Comptabilité 802.1X et RADIUS
Les commutateurs EX Series prennent en charge la comptabilité RADIUS. Vous pouvez configurer la comptabilité RADIUS sur un commutateur EX Series pour collecter des données statistiques sur les utilisateurs se connectant ou se déconnectant d’un réseau local et envoyer ces données à un serveur de comptabilité RADIUS. Les données recueillies sont utilisées à des fins de surveillance du réseau.
Comprendre la comptabilité 802.1X et RADIUS sur les commutateurs
Juniper Networks EX Series Commutateurs Ethernet prennent en charge IETF RFC 2866, RADIUS Accounting. En configurant la comptabilité RADIUS sur un commutateur EX Series, vous pouvez collecter des données statistiques sur les utilisateurs qui se connectent ou se déconnectent d’un réseau local et envoyer ces données à un serveur de comptabilité RADIUS. Les données statistiques recueillies peuvent être utilisées pour effectuer une surveillance générale du réseau, pour analyser et suivre les habitudes d’utilisation, ou pour facturer un utilisateur en fonction de la durée ou du type de services consultés.
Processus comptable RADIUS
La comptabilité RADIUS est basée sur un modèle client/serveur dans lequel le commutateur, fonctionnant comme serveur d’accès réseau (NAS), est le client. Le client transmet les statistiques comptables des utilisateurs à un serveur comptable RADIUS désigné. Le serveur comptable RADIUS doit envoyer une réponse au client lorsqu’il a reçu et enregistré avec succès les statistiques comptables.
Le processus de comptabilisation RADIUS entre un commutateur et un serveur RADIUS repose sur l’échange de deux types de messages RADIUS : Comptabilité-Demande et Comptabilité-Réponse. Les messages de demande de comptabilité sont envoyés du commutateur au serveur et transmettent les informations utilisées pour rendre compte d’un service fourni à un utilisateur. Des messages Accounting-Response sont envoyés à partir du serveur pour accuser réception des paquets Accounting-Request. L’échange de messages entre le commutateur et le serveur se déroule comme suit :
Un serveur de comptabilité RADIUS écoute les paquets UDP (User Datagram Protocol) sur un port spécifique. Par exemple, sur FreeRADIUS, le port par défaut est 1813.
Lorsqu’un demandeur est authentifié via l’authentification 802.1X, puis connecté au réseau local, le commutateur transfère un message de demande de comptabilité avec un enregistrement de l’événement au serveur de comptabilité. Le message Accounting-Request envoyé par le commutateur inclut l’attribut RADIUS Acct-Status-Type avec la valeur Start, qui indique le début du service utilisateur pour ce demandeur. Le serveur comptable enregistre cet événement dans le fichier journal comptable en tant qu’enregistrement de démarrage.
Le serveur de comptabilité renvoie un message Comptabilité-Réponse au commutateur pour confirmer qu’il a bien reçu la demande de comptabilité. Si le commutateur ne reçoit pas de réponse du serveur, il continue d’envoyer des demandes de comptabilité jusqu’à ce qu’une réponse comptable soit renvoyée par le serveur de comptabilité.
Le commutateur peut envoyer un message provisoire au serveur de comptabilité pour mettre à jour périodiquement le serveur avec des informations relatives à une session spécifique. Les messages intermédiaires sont envoyés en tant que messages Accounting-Request avec la valeur d’attribut Acct-Status-Type de Interim-Update. Le serveur de comptabilité renvoie un message Comptabilité-Réponse au commutateur pour confirmer la réception d’une mise à jour intermédiaire.
À la fin de la session du demandeur, le commutateur transfère un message Accounting-Request avec la valeur d’attribut Acct-Status-Type définie sur Stop, ce qui indique la fin du service utilisateur. Le serveur de comptabilité enregistre cet événement dans le fichier journal comptable en tant qu’enregistrement d’arrêt contenant les informations de session et la durée de la session.
Les statistiques collectées par ce processus peuvent être affichées à partir du serveur RADIUS. Pour consulter ces statistiques, l’utilisateur doit accéder au fichier journal comptable configuré pour les recevoir. Sur FreeRADIUS, le nom de fichier est l’adresse du serveur, par exemple, 122.69.1.250.
Attributs RADIUS pris en charge
Les statistiques comptables RADIUS sont transmises par le biais des attributs inclus dans chaque message de demande de comptabilité envoyé par le NAS au serveur. Tableau 1 répertorie les attributs RADIUS pris en charge pour les messages de demande de comptabilité.
Type |
Attribut |
Description |
---|---|---|
1 |
Nom d’utilisateur |
Nom de l’utilisateur authentifié. |
5 |
Port NAS |
Numéro de port physique du NAS qui authentifie l’utilisateur. Le paquet doit contenir NAS-Port ou NAS-Port-ID. |
8 |
Adresse IP cadrée |
Adresse IP de l’utilisateur authentifié. REMARQUE :
L’attribut Framed-IP-Address n’est envoyé que s’il existe une liaison DHCP valide pour l’hôte dans la table d’écoute DHCP. |
11 |
ID de filtre |
Nom de la liste de filtres de l’utilisateur. |
12 |
MTU cadré |
Unité de transmission maximale pouvant être configurée pour l’utilisateur. |
26 |
Nom_système-client |
Attribut spécifique au fournisseur (VSA) utilisé pour indiquer le nom d’hôte du client. Pris en charge pour les équipements compatibles LLDP uniquement. |
27 |
Délai d’expiration de la session |
Définit la durée maximale (en secondes) pendant laquelle une session reste active avant qu’elle ne se termine ou qu’une invite ne soit émise pour notifier son arrêt. |
28 |
Délai d’inactivité |
Nombre maximal de secondes consécutives de connexion inactive autorisées à l’utilisateur avant l’arrêt de la session ou de l’invite. |
30 |
ID de la station appelée |
Permet au NAS d’identifier le numéro de téléphone que l’utilisateur a appelé, à l’aide de l’identification par numéro composé (DNIS) ou d’une technologie similaire. |
31 |
ID de la station d’appel |
Permet au NAS d’identifier le numéro de téléphone d’où provient l’appel, à l’aide de l’identification automatique du numéro (ANI) ou d’une technologie similaire. |
32 |
Identificateur NAS |
Contient une chaîne identifiant le NAS à l’origine du message Accounting-Request. |
40 |
Acct-Status-Type |
Indique si ce message Accounting-Request marque le début (Start) ou la fin (Stop) de la session utilisateur. Peut également être utilisé pour une mise à jour intermédiaire (Interim-Update). |
44 |
Acct-Session-ID |
ID unique pour une session comptable spécifique qui peut être utilisé pour faire correspondre les enregistrements de début et d’arrêt d’une session dans le fichier journal. |
45 |
Compte-Authentique |
Indique si l’utilisateur a été authentifié localement, par le serveur RADIUS ou par un autre protocole d’authentification à distance. |
55 |
Horodatage d’événement |
Enregistre l’heure à laquelle un événement s’est produit. |
87 |
ID de port NAS |
Chaîne de texte identifiant le port authentifiant l’utilisateur. NAS-Port ou NAS-Port-ID doit être présent dans le paquet. |
Voir également
Configuration de la comptabilité RADIUS 802.1X (procédure CLI)
La comptabilité RADIUS permet de collecter des données statistiques sur les utilisateurs qui se connectent ou se déconnectent d’un réseau local et de les envoyer à un serveur de comptabilité RADIUS. Les données statistiques recueillies peuvent être utilisées pour effectuer une surveillance générale du réseau, pour analyser et suivre les habitudes d’utilisation, ou pour facturer un utilisateur en fonction de la durée ou du type de services consultés.
La comptabilité RADIUS est basée sur un modèle client/serveur dans lequel le commutateur, fonctionnant comme serveur d’accès réseau (NAS), est le client. Le client est responsable de la transmission des statistiques comptables des utilisateurs à un serveur de comptabilité RADIUS désigné. Pour configurer la comptabilité RADIUS, spécifiez un ou plusieurs serveurs de comptabilité RADIUS pour recevoir les données statistiques du commutateur, puis sélectionnez le type de données comptables à collecter.
Le serveur de comptabilité RADIUS que vous spécifiez peut être le même serveur que celui utilisé pour l’authentification RADIUS, ou il peut s’agir d’un serveur RADIUS distinct. Vous pouvez spécifier une liste de serveurs comptables RADIUS. Si le serveur principal (le premier configuré) n’est pas disponible, chaque serveur RADIUS de la liste est essayé dans l’ordre dans lequel les serveurs sont configurés dans Junos OS.
Pour configurer la comptabilité RADIUS à l’aide de l’interface de ligne de commande :