Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
EN ESTA PÁGINA
 

Contabilidad 802.1X y RADIUS

Los conmutadores de la serie EX admiten la contabilidad RADIUS. Puede configurar la contabilidad RADIUS en un conmutador de la serie EX para recopilar datos estadísticos sobre los usuarios que inician o cierran sesión en una LAN y enviar esos datos a un servidor de contabilidad RADIUS. Los datos recopilados se utilizan para fines de monitoreo de red.

Descripción de la contabilidad 802.1X y RADIUS en conmutadores

Los conmutadores Ethernet de la serie EX de Juniper Networks admiten IETF RFC 2866, RADIUS Accounting. Al configurar la contabilidad RADIUS en un conmutador de la serie EX, puede recopilar datos estadísticos sobre los usuarios que inician o cierran sesión en una LAN y enviar esos datos a un servidor de contabilidad RADIUS. Los datos estadísticos recopilados se pueden utilizar para realizar un monitoreo general de la red, para analizar y rastrear patrones de uso, o para facturar a un usuario en función de la cantidad de tiempo o el tipo de servicios accedidos.

Proceso contable RADIUS

La contabilidad RADIUS se basa en un modelo cliente/servidor en el que el conmutador, que funciona como el servidor de acceso a la red (NAS), es el cliente. El cliente reenvía las estadísticas contables de usuario a un servidor de contabilidad RADIUS designado. El servidor de contabilidad RADIUS debe enviar una respuesta al cliente cuando haya recibido y registrado correctamente las estadísticas contables.

El proceso de contabilidad RADIUS entre un conmutador y un servidor RADIUS se basa en el intercambio de dos tipos de mensajes RADIUS: solicitud de contabilidad y respuesta contable. Los mensajes de solicitud de contabilidad se envían desde el conmutador al servidor y transmiten información utilizada para contabilizar un servicio proporcionado a un usuario. Los mensajes de respuesta de contabilidad se envían desde el servidor para acusar recibo de los paquetes de solicitud de contabilidad. El intercambio de mensajes entre el conmutador y el servidor se realiza de la siguiente manera:

  1. Un servidor de contabilidad RADIUS escucha los paquetes del Protocolo de datagramas de usuario (UDP) en un puerto específico. Por ejemplo, en FreeRADIUS, el puerto predeterminado es 1813.

  2. Cuando un suplicante se autentica mediante la autenticación 802.1X y, a continuación, se conecta a la LAN, el conmutador reenvía un mensaje de solicitud de contabilidad con un registro del evento al servidor de contabilidad. El mensaje Accounting-Request enviado por el conmutador incluye el atributo RADIUS Acct-Status-Type con el valor Start, que indica el inicio del servicio de usuario para este suplicante. El servidor de contabilidad registra este evento en el archivo de registro de contabilidad como un registro de inicio.

  3. El servidor de contabilidad envía un mensaje Accounting-Response al conmutador confirmando que recibió la solicitud de contabilidad. Si el conmutador no recibe una respuesta del servidor, continuará enviando solicitudes de auditoría hasta que se devuelva una respuesta de contabilidad desde el servidor de contabilidad.

  4. El conmutador puede enviar un mensaje provisional al servidor de contabilidad para actualizar periódicamente el servidor con información relativa a una sesión específica. Los mensajes provisionales se envían como mensajes Accounting-Request con el valor de atributo Acct-Status-Type de Interim-Update. El servidor de contabilidad envía un mensaje de respuesta de contabilidad al conmutador para confirmar la recepción de una actualización provisional.

  5. Cuando finaliza la sesión del suplicante, el conmutador reenvía un mensaje Accounting-Request con el valor del atributo Acct-Status-Type establecido en Stop, lo que indica el final del servicio de usuario. El servidor de contabilidad registra este evento en el archivo de registro de contabilidad como un registro de detención que contiene información de sesión y la duración de la sesión.

Las estadísticas recopiladas a través de este proceso se pueden mostrar desde el servidor RADIUS. Para ver esas estadísticas, el usuario debe acceder al archivo de registro de contabilidad configurado para recibirlas. En FreeRADIUS, el nombre de archivo es la dirección del servidor, por ejemplo, 122.69.1.250.

Atributos RADIUS admitidos

Las estadísticas contables de RADIUS se transmiten a través de los atributos incluidos en cada mensaje de solicitud de contabilidad enviado desde el NAS al servidor. Tabla 1 enumerar los atributos RADIUS admitidos para los mensajes de solicitud de contabilidad.

Tabla 1: Atributos de solicitud de contabilidad RADIUS

Tipo

Atributo

Description

1

Nombre de usuario

Nombre del usuario autenticado.

5

Puerto NAS

El número de puerto físico del NAS que autentica al usuario. El NAS-Port o el NAS-Port-ID deben estar incluidos en el paquete.

8

Dirección IP enmarcada

La dirección IP del usuario autenticado.

Nota:

El atributo Framed-IP-Address sólo se envía si existe un enlace DHCP válido para el host en la tabla de espionaje DHCP.

11

ID de filtro

Nombre de la lista de filtros del usuario.

12

MTU enmarcada

La unidad de transmisión máxima que se puede configurar para el usuario.

26

Nombre-sistema-cliente

Atributo específico del proveedor (VSA) utilizado para indicar el nombre de host del cliente. Solo es compatible con dispositivos compatibles con LLDP.

27

Tiempo de espera de sesión

Establece el tiempo máximo (en segundos) que una sesión permanece activa antes de que finalice o se emita un mensaje notificando su finalización.

28

Tiempo de espera de inactividad

Número máximo de segundos consecutivos de conexión inactiva permitida al usuario antes de que finalice la sesión o el mensaje.

30

Id. de estación llamada

Permite que el NAS identifique el número de teléfono al que llamó el usuario, utilizando la identificación de número marcado (DNIS) o una tecnología similar.

31

Id. de estación de llamadas

Permite que el NAS identifique el número de teléfono del que proviene la llamada, utilizando la identificación automática de números (ANI) o una tecnología similar.

32

Identificador NAS

Contiene una cadena que identifica el NAS que origina el mensaje Accounting-Request.

40

Acct-Status-Type

Indica si este mensaje de solicitud de contabilidad marca el comienzo (inicio) o el final (detención) de la sesión de usuario. También se puede utilizar para una actualización provisional (Interim-Update).

44

Acct-Session-ID

Un identificador único para una sesión de contabilidad específica que se puede usar para hacer coincidir los registros de inicio y detención de una sesión en el archivo de registro.

45

Acct-Auténtico

Indica si el usuario se autenticó localmente, mediante el servidor RADIUS u otro protocolo de autenticación remota.

55

Marca de tiempo del evento

Registra la hora en que ocurrió un evento.

87

ID de puerto NAS

Cadena de texto que identifica el puerto que autentica al usuario. El NAS-Port o el NAS-Port-ID deben estar presentes en el paquete.

Consulte también

Configuración de la contabilidad RADIUS 802.1X (procedimiento de la CLI)

La contabilidad RADIUS permite recopilar datos estadísticos sobre los usuarios que inician o cierran sesión en una LAN y enviarlos a un servidor de contabilidad RADIUS. Los datos estadísticos recopilados se pueden utilizar para realizar un monitoreo general de la red, para analizar y rastrear patrones de uso, o para facturar a un usuario en función de la cantidad de tiempo o el tipo de servicios accedidos.

La contabilidad RADIUS se basa en un modelo cliente/servidor en el que el conmutador, que funciona como el servidor de acceso a la red (NAS), es el cliente. El cliente es responsable de reenviar las estadísticas contables de usuario a un servidor de contabilidad RADIUS designado. Para configurar la contabilidad RADIUS, especifique uno o varios servidores de contabilidad RADIUS para recibir los datos estadísticos del conmutador y seleccione el tipo de datos contables que se van a recopilar.

El servidor de contabilidad RADIUS que especifique puede ser el mismo servidor utilizado para la autenticación RADIUS o puede ser un servidor RADIUS independiente. Puede especificar una lista de servidores de contabilidad RADIUS. Si el servidor principal (el primero configurado) no está disponible, se prueba cada servidor RADIUS de la lista en el orden en que están configurados en Junos OS.

Para configurar la contabilidad de RADIUS mediante la CLI:

  1. Configure un perfil de acceso y especifique los servidores de contabilidad a los que el conmutador reenvía las estadísticas contables:
  2. Defina la dirección de los servidores de contabilidad RADIUS y configure la contraseña secreta (la contraseña secreta del conmutador debe coincidir con la contraseña secreta del servidor):
  3. Habilite la contabilidad para el perfil de acceso:
  4. Configure el orden contable, convirtiendo a RADIUS en el primer método para enviar mensajes y actualizaciones de contabilidad:
  5. Configure las estadísticas que se recopilarán en el conmutador y se reenviarán al servidor de contabilidad:
  6. (Opcional) Configure el conmutador para enviar actualizaciones periódicas para una sesión de usuario en un intervalo especificado al servidor de contabilidad:
  7. Muestre las estadísticas contables recopiladas en el conmutador mediante el comando, por ejemplo:show network-access aaa statistics accounting
  8. Abra un registro de contabilidad en el servidor de contabilidad RADIUS utilizando la dirección del servidor y vea las estadísticas contables, por ejemplo:

Consulte también

Temas relacionados