802.1X 및 RADIUS 어카운팅
EX 시리즈 스위치는 RADIUS 계정을 지원합니다. EX 시리즈 스위치에서 RADIUS 어카운팅을 구성하여 LAN에 로그인 또는 로그아웃하는 사용자에 대한 통계 데이터를 수집하여 RADIUS 어카운팅 서버로 전송할 수 있습니다. 수집된 데이터는 네트워크 모니터링 목적으로 사용됩니다.
스위치의 802.1X 및 RADIUS 어카운팅 이해하기
주니퍼 네트웍스 EX 시리즈 이더넷 스위치는 IETF RFC 2866, RADIUS 계정을 지원합니다. EX 시리즈 스위치에서 RADIUS 어카운팅을 구성하면 LAN에 로그인 또는 로그아웃하는 사용자에 대한 통계 데이터를 수집하여 RADIUS 어카운팅 서버로 전송할 수 있습니다. 수집된 통계 데이터는 일반 네트워크 모니터링을 수행하거나, 사용 패턴을 분석 및 추적하거나, 액세스한 시간 또는 서비스 유형에 따라 사용자에게 요금을 청구하는 데 사용할 수 있습니다.
RADIUS 계정 프로세스
RADIUS 어카운팅은 NAS(네트워크 액세스 서버)로 작동하는 스위치가 클라이언트인 클라이언트/서버 모델을 기반으로 합니다. 클라이언트는 사용자 계정 통계를 지정된 RADIUS 계정 서버로 전달합니다. RADIUS 계정 서버는 계정 통계를 성공적으로 수신하고 기록한 경우 클라이언트에 응답을 보내야 합니다.
스위치와 RADIUS 서버 간의 RADIUS 계정 프로세스는 Accounting-Request 및 Accounting-Response라는 두 가지 유형의 RADIUS 메시지 교환을 기반으로 합니다. Accounting-Request 메시지는 스위치에서 서버로 전송되며 사용자에게 제공되는 서비스를 설명하는 데 사용되는 정보를 전달합니다. Accounting-Request 패킷의 수신을 승인하기 위해 서버에서 Accounting-Response 메시지가 전송됩니다. 스위치와 서버 간의 메시지 교환은 다음과 같이 진행됩니다.
RADIUS 계정 서버는 특정 포트에서 UDP(User Datagram Protocol) 패킷을 수신합니다. 예를 들어 FreeRADIUS에서 기본 포트는 1813입니다.
신청자가 802.1X 인증을 통해 인증된 다음 LAN에 연결되면 스위치는 이벤트 레코드와 함께 Accounting-Request 메시지를 계정 서버로 전달합니다. 스위치에서 보낸 Accounting-Request 메시지에는 이 요청자에 대한 사용자 서비스의 시작을 나타내는 Start 값이 있는 RADIUS 속성 Acct-Status-Type이 포함되어 있습니다. 계정 서버는 이 이벤트를 계정 로그 파일에 시작 레코드로 기록합니다.
계정 서버는 계정 요청을 수신했음을 확인하는 계정 응답 메시지를 스위치로 다시 보냅니다. 스위치가 서버로부터 응답을 받지 못하면 어카운팅 서버에서 어카운팅 응답이 리턴될 때까지 어카운팅 요청을 계속 보냅니다.
스위치는 계정 서버에 중간 메시지를 전송하여 특정 세션과 관련된 정보로 서버를 주기적으로 업데이트할 수 있습니다. 중간 메시지는 Acct-Status-Type 속성 값이 Interim-Update인 Accounting-Request 메시지로 전송됩니다. 계정 서버는 Accounting-Response 메시지를 스위치로 다시 전송하여 중간 업데이트 수신을 확인합니다.
요청자의 세션이 종료되면 스위치는 사용자 서비스의 종료를 나타내는 Acct-Status-Type 속성 값이 Stop으로 설정된 Accounting-Request 메시지를 전달합니다. 계정 서버는 이 이벤트를 계정 로그 파일에 세션 정보 및 세션 길이를 포함하는 중지 레코드로 기록합니다.
이 프로세스를 통해 수집된 통계는 RADIUS 서버에서 표시될 수 있습니다. 이러한 통계를 보려면 사용자는 통계를 수신하도록 구성된 계정 로그 파일에 액세스해야 합니다. FreeRADIUS에서 파일 이름은 서버의 주소(예: 122.69.1.250)입니다.
지원되는 RADIUS 속성
RADIUS 계정 통계는 NAS에서 서버로 전송되는 각 계정 요청 메시지에 포함된 속성을 통해 전달됩니다. 표 1 은(는) Accounting-Request 메시지에 지원되는 RADIUS 속성을 나열합니다.
형식 |
속성 |
설명 |
|---|---|---|
1 |
User-Name |
인증된 사용자의 이름입니다. |
5 |
NAS 포트 |
사용자를 인증하는 NAS의 물리적 포트 번호입니다. NAS-Port 또는 NAS-Port-ID가 패킷에 포함되어야 합니다. |
8 |
프레임 IP 주소 |
인증된 사용자의 IP 주소입니다. 주:
Framed-IP-Address 속성은 DHCP 스누핑 테이블의 호스트에 대해 유효한 DHCP 바인딩이 존재하는 경우에만 전송됩니다. |
11 |
Filter-ID |
사용자에 대한 필터 목록의 이름입니다. |
12 |
프레임 MTU |
사용자에 대해 구성할 수 있는 최대 전송 단위입니다. |
26 |
클라이언트 시스템 이름 |
클라이언트의 호스트 이름을 나타내는 데 사용되는 VSA(Vendor-Specific Attribute)입니다. LLDP 지원 디바이스에서만 지원됩니다. |
27 |
Session-Timeout |
세션이 종료되거나 종료를 알리는 프롬프트가 표시되기 전에 세션이 활성 상태로 유지되는 최대 시간(초)을 설정합니다. |
28 |
유휴 시간 제한 |
세션 또는 프롬프트가 종료되기 전에 사용자에게 허용되는 유휴 연결의 최대 연속 시간(초)입니다. |
30 |
호출된 스테이션 ID |
NAS가 DNIS(Dialed Number Identification) 또는 유사한 기술을 사용하여 사용자가 전화를 건 전화 번호를 식별할 수 있도록 합니다. |
31 |
Calling-Station-ID |
NAS가 자동 번호 식별(ANI) 또는 유사한 기술을 사용하여 전화가 걸려온 전화 번호를 식별할 수 있도록 합니다. |
32 |
NAS 식별자 |
Accounting-Request 메시지를 시작한 NAS를 식별하는 문자열을 포함합니다. |
40 |
계정 상태 유형 |
이 Accounting-Request 메시지가 사용자 세션의 시작(시작) 또는 끝(중지)을 표시하는지 여부를 나타냅니다. 중간 업데이트(Interim-Update)에도 사용할 수 있습니다. |
44 |
Acct-Session-ID |
로그 파일에서 세션의 시작 및 중지 레코드를 일치시키는 데 사용할 수 있는 특정 계정 세션의 고유 ID입니다. |
45 |
Acct-Authentic (계정 정통) |
사용자가 로컬로 인증되었는지, RADIUS 서버 또는 다른 원격 인증 프로토콜에 의해 인증되었는지를 나타냅니다. |
55 |
이벤트 타임스탬프 |
이벤트가 발생한 시간을 기록합니다. |
87 |
NAS 포트 ID |
사용자를 인증하는 포트를 식별하는 텍스트 문자열입니다. NAS-Port 또는 NAS-Port-ID가 패킷에 있어야 합니다. |
참조
802.1X RADIUS 계정 구성(CLI 절차)
RADIUS 계정을 사용하면 LAN에 로그인 또는 로그아웃하는 사용자에 대한 통계 데이터를 수집하여 RADIUS 계정 서버로 보낼 수 있습니다. 수집된 통계 데이터는 일반 네트워크 모니터링을 수행하거나, 사용 패턴을 분석 및 추적하거나, 액세스한 시간 또는 서비스 유형에 따라 사용자에게 요금을 청구하는 데 사용할 수 있습니다.
RADIUS 어카운팅은 NAS(네트워크 액세스 서버)로 작동하는 스위치가 클라이언트인 클라이언트/서버 모델을 기반으로 합니다. 클라이언트는 사용자 계정 통계를 지정된 RADIUS 계정 서버로 전달하는 작업을 담당합니다. RADIUS 계정을 구성하려면 스위치에서 통계 데이터를 수신할 RADIUS 계정 서버를 하나 이상 지정하고 수집할 계정 데이터 유형을 선택합니다.
지정하는 RADIUS 계정 서버는 RADIUS 인증에 사용되는 것과 동일한 서버이거나 별도의 RADIUS 서버일 수 있습니다. RADIUS 계정 서버 목록을 지정할 수 있습니다. 주 서버(구성된 첫 번째 서버)를 사용할 수 없는 경우, 목록의 각 RADIUS 서버는 Junos OS에서 서버가 구성된 순서대로 시도됩니다.
CLI를 사용하여 RADIUS 어카운팅을 구성하려면: