Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Contabilidad 802.1X y RADIUS

Los conmutadores de la serie EX admiten la contabilidad RADIUS. Puede configurar la contabilidad RADIUS en un conmutador de la serie EX para recopilar datos estadísticos sobre los usuarios que inician sesión en una LAN o fuera de ella y enviar esos datos a un servidor de contabilidad RADIUS. Los datos recopilados se utilizan para fines de monitoreo de red.

Descripción de la contabilidad 802.1X y RADIUS en conmutadores

Los conmutadores Ethernet de la serie EX de Juniper Networks admiten IETF RFC 2866, Contabilidad RADIUS. Al configurar la contabilidad RADIUS en un conmutador de la serie EX, puede recopilar datos estadísticos acerca de los usuarios que inician sesión en una LAN o fuera de ella y enviar esos datos a un servidor de contabilidad RADIUS. Los datos estadísticos recopilados se pueden utilizar para realizar monitoreo general de la red, analizar y rastrear patrones de uso, o facturar a un usuario según la cantidad de tiempo o tipo de servicios a los que se accede.

Proceso de contabilidad RADIUS

La contabilidad RADIUS se basa en un modelo de cliente/servidor en el que el conmutador, que funciona como el servidor de acceso de red (NAS), es el cliente. El cliente reenvía estadísticas de contabilidad de usuario a un servidor de contabilidad RADIUS designado. El servidor de contabilidad RADIUS debe enviar una respuesta al cliente cuando haya recibido y registrado correctamente las estadísticas de contabilidad.

El proceso de contabilidad RADIUS entre un conmutador y un servidor RADIUS se basa en el intercambio de dos tipos de mensajes RADIUS: solicitud de contabilidad y contabilidad-respuesta. Los mensajes de solicitud de contabilidad se envían desde el conmutador al servidor y transmiten la información utilizada para tener en cuenta un servicio proporcionado a un usuario. Los mensajes de respuesta de contabilidad se envían desde el servidor para reconocer la recepción de los paquetes de solicitud de contabilidad. El intercambio de mensajes entre el conmutador y el servidor continúa de la siguiente manera:

  1. Un servidor de contabilidad RADIUS escucha los paquetes del protocolo de datagrama de usuario (UDP) en un puerto específico. Por ejemplo, en FreeRADIUS, el puerto predeterminado es 1813.

  2. Cuando un suplicante se autentica mediante la autenticación 802.1X y, luego, se conecta a la LAN, el conmutador reenvía un mensaje de solicitud de contabilidad con un registro del evento al servidor de contabilidad. El mensaje de solicitud de contabilidad enviado por el conmutador incluye el atributo RADIUS Acct-Status-Type con un valor de Start, el cual indica el principio del servicio de usuario para este suplicante. El servidor de contabilidad registra este evento en el archivo de registro de cuentas como un registro de inicio.

  3. El servidor de contabilidad envía un mensaje de respuesta de contabilidad al conmutador que confirma que recibió la solicitud de contabilidad. Si el conmutador no recibe una respuesta del servidor, sigue enviando solicitudes de contabilidad hasta que se devuelve una respuesta de contabilidad desde el servidor de contabilidad.

  4. El conmutador puede enviar un mensaje provisional al servidor de contabilidad para actualizar periódicamente el servidor con información relacionada con una sesión específica. Los mensajes intermedios se envían como mensajes de solicitud de contabilidad con el valor del atributo Acct-Status-Type de Interim-Update. El servidor de contabilidad envía un messae de contabilidad-respuesta al conmutador para confirmar la recepción de una actualización provisional.

  5. Cuando finaliza la sesión del suplicante, el conmutador reenvía un mensaje de solicitud de contabilidad con el valor del atributo Acct-Status-Type establecido en Stop, lo que indica el final del servicio del usuario. El servidor de contabilidad registra este evento en el archivo de registro de contabilidad como un registro de detención que contiene información de sesión y la longitud de la sesión.

Las estadísticas recopiladas a través de este proceso se pueden mostrar desde el servidor RADIUS. Para ver esas estadísticas, el usuario debe tener acceso al archivo de registro de cuentas configurado para recibirlas. En FreeRADIUS, el nombre de archivo es la dirección del servidor, por ejemplo, 122.69.1.250.

Atributos RADIUS compatibles

Las estadísticas de contabilidad RADIUS se transmiten a través de los atributos incluidos en cada mensaje de solicitud de contabilidad enviado desde el NAS al servidor. Tabla 1 enumera los atributos RADIUS admitidos para los mensajes de solicitud de contabilidad.

Tabla 1: Atributos de solicitud de contabilidad RADIUS

Tipo

Atributo

Descripción

1

Nombre de usuario

El nombre del usuario autenticado.

5

Puerto NAS

Número de puerto físico del NAS que autentica al usuario. El puerto NAS o el ID de puerto de NAS deben estar contenidos en el paquete.

8

Dirección IP enmarcada

La dirección IP del usuario autenticado.

Nota:

El atributo Framed-IP-Address solo se envía si existe un enlace DHCP válido para el host en la tabla de espionaje DHCP.

11

ID de filtro

El nombre de la lista de filtros para el usuario.

12

MTU enmarcada

La unidad de transmisión máxima que se puede configurar para el usuario.

26

Nombre del sistema del cliente

Atributo específico del proveedor (VSA) que se usa para indicar el nombre de host del cliente. Compatible solo para dispositivos compatibles con LLDP.

27

Tiempo de espera de sesión

Establece el tiempo máximo (en segundos) que una sesión permanece activa antes de que finalice o se emita un mensaje que notifica su terminación.

28

Tiempo de inactividad

Número máximo de segundos consecutivos de conexión inactiva permitida al usuario antes de la finalización de la sesión o del símbolo del sistema.

30

Id. de estación llamada

Permite que el NAS identifique el número de teléfono al que llamó el usuario mediante la identificación de números marcados (DNIS) o una tecnología similar.

31

Id. de estación de llamada

Permite que el NAS identifique el número de teléfono del que procedía la llamada mediante la identificación automática de números (ANI) o una tecnología similar.

32

Identificador de NAS

Contiene una cadena que identifica el NAS que origina el mensaje Solicitud de contabilidad.

40

Tipo de estado de acceso

Indica si este mensaje de solicitud de contabilidad marca el principio (inicio) o el final (detener) de la sesión del usuario. También se puede utilizar para una actualización provisional (actualización provisional).

44

Acct-Session-ID

Un ID único para una sesión de contabilidad específica que se puede usar para hacer coincidir los registros de inicio y detención de una sesión en el archivo de registro.

45

Acct-Authentic

Indica si el usuario fue autenticado localmente, por el servidor RADIUS o por otro protocolo de autenticación remota.

55

Marca de hora del evento

Registra la hora en que se produjo un evento.

87

ID de puerto nas

Cadena de texto que identifica el puerto que autentica al usuario. El NAS-Port o NAS-Port-ID deben estar presentes en el paquete.

Configuración de la contabilidad RADIUS 802.1X (procedimiento de CLI)

La contabilidad RADIUS permite recopilar y enviar datos estadísticos sobre los usuarios que inician sesión en una LAN o fuera de ella y se envían a un servidor de contabilidad RADIUS. Los datos estadísticos recopilados se pueden utilizar para realizar monitoreo general de la red, analizar y rastrear patrones de uso, o facturar a un usuario según la cantidad de tiempo o el tipo de servicios a los que se accede.

La contabilidad RADIUS se basa en un modelo de cliente/servidor en el que el conmutador, que funciona como el servidor de acceso de red (NAS), es el cliente. El cliente es responsable de reenviar estadísticas de contabilidad de usuario a un servidor de contabilidad RADIUS designado. Para configurar la contabilidad RADIUS, especifique uno o más servidores de contabilidad RADIUS para recibir los datos estadísticos del conmutador y seleccione el tipo de datos contables que se van a recopilar.

El servidor de contabilidad RADIUS que especifique puede ser el mismo servidor utilizado para la autenticación RADIUS, o puede ser un servidor RADIUS independiente. Puede especificar una lista de servidores de contabilidad RADIUS. Si el servidor principal (el primero configurado) no está disponible, cada servidor RADIUS de la lista se probará en el orden en que se configuran los servidores en Junos OS.

Para configurar la contabilidad RADIUS mediante la CLI:

  1. Configure un perfil de acceso y especifique los servidores de contabilidad a los que el conmutador reenvía estadísticas de contabilidad:
  2. Defina la dirección de los servidores de contabilidad RADIUS y configure la contraseña secreta (la contraseña secreta del conmutador debe coincidir con la contraseña secreta del servidor):
  3. Habilite la contabilidad para el perfil de acceso:
  4. Configure el pedido de contabilidad, lo que convierte a RADIUS en el primer método para enviar mensajes de contabilidad y actualizaciones:
  5. Configure las estadísticas que se recopilan en el conmutador y se reenvían al servidor de contabilidad:
  6. (Opcional) Configure el conmutador para enviar actualizaciones periódicas para una sesión de usuario en un intervalo especificado al servidor de contabilidad:
  7. Muestra estadísticas de contabilidad recopiladas en el conmutador mediante el show network-access aaa statistics accounting comando, por ejemplo:
  8. Abra un registro de contabilidad en el servidor de contabilidad RADIUS mediante la dirección del servidor y vea estadísticas de contabilidad, por ejemplo: