Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

配置 RADIUS 系统记帐

 

在启用 RADIUS 记帐的情况下,作为 RADIUS 客户端的瞻博网络路由器或交换机可通知 RADIUS 服务器有关用户活动,如软件登录、配置更改和交互式命令。RFC 2866 中介绍了 RADIUS 会计的框架。

配置 RADIUS 系统记帐的任务包括:

在 RADIUS 服务器上配置用户事件审核

要审核用户事件,请在[edit system accounting]层次结构级别包括以下语句:

指定 RADIUS 服务器的计费和审核事件

要指定使用 RADIUS 服务器进行身份验证时要审核的事件,请将events语句包含在[edit system accounting]层次结构级别:

events是以下一个或多个选项:

  • login—审核登录

  • change-log—审核配置更改

  • interactive-commands—审核交互式命令(任何命令行输入)

配置 RADIUS 服务器计费

要配置 RADIUS 服务器计费,请在server[edit system accounting destination radius]层次结构级别包括语句:

server-address指定 RADIUS 服务器的地址。要配置多个 RADIUS 服务器,请server包含多个语句。

注意

如果未在[edit system accounting destination radius]语句层次结构级别配置 RADIUS 服务器,Junos OS 将使用在[edit system radius-server]层次结构级别配置的 RADIUS 服务器。

accounting-port port-number指定 RADIUS 服务器记帐端口号。

默认端口号为1813。

注意

如果您在[edit access profile profile-name accounting-order]层次结构级别启用 RADIUS 核算,即使您没有为该accounting-port语句指定值,也将在默认端口1813上触发计费。

routing-instance routing-instance是非默认管理实例的名称。使用 mgmt_junos作为路由实例名称。请参阅非默认实例中的管理接口

您必须指定本地路由器或交换机通过包含此secret语句传递至 RADIUS 客户端的机密(密码)。如果密码包含空格,请将整个密码用引号(“ “)引起来。

source-address语句中,为 RADIUS 服务器指定源地址。发送到 RADIUS 服务器的每个 RADIUS 请求都使用指定的源地址。源地址是在某个路由器或交换机接口上配置的有效 IPv4 地址(如果 radius 服务器地址为 IPv4)或 IPv6 地址(如果 radius 服务器地址为 IPv6)。

您也可以指定路由器或交换机尝试通过包含该retry语句与 RADIUS 认证服务器联系的次数。默认情况下,路由器或交换机重试三次。您可以将路由器或交换机配置为从1重到 10 次。

您也可以指定本地路由器或交换机通过包含该timeout语句等待从 RADIUS 服务器接收响应的时间长度。默认情况下,路由器或交换机等待 3 秒。您可将超时配置为从1到 90 秒。

从 Junos OS 版本14.1 和 Junos OS Release 17.3 R1 开始,您可以配置enhanced-accounting语句以查看已登录用户的属性值。如果您在enhanced-accounting层次[edit system radius-options]结构级别使用该语句,则可以审核访问方法、远程端口和访问权限等 RADIUS 属性。您可以使用enhanced-avs-max <number>[edit system accounting]层次结构级别的语句限制要为审核显示的属性值数量。

当瞻博网络路由器或交换机配置 RADIUS 记帐时,会将其发送Accounting-StartAccounting-Stop RADIUS 服务器并发出消息。这些消息包含有关用户活动的信息,例如软件登录、配置更改和交互式命令。此信息通常用于监控网络、收集使用情况统计数据以及确保用户获得正确的计费。

下面的示例显示了为 RADIUS 记帐配置的三台服务器(10.5.5.5、10.6.6.6 和10.7.7.7):

Release History Table
版本
说明
从 Junos OS 版本14.1 和 Junos OS Release 17.3 R1 开始,您可以配置enhanced-accounting语句以查看已登录用户的属性值。