Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

802.1X 및 RADIUS 어니어링

EX 시리즈 스위치는 RADIUS 어 회계를 지원 EX 시리즈 RADIUS 어카우링을 구성하여 LAN에 로그인하거나 로그아웃하는 사용자에 대한 통계 데이터를 수집하고 해당 데이터를 RADIUS 수 있습니다. 수집된 데이터는 네트워크 모니터링 목적으로 사용됩니다.

스위치의 802.1X 및 RADIUS 이해

주니퍼 네트웍스 EX 시리즈 이더넷 스위치 RFC 2866, IETF(Internet Engineering Task Force) 어카우링을 RADIUS 있습니다. EX 시리즈 스위치에서 RADIUS 어카우링을 구성하여 LAN에 로그인하거나 아웃하는 사용자에 대한 통계 데이터를 수집하고 해당 데이터를 RADIUS 수 있습니다. 수집된 통계 데이터는 일반적인 네트워크 모니터링을 수행하고, 사용 패턴을 분석 및 추적하거나, 액세스되는 시간 또는 서비스 유형에 따라 사용자에게 과금하는 데 사용할 수 있습니다.

RADIUS 어카우링 프로세스

RADIUS 어카운트는 스위치가 네트워크 액세스 서버(네트워크 액세스 서버(NAS))의 클라이언트/서버 모델을 기반으로 합니다. 클라이언트는 사용자 어카우링 통계를 지정된 RADIUS 서버로 전달합니다. RADIUS 서버는 어카우링 통계를 성공적으로 수신하고 기록한 경우 클라이언트에 대한 응답을 전송해야 합니다.

스위치와 RADIUS 서버 간의 RADIUS 프로세스는 어카우링-요청과 어카우링-응답RADIUS 메시지의 교환을 기반으로 합니다. Accounting-Request 메시지는 스위치에서 서버로 전송하여 사용자에게 제공되는 서비스를 고려하는 데 사용되는 정보를 전달합니다. Accounting-Response 메시지는 서버에서 Accounting-Request 패킷의 수신을 인정하기 위해 전송됩니다. 스위치와 서버 간의 메시지 교환은 다음과 같이 진행됩니다.

  1. RADIUS 서버는 특정 포트에서 UDP(User Datagram Protocol) 패킷을 수신합니다. 예를 들어, FreeRADIUS의 기본 포트는 1813입니다.

  2. 서플리던트가 802.1X 인증을 통해 인증되고 LAN에 연결되면 스위치는 이벤트 레코드가 있는 Accounting-Request 메시지를 어카우트 서버로 전달합니다. 스위치에서 전송되는 어카우링-요청 메시지에는 RADIUS 값을 나타내는 RADIUS 속성 Acct-Status-Type이 포함됩니다. 이는 이 서플리던트에 대한 사용자 서비스 시작을 나타냅니다. 회계 서버는 회계 로그 파일에 이 이벤트를 시작 레코드로 기록합니다.

  3. 계정 서버는 다시 Accounting-Response 메시지를 스위치로 보내어 회계 요청을 수신한지 확인합니다. 스위치가 서버에서 응답을 수신하지 않는 경우, 해당 계정 응답이 회계 서버에서 반환될 때까지 계속 계정 요청을 전송합니다.

  4. 스위치는 특정 세션과 관련한 정보를 사용하여 서버를 주기적으로 업데이트하기 위해 중간 메시지를 계정 서버에 전송할 수 있습니다. 중간 메시지는 Interim-Update의 Acct-Status-Type 속성 값을 통해 어카우트-Request 메시지로 전송됩니다. 계정 서버는 중간 업데이트의 수신을 확인하기 위해 Accounting-Response messae를 스위치로 다시 전송합니다.

  5. 서플리던트의 세션이 끝나면 스위치는 Stop로 설정된 Acct-Status-Type 속성 값을 사용하여 Accounting-Request 메시지를 전달하여 사용자 서비스 종료를 나타내고 있습니다. Accounting Server는 세션 정보와 세션 길이를 포함하는 정지 레코드로 회계 로그 파일에 이 이벤트를 기록합니다.

이 프로세스를 통해 수집된 통계는 네트워크 서버에서 RADIUS 수 있습니다. 이러한 통계를 확인하려면 사용자는 이를 수신하도록 구성된 계정 로그 파일에 액세스해야 합니다. FreeRADIUS에서 파일명은 서버의 주소(예: 122.69.1.250)입니다.

지원되는 RADIUS 속성

RADIUS 통계는 네트워크에서 서버로 전송된 각 Accounting-Request 메시지에 네트워크 액세스 서버(NAS) 전달됩니다. 표 1 Accounting-request RADIUS 지원되는 RADIUS 속성을 나열합니다.

표 1: RADIUS 어카우링 요청 속성

유형

속성

설명

1

사용자 이름

인증된 사용자의 이름.

5

네트워크 액세스 서버(NAS) 포트

사용자를 인증하는 네트워크 액세스 서버(NAS) 물리적 포트 수 네트워크 액세스 서버(NAS)-Port 또는 네트워크 액세스 서버(NAS)-Port-ID가 패킷에 포함되어야 합니다.

8

프레임 IP 주소

인증된 사용자의 IP 주소

주:

Framed-IP-Address 속성은 유효한 DHCP 바인딩이 DHCP 스누킹 테이블의 호스트에 존재하는 경우만 전송됩니다.

11

필터 ID

사용자 필터 목록의 이름.

12

프레임 최대 전송 단위(MTU)

사용자를 최대 전송 단위 구성할 수 있는 네트워크

26

클라이언트 시스템 이름

클라이언트의 호스트 이름을 표시하는 데 사용되는 VSA(벤더별 속성) LLDP 지원 장비만 지원됩니다.

27

세션 타임아웃

세션이 종료되기 전에 세션이 활성 상태거나 종료를 알리는 프롬프트가 발행되는 최대 시간(초)을 설정합니다.

28

유휴 시간

세션 종료 또는 프롬프트가 종료되기 전에 사용자에게 허용되는 최대 유휴 연결의 최대 초

30

Called-Station-ID

또한 네트워크 액세스 서버(NAS) 번호 식별(DNIS) 또는 유사한 기술을 사용하여 사용자가 전화를 걸던 전화 번호를 식별할 수 있도록 합니다.

31

Calling-Station-ID

또한 네트워크 액세스 서버(NAS) ANI(Automatic Number Identification) 또는 유사한 기술을 사용하여 통화에서 온 전화 번호를 식별할 수 있습니다.

32

네트워크 액세스 서버(NAS) 식별자

Accounting-Request 메시지를 네트워크 액세스 서버(NAS) 식별하는 문자열이 포함되어 있습니다.

40

Acct 상태 유형

이 Accounting-Request 메시지가 사용자 세션의 시작(시작) 또는 종료(중단)를 표시하는지 나타났습니다. 중간 업데이트(중간 업데이트)에도 사용할 수 있습니다.

44

세션 ID(Acct-Session-ID)

로그 파일 내 세션의 시작 및 중지 레코드를 일치하도록 사용할 수 있는 특정 계정 세션을 위한 고유 ID

45

인증(Acct-Authentic)

사용자가 로컬, RADIUS 서버 또는 다른 원격 인증 프로토콜에 의해 인증된지 여부를 나타

55

이벤트 타임스탬프

이벤트가 발생한 시간을 기록합니다.

87

네트워크 액세스 서버(NAS) 포트 ID

사용자를 인증하는 포트를 식별하는 텍스트 문자열 네트워크 액세스 서버(NAS)-Port 또는 네트워크 액세스 서버(NAS)-Port-ID가 패킷에 있어야 합니다.

Configuring 802.1X RADIUS 어 회계(CLI 프로시저)

RADIUS 어카우킹을 통해 LAN에 로그인하거나 LAN에서 로그오프하는 사용자에 대한 통계 데이터를 수집하여 RADIUS 어카우링 서버로 전송할 수 있습니다. 수집된 통계 데이터는 일반적인 네트워크 모니터링을 수행하고, 사용 패턴을 분석 및 추적하거나, 액세스되는 시간 또는 서비스 유형에 따라 사용자에게 과금하는 데 사용할 수 있습니다.

RADIUS 어카운트는 스위치가 네트워크 액세스 서버(네트워크 액세스 서버(NAS))의 클라이언트/서버 모델을 기반으로 합니다. 클라이언트는 사용자 어 회계 통계를 지정된 RADIUS 서버로 전달합니다. RADIUS 구성하려면, 하나 이상의 RADIUS 어카우킹 서버를 지정하여 스위치에서 통계 데이터를 수신하고 수집할 어카우링 데이터의 유형을 선택합니다.

사용자가 지정한 RADIUS 서버는 RADIUS 인증에 사용되는 서버일 수도 RADIUS 있습니다. RADIUS 어드버타이어링 서버 목록을 지정할 수 있습니다. 기본 서버(첫 번째 구성 서버)를 사용할 수 없는 경우 RADIUS 서버가 리스트에 구성된 순서대로 Junos OS.

다음 RADIUS 사용하여 CLI.

  1. 액세스 프로파일을 구성하고 스위치가 회계 통계를 전달할 계정 서버를 지정합니다.
  2. 어카임 서버의 RADIUS 주소를 정의하고 암호 암호를 구성합니다(스위치의 암호 암호는 서버의 암호와 일치해야 합니다).
  3. 액세스 프로파일에 대한 회계 지원:
  4. 어카우링 순서를 구성하여 RADIUS 메시지 및 업데이트를 전송하는 첫 번째 메소드로 만들 수 있습니다.
  5. 스위치에서 수집할 통계를 구성하고 회계 서버로 전달:
  6. (선택 사항) 특정 간격으로 사용자 세션에 대한 주기적인 업데이트를 전송하도록 스위치를 구성합니다.
  7. 예를 들어 이 명령을 사용하여 스위치에서 수집된 회계 show network-access aaa statistics accounting 통계를 표시합니다.
  8. 서버의 주소를 사용하여 RADIUS 어카우링 서버에 대한 어카우링 로그를 열고 다음과 같은 어카우링 통계를 볼 수 있습니다.