Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

802.1X und RADIUS-Abrechnung

Switches der EX-Serie unterstützen RADIUS-Accounting. Sie können die RADIUS-Kontoführung auf einem Switch der EX-Serie so konfigurieren, dass statistische Daten über Benutzer erfasst werden, die sich bei einem LAN an- oder abmelden, und diese Daten an einen RADIUS-Kontoführungsserver senden. Die gesammelten Daten werden zu Zwecken der Netzwerküberwachung verwendet.

Grundlegendes zur 802.1X- und RADIUS-Kontoführung auf Switches

Die Ethernet-Switches der EX-Serie von Juniper Networks unterstützen IETF RFC 2866, RADIUS Accounting. Durch die Konfiguration der RADIUS-Kontoführung auf einem Switch der EX-Serie können Sie statistische Daten über Benutzer erfassen, die sich bei einem LAN an- oder abmelden, und diese Daten an einen RADIUS-Kontoführungsserver senden. Die gesammelten statistischen Daten können verwendet werden, um eine allgemeine Netzwerküberwachung durchzuführen, Nutzungsmuster zu analysieren und zu verfolgen oder um einem Benutzer die Zeit oder die Art der genutzten Dienste in Rechnung zu stellen.

RADIUS-Abrechnungsprozess

Die RADIUS-Abrechnung basiert auf einem Client/Server-Modell, bei dem der Switch, der als Network Access Server (NAS) fungiert, der Client ist. Der Client leitet die Kontoverwaltungsstatistiken des Benutzers an einen bestimmten RADIUS-Kontoführungsserver weiter. Der RADIUS-Kontoführungsserver muss eine Antwort an den Client senden, wenn er die Abrechnungsstatistiken erfolgreich empfangen und aufgezeichnet hat.

Der RADIUS-Accounting-Prozess zwischen einem Switch und einem RADIUS-Server basiert auf dem Austausch von zwei Arten von RADIUS-Nachrichten: Accounting-Request und Accounting-Response. Accounting-Request-Nachrichten werden vom Switch an den Server gesendet und übermitteln Informationen, die für die Abrechnung eines einem Benutzer bereitgestellten Dienstes verwendet werden. Accounting-Response-Nachrichten werden vom Server gesendet, um den Empfang der Accounting-Request-Pakete zu bestätigen. Der Austausch von Nachrichten zwischen dem Switch und dem Server läuft wie folgt ab:

  1. Ein RADIUS-Accounting-Server lauscht auf UDP-Pakete (User Datagram Protocol) an einem bestimmten Port. Auf FreeRADIUS ist der Standardport beispielsweise 1813.

  2. Wenn ein Supplicant über die 802.1X-Authentifizierung authentifiziert und dann mit dem LAN verbunden wird, leitet der Switch eine Accounting-Request-Nachricht mit einem Datensatz des Ereignisses an den Accounting-Server weiter. Die vom Switch gesendete Accounting-Request-Nachricht enthält das RADIUS-Attribut Acct-Status-Type mit dem Wert Start, der den Beginn des Benutzerdienstes für diesen Supplicant angibt. Der Accounting-Server zeichnet dieses Ereignis in der Accounting-Protokolldatei als Startdatensatz auf.

  3. Der Accounting-Server sendet eine Accounting-Response-Nachricht zurück an den Switch, in der bestätigt wird, dass er die Accounting-Anforderung erhalten hat. Wenn der Switch keine Antwort vom Server empfängt, sendet er weiterhin Kontoführungsanforderungen, bis eine Abrechnungsantwort vom Abrechnungsserver zurückgegeben wird.

  4. Der Switch sendet möglicherweise eine Zwischennachricht an den Accounting-Server, um den Server regelmäßig mit Informationen zu einer bestimmten Sitzung zu aktualisieren. Zwischennachrichten werden als Accounting-Request-Nachrichten mit dem Attributwert Acct-Status-Type von Interim-Update gesendet. Der Accounting-Server sendet eine Accounting-Response-Nachricht an den Switch zurück, um den Empfang eines Zwischenupdates zu bestätigen.

  5. Wenn die Sitzung des Supplicants beendet wird, leitet der Switch eine Accounting-Request-Nachricht weiter, bei der der Attributwert Acct-Status-Type auf Stop festgelegt ist und das Ende des Benutzerdienstes angibt. Der Accounting-Server zeichnet dieses Ereignis in der Accounting-Protokolldatei als Stopp-Datensatz auf, der Sitzungsinformationen und die Länge der Sitzung enthält.

Die durch diesen Prozess gesammelten Statistiken können vom RADIUS-Server angezeigt werden. Um diese Statistiken anzuzeigen, muss der Benutzer auf die Abrechnungsprotokolldatei zugreifen, die für den Empfang dieser Statistiken konfiguriert ist. Bei FreeRADIUS ist der Dateiname die Adresse des Servers, z. B. 122.69.1.250.

Unterstützte RADIUS-Attribute

RADIUS-Abrechnungsstatistiken werden über die Attribute übertragen, die in jeder Accounting-Request-Nachricht enthalten sind, die vom NAS an den Server gesendet wird. Tabelle 1 Listen Sie die RADIUS-Attribute auf, die für Accounting-Request-Nachrichten unterstützt werden.

Tabelle 1: RADIUS-Attribute für Accounting-Anforderungen

Typ

Attribut

Beschreibung

1

Benutzername

Der Name des authentifizierten Benutzers.

5

NAS-Anschluss

Die physische Portnummer des NAS, der den Benutzer authentifiziert. Das Paket muss entweder NAS-Port oder NAS-Port-ID enthalten.

8

Framed-IP-Adresse

Die IP-Adresse des authentifizierten Benutzers.

HINWEIS:

Das Framed-IP-Address-Attribut wird nur gesendet, wenn eine gültige DHCP-Bindung für den Host in der DHCP-Snooping-Tabelle vorhanden ist.

11

Filter-ID

Der Name der Filterliste für den Benutzer.

12

Gerahmte MTU

Die maximale Übertragungseinheit, die für den Benutzer konfiguriert werden kann.

26

Client-Systemname

Anbieterspezifisches Attribut (VSA), das den Hostnamen des Clients angibt. Wird nur für LLDP-fähige Geräte unterstützt.

27

Sitzungs-Timeout

Legt die maximale Zeit (in Sekunden) fest, die eine Sitzung aktiv bleibt, bevor sie beendet wird oder eine Eingabeaufforderung ausgegeben wird, die über ihre Beendigung informiert wird.

28

Leerlauf-Zeitüberschreitung

Die maximale Anzahl von aufeinanderfolgenden Sekunden einer Verbindung im Leerlauf, die dem Benutzer vor dem Beenden der Sitzung oder Eingabeaufforderung zulässig ist.

30

Angerufene-Station-ID

Ermöglicht es dem NAS, die Telefonnummer, die der Benutzer angerufen hat, mithilfe von DNIS (Dialed Number Identification) oder einer ähnlichen Technologie zu identifizieren.

31

Anrufen-Station-ID

Ermöglicht es dem NAS, die Telefonnummer, von der der Anruf kam, mithilfe der automatischen Nummernidentifikation (Automatic Number Identification, ANI) oder einer ähnlichen Technologie zu identifizieren.

32

NAS-Kennung

Enthält eine Zeichenfolge, die den NAS identifiziert, von dem die Accounting-Request-Nachricht stammt.

40

Acct-Status-Typ

Gibt an, ob diese Accounting-Request-Meldung den Beginn (Start) oder das Ende (Stop) der Benutzersitzung markiert. Kann auch für ein Zwischenupdate (Interim-Update) verwendet werden.

44

Acct-Session-ID

Eine eindeutige ID für eine bestimmte Abrechnungssitzung, die verwendet werden kann, um Start- und Stoppdatensätze für eine Sitzung in der Protokolldatei abzugleichen.

45

Acct-Authentic

Gibt an, ob der Benutzer lokal, vom RADIUS-Server oder von einem anderen Remoteauthentifizierungsprotokoll authentifiziert wurde.

55

Ereignis-Zeitstempel

Zeichnet den Zeitpunkt auf, zu dem ein Ereignis aufgetreten ist.

87

NAS-Port-ID

Textzeichenfolge, die den Port identifiziert, der den Benutzer authentifiziert. Im Paket muss entweder NAS-Port oder NAS-Port-ID vorhanden sein.

Konfigurieren der 802.1X-RADIUS-Kontoführung (CLI-Verfahren)

Mit RADIUS-Accounting können statistische Daten über Benutzer, die sich bei einem LAN an- oder abmelden, gesammelt und an einen RADIUS-Accounting-Server gesendet werden. Die gesammelten statistischen Daten können verwendet werden, um eine allgemeine Netzwerküberwachung durchzuführen, Nutzungsmuster zu analysieren und zu verfolgen oder um einem Benutzer die Zeit oder die Art der genutzten Dienste in Rechnung zu stellen.

Die RADIUS-Abrechnung basiert auf einem Client/Server-Modell, bei dem der Switch, der als Network Access Server (NAS) fungiert, der Client ist. Der Client ist für die Weiterleitung von Benutzerkontostatistiken an einen bestimmten RADIUS-Kontoführungsserver verantwortlich. Um die RADIUS-Kontoführung zu konfigurieren, geben Sie einen oder mehrere RADIUS-Kontoführungsserver an, um die statistischen Daten vom Switch zu empfangen, und wählen Sie den Typ der zu erfassenden Kontoführungsdaten aus.

Der von Ihnen angegebene RADIUS-Kontoführungsserver kann derselbe Server sein, der für die RADIUS-Authentifizierung verwendet wird, oder es kann sich um einen separaten RADIUS-Server handeln. Sie können eine Liste von RADIUS-Kontoführungsservern angeben. Wenn der primäre Server (der erste konfigurierte) nicht verfügbar ist, wird jeder RADIUS-Server in der Liste in der Reihenfolge ausprobiert, in der die Server in Junos OS konfiguriert sind.

So konfigurieren Sie die RADIUS-Kontoführung mithilfe der CLI:

  1. Konfigurieren Sie ein Zugriffsprofil, und geben Sie die Accounting-Server an, an die der Switch Accounting-Statistiken weiterleitet:
  2. Definieren Sie die Adresse der RADIUS-Accounting-Server und konfigurieren Sie das geheime Kennwort (das geheime Kennwort auf dem Switch muss mit dem geheimen Kennwort auf dem Server übereinstimmen):
  3. Aktivieren Sie die Kontoführung für das Zugriffsprofil:
  4. Konfigurieren Sie den Buchhaltungsauftrag, wodurch RADIUS zur ersten Methode zum Senden von Buchhaltungsnachrichten und -aktualisierungen wird:
  5. Konfigurieren Sie die Statistiken, die auf dem Switch erfasst und an den Accounting-Server weitergeleitet werden sollen:
  6. (Optional) Konfigurieren Sie den Switch so, dass regelmäßige Updates für eine Benutzersitzung in einem bestimmten Intervall an den Accounting-Server gesendet werden:
  7. Zeigen Sie die auf dem Switch erfassten Abrechnungsstatistiken mit dem folgenden Befehl an, z. B.:show network-access aaa statistics accounting
  8. Öffnen Sie ein Kontoführungsprotokoll auf dem RADIUS-Kontoführungsserver, indem Sie die Adresse des Servers verwenden, und zeigen Sie Kontoverwaltungsstatistiken an, z. B.: