Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
Sur cette page
 

802.1X et comptabilité RADIUS

Les commutateurs EX Series prennent en charge la comptabilité RADIUS. Vous pouvez configurer la comptabilité RADIUS sur un commutateur EX Series pour collecter des données statistiques sur les utilisateurs qui se connectent à un LAN et les envoyer à un serveur de comptabilité RADIUS. Les données collectées sont utilisées à des fins de surveillance du réseau.

Comprendre la comptabilisation 802.1X et RADIUS sur les commutateurs

Les commutateurs Ethernet EX Series de Juniper Networks prennent en charge IETF RFC 2866, Comptabilité RADIUS. En configurant la comptabilité RADIUS sur un commutateur EX Series, vous pouvez collecter des données statistiques sur les utilisateurs qui se connectent à un LAN ou en sortent, et les envoyer à un serveur de comptabilité RADIUS. Les données statistiques recueillies peuvent être utilisées pour effectuer une surveillance générale du réseau, analyser et suivre les schémas d’utilisation, ou pour facturer un utilisateur en fonction du temps ou du type de services consultés.

Processus de comptabilité RADIUS

La comptabilisation RADIUS est basée sur un modèle client/serveur dans lequel le commutateur, fonctionnant en tant que serveur d’accès réseau (NAS), est le client. Le client transmet les statistiques de comptabilité utilisateur à un serveur de comptabilité RADIUS désigné. Le serveur de comptabilité RADIUS doit envoyer une réponse au client lorsqu’il a reçu et enregistré les statistiques comptables avec succès.

Le processus de comptabilisation RADIUS entre un commutateur et un serveur RADIUS repose sur l’échange de deux types de messages RADIUS : Comptabilité-Demande et Comptabilité-Réponse. Les messages comptabilité-demande sont envoyés du commutateur au serveur et transmettent les informations utilisées pour rendre compte d’un service fourni à un utilisateur. Des messages de comptabilité-réponse sont envoyés par le serveur pour accuser réception des paquets de la demande de comptabilité. L’échange de messages entre le commutateur et le serveur se déroule comme suit :

  1. Un serveur de comptabilité RADIUS écoute les paquets UDP (User Datagram Protocol) sur un port spécifique. Par exemple, sur FreeRADIUS, le port par défaut est 1813.

  2. Lorsqu’un demandeur est authentifié par l’authentification 802.1X, puis connecté au LAN, le commutateur transmet un message Comptabilité-Demande avec un enregistrement de l’événement au serveur de comptabilité. Le message Comptabilité-Demande envoyé par le commutateur inclut l’attribut RADIUS Acct-Status-Type avec la valeur Start, qui indique le début du service utilisateur pour ce demandeur. Le serveur de comptabilité enregistre cet événement dans le fichier journal de comptabilité en tant qu’enregistrement de début.

  3. Le serveur comptable envoie un message comptabilité-réponse au commutateur confirmant qu’il a bien reçu la demande de comptabilité. Si le commutateur ne reçoit pas de réponse du serveur, il continue d’envoyer des demandes de comptabilité jusqu’à ce qu’une réponse comptable soit renvoyée par le serveur de comptabilité.

  4. Le commutateur peut envoyer un message intermédiaire au serveur de comptabilité pour mettre à jour régulièrement le serveur avec les informations relatives à une session spécifique. Les messages intérimaires sont envoyés en tant que messages comptabilité-demande avec la valeur de l’attribut Acct-Status-Type d’Interim-Update. Le serveur de comptabilité renvoie une messae comptabilité-réponse au commutateur pour confirmer la réception d’une mise à jour intermédiaire.

  5. Lorsque la session du demandeur se termine, le commutateur transfère un message Comptabilité-Demande avec la valeur de l’attribut Acct-Status-Type définie sur Stop, indiquant la fin du service utilisateur. Le serveur de comptabilité enregistre cet événement dans le fichier journal de comptabilité sous la forme d’un enregistrement stop qui contient des informations de session et la durée de la session.

Les statistiques collectées dans le cadre de ce processus peuvent être affichées à partir du serveur RADIUS. Pour consulter ces statistiques, l’utilisateur doit accéder au fichier journal de comptabilité configuré pour les recevoir. Sur FreeRADIUS, le nom de fichier est l’adresse du serveur, par exemple 122.69.1.250.

Attributs RADIUS pris en charge

Les statistiques comptables RADIUS sont transmises via les attributs inclus dans chaque message comptabilité-demande envoyé du NAS au serveur. Tableau 1 listent les attributs RADIUS pris en charge pour les messages Comptabilité-Demande.

Tableau 1 : Attributs de demande de comptabilité RADIUS

Type

Attribut

Description

1

Nom d’utilisateur

Nom de l’utilisateur authentifié.

5

Port NAS

Numéro de port physique du NAS qui authentifie l’utilisateur. Le paquet doit contenir un port NAS ou un NAS-Port-ID.

8

Adresse IP encadrée

L’adresse IP de l’utilisateur authentifié.

REMARQUE :

L’attribut Framed-IP-Address n’est envoyé que si une liaison DHCP valide existe pour l’hôte dans la table de surveillance DHCP.

11

ID de filtre

Nom de la liste de filtres pour l’utilisateur.

12

MTU encadré

Unité de transmission maximale pouvant être configurée pour l’utilisateur.

26

Nom du système-client

Attribut spécifique au fournisseur (VSA) utilisé pour indiquer le nom d’hôte du client. Pris en charge uniquement pour les équipements compatibles LLDP.

27

Délai d’expiration des sessions

Définit le temps maximal (en secondes) qu’une session reste active avant qu’elle ne se termine ou qu’une invite soit émise pour notifier sa fin.

28

Délai d’inactivité

Nombre maximal de secondes consécutives de connexion inactif autorisée à l’utilisateur avant la fin de la session ou de l’invite.

30

ID de station

Permet au NAS d’identifier le numéro de téléphone que l’utilisateur a appelé, à l’aide de l’identification de numéro composé (DNIS) ou d’une technologie similaire.

31

Id de station d’appel

Permet au NAS d’identifier le numéro de téléphone d’où provient l’appel, à l’aide de l’identification automatique du numéro (ANI) ou d’une technologie similaire.

32

Identifiant NAS

Contient une chaîne identifiant le NAS à l’origine du message Comptabilité-Demande.

40

Type d’état de l’acct

Indique si ce message Comptabilité-Demande marque le début (Début) ou la fin (Stop) de la session utilisateur. Peut également être utilisée pour une mise à jour intermédiaire (Interim-Update).

44

Acct-Session-ID

ID unique pour une session de comptabilité spécifique pouvant être utilisée pour correspondre aux enregistrements de début et d’arrêt d’une session dans le fichier journal.

45

Acct-Authentic

Indique si l’utilisateur a été authentifié localement, par le serveur RADIUS ou par un autre protocole d’authentification à distance.

55

Horodatage d’événement

Enregistre le moment où un événement s’est produit.

87

ID de port NAS

Chaîne de texte qui identifie le port qui authentifie l’utilisateur. Le paquet doit être présent dans le paquet soit sur un port NAS ou un NAS-Port-ID.

Voir également

Configuration de la comptabilité RADIUS 802.1X (procédure CLI)

La comptabilité RADIUS permet de collecter et d’envoyer des données statistiques sur les utilisateurs qui se connectent à un LAN ou en sortent. Les données statistiques recueillies peuvent être utilisées pour effectuer une surveillance générale du réseau, analyser et suivre les schémas d’utilisation, ou pour facturer un utilisateur en fonction du temps ou du type de services auxquels il a accès.

La comptabilisation RADIUS est basée sur un modèle client/serveur dans lequel le commutateur, fonctionnant en tant que serveur d’accès réseau (NAS), est le client. Le client est responsable du transfert des statistiques comptables des utilisateurs à un serveur de comptabilité RADIUS désigné. Pour configurer la comptabilité RADIUS, spécifiez un ou plusieurs serveurs de comptabilité RADIUS pour recevoir les données statistiques du commutateur, puis sélectionnez le type de données comptables à collecter.

Le serveur de comptabilité RADIUS que vous spécifiez peut être le même serveur que celui utilisé pour l’authentification RADIUS, ou il peut s’agir d’un serveur RADIUS distinct. Vous pouvez spécifier une liste de serveurs de comptabilité RADIUS. Si le serveur principal (le premier configuré) n’est pas disponible, chaque serveur RADIUS de la liste est testé dans l’ordre dans lequel les serveurs sont configurés dans Junos OS.

Pour configurer la comptabilité RADIUS à l’aide de la CLI :

  1. Configurez un profil d’accès et spécifiez les serveurs de comptabilité auxquels le commutateur transfère les statistiques comptables :
  2. Définissez l’adresse des serveurs de comptabilité RADIUS et configurez le mot de passe secret (le mot de passe secret sur le commutateur doit correspondre au mot de passe secret sur le serveur) :
  3. Activer la comptabilisation du profil d’accès :
  4. Configurez l’ordre comptable, faisant de RADIUS la première méthode d’envoi de messages et de mises à jour de comptabilité :
  5. Configurez les statistiques à collecter sur le commutateur et à transférer au serveur de comptabilité :
  6. (Facultatif) Configurez le commutateur pour qu’il envoie des mises à jour périodiques pour une session utilisateur à un intervalle spécifié au serveur de comptabilité :
  7. Affichez les statistiques comptables collectées sur le commutateur à l’aide de la show network-access aaa statistics accounting commande, par exemple :
  8. Ouvrez un journal comptable sur le serveur de comptabilité RADIUS à l’aide de l’adresse du serveur et consultez les statistiques comptables, par exemple :

Voir également

Rubriques connexes