Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
Nesta página
 

Contabilidade 802.1X e RADIUS

Os switches da Série EX oferecem suporte à contabilidade RADIUS. Você pode configurar a contabilidade RADIUS em um switch da Série EX para coletar dados estatísticos sobre usuários fazendo login em ou fora de uma LAN e enviar esses dados para um servidor de contabilidade RADIUS. Os dados coletados são usados para fins de monitoramento de rede.

Entenda a contabilidade 802.1X e RADIUS em switches

Os switches de ethernet da Série EX da Juniper Networks oferecem suporte a IETF RFC 2866, Contabilidade RADIUS. Ao configurar a contabilidade RADIUS em um switch da Série EX, você pode coletar dados estatísticos sobre usuários fazendo login em ou fora de uma LAN e enviar esses dados para um servidor de contabilidade RADIUS. Os dados estatísticos coletados podem ser usados para realizar monitoramento geral da rede, analisar e rastrear padrões de uso ou faturar um usuário com base na quantidade de tempo ou tipo de serviços acessados.

Processo de contabilidade RADIUS

A contabilidade RADIUS é baseada em um modelo de cliente/servidor no qual o switch, operando como servidor de acesso de rede (NAS), é o cliente. O cliente encaminha as estatísticas de contabilidade do usuário para um servidor de contabilidade RADIUS designado. O servidor de contabilidade RADIUS deve enviar uma resposta ao cliente quando tiver recebido e registrado com sucesso as estatísticas contábeis.

O processo de contabilidade RADIUS entre um switch e um servidor RADIUS é baseado na troca de dois tipos de mensagens RADIUS — solicitação de contabilidade e resposta à contabilidade. As mensagens de solicitação de contabilidade são enviadas do switch para o servidor e transmitem informações usadas para prestar contas de um serviço fornecido a um usuário. As mensagens de resposta à contabilidade são enviadas do servidor para reconhecer o recebimento dos pacotes de solicitação de contabilidade. A troca de mensagens entre o switch e o servidor prossegue da seguinte forma:

  1. Um servidor de contabilidade RADIUS ouve pacotes de protocolo de datagrama de usuário (UDP) em uma porta específica. Por exemplo, no FreeRADIUS, a porta padrão é 1813.

  2. Quando um suplicante é autenticado através da autenticação 802.1X e depois conectado à LAN, o switch encaminha uma mensagem de solicitação de contabilidade com um registro do evento para o servidor de contabilidade. A mensagem de solicitação de contabilidade enviada pelo switch inclui o atributo RADIUS Acct-Status-Type com um valor de Start, que indica o início do serviço do usuário para este suplicante. O servidor de contabilidade registra este evento no arquivo de log de contabilidade como um registro inicial.

  3. O servidor de contabilidade envia uma mensagem de resposta contabilidade de volta ao switch confirmando que recebeu a solicitação de contabilidade. Se o switch não receber uma resposta do servidor, ele continua a enviar solicitações de contabilidade até que uma resposta contabilizante seja devolvida do servidor de contabilidade.

  4. O switch pode enviar uma mensagem provisória ao servidor de contabilidade para atualizar periodicamente o servidor com informações relativas a uma sessão específica. Mensagens provisórias são enviadas como mensagens de solicitação de contabilidade com o valor do atributo do tipo de status acct da Atualização provisória. O servidor de contabilidade envia um messae de resposta contabilidade de volta ao switch para confirmar o recebimento de uma atualização provisória.

  5. Quando a sessão do suplicante termina, o switch encaminha uma mensagem de solicitação de contabilidade com o valor de atributo do tipo de status acct definido para parar, indicando o fim do serviço do usuário. O servidor de contabilidade registra este evento no arquivo de log de contabilidade como um registro de parada que contém informações da sessão e a duração da sessão.

As estatísticas coletadas por esse processo podem ser exibidas a partir do servidor RADIUS. Para visualizar essas estatísticas, o usuário precisa acessar o arquivo de log de contabilidade configurado para recebê-las. No FreeRADIUS, o nome do arquivo é o endereço do servidor — por exemplo, 122.69.1.250.

Atributos RADIUS suportados

As estatísticas de contabilidade RADIUS são transmitidas pelos atributos incluídos em cada mensagem de solicitação de contabilidade enviada do NAS para o servidor. Tabela 1 listar os atributos RADIUS suportados para mensagens de solicitação de contabilidade.

Tabela 1: Atributos de solicitação de contabilidade RADIUS

Tipo

Atributo

Descrição

1

Nome do usuário

O nome do usuário autenticado.

5

Porta NAS

O número de porta física do NAS que autentica o usuário. A porta NAS ou a NAS-Port-ID devem ser contidas no pacote.

8

Endereço IP emoldurado

O endereço IP do usuário autenticado.

Nota:

O atributo de endereço IP emoldurado é enviado apenas se existir uma vinculação DHCP válida para o host na tabela de espionagem DHCP.

11

ID de filtro

O nome da lista de filtros para o usuário.

12

MTU emoldurado

A unidade de transmissão máxima que pode ser configurada para o usuário.

26

Nome do sistema do cliente

Atributo específico do fornecedor (VSA) usado para indicar o nome de host do cliente. Suporte apenas para dispositivos compatíveis com LLDP.

27

Tempo limite de sessão

Define o tempo máximo (em segundos) de que uma sessão permaneça ativa antes de terminar ou um prompt seja emitido notificando sua rescisão.

28

Tempo limite ocioso

O número máximo de segundos consecutivos de conexão ociosa permitiu ao usuário antes do término da sessão ou solicitação.

30

Chamada ID da estação

Permite que o NAS identifique o número de telefone que o usuário ligou, usando identificação de número discado (DNIS) ou uma tecnologia semelhante.

31

ID da estação de chamada

Permite que o NAS identifique o número de telefone de onde a chamada veio, usando identificação automática de número (ANI) ou uma tecnologia semelhante.

32

Identificador NAS

Contém uma string que identifica o NAS que origina a mensagem de solicitação de contabilidade.

40

Tipo de status de acct

Indica se essa mensagem de solicitação de contabilidade marca o início (Início) ou o fim (Stop) da sessão do usuário. Também pode ser usado para uma atualização provisória (Atualização provisória).

44

ID da Acct-Session

Um ID exclusivo para uma sessão de contabilidade específica que pode ser usada para combinar registros de início e parada para uma sessão no arquivo de log.

45

Acct-Authentic

Indica se o usuário foi autenticado localmente, pelo servidor RADIUS ou por outro protocolo de autenticação remota.

55

Data-hora do evento

Registra o momento em que um evento ocorreu.

87

ID nas-portas

String de texto que identifica a porta que autentica o usuário. A porta NAS ou o NAS-Port-ID devem estar presentes no pacote.

Consulte também

Configuração da contabilidade RADIUS 802.1X (procedimento CLI)

A contabilidade RADIUS permite que dados estatísticos sobre usuários fazendo login em ou fora de uma LAN sejam coletados e enviados a um servidor de contabilidade RADIUS. Os dados estatísticos coletados podem ser usados para realizar monitoramento geral da rede, para analisar e rastrear padrões de uso, ou para faturar um usuário com base na quantidade de tempo ou tipo de serviços acessados.

A contabilidade RADIUS é baseada em um modelo de cliente/servidor no qual o switch, operando como servidor de acesso de rede (NAS), é o cliente. O cliente é responsável por encaminhar estatísticas de contabilidade de usuários para um servidor de contabilidade RADIUS designado. Para configurar a contabilidade RADIUS, especifique um ou mais servidores de contabilidade RADIUS para receber os dados estatísticos do switch e selecione o tipo de dados contábeis a serem coletados.

O servidor de contabilidade RADIUS que você especifica pode ser o mesmo servidor usado para autenticação RADIUS, ou pode ser um servidor RADIUS separado. Você pode especificar uma lista de servidores de contabilidade RADIUS. Se o servidor primário (o primeiro configurado) estiver indisponível, então cada servidor RADIUS na lista é testado na ordem em que os servidores estão configurados no Junos OS.

Para configurar a contabilidade RADIUS usando o CLI:

  1. Configure um perfil de acesso e especifique os servidores de contabilidade aos quais o switch encaminha estatísticas contábeis:
  2. Defina o endereço dos servidores de contabilidade RADIUS e configure a senha secreta (a senha secreta no switch deve combinar com a senha secreta no servidor):
  3. Habilite a contabilidade para o perfil de acesso:
  4. Configure a ordem de contabilidade, tornando o RADIUS o primeiro método para o envio de mensagens contábeis e atualizações:
  5. Configure as estatísticas a serem coletadas no switch e encaminhadas ao servidor de contabilidade:
  6. (Opcional) Configure o switch para enviar atualizações periódicas para uma sessão de usuário em um intervalo especificado para o servidor de contabilidade:
  7. Exibir estatísticas contábeis coletadas no switch usando o show network-access aaa statistics accounting comando, por exemplo:
  8. Abra um log de contabilidade no servidor de contabilidade RADIUS usando o endereço do servidor e visualize estatísticas contábeis, por exemplo:

Consulte também

Tópicos relacionados