802.1X 和 RADIUS 记帐
EX 系列交换机支持 RADIUS 记帐。您可以在 EX 系列交换机上配置 RADIUS 记帐,以收集有关登录或注销 LAN 的用户的统计数据,并将该数据发送到 RADIUS 记帐服务器。收集的数据用于网络监控目的。
了解交换机上的 802.1X 和 RADIUS 记帐
瞻博网络 EX 系列以太网交换机支持 IETF RFC 2866 RADIUS 记帐。通过在 EX 系列交换机上配置 RADIUS 记帐,您可以收集有关登录或注销 LAN 的用户的统计数据,并将这些数据发送到 RADIUS 记帐服务器。收集的统计数据可用于执行常规网络监控,分析和跟踪使用模式,或根据访问的时间或服务类型向用户计费。
RADIUS 会计流程
RADIUS 记帐基于客户端/服务器模型,在该模型中,作为网络访问服务器 (NAS) 运行的交换机是客户端。客户端将用户记帐统计信息转发到指定的 RADIUS 记帐服务器。RADIUS 记帐服务器在成功接收并记录记帐统计信息后,必须向客户端发送响应。
交换机和 RADIUS 服务器之间的 RADIUS 记帐过程基于两种类型的 RADIUS 消息的交换:记帐-请求和记帐-响应。计费请求消息从交换机发送到服务器,并传达用于说明提供给用户的服务的信息。记帐响应消息从服务器发送,以确认收到记帐请求数据包。交换机和服务器之间的消息交换按如下方式进行:
RADIUS 记帐服务器侦听特定端口上的用户数据报协议 (UDP) 数据包。例如,在 FreeRADIUS 上,默认端口为 1813。
当请求方通过 802.1X 身份验证进行身份验证,然后连接到 LAN 时,交换机会将包含事件记录的记帐请求消息转发到记帐服务器。交换机发送的记帐请求消息包括 RADIUS 属性 Acct-Status-Type,其值为 Start,指示此请求方的用户服务开始。记帐服务器将此事件记录在记帐日志文件中作为开始记录。
计费服务器将记帐响应消息发送回交换机,确认已收到记帐请求。如果交换机未收到来自服务器的响应,它将继续发送记帐请求,直到从记帐服务器返回记帐响应。
交换机可能会向记帐服务器发送临时消息,以定期向服务器更新与特定会话有关的信息。临时消息作为会计请求消息发送,Acct 状态类型属性值为临时更新。记帐服务器将记帐响应消息发送回交换机,以确认收到临时更新。
当请求方的会话结束时,交换机会转发一条记帐请求消息,并将 Acct-Status-Type 属性值设置为 Stop,指示用户服务结束。记帐服务器将此事件记录在记帐日志文件中,作为停止记录,其中包含会话信息和会话长度。
通过此过程收集的统计信息可以从 RADIUS 服务器显示。要查看这些统计信息,用户需要访问配置为接收这些统计信息的记帐日志文件。在 FreeRADIUS 上,文件名是服务器的地址 — 例如, 122.69.1.250.
支持的 RADIUS 属性
RADIUS 记帐统计信息通过从 NAS 发送到服务器的每条记帐请求消息中包含的属性进行传送。 表 1 列出记帐请求消息支持的 RADIUS 属性。
类型 |
属性 |
Description |
---|---|---|
1 |
用户名 |
经过身份验证的用户的名称。 |
5 |
NAS 端口 |
对用户进行身份验证的 NAS 的物理端口号。数据包中必须包含 NAS 端口或 NAS 端口 ID。 |
8 |
帧 IP 地址 |
经过身份验证的用户的 IP 地址。 注:
仅当 DHCP 侦听表中主机存在有效的 DHCP 绑定时,才会发送帧 IP 地址属性。 |
11 |
过滤器 ID |
用户的筛选器列表的名称。 |
12 |
成帧-MTU |
可以为用户配置的最大传输单位。 |
26 |
客户端系统名称 |
供应商特定属性 (VSA),用于指示客户端的主机名。仅支持支持 LLDP 的设备。 |
27 |
会话超时 |
设置会话在终止或发出通知其终止的提示之前保持活动状态的最长时间(以秒为单位)。 |
28 |
空闲超时 |
在会话或提示终止之前允许用户连续空闲连接的最大秒数。 |
30 |
呼叫站 ID |
使 NAS 能够使用被拨号码识别 (DNIS) 或类似技术识别用户呼叫的电话号码。 |
31 |
呼叫站-ID |
使 NAS 能够使用自动号码识别 (ANI) 或类似技术识别呼叫的电话号码。 |
32 |
网络存储标识符 |
包含一个字符串,用于标识发起记帐请求消息的 NAS。 |
40 |
状态类型 |
指示此记帐请求消息是标记用户会话的开始(开始)还是结束(停止)。也可用于临时更新(临时更新)。 |
44 |
会话标识 |
特定记帐会话的唯一 ID,可用于匹配日志文件中会话的开始和停止记录。 |
45 |
正宗 |
指示用户是在本地、由 RADIUS 服务器还是通过其他远程身份验证协议进行身份验证。 |
5500 万 |
事件时间戳 |
记录事件发生的时间。 |
87 |
网络存储端口 ID |
标识对用户进行身份验证的端口的文本字符串。数据包中必须存在 NAS 端口或 NAS 端口 ID。 |
另请参阅
配置 802.1X RADIUS 记帐(CLI 过程)
通过 RADIUS 记帐,可以收集有关登录或注销 LAN 的用户的统计数据,并将其发送到 RADIUS 记帐服务器。收集的统计数据可用于执行常规网络监控,分析和跟踪使用模式,或根据访问的时间或服务类型向用户计费。
RADIUS 记帐基于客户端/服务器模型,在该模型中,作为网络访问服务器 (NAS) 运行的交换机是客户端。客户端负责将用户记帐统计信息转发到指定的 RADIUS 记帐服务器。要配置 RADIUS 记帐,请指定一个或多个 RADIUS 记帐服务器以接收来自交换机的统计数据,然后选择要收集的记帐数据类型。
您指定的 RADIUS 记帐服务器可以是用于 RADIUS 身份验证的同一服务器,也可以是单独的 RADIUS 服务器。您可以指定 RADIUS 记帐服务器的列表。如果主服务器(配置的第一个服务器)不可用,则会按照在 Junos OS 中配置服务器的顺序尝试列表中的每个 RADIUS 服务器。
要使用 CLI 配置 RADIUS 记帐,请执行以下操作: