Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
Sur cette page
 

Comptabilité 802.1X et RADIUS

Les commutateurs EX Series prennent en charge la comptabilité RADIUS. Vous pouvez configurer la comptabilité RADIUS sur un commutateur EX Series pour collecter des données statistiques sur les utilisateurs se connectant ou se déconnectant d’un réseau local et envoyer ces données à un serveur de comptabilité RADIUS. Les données recueillies sont utilisées à des fins de surveillance du réseau.

Comprendre la comptabilité 802.1X et RADIUS sur les commutateurs

Juniper Networks EX Series Commutateurs Ethernet prennent en charge IETF RFC 2866, RADIUS Accounting. En configurant la comptabilité RADIUS sur un commutateur EX Series, vous pouvez collecter des données statistiques sur les utilisateurs qui se connectent ou se déconnectent d’un réseau local et envoyer ces données à un serveur de comptabilité RADIUS. Les données statistiques recueillies peuvent être utilisées pour effectuer une surveillance générale du réseau, pour analyser et suivre les habitudes d’utilisation, ou pour facturer un utilisateur en fonction de la durée ou du type de services consultés.

Processus comptable RADIUS

La comptabilité RADIUS est basée sur un modèle client/serveur dans lequel le commutateur, fonctionnant comme serveur d’accès réseau (NAS), est le client. Le client transmet les statistiques comptables des utilisateurs à un serveur comptable RADIUS désigné. Le serveur comptable RADIUS doit envoyer une réponse au client lorsqu’il a reçu et enregistré avec succès les statistiques comptables.

Le processus de comptabilisation RADIUS entre un commutateur et un serveur RADIUS repose sur l’échange de deux types de messages RADIUS : Comptabilité-Demande et Comptabilité-Réponse. Les messages de demande de comptabilité sont envoyés du commutateur au serveur et transmettent les informations utilisées pour rendre compte d’un service fourni à un utilisateur. Des messages Accounting-Response sont envoyés à partir du serveur pour accuser réception des paquets Accounting-Request. L’échange de messages entre le commutateur et le serveur se déroule comme suit :

  1. Un serveur de comptabilité RADIUS écoute les paquets UDP (User Datagram Protocol) sur un port spécifique. Par exemple, sur FreeRADIUS, le port par défaut est 1813.

  2. Lorsqu’un demandeur est authentifié via l’authentification 802.1X, puis connecté au réseau local, le commutateur transfère un message de demande de comptabilité avec un enregistrement de l’événement au serveur de comptabilité. Le message Accounting-Request envoyé par le commutateur inclut l’attribut RADIUS Acct-Status-Type avec la valeur Start, qui indique le début du service utilisateur pour ce demandeur. Le serveur comptable enregistre cet événement dans le fichier journal comptable en tant qu’enregistrement de démarrage.

  3. Le serveur de comptabilité renvoie un message Comptabilité-Réponse au commutateur pour confirmer qu’il a bien reçu la demande de comptabilité. Si le commutateur ne reçoit pas de réponse du serveur, il continue d’envoyer des demandes de comptabilité jusqu’à ce qu’une réponse comptable soit renvoyée par le serveur de comptabilité.

  4. Le commutateur peut envoyer un message provisoire au serveur de comptabilité pour mettre à jour périodiquement le serveur avec des informations relatives à une session spécifique. Les messages intermédiaires sont envoyés en tant que messages Accounting-Request avec la valeur d’attribut Acct-Status-Type de Interim-Update. Le serveur de comptabilité renvoie un message Comptabilité-Réponse au commutateur pour confirmer la réception d’une mise à jour intermédiaire.

  5. À la fin de la session du demandeur, le commutateur transfère un message Accounting-Request avec la valeur d’attribut Acct-Status-Type définie sur Stop, ce qui indique la fin du service utilisateur. Le serveur de comptabilité enregistre cet événement dans le fichier journal comptable en tant qu’enregistrement d’arrêt contenant les informations de session et la durée de la session.

Les statistiques collectées par ce processus peuvent être affichées à partir du serveur RADIUS. Pour consulter ces statistiques, l’utilisateur doit accéder au fichier journal comptable configuré pour les recevoir. Sur FreeRADIUS, le nom de fichier est l’adresse du serveur, par exemple, 122.69.1.250.

Attributs RADIUS pris en charge

Les statistiques comptables RADIUS sont transmises par le biais des attributs inclus dans chaque message de demande de comptabilité envoyé par le NAS au serveur. Tableau 1 répertorie les attributs RADIUS pris en charge pour les messages de demande de comptabilité.

Tableau 1 : Attributs de la demande de comptabilité RADIUS

Type

Attribut

Description

1

Nom d’utilisateur

Nom de l’utilisateur authentifié.

5

Port NAS

Numéro de port physique du NAS qui authentifie l’utilisateur. Le paquet doit contenir NAS-Port ou NAS-Port-ID.

8

Adresse IP cadrée

Adresse IP de l’utilisateur authentifié.

REMARQUE :

L’attribut Framed-IP-Address n’est envoyé que s’il existe une liaison DHCP valide pour l’hôte dans la table d’écoute DHCP.

11

ID de filtre

Nom de la liste de filtres de l’utilisateur.

12

MTU cadré

Unité de transmission maximale pouvant être configurée pour l’utilisateur.

26

Nom_système-client

Attribut spécifique au fournisseur (VSA) utilisé pour indiquer le nom d’hôte du client. Pris en charge pour les équipements compatibles LLDP uniquement.

27

Délai d’expiration de la session

Définit la durée maximale (en secondes) pendant laquelle une session reste active avant qu’elle ne se termine ou qu’une invite ne soit émise pour notifier son arrêt.

28

Délai d’inactivité

Nombre maximal de secondes consécutives de connexion inactive autorisées à l’utilisateur avant l’arrêt de la session ou de l’invite.

30

ID de la station appelée

Permet au NAS d’identifier le numéro de téléphone que l’utilisateur a appelé, à l’aide de l’identification par numéro composé (DNIS) ou d’une technologie similaire.

31

ID de la station d’appel

Permet au NAS d’identifier le numéro de téléphone d’où provient l’appel, à l’aide de l’identification automatique du numéro (ANI) ou d’une technologie similaire.

32

Identificateur NAS

Contient une chaîne identifiant le NAS à l’origine du message Accounting-Request.

40

Acct-Status-Type

Indique si ce message Accounting-Request marque le début (Start) ou la fin (Stop) de la session utilisateur. Peut également être utilisé pour une mise à jour intermédiaire (Interim-Update).

44

Acct-Session-ID

ID unique pour une session comptable spécifique qui peut être utilisé pour faire correspondre les enregistrements de début et d’arrêt d’une session dans le fichier journal.

45

Compte-Authentique

Indique si l’utilisateur a été authentifié localement, par le serveur RADIUS ou par un autre protocole d’authentification à distance.

55

Horodatage d’événement

Enregistre l’heure à laquelle un événement s’est produit.

87

ID de port NAS

Chaîne de texte identifiant le port authentifiant l’utilisateur. NAS-Port ou NAS-Port-ID doit être présent dans le paquet.

Voir également

Configuration de la comptabilité RADIUS 802.1X (procédure CLI)

La comptabilité RADIUS permet de collecter des données statistiques sur les utilisateurs qui se connectent ou se déconnectent d’un réseau local et de les envoyer à un serveur de comptabilité RADIUS. Les données statistiques recueillies peuvent être utilisées pour effectuer une surveillance générale du réseau, pour analyser et suivre les habitudes d’utilisation, ou pour facturer un utilisateur en fonction de la durée ou du type de services consultés.

La comptabilité RADIUS est basée sur un modèle client/serveur dans lequel le commutateur, fonctionnant comme serveur d’accès réseau (NAS), est le client. Le client est responsable de la transmission des statistiques comptables des utilisateurs à un serveur de comptabilité RADIUS désigné. Pour configurer la comptabilité RADIUS, spécifiez un ou plusieurs serveurs de comptabilité RADIUS pour recevoir les données statistiques du commutateur, puis sélectionnez le type de données comptables à collecter.

Le serveur de comptabilité RADIUS que vous spécifiez peut être le même serveur que celui utilisé pour l’authentification RADIUS, ou il peut s’agir d’un serveur RADIUS distinct. Vous pouvez spécifier une liste de serveurs comptables RADIUS. Si le serveur principal (le premier configuré) n’est pas disponible, chaque serveur RADIUS de la liste est essayé dans l’ordre dans lequel les serveurs sont configurés dans Junos OS.

Pour configurer la comptabilité RADIUS à l’aide de l’interface de ligne de commande :

  1. Configurez un profil d’accès et spécifiez les serveurs comptables auxquels le commutateur transfère les statistiques comptables :
  2. Définissez l’adresse des serveurs comptables RADIUS et configurez le mot de passe secret (le mot de passe secret sur le commutateur doit correspondre au mot de passe secret sur le serveur) :
  3. Activez la comptabilisation du profil d’accès :
  4. Configurez l’ordre comptable, en faisant de RADIUS la première méthode d’envoi des messages comptables et des mises à jour :
  5. Configurez les statistiques à collecter sur le commutateur et à transmettre au serveur de comptabilité :
  6. (Facultatif) Configurez le commutateur pour qu’il envoie des mises à jour périodiques pour une session utilisateur à un intervalle spécifié au serveur de comptabilité :
  7. Affichez les statistiques comptables collectées sur le commutateur à l’aide de la show network-access aaa statistics accounting commande, par exemple :
  8. Ouvrez un journal comptable sur le serveur comptable RADIUS à l’aide de l’adresse du serveur et affichez les statistiques comptables, par exemple :

Voir également

Rubriques connexes