Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

802.1 x と RADIUS 会計

EX シリーズスイッチは、RADIUS アカウンティングをサポートします。EX シリーズスイッチ上で RADIUS アカウンティングを設定して、ユーザーに関する統計データを収集し、そのデータを RADIUS accounting サーバーに送信することができます。収集されたデータは、ネットワークの監視目的で使用します。

スイッチの 802.1 X および RADIUS アカウンティングについて

ジュニパーネットワークス EX シリーズ イーサネット スイッチ RFC 2866, RADIUS IETFAccounting . EX シリーズスイッチ上で RADIUS アカウンティングを構成することで、ユーザーに関する統計データを収集し、LAN にログインまたはログアウトして、そのデータを RADIUS アカウンティングサーバーに送信することができます。収集された統計データを使用して、一般的なネットワーク監視、使用パターンの分析と追跡、ユーザーによるアクセスの時間や種類を基にした課金を行うことができます。

RADIUS 会計プロセス

RADIUS アカウンティングはクライアント/サーバーモデルをベースにしており、スイッチはネットワークアクセスサーバー (NAS) として動作しているクライアントとして機能します。クライアントは、指定された RADIUS アカウンティングサーバーにユーザーアカウンティング統計情報を転送します。RADIUS アカウンティングサーバーは、アカウンティング統計情報を正常に受信して記録した時点で、クライアントに応答を送信する必要があります。

スイッチRADIUS RADIUS間のアカウンティング プロセスは、アカウンティング要求およびアカウンティング応答という 2 種類の RADIUS メッセージの交換に基づいて行います。アカウンティング要求メッセージはスイッチからサーバーに送信され、ユーザーに提供されるサービスのアカウント情報を伝達します。アカウンティング応答メッセージは、アカウンティング要求パケットの受信を確認するためにサーバーから送信されます。スイッチとサーバー間のメッセージ交換は、以下のように行われます。

  1. RADIUS アカウンティングサーバーは、特定のポートでユーザーデータグラムプロトコル (UDP) パケットをリッスンします。たとえば、FreeRADIUS では、デフォルトポートは1813です。

  2. 802.1 X 認証を介してサプリカントが認証され、LAN に接続されると、このスイッチは、イベントのレコードとともにアカウンティング要求メッセージをアカウンティングサーバーに転送します。スイッチによって送信されるアカウンティング要求メッセージには、[Start] (このサプリカントのユーザーサービスの開始を示す) という値を持つ RADIUS attribute Acct Type (状態) が含まれています。アカウンティングサーバーは、このイベントを、開始レコードとしてアカウンティングログファイルに記録します。

  3. アカウンティングサーバーはアカウンティング応答メッセージをスイッチに返信して、アカウンティング要求を受信したことを確認します。スイッチがサーバーから応答を受信しない場合、アカウンティングサーバーからアカウンティング応答が返されるまで、アカウンティング要求の送信が続行されます。

  4. スイッチは、特定のセッションに関する情報を使用してサーバーを定期的に更新するために、アカウンティングサーバーに中間メッセージを送信する場合があります。暫定的なメッセージはアカウンティング要求メッセージとして送信され、Acct Status タイプの属性値が中間更新されます。アカウンティング応答 messae をスイッチに送り返し、暫定的な更新の受信を確認します。

  5. サプリカントのセッションが終了すると、スイッチは Acct-Status-Type 属性値が 「Stop」に設定されたアカウンティング要求メッセージをユーザー サービス終了を示して転送します。アカウンティングサーバーは、セッション情報とセッションの長さを含む停止レコードとして、このイベントをアカウンティングログファイルに記録します。

このプロセスを通じて収集される統計情報は、RADIUS サーバーから表示できます。これらの統計情報を表示するには、ユーザーはそれを受け取るように設定されたアカウンティングログファイルにアクセスする必要があります。FreeRADIUSでは、ファイル名はサーバーのアドレスです(例:122.69.1.250)。

サポートされている RADIUS 属性

RADIUS アカウンティングの統計情報は、NAS からサーバーに送信される各アカウンティング要求メッセージに含まれている属性によって伝達されます。表 1アカウンティング要求メッセージに対してサポートされている RADIUS 属性を示します。

表 1: RADIUS アカウンティング要求属性

種類

属性

説明

1

ユーザー名

認証済みユーザーの名前。

5

NAS ポート

ユーザーを認証する NAS の物理ポート番号。NAS ポートまたは NAS ポート ID のいずれかがパケットに含まれている必要があります。

8

フレーム-IP アドレス

認証済みユーザーの IP アドレス。

注:

フレームの IP アドレス属性は、DHCP スヌーピングテーブル内のホストに有効な DHCP バインドが存在する場合にのみ送信されます。

11

フィルター-ID

ユーザーのフィルタリストの名前。

12

フレーム-MTU

ユーザーに対して設定できる最大送信単位。

26

クライアントシステム名

クライアントのホスト名を示すために使用されるベンダー固有の属性(VSA)。LLDP に対応したデバイスに対してのみサポートされています。

27

セッションタイムアウト

セッションが終了するまでアクティブ状態を維持する最大時間 (秒) を設定します。終了を通知するプロンプトが発行されます。

28

アイドルタイムアウト

セッションまたはプロンプトの終了前にユーザーに許可されるアイドル接続の最大許容秒数。

30

被呼端末 ID

ユーザーがコールした電話番号を NAS が識別できるようにします。ダイヤル番号識別 (DNIS) または類似の技術を使用します。

31

電話局 ID

自動番号識別 (ANI) または類似の技術を使用して、呼び出し元の電話番号を NAS で識別できるようにします。

32

NAS 識別子

アカウンティング要求メッセージを送信した NAS を識別する文字列が含まれています。

40

Acct-状態タイプ

このアカウンティング要求メッセージがユーザーセッションの開始 (開始) または終了 (停止) をマークしているかどうかを示します。暫定的な更新 (中間更新) にも使用できます。

44

Acct-セッション ID

特定のアカウンティングセッションの固有 ID を使用して、ログファイル内のセッションの開始レコードと停止記録を照合することができます。

45

Acct-認証

ユーザーがローカル、RADIUS サーバー、またはその他のリモート認証プロトコルによって認証されているかどうかを示します。

55

イベントタイムスタンプ

イベントが発生した時刻を記録します。

87

NAS ポート ID

ユーザーを認証するポートを識別するテキスト文字列。NAS ポートまたは NAS ポート ID のいずれかがパケットに存在している必要があります。

802.1 X RADIUS アカウンティング (CLI 手続き) の設定

RADIUS アカウンティングは、LAN にログインまたはログアウトして、RADIUS の経理サーバーに送信するユーザーに関する統計データを有効にします。収集された統計データを使用して、一般的なネットワーク監視、使用パターンの分析と追跡、ユーザーによるアクセスの時間や種類を基にした課金を行うことができます。

RADIUS アカウンティングはクライアント/サーバーモデルをベースにしており、スイッチはネットワークアクセスサーバー (NAS) として動作しているクライアントとして機能します。クライアントは、指定された RADIUS アカウンティングサーバーにユーザーアカウンティング統計情報を転送します。RADIUS アカウンティングを構成するには、1つ以上の RADIUS accounting サーバーを指定して、スイッチから統計データを受信し、収集するアカウンティングデータのタイプを選択します。

指定する RADIUS アカウンティングサーバーは、RADIUS 認証に使用されるのと同じサーバーであっても、別の RADIUS サーバーでもかまいません。RADIUS アカウンティングサーバーのリストを指定できます。1つ目のサーバー (構成されている場合) が利用できない場合は、リスト内の各 RADIUS サーバーが Junos OS で構成された順に試行されます。

CLI を使用して RADIUS アカウンティングを設定するには、次のようにします。

  1. アクセスプロファイルを設定し、スイッチがアカウンティング統計情報を転送するアカウンティングサーバーを指定します。
  2. RADIUS アカウンティングサーバーのアドレスを定義し、シークレットパスワードを設定します (スイッチ上のシークレットパスワードは、サーバー上の秘密パスワードと一致させる必要があります)。
  3. アクセスプロファイルのアカウンティングを有効にします。
  4. アカウンティングメッセージと更新を最初に送信する方法を RADIUS にして、会計順を構成します。
  5. スイッチで収集される統計情報を設定し、アカウンティングサーバーに転送します。
  6. ナ指定された間隔でユーザーセッションの定期的更新をアカウンティングサーバーに送信するように、スイッチを設定します。
  7. 次のようなshow network-access aaa statistics accountingコマンドを使用して、スイッチで収集されたアカウンティング統計情報を表示します。
  8. サーバーのアドレスを使用してRADIUSアカウンティング サーバー上でアカウンティング ログを開き、たとえば次に示すアカウンティング統計情報を表示します。