基于RouteOS的NAT Radius网络计费管理实验
2.基于RouterOS的上网配置;
2.1.环境搭建
使用软件:VMware® Workstation 16 Pro,软件版本:16.0.0
虚拟机1:Windows XP:192.168.10.114(winbox设置所在主机)。
虚拟机2:MikroTik6.4 lan:192.168.10.1 wan:自动获取,本次实验获取的为192.168.133.211。
虚拟机网卡设置:MikroTik6.4设置NAT模式和桥接模式,Windows XP选择NAT模式。
2.2虚拟机配置
- 更改网卡名称
可以看到网卡名字前面显示R,说明是启用的。
图3
(2)设置网卡地址
图4
2.3进入winbox界面
在connect to中输入RouterOS服务器的lan地址192.168.10.1,用户名中输入admin,密码为空。
图5
2.4设定公网网络接口dsh_wan
图6
2.5设定局域网共享上网
图7
图8
上网测试
图9
图10
图11
成功上网。
3.基于RouterOS的网络认证计费管理
3.1环境搭建
使用软件1:VMware® Workstation 16 Pro,软件版本:16.0.0
使用软件2:NATRadius,软件版本2.1
使用软件3:winradius
虚拟机1:WinXP.NET(ip:192.168.10.114,winbox所在虚拟机)
虚拟机2:MikroTik6.4
虚拟机3:WinXP.NET的克隆(ip:192.168.10.115,NAT Radius所在虚拟机)
3.2 NAT Radius安装
(1) 选择对应的NAT Radius安装程序,开始安装(一路next):
图12
选择安装目录的路径
图13
安装程序会自动初始化MySql数据库
图14
最后安装必要的插件.net framework 3.0和MySql ODBC插件,也是一路next
图15
安装完成后可以在桌面看到创建的图标
图16
3.3NAT Radius 管理操作
(1)登陆
打开NAT Manager登陆窗口,输入正确的帐号和密码后(这里默认的帐号是admin,密码是1),可以根据需要选择语言,支持简体中文、繁体中文和英文。
图17
(4) 系统参数配置
这里包含Radius共享密码、Radius认证端口、计费端口和广告信息等,在这里Radius共享密码必须填写,而且与对应的认证路由器相同,默认的共享密码为“radius”。
图18
(5)管理员账号
管理员帐号是对Radius Manager管理员进行帐号的添加、编辑和删除。可以根据管理不同区分等级管理,这里可以编辑管理的信息和权限配置。
图19
可添加一个管理员:董淑华。
图20
权限配置包括以下明显内容,也可以快速选择权限,包括“全选”、“账号管理”、“现金管理员”、“观察员”等。
图21
如下添加成功:
图22
(6) 路由器列表配置
路由器列表配置,是对连接多个认证路由器,如RouterOS用于Radius连接的IP地址,在这里必须填写连接认证路由器的IP地址(即软路由的lan地址)和剔除用户端口。
图23
图24
(8) 计费单价管理
对各种计费类型如包月、包年、计时和流量的单价进行设置,通过设置好的单价组,提供给管理进行开户分配,每种计费价格可以生成一种规则,可以根据用户选择的带宽类型不同,进行添加,并为账号添加提供调用。
这里我们添加一种类型,以包年为例,计费组名称为“包年1套餐”,一月支付10元宽带包月费,即包月单价为10元。
图25
(9) 分时计费策略
用于流量计费和时长计费的分时计费设置,允许每个账号在不同时间段有不同的计费价格,每个分时计费策略组下允许多个子策略规则,实现不同时间的计费方式,如果时间有重复则根据优先级执行计费价格,优先级越高,则被优先执行,如果计费测试没有可执行的时间范围,则按照最后一条计费子策略执行。
图26
此时就可以返回计费单价管理创建流量计费和时长计费。
图27
图28
(10) Qos类型管理
添加用户的带宽规则,根据用户的资费不同选择不同的带宽,为用户账号的QoS规则做调用,为包月套餐和kb套餐分别设置带宽。
图29
图30
图31
(11) 用户共享参数配置
用户共享参数配置,是针对不同组的用户进行规则配置,比如开始计费模式、账号共享数量,IP地址池分配,Hotspot的profile规则组和需要将用户IP自动添加到RouterOS的address-list等参数。
图32
(12) 区域信息配置
是对用户账号进行区域化管理,添加新的用户时,可以调用改区域的信息,方便查询和管理。
图33
(13) 用户列表
通过“添加用户”图标,弹出添加用户对话框,新增用户。
图34
如图添加用户信息:
图35
(14) 批量添加账号
支持批量添加账号功能,打开用户管理菜单,可以选择批量添加用户。
图36
打开批量添加用户窗口后,可以设置账号的前缀名称批量添加用户,这里我们给账号的前缀是dsh,用户是50个,区间是1-100,每次递增2。
图37
属性窗口里配置统一的参数,如密码、姓名、充值金额、计费策略组,共享配置组等。
图38
填写完成后,点添加按钮,进行添加。
图39
(15)子账号
我们通过选择一个账号点击右键或者双击该账号,都可以打开子账号管理窗口。
图40
选择dsh1的子账号管理,进入子账号配置窗口,添加用户子账号,配置子账号的账号、密码和姓名等,子账号除了费用是共享主账号外,其他参数是独立的,如:带宽控制是独享带宽。
图41
(16)充值和计费修改
可以选择指定的账号点右键为该账号进行充值或进行充值信息的管理。
图42
如果需要调整账号的费用,选择用户账号点右键选择“充值”进行设置,在充值项里可以修改用户的计费策略。
图43
(17)在线用户查看
通过“显示所有在线用户”图标,显示当前在线用户情况,由于还没有用户登录,所以看不到用户。
图44
(18)Log日志查看
通过“Log日志查看”图标,可以查看用户登录情况和相关登陆信息。
图45
(19) 数据备份
备份功能包括:定时备份、备份管理和当前excel导出导入等三种备份功能,提供了多种备份和恢复的手段,方便管理员操作。
A.定时备份
进入系统配置,可以对NAT Radius的数据库进行备份,备份可以根据时间进行实时备份。
图46
设置Radius数据库备份间隔时间,以小时为单位,默认是1小时,这里设置为2小时。
图47
B.备份管理
备份管理是手动将数据库备份,我们在这个功能中可以导出和导入数据库,被之前的数据进行备份和恢复。
打开窗口后,里面有导入文件和导出文件两个选项,为我们提供了手动备份数据库的功能。
图48
C.当前excel导出导入备份
图49
例如导出当前的用户账号配置,备份文件为excel
图50
可以看到导出成功:
图51
3.4RouterOS配置pppoe-server
wan 接口ip:192.168.133.211
lan 接口ip:192.168.10.1
lan网段165.165.1.0/24
pppoe拨号进来后自动分配得到的地址网段192.168.10.100-192.168.10.200。
- 设置地址池
设置两个地址池,用于不同套餐。
ip-->pool-->add
name:PPPoE1
addresses:192.168.10.100-192.168.10.200
另一个地址池。
ip-->pool-->add
name:pool1
addresses:192.168.10.201-192.168.10.210
图52
- 创建一个新规则
ppp-->profiles-->add
general参数:
name:PPPoE-profile1
local address:192.168.10.1(给pppoe-Server分配的IP地址)
remote-address:PPPoE1
图53
Protocols参数:use encryption:yes
图54
limits参数
图55
- 添加内网pppoe-server
ppp--> pppoe servers -->add
server name:pppoe-dsh-lan
interface:dsh-lan
Keepalive-Timeout:10
default profile:PPPoE-profile1
one session per host:勾选
max session:默认不填
图56
- 添加用户
ppp-->secrets-->add
name:dsh111
password:radius
service:pppoe
profile:PPPoE-profile1
图57
(5)客户连接
新建一个pppoe连接。
图58
图59
图60
图61
ISP名称随便填:
图62
Winbox设置的用户和密码:
图63
输入账号
图64
查看连接状态
图65
3.4 NAT Radius连接RouterOS
NAT Radius认证系统配合RouterOS完成认证计费功能,NAT Radius计费服务器架设在RouterOS认证路由器的旁路。如当PPPoE用户认证上网时,首先进入RouterOS认证路由器,RouterOS将账号和密码交给Radius计费服务器验证,验证通过后反馈给RouterOS认证通过,向用户分配IP和带宽参数,用户可以通过RouterOS上网,同时NAT Radius计费系统开始计费。
首先启用Radius client功能,连接NAT Radius。进入RouterOS的Radius,进行添加,指定NAT Radius服务器地址192.168.10.115,secret为通信密码,这里采用默认设置的radius,并启用PPP和Hotspot服务。
图66
配置Incoming参数用于向Radius客户端发送指令,如踢出在线用户,端口设置为1700。
图67
转到Windows XP 克隆,NAT Radius上对应的配置如下:
设置Radius共享密码,认证1812和计费端口1813,端口一般默认,也可以根据自己需要修改,记住修改必须是Radius和RouterOS都要设置。
图68
设置连接RouterOS的IP地址,RouterOS与NAT Radius服务器一般在同一网段(也可以选择通过公网连接的方式),这里RouterOS的IP是192.168.10.1。
图69
回到Windows XP winbox, 进入PPP目录下的secret选项,选择PPP Authentication&Accounting,启用Use Radius功能,我们可以设置Interim udate在线用户信息更新功能,如果需要实时更新,即每间隔一段时间RouterOS和NAT Radius更新用户数据,这里我们设置10s。
图70
Hotspot则进入的server profiles下,选择对应的服务器规则,进入RADIUS下启用User Radius。
图71
以上配置是PPPoE、PPTP、L2TP、OVPN、SSTP和Hotspot的NAT Radius连接配置简明操作,按照以上配置能实现NAT Radius与RouterOS的对接。
返回NAT Radius可以看到连接正常。
图72
图73
4.用户Web自助系统
(1)查看用户信息。
在NATradius中查看用户列表。
图74
在浏览器输入NAT Radius所在主机的ip地址192.168.10.115,再输入账号密码进行登陆。
图75
登陆成功,查看充值记录。
图76
NATradius上进行充值:
图77
再查看充值记录,成功显示:
图78
图79
查看账户资料:
图80
可修改资料:
图81
5.相关测试、分析及验证。
连接成功后,发现NAT Radius并没有显示我连接的用户:
图82
检查发现,NAT Radius用的是Demo版本,仅支持PAP密码认证协议,
图83
查看用户连接状态,身份验证并不支持PAP协议:
图84
转回winbox,把PPPoE协议的认证服务仅勾选pap
图85
用户重新断开连接,再次查看:
图86
看到身份认证已经变为PAP协议了。
图87
查看在线用户,发现并没有这个用户:
图88
把winbox中的用户删除:
图89
再次查看,成功显示用户:
图90
原因:
路由把用户的用户名和密码转发给NAT Radius,如果winbox中有了这个用户的信息,就不会再转发给NAT Radius服务器,会优先选择pppoe用户。