802.1X 和 RADIUS 计费
EX 系列交换机支持 RADIUS 计费。您可以在 EX 系列交换机上配置 RADIUS 计费,以收集有关登录或退出 LAN 的用户的统计数据,并将这些数据发送到 RADIUS 计费服务器。收集的数据用于网络监控。
了解交换机上的 802.1X 和 RADIUS 计费
瞻博网络 EX 系列以太网交换机支持 IETF RFC 2866, RADIUS 计费。通过在 EX 系列交换机上配置 RADIUS 计费,您可以收集有关登录或退出 LAN 的用户的统计数据,并将这些数据发送到 RADIUS 计费服务器。收集的统计数据可用于执行常规网络监控,分析和跟踪使用模式,或者根据访问的时间量或服务类型向用户计费。
RADIUS 计费流程
RADIUS 计费基于客户端/服务器模型,其中作为网络接入服务器 (NAS) 的交换机是客户端。客户端将用户计费统计信息转发到指定的 RADIUS 计费服务器。RADIUS 计费服务器在成功接收并记录计费统计信息后,必须向客户端发送响应。
交换机与 RADIUS 服务器之间的 RADIUS 计费过程基于两种类型的 RADIUS 消息交换:计费-请求和计费-响应。计费-请求消息从交换机发送到服务器,并传输用于说明提供给用户的服务的信息。计费-响应消息从服务器发送,以确认收到计费-请求数据包。交换机与服务器之间的消息交换将按如下进行:
RADIUS 计费服务器侦听特定端口上的用户数据报协议 (UDP) 数据包。例如,在 FreeRADIUS 上,默认端口为 1813。
当请求方通过 802.1X 身份验证然后连接到 LAN 时,交换机会将包含事件记录的计费-请求消息转发到计费服务器。交换机发送的计费-请求消息包括 RADIUS 属性 Acct-Status-Type,值为“开始”,表示此请求方的用户服务开始。计费服务器将此事件记录在计费日志文件中作为开始记录。
计费服务器向交换机发送一条计费响应消息,确认交换机已收到计费请求。如果交换机未收到服务器的响应,则继续发送计费请求,直到从计费服务器返回计费响应。
交换机可能会向计费服务器发送临时消息,以便定期使用与特定会话有关的信息更新服务器。临时消息以具有临时更新的 Acct-Status-Type 属性值作为计费请求消息发送。计费服务器将计费响应服务发送回交换机,以确认收到临时更新。
当请求人的会话结束时,交换机将转发一个计费-请求消息,其中 Acct-Status-Type 属性值设置为 Stop,表示最终用户服务。计费服务器将此事件记录在计费日志文件中作为停止记录,其中包含会话信息和会话长度。
通过此过程收集的统计信息可从 RADIUS 服务器显示。要查看这些统计信息,用户需要访问为接收这些统计信息而配置的计费日志文件。在 FreeRADIUS 上,文件名是服务器的地址,例如 122.69.1.250。
支持的 RADIUS 属性
RADIUS 计费统计信息通过从 NAS 发送到服务器的每个计费-请求消息中包含的属性传达。 表 1 列出了计费-请求消息支持的 RADIUS 属性。
类型 |
属性 |
说明 |
---|---|---|
1 |
用户名 |
经过身份验证的用户的名称。 |
5 |
NAS 端口 |
用于对用户进行身份验证的 NAS 的物理端口号。数据包中必须包含 NAS 端口或 NAS 端口 ID。 |
8 |
帧 IP 地址 |
已身份验证用户的 IP 地址。 注:
只有当 DHCP 侦听表中的主机存在有效的 DHCP 绑定时,才会发送帧的 IP 地址属性。 |
11 |
过滤器 ID |
用户的过滤器列表的名称。 |
12 |
帧 MTU |
可以为用户配置的最大传输单元。 |
26 |
客户端-System-name |
用于指示客户端主机名的供应商特定属性 (VSA)。仅支持 LLDP 的设备支持。 |
27 |
会话超时 |
设置会话终止之前或发出提示通知终止前保持活动状态的最大时间(以秒为单位)。 |
28 |
空闲超时 |
在会话或提示终止之前,允许用户的最大连续空闲连接秒数。 |
30 |
被叫站 ID |
使 NAS 能够使用拨号号码识别 (DNIS) 或类似技术识别用户呼叫的电话号码。 |
31 |
呼叫站-ID |
使用自动号码识别 (ANI) 或类似技术,使 NAS 能够识别呼叫的电话号码。 |
32 |
NAS 标识符 |
包含一个字符串,用于标识源自核算-请求消息的 NAS。 |
40 |
Acct-Status-Type |
指示此计费请求消息是标记用户会话的开始(开始)还是结束(停止)。也可用于临时更新(临时更新)。 |
44 |
Acct-Session-ID |
特定计费会话的唯一 ID,可用于匹配日志文件中某个会话的开始和停止记录。 |
45 |
Acct-Authentic |
指示用户是在本地、RADIUS 服务器还是另一个远程身份验证协议进行身份验证。 |
55 |
事件时间戳 |
记录事件发生的时间。 |
87 |
NAS 端口 ID |
用于标识对用户进行身份验证的端口的文本字符串。数据包中必须存在 NAS 端口或 NAS 端口 ID。 |
另请参阅
配置 802.1X RADIUS 计费(CLI 过程)
RADIUS 计费可以收集登录或退出 LAN 的用户统计数据,并将其发送到 RADIUS 计费服务器。收集的统计数据可用于执行常规网络监控,分析和跟踪使用模式,或者根据访问的时间量或服务类型向用户计费。
RADIUS 计费基于客户端/服务器模型,其中作为网络接入服务器 (NAS) 的交换机是客户端。客户端负责将用户计费统计信息转发到指定的 RADIUS 计费服务器。要配置 RADIUS 计费,请指定一个或多个 RADIUS 计费服务器以从交换机接收统计数据,并选择要收集的计费数据类型。
您指定的 RADIUS 计费服务器可以是用于 RADIUS 身份验证的同一服务器,也可以是单独的 RADIUS 服务器。您可以指定 RADIUS 计费服务器列表。如果主服务器(配置的第一个服务器)不可用,则按在 Junos OS 中配置服务器的顺序尝试列表中每个 RADIUS 服务器。
要使用 CLI 配置 RADIUS 计费: