Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Contabilidade 802.1X e RADIUS

Os switches da Série EX oferecem suporte à contabilidade RADIUS. Você pode configurar a contabilidade RADIUS em um switch da Série EX para coletar dados estatísticos sobre usuários que fazem login em uma LAN ou fora de uma LAN e enviar esses dados para um servidor de contabilidade RADIUS. Os dados coletados são usados para fins de monitoramento de rede.

Entender a contabilidade 802.1X e RADIUS em switches

Os switches de ethernet da Série EX da Juniper Networks oferecem suporte a IETF RFC 2866, RADIUS Accounting. Ao configurar a contabilidade RADIUS em um switch da Série EX, você pode coletar dados estatísticos sobre usuários entrando ou saindo de uma LAN e enviar esses dados para um servidor de contabilidade RADIUS. Os dados estatísticos coletados podem ser usados para realizar monitoramento geral da rede, analisar e rastrear padrões de uso ou cobrar um usuário com base na quantidade de tempo ou tipo de serviços acessados.

Processo de contabilidade RADIUS

A contabilidade RADIUS é baseada em um modelo de cliente/servidor no qual o switch, operando como servidor de acesso de rede (NAS), é o cliente. O cliente encaminha estatísticas de contabilidade do usuário para um servidor de contabilidade RADIUS designado. O servidor de contabilidade RADIUS deve enviar uma resposta ao cliente quando tiver recebido e registrado as estatísticas contábeis com sucesso.

O processo de contabilidade RADIUS entre um switch e um servidor RADIUS baseia-se na troca de dois tipos de mensagens RADIUS : solicitação de contabilidade e resposta contábil. As mensagens de solicitação de contabilidade são enviadas do switch para o servidor e transmitem informações usadas para explicar um serviço fornecido a um usuário. As mensagens de resposta à contabilidade são enviadas do servidor para reconhecer o recebimento dos pacotes de solicitação de contabilidade. A troca de mensagens entre o switch e o servidor prossegue da seguinte forma:

  1. Um servidor de contabilidade RADIUS ouve pacotes do Protocolo de Datagram do Usuário (UDP) em uma porta específica. Por exemplo, no FreeRADIUS, a porta padrão é 1813.

  2. Quando um suplicante é autenticado através da autenticação 802.1X e depois conectado à LAN, o switch encaminha uma mensagem de solicitação de contabilidade com um registro do evento para o servidor de contabilidade. A mensagem de solicitação de contabilidade enviada pelo switch inclui o atributo RADIUS Acct-Status-Type com um valor de Start, o que indica o início do serviço do usuário para este suplicante. O servidor de contabilidade registra esse evento no arquivo de registro de contabilidade como um registro inicial.

  3. O servidor de contabilidade envia uma mensagem de resposta contábil de volta ao switch confirmando que recebeu a solicitação de contabilidade. Se o switch não receber uma resposta do servidor, ele continua a enviar solicitações de contabilidade até que uma resposta contábil seja devolvida do servidor de contabilidade.

  4. O switch pode enviar uma mensagem interina ao servidor de contabilidade para atualizar periodicamente o servidor com informações relativas a uma sessão específica. Mensagens intermediárias são enviadas como mensagens de solicitação de contabilidade com o valor do atributo tipo Acct-Status da Atualização Intermediária. O servidor de contabilidade envia um messae de resposta contábil de volta ao switch para confirmar o recebimento de uma atualização interina.

  5. Quando a sessão do suplicante termina, o switch encaminha uma mensagem de solicitação de contabilidade com o valor do atributo tipo Acct-Status definido para parar, indicando o fim do serviço do usuário. O servidor de contabilidade registra este evento no arquivo de registro de contabilidade como um registro de parada que contém informações de sessão e a duração da sessão.

As estatísticas coletadas por meio desse processo podem ser exibidas a partir do servidor RADIUS. Para visualizar essas estatísticas, o usuário precisa acessar o arquivo de log de contabilidade configurado para recebê-las. No FreeRADIUS, o nome do arquivo é o endereço do servidor, por exemplo, 122.69.1.250.

Atributos RADIUS suportados

As estatísticas de contabilidade do RADIUS são transmitidas pelos atributos incluídos em cada mensagem de solicitação de contabilidade enviada do NAS ao servidor. Tabela 1 listar os atributos RADIUS suportados para mensagens de solicitação de contabilidade.

Tabela 1: Atributos da solicitação de contabilidade RADIUS

Tipo

Atributo

Descrição

1

Nome do usuário

O nome do usuário autenticado.

5

Porta NAS

O número de porta física do NAS que autentica o usuário. A porta NAS ou a NAS-Port-ID devem ser contidas no pacote.

8

Endereço IP emoldurado

O endereço IP do usuário autenticado.

Nota:

O atributo Framed-IP-Address é enviado apenas se houver uma vinculação DHCP válida para o host na tabela de espionagem DHCP.

11

ID de filtro

O nome da lista de filtros para o usuário.

12

Emoldurado-MTU

A unidade de transmissão máxima que pode ser configurada para o usuário.

26

Nome do sistema do cliente

Atributo específico do fornecedor (VSA) usado para indicar o nome de host do cliente. Suportado apenas para dispositivos capazes de LLDP.

27

Tempo de sessão

Define o tempo máximo (em segundos) para que uma sessão permaneça ativa antes de encerrar ou um aviso de solicitação seja notificado sobre seu encerramento.

28

Tempo de inatividade

O número máximo de segundos consecutivos de conexão ociosa permitiu ao usuário antes do encerramento da sessão ou solicitação.

30

Chamado de Station-ID

Permite que o NAS identifique o número de telefone que o usuário ligou, usando identificação de número discado (DNIS) ou uma tecnologia semelhante.

31

ID de estação de chamada

Permite que o NAS identifique o número de telefone de onde a chamada veio, usando identificação automática de números (ANI) ou uma tecnologia semelhante.

32

Identificador nas

Contém uma string que identifica o NAS que origina a mensagem de solicitação de contabilidade.

40

Tipo de status acct

Indica se essa mensagem de solicitação de contabilidade marca o início (Início) ou o fim (Stop) da sessão do usuário. Também pode ser usado para uma atualização interina (Atualização interina).

44

Acct-Session-ID

Um ID exclusivo para uma sessão de contabilidade específica que pode ser usada para combinar registros de início e parada para uma sessão no arquivo de log.

45

Acct-Authentic

Indica se o usuário foi autenticado localmente, pelo servidor RADIUS ou por outro protocolo de autenticação remota.

55

Event-Timestamp

Registra o momento em que um evento ocorreu.

87

NAS-Port-ID

String de texto que identifica a porta que autentica o usuário. O NAS-Port ou o NAS-Port-ID devem estar presentes no pacote.

Configuração da contabilidade 802.1X RADIUS (procedimento CLI)

A contabilidade RADIUS permite que dados estatísticos sobre usuários que fazem login em uma LAN sejam coletados e enviados para um servidor de contabilidade RADIUS. Os dados estatísticos coletados podem ser usados para realizar monitoramento geral da rede, analisar e rastrear padrões de uso, ou para cobrar um usuário com base na quantidade de tempo ou tipo de serviços acessados.

A contabilidade RADIUS é baseada em um modelo de cliente/servidor no qual o switch, operando como servidor de acesso de rede (NAS), é o cliente. O cliente é responsável por encaminhar estatísticas de contabilidade de usuários para um servidor de contabilidade RADIUS designado. Para configurar a contabilidade RADIUS, especifique um ou mais servidores de contabilidade RADIUS para receber os dados estatísticos do switch e selecione o tipo de dados contábeis a serem coletados.

O servidor de contabilidade RADIUS que você especifica pode ser o mesmo servidor usado para autenticação RADIUS, ou pode ser um servidor RADIUS separado. Você pode especificar uma lista de servidores de contabilidade RADIUS. Se o servidor primário (o primeiro configurado) estiver indisponível, cada servidor RADIUS da lista é testado na ordem em que os servidores estão configurados no Junos OS.

Para configurar a contabilidade RADIUS usando a CLI:

  1. Configure um perfil de acesso e especifique os servidores de contabilidade para os quais o switch encaminha estatísticas contábeis:
  2. Defina o endereço dos servidores de contabilidade RADIUS e configure a senha secreta (a senha secreta no switch deve combinar com a senha secreta do servidor):
  3. Habilite a contabilidade para o perfil de acesso:
  4. Configure o pedido de contabilidade, tornando o RADIUS o primeiro método para o envio de mensagens e atualizações contábeis:
  5. Configure as estatísticas a serem coletadas no switch e encaminhadas ao servidor de contabilidade:
  6. (Opcional) Configure o switch para enviar atualizações periódicas para uma sessão de usuário em um intervalo especificado para o servidor de contabilidade:
  7. Exibir estatísticas contábeis coletadas no switch usando o show network-access aaa statistics accounting comando, por exemplo:
  8. Abra um log de contabilidade no servidor de contabilidade RADIUS usando o endereço do servidor e veja estatísticas contábeis, por exemplo: