisplayRejectloghasstarted
AlarmManagehasstarted
ProblemManagehasstarted
*************************
*RMIServerhasstarted:
2007-07-2015:
17:
47*
*CurrentVersion:
3.0.2007.0717********
*************************
注意:
启动时如无以上输出信息先关闭DCBI(命令:
dcbishutdown)后再次启动,启动时请注意检查this.existUserNumber、this.limitUserNumber字段。
2、安装DCBI_userweb
[root@dcbiinstall]#cd../dcbi_userweb
[root@dcbidcbi_userweb]#ls
dcbi_userwebinstall.lnx.shjdk1.5.0readme.txtsysuninstall.lnx.sh
(1)执行程序安装脚本
[root@dcbidcbi_userweb]#./install.lnx.sh
dcbi3000_>Installingjavasdk...
dcbi3000_>Done!
dcbi3000_>DeployingApacheTomcat...
dcbi3000_>Done!
dcbi3000_>Configuratingenvironmentvariants...
dcbi3000_>Done!
dcbi3000_>ConfiguratingStartuptriggleonbooting...
_dcbi3000>Done!
dcbi3000_>dcbi3000userwebhasbeeninstalledsuccessfully!
(2)安装完成后查看一下相应文件是否有执行权限:
[root@dcbidcbi_userweb]#ls-lh/usr/Apache/Tomcat4.1/bin
-rw-r--r--1rootroot24K7月310:
23bootstrap.jar
-rw-r--r--1rootroot7.2K7月310:
23catalina.bat
-rwxr-xr-x1rootroot8.4K7月310:
23catalina.sh
-rw-r--r--1rootroot8.8K7月310:
23commons-daemon.jar
-rw-r--r--1rootroot5117月310:
23cpappend.bat
-rw-r--r--1rootroot1.3K7月310:
23digest.bat
-rw-r--r--1rootroot8487月310:
23digest.sh
如果没有,请使用chmod+xcatalina.sh 给catalina.sh添加可执行权限。
(3)启动dcbi_userweb
[root@dcbidcbi_userweb]#userweb.shstart
或者
[root@dcbidcbi_userweb]#/usr/Apache/Tomcat4.1/bin/catalina.shrun
推荐使用第一个命令。
到此DCBI的安装工作基本完成。
三、交换机开启802.1X认证
交换机名称:
JiFangSW
交换机管理IP:
192.168.1.97
交换机集联口:
Ethernet0/0/24
1、首先给交换机配置IP地址和默认路由,使交换机可以Ping通认证服务器
JiFangSW(Config)#interfacevlan1//管理Vlan
JiFangSW(Config-Ethernet-vlan)#ipaddress192.168.1.97255.255.255.0//交换机IP地址
JiFangSW(Config)#ipdefault-gateway192.168.1.254//设置网关
2、在配置模式开启802.1X认证
JiFangSW(Config)#dot1xenable//开启802.1x认证
JiFangSW(Config)#dot1xprivateclientenable//开启私有协议支持
JiFangSW(Config)#radius-serverkeydigitalchina//定义radius认证密钥
JiFangSW(Config)#radius-serverauthenticationhost192.168.1.96//配置认证服务器地址
JiFangSW(Config)#radius-serveraccountinghost192.168.1.96//配置计费服务器地址
JiFangSW(Config)#aaa-accountingenable//开启认计费功能
JiFangSW(Config)#aaaenable//开启认证功能
3、在接口上开启802.1X认证
JiFangSW(Config)#interfaceethernet0/0/1-23//进入接口
JiFangSW(Config-Ethernet0/0/1-23)#dot1xenable//开启接口802.1x认证
JiFangSW(Config-Ethernet0/0/1-23)#dot1xport-controlauto//设置802.1X端口授权状态
JiFangSW(Config-Ethernet0/0/1-23)#dot1xport-methodmacbased//设置端口接入控制方式
四、DCBI的配置与管理
DCBI的配置及策略是整个认证计费的关键和重点,在这里先理一下整个配置过程的思路和大致顺序:
首先是对操作员的管理、操作员权限设定和设备的添加。
第二步是定制相应的计费类别、结帐依据、全局参数。
第三步是创建用户组及各组的相关策略(如地址池、授权组、优惠策略、公共绑带组等)。
第四步是开户。
第五是日常信息维护。
以上是配置认证计费的基本步骤。
1、运行DCBI管理程序
在服务器终端模式(相当于Windows的命令行)运行:
[root@dcbiroot]#client
成功登录后,首先点击“关于”检查一下DCBI版本及license是否正确。
2、操作员管理及权限设定
对于每个操作员组可以赋予不同的权限,默认的admin组拥有所有权限并且不能修改。
具体每个组的权限由用户自由定制。
对于每个操作员可以通过限定登录IP地址,实现管理的安全。
操作员admin默认只能从DCBI服务器本机登录,可以在左面菜单“系统配置”中选择“操作员管理”,修改操作员的“操作员授权IP”。
0.0.0.0/0代表所有IP。
3、定制计费类别
计费类别是建立在计费原型的基础上的,目前DCBI共有17总计费原型,其中6种后付费原型:
包月、时长、流量、有限时长包月、有限流量包月、国内外流量区分计费(后付);8种预付费原型:
预付包月、预付时长、预付流量、国内外流量区分计费(预付)、有限时长包月(预付)、有限流量包月(预付)、国内包月,国外流量(预付)和预付包天;2种卡计费原型:
包月卡、预付时长卡;1种免费类型。
具体说明参见《DCBI-3000认证计费系统用户手册》
用户可以根据自己的实际需求选用不同的计费原型,常用的有:
预付/后付包月、预付后付时长、预付/后付流量等。
通过不同的计费原型来定制相应的计费类别。
下面针对常用的几种计费原型做相关的介绍。
(1)包月预付:
先付费后使用的包月方式。
注意:
类别名称:
对新创建的计费类别的文字描述。
使用费率:
对时长用户,费率指(元/小时);对流量用户,费率指(元/M);对有限时长包月用户,如果用户上网时长超出限制时长,超出的时间也依此费率进行计费,单位为(元/小时)。
对于有限流量包月用户,如果用户上网流量超出限制流量,超出的流量也依此费率进行计费,单位为(元/M)。
欠费宽限日期:
该属性对于后付类用户有效。
是指当操作员为用户出帐后,自出帐日起向后延迟的免收滞纳金天数。
例如在某月1日操作员对所有用户进行出帐操作,并设置了欠费宽限日期为10。
也就是说在11日之前,用户来交费都是正常的。
但超过11日后,每天将根据滞纳金费率征收滞纳金。
滞纳金费率:
该属性对后付类用户有效。
超过欠费宽限期没有缴费的用户按此滞纳金费率计算滞纳金。
包月/天费用:
对包月(预、后付)、包天(预付)、有限时长包月(后付)、有限流量包月(后付)、时长(预付)、流量(预付)、区分国内外流量(预付)、有限时长包月(预付)、有限流量包月(预付)、国内包月,国外流量(预付)有效。
对包月、包天是指每月或天的使用费用。
对于其它计费类别,该属性是指每月的基本费用。
有限时长、流量的此项费用要对应下文的“有限时长(流量)”做相应的设置。
有限时长(流量):
该属性对有限时长包月、有限流量包月有效。
用于指定包月费所含的时长(小时)或流量(兆)
国内入流量费率:
对应区分国内外流量(预、后付)有效。
用来设置国内入流量费率,单位是兆。
国内出流量费率:
对应区分国内外流量(预、后付)有效,用来设置国内出流量费率,单位是兆。
国外入流量费率:
对应区分国内外流量(预、后付)有效,用来设置国外入流量费率,单位是兆。
国外出流量费率:
对应区分国内外流量(预、后付)有效,用来设置国外出流量费率,单位是兆。
每天最多使用限额:
该属性对有限时长包月(预付)、有限流量包月(预付)有效。
用于指定用户当月最多使用的时长(小时)或流量(兆)。
每天最多登陆次数:
对应预付用户有效。
对于预付用户,可以通过web给自己的帐户充值,或者预付包天用户可以开启自己的服务。
当预付用户停止对网络使用后,该帐号不能再通过802.1X认证,为了使用户可以在此情况下仍然可以访问web启动上网服务。
系统为每个计费类别为预付包天的用户准备了特殊的tmpusr_前缀。
如用户原名为test,现在通过WEB自助停止,此时test用户已不能上网,但是可以用tmpusr_test来使用网络(密码同test)。
而tmpusr_每天能使用的次数和时间,将在本属性和“下发时间(秒)”中定义。
余额不足的预付用户可以使用tmpusr_给自己的帐户充值。
信用额度:
对于后付时长、后付流量、后付区分国内外流量、后付有限时长包月、后付有限流量包月有效。
此值设置为0表示不检查。
如果设置为大于0的数,系统每天0点将统计本月的实际使用费用并减去帐户余额。
此值一旦大于在这里设置的额度,系统会自动将该用户设置为“信用额度超出”。
用户交费或充值卡充值可以修改此状态为正常。
下发时间(秒):
对应预付用户有效,tmpusr_用户的下发时间,详细参见上文“每天最多登陆次数”。
用户余额提示设置(元):
适用于预付包天,预付包月,指用户的余额小于设置的提示余额时,用户每次认证时提示用户余额。
是否检查后付有限定额包月的额度:
只对后付有限流量、有限时长包月有效。
如果选中该复选框,系统会在每天0时统计使用这两种计费原型的用户的累计流量或时长是否超过的包月定额。
如果超出了则将帐户状态改为“定额额度超出”,并要求用户去管理员处确认,以手工解除该状态。
注意:
如果信用额度、定额额度同时检测,信用额度先生效。
后付费用户主要计费公式说明:
(1)包月:
月费用=包月费用+滞纳金
(2)有限时长包月:
月费用=包月费+超额费用+滞纳金
超额费用=超额时长×费率
(3)有限流量包月:
月费用=包月费+超额费用+滞纳金
超额费用=超额流量×费率
(4)时长用户:
月费用=包月费+上网时长×费率+滞纳金
(5)流量用户:
月费用=包月费+上网流量×费率+滞纳金
(6)滞纳金=(月使用费)×延迟天数×滞纳金费率
收费方式:
只对预付类型有效(不含预付包天),按月收费的则指定每个自然月的1号收取基本使用费;灵活收费的则可以随着开户的日期或交费的实际日期灵活指定下月当天为下一个收取基本使用费的时间。
超限额计费(仅适用于预付有限流量包月),如果用户在灵活收费计费周期内,用户使用的额度未超出限额,则下一个计费开始时间与灵活计费一样,否则当用户超出限额就重新开始一个新的计费周期。
(2)预付时长:
(3)预付流量
小提示:
使用交换机做802.1X接入认证的,不推荐按流量建立计费类别,因为交换机作为内网设备,如果按流量计费,则访问校内资源都会计费。
4、创建用户组及各组相关策略
(1)用户组管理
每个用户都从属于某个组。
组内定义了组的基本信息、自学习绑定信息、该组用户的上网时段控制信息和Web计费变更策略。
组分级建立,每次修改父组信息时,子组信息都可以选择同步修改。
如果选择同步,将用父组覆盖全部的子组信息。
用户组基本信息包括组名、IP地址池、授权组、免费IP组信息、病毒联动和优惠策略,默认不关联IP地址池、授权组、病毒联动和优惠策略组,可以手动选择,支持不选择IP地址池、授权组、免费IP组、病毒联动和优惠策略组。
用户组自学习绑定信息分为内网自学习绑定和外网自学习绑定两类,每类又分别按照IP、Mac、交换机IP、交换机端口和Vlan五种,默认不关联任何自学习绑定,可以单独选择任一种和几种自学习绑定,支持不选择任何自学习绑定。
当用户组选定自学习绑定后,用户第一次下线时系统将学习选定的相应属性。
这些学习到的数据可以在用户维护界面查询。
注意,当外网设备是DCBA时,不要选择PORT和VLAN的自学习绑定。
用户组以周为一个循环对上网时段进行控制,时段控制可以精确到秒,,默认所有的时段均可以上网。
Web计费变更策略,控制用户Web修改计费类型,可以由哪些预付计费类型变更到哪些预付计费类型。
(2)用户组相关策略的配置
IP地址池:
配置位置:
“IP_MAC地址管理”→“IP地址池管理”
主要用于实现DHCP的功能,在用户通过认证后为用户动态下发IP地址。
通过为用户组和用户配置不同的IP池实现对IP的有效管理。
IP地址池管理界面如下
授权组:
配置位置:
“授权组管理”→“授权组管理”
授权组也可以称为下发组,它存储有关下发的相关参数,包含授权组名称、告警服务器IP、外网设备IP、内网上行带宽、内网下行带宽、外网上行带宽、外网下行带宽、TCP的HTTP端口流量整形参数、Vlan、Qos和ACL配置、是否防bt、防克隆PC和允许做代理、升级FTP服务器、DCBA下发服务类型方式和下发广告信息。
操作员可以建立多个授权组,并与用户组和用户相关联,当用户和所属用户组都关联授权组时,用户关联的授权组起作用。
通过设定授权组,可实现带宽限制、客户端版本自动升级(站点配置里也要配置)、DCBA服务类型下发、登陆时广告提示等功能。
免费IP组:
配置位置:
“IP_MAC地址管理”→“免费IP管理”
免费IP组里设定的IP地址,只做认证,在认证通过后不计费。
病毒联动:
配置位置“接入安全管理”“防病毒策略管理”
目前主要实现与瑞星杀毒软件的联动。
优惠策略组:
配置位置:
“计费策略”→“优惠策略管理”
优惠是指用户在存钱存一定金额,给用户一定的优惠金额,如一次性冲入100元,给予20元的优惠,实际可使用120元的网络资源。
公共绑定组:
配置位置:
“接入安全管理”→“公共绑定组管理”
主要用于把用户的账号通过IP地址段、接入交换机等限制在一个公共的范围内。
比如限制某一个组的账号只能在学校机房使用,此时可以学校机房的IP地址段添加进来,使该组账号只能在限定的范围内使用。
5、开户
用户组及各组策略建立后,接下来就可以开户了。
开户又分单用户正常开户、集体开户、和卡用户开户。
单用户开户:
如下表,正确填写开户时用户的各个属性即可,至少应该填写以下属性:
账号名称(最大50位)、密码(可为空)所属组、计费类别、账号金额等,其它如无定义可使用默认选项。
集体开户:
必须先定义用户模板,主要用于确认用户组、计费类别上网范围等信息。
数据文件为一个Excel文件,里面保存用户信息。
包括:
用户名、真实姓名、性别、身份证号、学历、固定电话、E-Mail、密码、帐户金额、单位名称10列内容,
卡开户:
目前卡用户主要有两种计费原型:
包月卡和时长预付卡。
6、日常信息维护
包括用户信息管理、在线用户管理、账务查询、日志查询与维护等。
五、DCBA的配置
参见《DCBA-3000W典型配置文档_liujt_20050518.doc》
六、认证计费案例
升级会员 