Billing 平台对应的 iKuai 配置清单

日期:2026-04-09

已知现场环境:

  • iKuai 型号:IK-M60
  • 版本:3.7.18 x64 Build202502171402
  • 授权形态:免费版
  • 说明:本清单已按 3.7.18 系列菜单结构校准;同版本不同 Build 之间菜单文案可能有轻微差异,但 RADIUS、计费、CoA、PPP 在线查询这几项检查逻辑不变

适用目标:

  • 让 iKuai 与 Billing 平台完成 RADIUS 认证、计费、强制下线联动
  • 让平台可通过 iKuai 做 PPP 在线查询与踢线
  • 在需要时支持 TR-069 不改光猫的接管方案

使用方式:

  • 现场按顺序逐项核对
  • 不需要的模块可以跳过
  • 建议先完成“RADIUS / CoA 最小闭环”,再做 TR-069 劫持接管

针对你当前这台 IK-M60 免费版,建议优先级:

  • 第一优先:RADIUS 认证 + 计费 + CoA / Disconnect
  • 第二优先:PPP 在线查询 + 踢线
  • 第三优先:Web 管理代理
  • 第四优先:TR-069 劫持接管

一、上线前信息准备

上线前先准备以下信息:

  • iKuai 管理地址
  • iKuai 管理员账号
  • iKuai 管理员密码
  • Billing 后端服务地址
  • RADIUS 共享密钥
  • 是否需要启用 CoA / Disconnect
  • 是否需要让平台代理访问 iKuai Web 管理页
  • 是否需要做 TR-069 劫持接管
  • 光猫 ACS 地址是域名还是 IP
  • 光猫实际使用的 TR-069 端口是 7547、9090 还是其他端口

二、iKuai 基础连通性检查

  • iKuai 能访问 Billing 后端所在机器
  • Billing 后端能访问 iKuai 管理地址
  • iKuai 与 Billing 之间没有 ACL / 防火墙阻断认证、计费、CoA 所需端口
  • iKuai 时间已校准,避免计费和日志时间错乱
  • iKuai WAN / 出口链路明确,知道 TR-069 流量到底走哪个出口

建议验证:

  • 从 iKuai 侧确认能到 Billing 的 1812 / 1813 / 3799
  • 从 Billing 侧确认能打开 iKuai 管理页

三、RADIUS 认证配置

菜单建议:

  • 系统 → 认证与授权 → RADIUS
  • 系统 → 系统配置 → RADIUS

版本提示:

  • IK-M60 免费版 3.7.18 一般也在以上两处之一
  • 如果顶部菜单没有“认证与授权”,优先到“系统配置”里找 RADIUS
  • 同一版本不同 Build 可能只是入口位置微调,不代表功能缺失

基础配置:

  • 启用 RADIUS 认证
  • 认证服务器地址填写为 Billing 后端可达地址
  • 认证端口填写 1812
  • 计费端口填写 1813
  • 共享密钥与 Billing 后端保持一致

建议记录:

  • 认证服务器 IP:____
  • 认证端口:1812
  • 计费端口:1813
  • 共享密钥:____

保存确认:

  • 已点击保存 / 应用
  • 如页面要求,已重启 RADIUS 服务

四、RADIUS CoA / Disconnect 配置

这一步是平台“手工离线 / 欠费下线 / 恢复前清会话”的关键。

版本提示:

  • 3.7.18 系列通常支持 CoA / Disconnect
  • 免费版现场首先确认页面里是否存在 CoA、Disconnect、动态授权、强制下线 其中之一
  • 只要存在其中一类动态授权入口,就按 3799 和同密钥原则配置

必须确认:

  • 启用 CoA 支持
  • 启用 Disconnect 支持
  • 启用动态授权

关键参数:

  • CoA 监听端口填写 3799
  • CoA 共享密钥与认证共享密钥保持一致
  • 如有“允许强制下线 / 允许远程断开连接”选项,已启用

建议记录:

  • CoA 端口:3799
  • CoA 密钥:____

保存确认:

  • 已点击保存 / 应用
  • 如页面要求,已重启 RADIUS 服务

验证目标:

  • 平台点击离线时,iKuai 能收到 Disconnect 请求
  • 在线用户可被正常踢下线
  • 不再出现 3799 connection refused

五、PPP 在线查询与踢线能力

这部分用于平台对接 iKuai 的在线会话查询和 API 踢线能力。

版本提示:

  • IK-M60 免费版通常可以正常提供 Web 管理登录和 PPP 在线查询
  • 如果接口权限不足,先确认是否启用了管理员账号、是否限制了来源地址、是否有登录防护策略拦截

需要确认:

  • iKuai 管理口对 Billing 后端可访问
  • 登录接口正常
  • PPP 在线列表可查询
  • PPP 会话可按用户名检索
  • PPP 会话可按 id 执行 kick

建议现场验证:

  • 找一条在线 PPP 用户
  • 在平台或脚本里查询到该用户在线会话
  • 执行踢线后,iKuai 上该会话消失

六、iKuai Web 管理代理配置检查

如果你需要在 Billing 管理端中通过 /ikuai/<id>/ 访问 iKuai Web,这部分要确认。

iKuai 侧需要满足:

  • 管理页地址可从 Billing 机器访问
  • 管理账号密码正确
  • iKuai 的静态资源和 Action 接口没有被额外限制

平台 / Nginx 侧需要满足:

  • /ikuai/<id>/ 已配置反向代理
  • /static/ 的 Referer 兜底代理已配置
  • 登录后不出现静态资源 404
  • /Action/login/json/... 不报 404

现场验证:

  • 打开 https://你的域名/ikuai/1/
  • 能看到 iKuai 登录页
  • 登录后菜单、静态资源、动作接口正常

七、TR-069 劫持接管前置判断

先判断你是否真的需要在 iKuai 里做 TR-069 劫持。

情况 A:光猫可直接修改 ACS

  • 这种情况优先直接改 ACS 到 Billing 平台
  • 不需要在 iKuai 做 DNS 劫持
  • 只要光猫能访问平台公网 ACS 地址即可

情况 B:光猫不能改 ACS

  • 需要在 iKuai 做 TR-069 端口映射
  • 如果 ACS 是域名,还需要做 DNS 53 导向

判断项:

  • 光猫 ACS 是域名
  • 光猫 ACS 是 IP
  • 光猫 TR-069 实际端口:____

八、TR-069 端口映射配置

如果要劫持接管,必须配置这部分。

需要确认:

  • 已确定要转发的 TR-069 端口
  • 已把该端口映射到 VPS 对应端口
  • 多端口场景下,每个端口都有独立规则
  • 规则作用在光猫实际出网的 WAN / 外网接口上

常见场景:

  • 7547/tcp -> VPS:7547
  • 9090/tcp -> VPS:9090

建议记录:

  • VPS IP:____
  • 映射端口 1:____
  • 映射端口 2:____

验证:

  • VPS 抓包能看到来自现场的 TR-069 连接
  • 光猫连接没有继续打到旧 ACS

九、DNS 53 导向配置

这一步只有在“光猫 ACS 是域名”时才需要。

必须确认:

  • 已把 UDP 53 导向到 VPS
  • 已把 TCP 53 导向到 VPS
  • 建议只对光猫 IP / 网段生效,不做全局 53 劫持
  • 建议只针对 ACS 域名做解析改写

建议记录:

  • ACS 域名:____
  • DNS 返回 IP:____
  • 限制来源网段:____

验证:

  • VPS 能抓到 53 请求
  • 返回 IP 与预期一致
  • 光猫随后访问的是 VPS 对应 TR-069 端口

十、SNAT / 多 WAN 风险检查

这一步很重要,很多现场就是死在这里。

需要确认:

  • iKuai 是否对 TR-069 / DNS 流量做了 SNAT
  • 如果做了 SNAT,VPS 侧源地址限制是否已改成 SNAT 后的地址
  • 多 WAN 场景下,规则是否加在真正出网的接口上
  • 不同现场 / 不同光猫来源是否已做区分,避免误伤

如果当前只是先跑通链路,建议:

  • 先不要加太严格的源 IP 限制
  • 先确认流量能到 VPS,再逐步收紧规则

十一、最小联调验证清单

建议按下面顺序做最小闭环验证:

针对你当前这台 IK-M60,建议先只做下面这一条主链,不要一开始就叠加 TR-069:

  • 用户拨号成功
  • Billing 收到认证和计费
  • 后台能看到在线会话
  • 点击离线后 iKuai 会话断开

RADIUS / CoA

  • 用户能正常认证上网
  • 计费记录正常上报
  • 平台可看到在线会话
  • 平台点击离线后,用户会话能断开

iKuai Web / API

  • 平台可打开 iKuai Web 登录页
  • 平台可查询 PPP 在线用户
  • 平台可执行踢线

TR-069(如果启用)

  • VPS 能抓到 53 请求(域名 ACS 场景)
  • VPS 能抓到 7547 / 9090 连接
  • 平台收到设备 Inform
  • 至少一条 TR-069 任务推进成功

十二、现场最常见错误

  • 只开了 RADIUS 认证,没开计费
  • CoA 没启用,或 3799 端口不对
  • CoA 密钥和认证密钥不一致
  • 只做了端口映射,没做 DNS 导向,但 ACS 实际是域名
  • 做了 DNS 导向,但只导 UDP 53,漏了 TCP 53
  • TR-069 映射规则加在错误 WAN / 错误出口接口上
  • 对 TR-069 流量做了 SNAT,导致 VPS 侧源限制匹配不到
  • iKuai Web 管理代理打开后静态资源 404

十三、建议上线顺序

建议不要一次把所有能力都堆上去,按下面顺序最稳:

  1. 先配 RADIUS 认证
  2. 再配计费
  3. 再配 CoA / Disconnect
  4. 验证在线、离线、踢线主链
  5. 再接 iKuai Web 管理代理
  6. 最后再做 TR-069 劫持接管

十四、现场记录

  • iKuai 型号:IK-M60
  • iKuai 版本:3.7.18 x64 Build202502171402
  • 管理地址:____
  • Billing 后端地址:____
  • RADIUS 密钥:____
  • CoA 端口:____
  • TR-069 端口:____
  • ACS 域名 / IP:____
  • 是否启用 DNS 导向:是 / 否
  • 是否启用 Web 管理代理:是 / 否
  • 最终验证结果:通过 / 不通过
  • 问题备注:____
作者:wuge  创建时间:2026-04-09 20:18
最后编辑:wuge  更新时间:2026-04-09 20:18