Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

802.1X и RADIUS учета

Коммутаторы серии EX поддерживают RADIUS учет. Можно настроить учет RADIUS на коммутаторе серии EX для сбора статистических данных о пользователях, войдя в LAN или выехав из LAN, и отправить эти данные на RADIUS учета. Собранные данные используются для мониторинга сети.

Понимание учета 802.1X и RADIUS учета на коммутаторах

Juniper Networks Ethernet-коммутаторы серии EX поддерживают IETF RFC 2866, RADIUS учета. С помощью RADIUS учета на коммутаторе серии EX можно собирать статистические данные о пользователях, входе в LAN или выходе из нее, и посылать эти данные на RADIUS учета. Собранные статистические данные можно использовать для общего мониторинга сети, анализа и отслеживания моделей использования, а также счета пользователя на основе определенного количества времени или типа обслуживания.

RADIUS учета

RADIUS учет основывается на модели клиента/сервера, в которой клиентом является сервер сетевого доступа (NAS) коммутатор. Клиент передает статистику учета пользователя на назначенный RADIUS учета. Сервер RADIUS учета должен отправить клиенту ответ при успешном получении и записи статистики учета.

Процесс RADIUS учета между коммутатором и другим RADIUS основан на обмене двумя типами сообщений RADIUS сообщений — учет-запрос и учет-ответ. Сообщения accounting-Request отправляются с коммутатора на сервер и передают информацию, используемую для учета предоставляемых пользователю услуг. Сообщения Accounting-Response отправляются с сервера для подтверждения получения пакетов учета-запроса. Обмен сообщениями между коммутатором и сервером продолжается следующим образом:

  1. Сервер RADIUS учета прослушивает пакеты протоколов датаграмм пользователя (UDP) на определенном порту. Например, на FreeRADIUS портом по умолчанию является 1813.

  2. Когда запрашивающий запрос аутентификация проходит аутентификацию по стандарту 802.1X и затем подключается к LAN, коммутатор передает на сервер учета сообщение Учет-запроса с записью события. Сообщение Accounting-Request, отосланное коммутатором, включает RADIUS Acct-Status-Type со значением Start, что указывает на начало обслуживания пользователя для этого запрашивателя. Сервер учета записует это событие в файл журнала учета в качестве стартовой записи.

  3. Сервер учета отправляет коммутатору сообщение Accounting-Response с подтверждением того, что он получил запрос учета. Если коммутатор не получает ответ от сервера, он продолжает отправлять запросы учета до тех пор, пока с сервера учета не будет возвращен ответ.

  4. Коммутатор может отправить промежуточное сообщение серверу учета для периодического обновления сервера с информацией о конкретном сеансе. Промежуточные сообщения отправляются в виде сообщений учет-запроса со значением атрибута Acct-Status-Type в промежуточном обновлении. Сервер учета отправляет коммутатору сообщение учета-ответа для подтверждения получения промежуточного обновления.

  5. По окончании сеанса запрашивающего пользователя коммутатор передает сообщение Accounting-Request со значением атрибута Acct-Status-Type Stop, что указывает на окончание пользовательской службы. Сервер учета регистрет это событие в файле журнала учета как стоповую запись, содержаную информацию о сеансе и его продолжительности.

Статистика, собранная с помощью этого процесса, может отображаться с RADIUS сервера. Чтобы просмотреть эти статистические данные, пользователю необходимо получить доступ к файлу журнала учета, настроенном для их получения. На FreeRADIUS имя файла является адресом сервера, например, 122.69.1.250.

Поддерживаемые RADIUS атрибуты

RADIUS учета передаются через атрибуты, включенные в каждое сообщение учет-запроса, отосланное от NAS серверу. Табл. 1 перечислить RADIUS атрибуты, поддерживаемые сообщениями учета-запроса.

Табл. 1: RADIUS учетных запросов

Тип

Атрибут

Описание

1

Имя пользователя

Имя аутентификации пользователя.

5

NAS-порт

Физический номер порта аутентификации NAS аутентификации пользователя. В NAS должен быть NAS-порт или NAS-port-ID.

8

Framed-IP-адрес

IP-адрес аутентификацию пользователя.

Прим.:

Атрибут Framed-IP-Address отправляется, только если для хоста в таблице проверки DHCP существует действующая привязка DHCP.

11

ID фильтра

Имя списка фильтров для пользователя.

12

Кадры MTU

Конфигурация максимальный размер пакета для пользователя.

26

Client-System-Name

Атрибут, определенный поставщику (VSA), используемый для того, чтобы указать имя хоста клиента. Поддерживается только для устройств, с поддержкой LLDP.

27

Время и времени сеанса

Устанавливает максимальное время (в секундах), которое сеанс остается активным до его завершения или выдачи запроса уведомления о завершении сеанса.

28

Время ожидания простоя

Максимальное число последовательных секунд простоя, разрешенное пользователю до завершения сеанса или запроса.

30

Called-Station-ID (АНО)

Позволяет пользователю NAS телефонный номер, используя идентификацию телефонного номера (DNIS) или аналогичную технологию.

31

ID вызываемой станции

Позволяет NAS номер телефона, с помощью автоматической идентификации номера (ANI) или аналогичной технологии.

32

NAS-идентификатор

Содержит строку, определяемую NAS, и исходя из сообщения Учет-запроса.

40

Тип acct-status

Указывает, является ли данное сообщение учет-запросом началом (начните) или окончанием (Stop) пользовательского сеанса. Может также использоваться для промежуточного обновления (Промежуточное обновление).

44

Acct-Session-ID

Уникальный ID для конкретного сеанса учета, который можно использовать для совпадения записей начала и остановки сеанса в файле журнала.

45

Аутентификация

Указывает, была ли аутентификация пользователя локально, RADIUS сервером или другим протоколом удаленной аутентификации.

55

Event-Timestamp

Запись времени, в которое произошло событие.

87

NAS-port-ID

Текстовая строка, определяемая портом, аутентифличным пользователем. В пакете NAS должен присутствовать NAS-Port-ID.

Настройка учета 802.1X RADIUS (интерфейс командной строки)

RADIUS учета позволяет собирать и отослать на RADIUS учета статистические данные о пользователях, входе в LAN или выходе из нее. Собранные статистические данные можно использовать для общего сетевого мониторинга, анализа и отслеживания моделей использования, а также для счета пользователя на основе определенного количества времени или типа доступных услуг.

RADIUS учет основывается на модели клиента/сервера, в которой клиентом является сервер сетевого доступа (NAS) коммутатор. Клиент отвечает за переназначение статистики учета пользователей на назначенный RADIUS учета. Для настройки RADIUS учета укажите один или несколько RADIUS учета для получения статистических данных с коммутатора и выберите тип собираемых учетных данных.

Сервер RADIUS учета, который вы указали, может быть тем же сервером, который используется RADIUS аутентификации, или он может быть отдельным RADIUS сервером. Можно указать список RADIUS учета. Если основной сервер (первый настроенный) недоступен, то каждый RADIUS в списке пытается порядок, в котором серверы настроены в Junos OS.

Для настройки RADIUS учета с помощью интерфейс командной строки:

  1. Настройте профиль доступа и укажите серверы учета, на которые коммутатор передает статистику учета:
  2. Определите адрес серверов RADIUS учета и настройте секретный пароль (секретный пароль коммутатора должен совпадать с секретным паролем на сервере):
  3. Включить учет профиля доступа:
  4. Настройте порядок учета, RADIUS для отправки сообщений учета и обновлений:
  5. Настройте статистику, которая будет собираться на коммутаторе и перенаходить на сервер учета:
  6. (Необязательно) Настройте коммутатор на отправку периодических обновлений для сеанса пользователя с заданным интервалом серверу учета:
  7. Отображение статистики учета, собранной на коммутаторе show network-access aaa statistics accounting с помощью команды, например:
  8. Откройте журнал учета на RADIUS учета, используя адрес сервера и просмотрев статистику учета, например: