Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Contabilidad 802.1X y RADIUS

Los conmutadores de la serie EX admiten la contabilidad RADIUS. Puede configurar la contabilidad RADIUS en un conmutador de la serie EX para recopilar datos estadísticos acerca de los usuarios que inician sesión en o salen de una LAN y enviar esos datos a un servidor de contabilidad RADIUS. Los datos recopilados se utilizan para fines de monitoreo de red.

Descripción de la contabilidad 802.1X y RADIUS en conmutadores

Los conmutadores Ethernet de la serie EX de Juniper Networks son compatibles con IETF RFC 2866, contabilidad RADIUS. Al configurar la contabilidad RADIUS en un conmutador de la serie EX, puede recopilar datos estadísticos sobre los usuarios que inician sesión en o salen de una LAN y enviar esos datos a un servidor de contabilidad RADIUS. Los datos estadísticos recopilados se pueden utilizar para realizar un monitoreo general de la red, para analizar y rastrear patrones de uso, o para facturar a un usuario en función de la cantidad de tiempo o tipo de servicios a los que se accede.

Proceso de contabilidad RADIUS

La contabilidad RADIUS se basa en un modelo de cliente/servidor en el cual el conmutador, que funciona como el servidor de acceso a red (NAS), es el cliente. El cliente reenvía estadísticas de contabilidad de usuario a un servidor de contabilidad RADIUS designado. El servidor de contabilidad RADIUS debe enviar una respuesta al cliente cuando haya recibido y registrado correctamente las estadísticas contables.

El proceso de contabilidad RADIUS entre un conmutador y un servidor RADIUS se basa en el intercambio de dos tipos de mensajes RADIUS: Accounting-Request y Accounting-Response. Los mensajes de solicitud de contabilidad se envían desde el conmutador al servidor y transmiten la información utilizada para dar cuenta de un servicio proporcionado a un usuario. Los mensajes de respuesta contable se envían desde el servidor para acusar recibo de los paquetes de solicitud de contabilidad. El intercambio de mensajes entre el conmutador y el servidor se produce de la siguiente manera:

  1. Un servidor de contabilidad RADIUS escucha los paquetes del Protocolo de datagramas de usuario (UDP) en un puerto específico. Por ejemplo, en FreeRADIUS, el puerto predeterminado es 1813.

  2. Cuando un suplicante se autentica mediante la autenticación 802.1X y, luego, se conecta a la LAN, el conmutador reenvía un mensaje de solicitud de contabilidad con un registro del evento al servidor de contabilidad. El mensaje De solicitud de contabilidad enviado por el conmutador incluye el atributo RADIUS Acct-Status-Type con un valor de Inicio, el cual indica el inicio del servicio de usuario para este suplicante. El servidor de contabilidad registra este evento en el archivo de registro de contabilidad como un registro de inicio.

  3. El servidor de contabilidad envía un mensaje Accounting-Response al conmutador en el que confirma que recibió la solicitud de contabilidad. Si el conmutador no recibe una respuesta del servidor, continúa enviando solicitudes de contabilidad hasta que se devuelve una respuesta de contabilidad del servidor de contabilidad.

  4. El conmutador puede enviar un mensaje provisional al servidor de contabilidad para actualizar periódicamente el servidor con información relativa a una sesión específica. Los mensajes provisionales se envían como mensajes de solicitud de contabilidad con el valor de atributo Acct-Status-Type de Interim-Update. El servidor de contabilidad envía una messae de Accounting-Response al conmutador para confirmar la recepción de una actualización provisional.

  5. Cuando termina la sesión del suplicante, el conmutador reenvía un mensaje de Solicitud de contabilidad con el valor de atributo Acct-Status-Type establecido en Stop, lo que indica el fin del servicio de usuario. El servidor de contabilidad registra este evento en el archivo de registro de contabilidad como un registro de detención que contiene información de la sesión y la duración de la sesión.

Las estadísticas recopiladas a través de este proceso se pueden mostrar desde el servidor RADIUS. Para ver esas estadísticas, el usuario debe acceder al archivo de registro de contabilidad configurado para recibirlas. En FreeRADIUS, el nombre de archivo es la dirección del servidor, por ejemplo, 122.69.1.250.

Atributos RADIUS compatibles

Las estadísticas de contabilidad RADIUS se transmiten a través de los atributos incluidos en cada mensaje de solicitud de contabilidad enviado desde el NAS al servidor. Tabla 1 enumerar los atributos RADIUS compatibles con los mensajes de solicitud de contabilidad.

Tabla 1: Atributos de solicitud de contabilidad RADIUS

Tipo

Atributo

Descripción

1

Nombre de usuario

El nombre del usuario autenticado.

5

Puerto NAS

Número de puerto físico del NAS que autentica al usuario. El puerto NAS o el NAS-Port-ID deben estar contenidos en el paquete.

8

Dirección IP enmarcada

La dirección IP del usuario autenticado.

Nota:

El atributo Framed-IP-Address solo se envía si existe un enlace DHCP válido para el host en la tabla de búsqueda de DHCP.

11

ID de filtro

Nombre de la lista de filtros del usuario.

12

MTU enmarcada

La unidad de transmisión máxima que se puede configurar para el usuario.

26

Nombre del sistema del cliente

Atributo específico del proveedor (VSA) utilizado para indicar el nombre de host del cliente. Solo se admite para dispositivos compatibles con LLDP.

27

Tiempo de espera de la sesión

Establece el tiempo máximo (en segundos) que una sesión permanece activa antes de que finalice o de que se emita un indicador que notifique su finalización.

28

Tiempo de espera inactivo

La cantidad máxima de segundos consecutivos de conexión inactiva permitida al usuario antes de la finalización de la sesión o del indicador.

30

ID de estación llamada

Permite que el NAS identifique el número de teléfono al que llamó el usuario mediante la identificación de número de marcación (DNIS) o una tecnología similar.

31

ID de la estación de llamadas

Permite que el NAS identifique el número de teléfono del que proviene la llamada mediante la identificación automática de números (ANI) o una tecnología similar.

32

Identificador NAS

Contiene una cadena que identifica el NAS que origina el mensaje de solicitud de contabilidad.

40

Tipo de estado de acceso

Indica si este mensaje de solicitud de contabilidad marca el principio (inicio) o el final (detención) de la sesión de usuario. También se puede usar para una actualización provisional (Provisional-Update).

44

ID de sesión acct

Un ID único para una sesión de contabilidad específica que se puede utilizar para hacer coincidir los registros de inicio y detención de una sesión en el archivo de registro.

45

Acct-Authentic

Indica si el usuario se autentificado localmente, por el servidor RADIUS o por otro protocolo de autenticación remota.

55

Marca de hora de eventos

Registra la hora en que se produjo un evento.

87

ID de puerto NAS

Cadena de texto que identifica el puerto que autentica al usuario. El puerto NAS o el ID del puerto NAS deben estar presentes en el paquete.

Configuración de la contabilidad RADIUS 802.1X (procedimiento de CLI)

La contabilidad RADIUS permite recopilar datos estadísticos sobre los usuarios que inician sesión en o salen de una LAN para recopilar y enviarse a un servidor de contabilidad RADIUS. Los datos estadísticos recopilados se pueden utilizar para realizar un monitoreo general de la red, para analizar y rastrear patrones de uso, o para facturar a un usuario según la cantidad de tiempo o tipo de servicios a los que se accede.

La contabilidad RADIUS se basa en un modelo de cliente/servidor en el cual el conmutador, que funciona como el servidor de acceso a red (NAS), es el cliente. El cliente es responsable de reenviar las estadísticas de contabilidad del usuario a un servidor de contabilidad RADIUS designado. Para configurar la contabilidad RADIUS, especifique uno o varios servidores de contabilidad RADIUS para recibir los datos estadísticos del conmutador y seleccione el tipo de datos de contabilidad que se recopilarán.

El servidor de contabilidad RADIUS que especifique puede ser el mismo servidor utilizado para la autenticación RADIUS o puede ser un servidor RADIUS independiente. Puede especificar una lista de servidores de contabilidad RADIUS. Si el servidor principal (el primero configurado) no está disponible, cada servidor RADIUS de la lista se prueba en el orden en que los servidores están configurados en Junos OS.

Para configurar la contabilidad RADIUS mediante la CLI:

  1. Configure un perfil de acceso y especifique los servidores de contabilidad a los que el conmutador reenvía las estadísticas contables:
  2. Defina la dirección de los servidores de contabilidad RADIUS y configure la contraseña secreta (la contraseña secreta del conmutador debe coincidir con la contraseña secreta del servidor):
  3. Habilite la contabilidad para el perfil de acceso:
  4. Configure el orden de contabilidad, lo que convierte a RADIUS en el primer método para enviar mensajes y actualizaciones de contabilidad:
  5. Configure las estadísticas que se recopilarán en el conmutador y se reenvían al servidor de contabilidad:
  6. (Opcional) Configure el conmutador para que envíe actualizaciones periódicas para una sesión de usuario en un intervalo especificado al servidor de contabilidad:
  7. Muestra las estadísticas de contabilidad recopiladas en el conmutador mediante el show network-access aaa statistics accounting comando, por ejemplo:
  8. Abra un registro de contabilidad en el servidor de contabilidad RADIUS con la dirección del servidor y vea las estadísticas de contabilidad, por ejemplo: