802.1XとRADIUSアカウンティング
EXシリーズスイッチは、RADIUSアカウンティングをサポートしています。EXシリーズスイッチでRADIUSアカウンティングを設定すると、LANにログインまたはログアウトするユーザーの統計データを収集して、RADIUSアカウンティングサーバーに送信できます。収集されたデータは、ネットワーク監視の目的で使用されます。
スイッチでの 802.1X と RADIUS アカウンティングについて
ジュニパーネットワークスEXシリーズイーサネットスイッチは、IETF RFC 2866、 RADIUSアカウンティングをサポートしています。EXシリーズスイッチでRADIUSアカウンティングを設定することで、LANにログインまたはログアウトするユーザーの統計データを収集し、そのデータをRADIUSアカウンティングサーバーに送信できます。収集された統計データは、一般的なネットワーク監視の実行、使用パターンの分析と追跡、またはアクセスした時間やサービスの種類に基づいてユーザーに請求するために使用できます。
RADIUSアカウンティングプロセス
RADIUSアカウンティングは、ネットワークアクセスサーバー(NAS)として動作するスイッチがクライアントであるクライアント/サーバーモデルに基づいています。クライアントは、ユーザーアカウンティング統計を指定されたRADIUSアカウンティングサーバーに転送します。RADIUSアカウンティングサーバーは、アカウンティング統計の受信と記録に成功すると、クライアントに応答を送信する必要があります。
スイッチとRADIUSサーバー間のRADIUSアカウンティングプロセスは、Accounting-RequestとAccounting-Responseの2種類のRADIUSメッセージの交換に基づいています。Accounting-Requestメッセージは、スイッチからサーバーに送信され、ユーザーに提供されるサービスのアカウントに使用される情報を伝えます。アカウンティング要求パケットの受信を確認するために、サーバーからアカウンティング応答メッセージが送信されます。スイッチとサーバー間のメッセージ交換は、次のように行われます。
RADIUSアカウンティングサーバーは、特定のポートでUser Datagram Protocol(UDP)パケットをリッスンします。例えば、FreeRADIUSでは、デフォルトのポートは1813です。
サプリカントが 802.1X 認証で認証され、LAN に接続されると、スイッチはイベントのレコードを含む Accounting-Request メッセージをアカウンティング サーバに転送します。スイッチから送信されるAccounting-Requestメッセージには、このサプリカントのユーザーサービスの開始を示すStartの値を持つRADIUS属性Acct-Status-Typeが含まれています。アカウンティング・サーバーは、このイベントを開始レコードとしてアカウンティング・ログ・ファイルに記録します。
アカウンティングサーバーは、アカウンティング要求を受信したことを確認する Accounting-Responseメッセージをスイッチに送り返します。スイッチがサーバーから応答を受信しない場合、スイッチはアカウンティング サーバーからアカウンティング応答が返されるまでアカウンティング要求を送信し続けます。
スイッチは、特定のセッションに関する情報でサーバーを定期的に更新するために、アカウンティングサーバーに中間メッセージを送信する場合があります。中間メッセージは、Acct-Status-Type属性値が中間更新のアカウンティング要求メッセージとして送信されます。アカウンティング サーバーは、中間更新の受信を確認するために、Accounting-Responseメッセージをスイッチに送り返します。
サプリカントのセッションが終了すると、スイッチは、Acct-Status-Type属性値が停止に設定されたアカウンティングリクエストメッセージを転送し、ユーザーサービスの終了を示します。アカウンティング・サーバーは、このイベントを、セッション情報とセッションの長さを含む停止レコードとしてアカウンティング・ログ・ファイルに記録します。
このプロセスで収集された統計情報は、RADIUSサーバーから表示できます。これらの統計情報を表示するには、ユーザーは統計情報を受信するように設定されたアカウンティング ログ ファイルにアクセスする必要があります。FreeRADIUSでは、ファイル名はサーバーのアドレス(例:122.69.1.250)です。
サポートされるRADIUS属性
RADIUSアカウンティングの統計情報は、NASからサーバーに送信される各アカウンティングリクエストメッセージに含まれる属性を通じて伝えられます。 表 1 、Accounting-RequestメッセージでサポートされるRADIUS属性のリストです。
タイプ |
属性 |
説明 |
|---|---|---|
1 |
User-Name |
認証されたユーザーの名前。 |
5 |
NASポート |
ユーザーを認証する NAS の物理ポート番号。NASポートまたはNASポートIDのいずれかがパケットに含まれている必要があります。 |
8 |
フレーム IP アドレス |
認証されたユーザーの IP アドレス。 注:
フレームIPアドレス属性は、DHCPスヌーピングテーブル内のホストに有効なDHCPバインディングが存在する場合にのみ送信されます。 |
11 |
フィルターID |
ユーザーのフィルタ一覧の名前。 |
12 |
フレームMTU |
ユーザーに対して構成できる最大送信単位。 |
26 |
クライアント・システム名 |
クライアントのホスト名を示すために使用されるベンダー固有属性(VSA)。LLDP対応デバイスのみサポートされます。 |
27 |
Session-Timeout |
セッションが終了するまで、または終了を通知するプロンプトが発行されるまでに、セッションがアクティブなままになる最大時間(秒単位)を設定します。 |
28 |
アイドルタイムアウト |
セッションまたはプロンプトが終了する前にユーザーに許可されるアイドル接続の最大秒数。 |
30 |
着信側ステーション ID |
ダイヤル番号識別(DNIS)または同様の技術を使用して、ユーザーが呼び出した電話番号をNASが識別できるようにします。 |
31 |
Calling-Station-ID |
自動番号識別(ANI)または同様の技術を使用して、NASが通話元の電話番号を識別できるようにします。 |
32 |
NAS識別子 |
Accounting-Requestメッセージを発信したNASを識別する文字列を含みます。 |
40 |
Acct-status-type |
この Accounting-Request メッセージがユーザー セッションの開始 (開始) または終了 (停止) のどちらを示すかを示します。中間更新(中間更新)にも使用できます。 |
44 |
Acct-Session-ID |
ログ・ファイル内のセッションの開始レコードと停止レコードを突き合わせるために使用できる、特定のアカウンティング・セッションの固有 ID。 |
45 |
Acct-Authentic |
ユーザーがローカル、RADIUS サーバー、または別のリモート認証プロトコルによって認証されたかどうかを示します。 |
55 |
イベントタイムスタンプ |
イベントが発生した時刻を記録します。 |
87 |
NAS-Port-ID |
ユーザーを認証するポートを識別するテキスト文字列。NASポートまたはNASポートIDのいずれかがパケットに存在する必要があります。 |
関連項目
802.1X RADIUSアカウンティングの設定(CLI 手順)
RADIUSアカウンティングを使用すると、LANにログインまたはログアウトするユーザーの統計データを収集し、RADIUSアカウンティングサーバーに送信できます。収集された統計データは、一般的なネットワーク監視の実行、使用パターンの分析と追跡、またはアクセスした時間やサービスの種類に基づくユーザーへの課金に使用できます。
RADIUSアカウンティングは、ネットワークアクセスサーバー(NAS)として動作するスイッチがクライアントであるクライアント/サーバーモデルに基づいています。クライアントは、ユーザーアカウンティング統計を指定されたRADIUSアカウンティングサーバーに転送する役割を担います。RADIUSアカウンティングを設定するには、スイッチから統計データを受信する1つ以上のRADIUSアカウンティングサーバーを指定し、収集するアカウンティングデータの種類を選択します。
指定するRADIUSアカウンティングサーバーは、RADIUS認証に使用したのと同じサーバーにすることも、別のRADIUSサーバーにすることもできます。RADIUSアカウンティングサーバーのリストを指定できます。プライマリサーバー(最初に設定されたサーバー)が利用できない場合、リスト内の各RADIUSサーバーは、Junos OSでサーバーが構成されている順序で試行されます。
CLIを使用してRADIUSアカウンティングを設定するには、次の手順に従います。