Contabilidade 802.1X e RADIUS
Os switches da Série EX oferecem suporte à contabilidade RADIUS. Você pode configurar a contabilidade RADIUS em um switch da Série EX para coletar dados estatísticos sobre usuários que fazem login em uma LAN ou fora de uma LAN e enviar esses dados para um servidor de contabilidade RADIUS. Os dados coletados são usados para fins de monitoramento de rede.
Entender a contabilidade 802.1X e RADIUS em switches
Os switches de ethernet da Série EX da Juniper Networks oferecem suporte a IETF RFC 2866, RADIUS Accounting. Ao configurar a contabilidade RADIUS em um switch da Série EX, você pode coletar dados estatísticos sobre usuários entrando ou saindo de uma LAN e enviar esses dados para um servidor de contabilidade RADIUS. Os dados estatísticos coletados podem ser usados para realizar monitoramento geral da rede, analisar e rastrear padrões de uso ou cobrar um usuário com base na quantidade de tempo ou tipo de serviços acessados.
Processo de contabilidade RADIUS
A contabilidade RADIUS é baseada em um modelo de cliente/servidor no qual o switch, operando como servidor de acesso de rede (NAS), é o cliente. O cliente encaminha estatísticas de contabilidade do usuário para um servidor de contabilidade RADIUS designado. O servidor de contabilidade RADIUS deve enviar uma resposta ao cliente quando tiver recebido e registrado as estatísticas contábeis com sucesso.
O processo de contabilidade RADIUS entre um switch e um servidor RADIUS baseia-se na troca de dois tipos de mensagens RADIUS : solicitação de contabilidade e resposta contábil. As mensagens de solicitação de contabilidade são enviadas do switch para o servidor e transmitem informações usadas para explicar um serviço fornecido a um usuário. As mensagens de resposta à contabilidade são enviadas do servidor para reconhecer o recebimento dos pacotes de solicitação de contabilidade. A troca de mensagens entre o switch e o servidor prossegue da seguinte forma:
Um servidor de contabilidade RADIUS ouve pacotes do Protocolo de Datagram do Usuário (UDP) em uma porta específica. Por exemplo, no FreeRADIUS, a porta padrão é 1813.
Quando um suplicante é autenticado através da autenticação 802.1X e depois conectado à LAN, o switch encaminha uma mensagem de solicitação de contabilidade com um registro do evento para o servidor de contabilidade. A mensagem de solicitação de contabilidade enviada pelo switch inclui o atributo RADIUS Acct-Status-Type com um valor de Start, o que indica o início do serviço do usuário para este suplicante. O servidor de contabilidade registra esse evento no arquivo de registro de contabilidade como um registro inicial.
O servidor de contabilidade envia uma mensagem de resposta contábil de volta ao switch confirmando que recebeu a solicitação de contabilidade. Se o switch não receber uma resposta do servidor, ele continua a enviar solicitações de contabilidade até que uma resposta contábil seja devolvida do servidor de contabilidade.
O switch pode enviar uma mensagem interina ao servidor de contabilidade para atualizar periodicamente o servidor com informações relativas a uma sessão específica. Mensagens intermediárias são enviadas como mensagens de solicitação de contabilidade com o valor do atributo tipo Acct-Status da Atualização Intermediária. O servidor de contabilidade envia um messae de resposta contábil de volta ao switch para confirmar o recebimento de uma atualização interina.
Quando a sessão do suplicante termina, o switch encaminha uma mensagem de solicitação de contabilidade com o valor do atributo tipo Acct-Status definido para parar, indicando o fim do serviço do usuário. O servidor de contabilidade registra este evento no arquivo de registro de contabilidade como um registro de parada que contém informações de sessão e a duração da sessão.
As estatísticas coletadas por meio desse processo podem ser exibidas a partir do servidor RADIUS. Para visualizar essas estatísticas, o usuário precisa acessar o arquivo de log de contabilidade configurado para recebê-las. No FreeRADIUS, o nome do arquivo é o endereço do servidor, por exemplo, 122.69.1.250.
Atributos RADIUS suportados
As estatísticas de contabilidade do RADIUS são transmitidas pelos atributos incluídos em cada mensagem de solicitação de contabilidade enviada do NAS ao servidor. Tabela 1 listar os atributos RADIUS suportados para mensagens de solicitação de contabilidade.
Tipo |
Atributo |
Descrição |
|---|---|---|
1 |
Nome do usuário |
O nome do usuário autenticado. |
5 |
Porta NAS |
O número de porta física do NAS que autentica o usuário. A porta NAS ou a NAS-Port-ID devem ser contidas no pacote. |
8 |
Endereço IP emoldurado |
O endereço IP do usuário autenticado. Nota:
O atributo Framed-IP-Address é enviado apenas se houver uma vinculação DHCP válida para o host na tabela de espionagem DHCP. |
11 |
ID de filtro |
O nome da lista de filtros para o usuário. |
12 |
Emoldurado-MTU |
A unidade de transmissão máxima que pode ser configurada para o usuário. |
26 |
Nome do sistema do cliente |
Atributo específico do fornecedor (VSA) usado para indicar o nome de host do cliente. Suportado apenas para dispositivos capazes de LLDP. |
27 |
Tempo de sessão |
Define o tempo máximo (em segundos) para que uma sessão permaneça ativa antes de encerrar ou um aviso de solicitação seja notificado sobre seu encerramento. |
28 |
Tempo de inatividade |
O número máximo de segundos consecutivos de conexão ociosa permitiu ao usuário antes do encerramento da sessão ou solicitação. |
30 |
Chamado de Station-ID |
Permite que o NAS identifique o número de telefone que o usuário ligou, usando identificação de número discado (DNIS) ou uma tecnologia semelhante. |
31 |
ID de estação de chamada |
Permite que o NAS identifique o número de telefone de onde a chamada veio, usando identificação automática de números (ANI) ou uma tecnologia semelhante. |
32 |
Identificador nas |
Contém uma string que identifica o NAS que origina a mensagem de solicitação de contabilidade. |
40 |
Tipo de status acct |
Indica se essa mensagem de solicitação de contabilidade marca o início (Início) ou o fim (Stop) da sessão do usuário. Também pode ser usado para uma atualização interina (Atualização interina). |
44 |
Acct-Session-ID |
Um ID exclusivo para uma sessão de contabilidade específica que pode ser usada para combinar registros de início e parada para uma sessão no arquivo de log. |
45 |
Acct-Authentic |
Indica se o usuário foi autenticado localmente, pelo servidor RADIUS ou por outro protocolo de autenticação remota. |
55 |
Event-Timestamp |
Registra o momento em que um evento ocorreu. |
87 |
NAS-Port-ID |
String de texto que identifica a porta que autentica o usuário. O NAS-Port ou o NAS-Port-ID devem estar presentes no pacote. |
Consulte também
Configuração da contabilidade 802.1X RADIUS (procedimento CLI)
A contabilidade RADIUS permite que dados estatísticos sobre usuários que fazem login em uma LAN sejam coletados e enviados para um servidor de contabilidade RADIUS. Os dados estatísticos coletados podem ser usados para realizar monitoramento geral da rede, analisar e rastrear padrões de uso, ou para cobrar um usuário com base na quantidade de tempo ou tipo de serviços acessados.
A contabilidade RADIUS é baseada em um modelo de cliente/servidor no qual o switch, operando como servidor de acesso de rede (NAS), é o cliente. O cliente é responsável por encaminhar estatísticas de contabilidade de usuários para um servidor de contabilidade RADIUS designado. Para configurar a contabilidade RADIUS, especifique um ou mais servidores de contabilidade RADIUS para receber os dados estatísticos do switch e selecione o tipo de dados contábeis a serem coletados.
O servidor de contabilidade RADIUS que você especifica pode ser o mesmo servidor usado para autenticação RADIUS, ou pode ser um servidor RADIUS separado. Você pode especificar uma lista de servidores de contabilidade RADIUS. Se o servidor primário (o primeiro configurado) estiver indisponível, cada servidor RADIUS da lista é testado na ordem em que os servidores estão configurados no Junos OS.
Para configurar a contabilidade RADIUS usando a CLI: