Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

802.1 x y contabilidad RADIUS

Los conmutadores de la serie EX admiten RADIUS contabilidad. Puede configurar la contabilidad RADIUS en un conmutador de serie EX para recopilar datos estadísticos acerca de los usuarios que inician o salen de una LAN y envían esos datos a un servidor de RADIUS Accounting. Los datos recopilados se utilizan para un fin de la supervisión de red.

Descripción de 802.1 X y contabilidad de RADIUS en conmutadores

Juniper Networks serie EX Conmutadores Ethernet admite GTI-I RFC 2866, RADIUS financiero. Mediante la configuración de la contabilidad de RADIUS en un conmutador de serie EX, puede recopilar datos estadísticos acerca de los usuarios que inician o salen de una LAN, y envían esos datos a un servidor de RADIUS Accounting. Los datos estadísticos recopilados se pueden usar para llevar a cabo el monitoreo general de la red, analizar y hacer seguimiento de los patrones de uso, o para facturar a un usuario según la cantidad de tiempo o tipo de servicios a los que se accede.

Proceso de contabilidad RADIUS

RADIUS cuenta se basa en un modelo cliente-servidor en el que el conmutador, que funciona como servidor de acceso de red (NAS), es el cliente. El cliente reenvía las estadísticas de cuentas de usuario a un servidor de RADIUS de cuentas designado. El servidor de cuentas de RADIUS debe enviar una respuesta al cliente cuando haya recibido y registrado correctamente las estadísticas de cuentas.

El RADIUS de gestión de problemas entre un conmutador y un servidor de RADIUS se basa en el intercambio de dos tipos de mensajes RADIUS: Solicitud de cuenta y Cuenta-Respuesta. Los mensajes de solicitud de administración de cuentas se envían desde el conmutador al servidor y transmiten la información que se utiliza para tener en cuenta un servicio proporcionado a un usuario. Los mensajes de respuesta de cuenta se envían desde el servidor para confirmar el recibo de los paquetes de solicitud de administración de cuentas. El intercambio de mensajes entre el conmutador y el servidor se realiza de la siguiente manera:

  1. Un servidor de RADIUS cuentas escucha los paquetes del Protocolo de datagramas de usuario (UDP) en un puerto específico. Por ejemplo, en FreeRADIUS, el puerto predeterminado es 1813.

  2. Cuando un solicitante se autentica a través de la autenticación de 802.1 X y, a continuación, se conecta a la LAN, el conmutador envía un mensaje de solicitud de administración de cuentas con un registro del suceso al servidor de contabilidad. El mensaje de solicitud de administración de cuentas enviado por el conmutador incluye el RADIUS atributo Acct-statu-Type con un valor de Start, que indica el comienzo del servicio de usuario de este suplicante. El servidor de contabilidad registra este evento en el archivo de registro de cuentas como un registro de inicio.

  3. El servidor de contabilidad devuelve un mensaje de respuesta de cuenta al conmutador para confirmar que ha recibido la solicitud de cuenta. Si el conmutador no recibe una respuesta del servidor, seguirá enviando solicitudes de cuentas hasta que el servidor de contabilidad devuelva una respuesta de cuenta.

  4. Es posible que el conmutador envíe un mensaje intermedio al servidor de contabilidad para actualizar periódicamente el servidor con información relacionada con una sesión específica. Los mensajes intermedios se envían como mensajes de solicitud de administración de cuentas con el valor de atributo Acct-deinterim-Update. El servidor de contabilidad envía un messae de respuesta de cuenta al conmutador para confirmar la recepción de una actualización provisional.

  5. Cuando finaliza la sesión del supplicante, el conmutador reenvía un mensaje de solicitud de cuentas con el valor de atributo Acct-Status-Type establecido en Stop, lo que indica el fin del servicio de usuario. El servidor de contabilidad registra este evento en el archivo de registro de cuentas como un registro de detención que contiene información de sesión y la duración de la sesión.

Las estadísticas recopiladas a través de este proceso se pueden mostrar desde el servidor RADIUS. Para ver estas estadísticas, el usuario debe tener acceso al archivo de registro de cuentas configurado para recibirlas. En FreeRADIUS, el filename es la dirección del servidor, por ejemplo, 122.69.1.250.

Atributos de RADIUS compatibles

RADIUS las estadísticas de contabilidad se transmiten a través de los atributos que se incluyen en cada mensaje de solicitud de cuenta enviado desde el NAS al servidor. Tabla 1 enumera los atributos de RADIUS compatibles con los mensajes de solicitud de administración de cuentas.

Tabla 1: Atributos de solicitud de RADIUS de cuentas

Escríba

Atribui

Descriptiva

1

User-Name

Nombre del usuario autenticado.

5

NAS puerto

Número de puerto físico del NAS que autentica al usuario. El paquete debe contener NAS-Port o NAS-Port-ID.

8

Dirección IP entramada

Dirección IP del usuario autenticado.

Nota:

El atributo Framed-IP-address sólo se envía si existe un enlace DHCP válido para el host en la tabla de supervisión DHCP.

11

Filter-ID

Nombre de la lista de filtros del usuario.

12

MTU de trama

El unidad máxima de transmisión que se puede configurar para el usuario.

26

Client-System-Name

Atributo específico del proveedor (VSA) que se usa para indicar el nombre de host del cliente. Compatible solo con dispositivos compatibles con LLDP.

27

Tiempo de espera de sesión

Establece el tiempo máximo (en segundos) que una sesión permanece activa antes de finalizar o cuando se emite un mensaje para notificar su finalización.

28

Tiempo de espera inactivo

Número máximo de segundos consecutivos de conexión inactiva permitidos al usuario antes de terminar la sesión o el símbolo del sistema.

30

ID de estación llamada

Permite que el NAS identifique el número de teléfono al que llamó el usuario, usando identificación de número marcado (DNIS) o una tecnología similar.

31

ID. de estación de llamada

Permite a los NAS identificar el número de teléfono del que proviene la llamada, utilizando la identificación automática de números (ANI) o una tecnología similar.

32

Identificador de NAS

Contiene una cadena que identifica el NAS origina el mensaje de solicitud de administración de cuentas.

40

Estado-cuenta-tipo

Indica si este mensaje de solicitud de administración de cuentas marca el comienzo (Inicio) o el fin (detener) de la sesión de usuario. También puede usarse para una actualización provisional (actualización provisional).

44

ID. de sesión acct

ID exclusivo para una sesión de contabilidad específica que se puede usar para hacer coincidir registros de inicio y detención para una sesión en el archivo de registro.

45

Acct-Authentic

Indica si el usuario fue autenticado localmente, por el servidor RADIUS o por otro protocolo de autenticación remota.

55

Marca de tiempo del evento

Registra la hora en la que se produjo un evento.

87

ID. de Puerto NAS

Cadena de texto que identifica el puerto que autentica al usuario. Debe estar presente NAS-Port o NAS-Port-ID en el paquete.

Configuración de 802.1 X RADIUS (procedimiento de la CLI)

La contabilidad de RADIUS permite recopilar datos estadísticos acerca de los usuarios que inician y se registran en una LAN y se envían a un servidor de RADIUS Accounting. Los datos estadísticos recopilados se pueden utilizar para llevar a cabo el monitoreo general de la red, analizar y realizar un seguimiento de los patrones de uso, o para facturar a un usuario según la cantidad de tiempo o tipo de servicios a los que se accede.

RADIUS cuenta se basa en un modelo cliente-servidor en el que el conmutador, que funciona como servidor de acceso de red (NAS), es el cliente. El cliente es responsable de reenviar las estadísticas de cuentas de usuario a un servidor de cuentas RADIUS designado. Para configurar las cuentas de RADIUS, especifique uno o varios servidores de cuentas de RADIUS para recibir los datos estadísticos del conmutador y seleccione el tipo de datos de cuentas que desea recopilar.

El servidor de RADIUS Accounting que especifique puede ser el mismo servidor utilizado para la autenticación de RADIUS o puede ser un servidor de RADIUS independiente. Puede especificar una lista de RADIUS servidores de contabilidad. Si el servidor principal (el primero configurado) no está disponible, cada uno RADIUS servidor de la lista lo intenta en el orden en el que se configuraron los servidores en el Junos OS.

Para configurar la contabilidad de RADIUS con la CLI:

  1. Configure un perfil de acceso y especifique los servidores de contabilidad en los que el conmutador debe enviar las estadísticas de la cuenta:
  2. Defina la dirección de RADIUS servidores de cuentas y configure la contraseña secreta (la contraseña secreta del conmutador debe coincidir con la contraseña secreta del servidor):
  3. Habilite la contabilidad para el perfil de acceso:
  4. Configure el orden de contabilidad, haciendo que RADIUS el primer método para enviar mensajes de cuentas y actualizaciones:
  5. Configure las estadísticas que se recopilarán en el conmutador y que se reenviarán al servidor de contabilidad:
  6. Adicional Configure el conmutador para enviar actualizaciones periódicas de una sesión de usuario en un intervalo especificado al servidor de contabilidad:
  7. Mostrar las estadísticas de cuentas recopiladas en el show network-access aaa statistics accounting conmutador mediante el comando, por ejemplo:
  8. Abra un registro de auditoría en el RADIUS de auditoría utilizando la dirección del servidor y vea estadísticas de auditoría, por ejemplo: