Radius Log
سطر ۲۹۷: | سطر ۲۹۷: | ||
</div> | </div> | ||
+ | |||
+ | :* '''Username''': نام کاربری ، کاربر در حال اتصال. | ||
+ | |||
+ | :* '''NAS-IP-Address''': ب Bras IP که این درخواست را ارسال کرده است. | ||
+ | |||
+ | :* '''Framed-Protocol''': پروتکل درخواست اتصال کاربر به Bras. | ||
+ | |||
+ | :* '''client-mac-address''': مک آدرس کاربر . | ||
+ | |||
+ | :* '''Acct-Session-Id''': مشخصه یکتایی است برای match شدن start acc و stop acc. | ||
+ | |||
+ | :* '''Acct-Status-Type''': نوع پکت ارسالی را مشخص می نماید که شامل '''Start'''، '''Alive''' و '''Stop''' است. | ||
+ | |||
+ | :* '''Acct-Input-Gigawords''': مقدار ثبت شده در این گزینه معادل '''4 گیگا بایت''' دانلود کاربر است، به عنوان نمونه اگر گزینه عدد 3 را نمایش می دهد یعنی کاربر 12 گیگ مصرف داشته است. 12=3*4 | ||
+ | |||
+ | :* '''Acct-Output-Gigawords''': مقدار ثبت شده در این گزینه معادل '''4 گیگا بایت''' آپلود کاربر است، به عنوان نمونه اگر گزینه عدد 2 را نمایش می دهد یعنی کاربر 8 گیگ مصرف داشته است. 8=2*4 | ||
+ | |||
+ | :* '''Acct-Input-Octets''': مقدار ثبت شده در این گزینه میزان دانلود کاربر است، که با '''Gigaword''' جمع و میزان مصرف کلی دانلود محاسبه می شود. واحد آن '''Byte''' است. | ||
+ | |||
+ | :* '''Acct-Output-Octets''': مقدار ثبت شده در این گزینه میزان آپلود کاربر است، که با '''Gigaword''' جمع و میزان مصرف کلی آپلود محاسبه می شود. واحد آن '''Byte''' است. | ||
+ | |||
=== Stop === | === Stop === |
نسخهٔ ۱۹ نوامبر ۲۰۱۶، ساعت ۱۰:۴۲
محتویات |
Radius Log
RADIUS
ردیوس چیست ؟ (Remote Authentication Dail-In User Service (RADIUS یک سرویس مرکزی احراز هویت می باشد . به جای اینکه هر سرور RAS به صورت جداگانه نیازمند یک پایگاه داده باشد تا اشخاص را احراز هویت کند , درخواست های احرازهویت به یک سرور مرکزی ارسال می گردند . تا تمامی کاربران و یا تجهیزات توسط سرویس مرکزی احراز هویت شوند .
کلیه اطلاعات ارسالی از BRAS توسط AAA به صورت text file در مسیر زیر ذخیره و قابل استناد است.
/var/log/IBSng/RADIUS
لازم به ذکر است با توجه به حجم بالای لاگ های Radius، این لاگ ها در بازه ای از زمان rotate می گردد.
در صورت نیاز به نگهداری RADIUS log می بایست فضای مناسب جهت ذخیره سازی در اختیار IBSng قرار گیرد.
Radius شامل سه فاز می باشد:
- Authentication
- Accounting
- Authorization
Authentication
پروسه شناسایی و احراز هویت برای تشخیص کسی و یا چیزی است . authentication معمولا و به صورت پیشفرش به صورت یوزر و پسوزر سمت شخص و یا تجهیزات از همدیگر تمیز داده میشوند که به موجب آن دسترسی و عدم دسترسی برای کاربر را به همراه دارد . پیام Authentication از سمت access server به سمت RADIUS توسط پورت 1812 UDP ارسال میشود .
در Radias digram زیر، فاز Authentication با کادر قرمز مشخص شده است:
جهت دسترسی به لاگ های این فاز از دستور زیر می توانید استفاده نمایید:
less /var/log/IBSng/RADIUS/auth.log
پکت های Access-Request، Access-Accept و Access-Reject در فایل auth.log قرار گرفته است.
Access-Request
در این قسمت لاگ درخواستهای اتصال کاربران از سمت Bras به AAA ارسال می شود. نمونه packet ارسالی مشابه نمونه packet زیر می باشد:
Nov 16 06:25:06 Ardebil-Core-DB-B RADIUS_WORKER_4: ibs_radius:Access-Request packet from host 192.168.99.5 port 21734, id=75, length=198 User-Password = 0x58df6d85d38daaf3hd72eeec173fbc8f8ed NAS-IP-Address = 192.168.99.5 User-Name = test NAS-Port-Id = 1/0/0/409 Cisco-AVPair = client-mac-address=a1b2.c3d4.f5f6 Cisco-AVPair = circuit-id-tag=Angut atm 9/24:409:0.35 Framed-Protocol = PPP Service-Type = Framed-User Acct-Session-Id = 1/0/0/409_00C40C34 NAS-Port-Type = Ethernet NAS-Port = 268435865 NAS-Port = 15781409
موارد کاربردی در نمونه Packet بالا شامل :
- Username: نام کاربری ، کاربر در حال اتصال.
- User-Password : رمز عبور کاربر که بسته به نوع Authentication که روی RAS ست شده، ممکن است به صورت هش و یا به صورت clear text نمایش داده می شود.
- NAS-IP-Address: ب Bras IP که این درخواست را ارسال کرده است.
- Framed-Protocol: پروتکل درخواست اتصال کاربر به Bras
- client-mac-address: مک آدرس کاربر
- Acct-Session-Id: مشخصه یکتایی است برای match شدن start acc و stop acc
- id: مقدار id در access-request مطابق است با id در access-accept
Access-Accept
لاگ تایید ارتباط کاربر که از سمت AAA به سمت Bras ارسال می شود. نمونه packet ارسالی مشابه نمونه packet زیر می باشد:
در صورت وجود مشخصه ای در AAA مانند IPpool یا policy، این مشخصه در access-accept به Bras ارسال می شود.
Nov 16 06:25:06 Ardebil-Core-DB-B RADIUS_WORKER_2: ibs_radius:Access-Request packet from host 192.168.99.5 port 21734, id=87, length=211 User-Password = 0xa8286cd4bfeb2ccd9903b1gm99bf29e4e98 NAS-IP-Address = 192.168.99.5 User-Name = test NAS-Port-Id = 1/0/0/407 Cisco-AVPair = client-mac-address=a1b2.c3d4.f5f6 Cisco-AVPair = circuit-id-tag=Jafarabad-zhone-1 atm 16/37:407:0.35 Framed-Protocol = PPP Service-Type = Framed-User Acct-Session-Id = 1/0/0/407_00C40C32 NAS-Port-Type = Ethernet NAS-Port = 268435863 Nov 16 06:25:06 Ardebil-Core-DB-B RADIUS_WORKER_2: ibs_radius:Access-Accept packet to host 192.168.99.5 port 21734, id=84, length=56 process_start=0.0643s, rad_server_handle_start=0.0643s, rad_server_send_to_main=0.0625s, ras_msg_dispatch_start=0.0617s, internet_authenticate_before_late_check=0.0615s, user_worker_enqueue=0.0615s, internet_authenticate_start=0.0133s, internet_authenticate_ready_to_process=0.0101s, user_worker_run_start=0.0097s, user_worker_process_start=0.0084s, user_worker_process_finish=0.0056s, user_worker_run_finished=0.0041s, ras_msg_dispatch_finished=0.0028s Framed-Protocol = PPP Service-Type = Framed-User Cisco-Policy-Down = 1024 Framed-IP-Netmask = 255.255.255.255 Framed-IP-Address = xx.xx.xx.xx Cisco-Policy-Down = 1024 Cisco-Policy-Up = 1024
موارد کاربردی در نمونه Packet بالا شامل :
- Username: نام کاربری ، کاربر در حال اتصال.
- User-Password : رمز عبور کاربر که بسته به نوع Authentication که روی RAS ست شده، ممکن است به صورت هش و یا به صورت clear text نمایش داده می شود.
- NAS-IP-Address: ب Bras IP که این درخواست را ارسال کرده است.
- Framed-Protocol: پروتکل درخواست اتصال کاربر به Bras
- client-mac-address: مک آدرس کاربر
- Acct-Session-Id: مشخصه یکتایی است برای match شدن start acc و stop acc
- id: مقدار id در access-request مطابق است با id در access-accept
- Cisco-Policy-Down: پالیسی rate دانلود کاربر که در گزینه Limit bw (Inras) در شارژ ست شده است.
- Cisco-Policy-Up: پالیسی rate آپلود کاربر که در گزینه Limit bw (Inras) در شارژ ست شده است.
Access-Reject
در صورت عدم تایید Access-request ارسالی از سمت Bras، سرور AAA درخواست Access-reject را به Bras ارسال می کند. نمونه packet ارسالی مشابه نمونه packet زیر می باشد:
Nov 16 06:25:06 Ardebil-Core-DB-B RADIUS_WORKER_3: ibs_radius:Access-Request packet from host 192.168.99.5 port 21734, id=76, length=200 User-Password = 0x4ab7705f03b3bgh7718cd78f0b03525a990 NAS-IP-Address = 192.168.99.5 User-Name= test NAS-Port-Id = 1/0/0/407 Cisco-AVPair = client-mac-address=a1b2.c3d4.f5f6 Cisco-AVPair = circuit-id-tag=Jafarabad-2 atm 3/41:0.35 Framed-Protocol = PPP Service-Type = Framed-User Acct-Session-Id = 1/0/0/407_00C40C2D NAS-Port-Type = Ethernet NAS-Port = 268435863 Nov 16 06:25:06 Ardebil-Core-DB-B RADIUS_WORKER_4: ibs_radius:Access-Reject packet to host 192.168.99.5 port 21734, id=75, length=39 process_start=0.0317s, rad_server_handle_start=0.0317s, rad_server_send_to_main=0.0293s, ras_msg_dispatch_start=0.0286s, internet_authenticate_before_late_check=0.0285s, user_worker_enqueue=0.0285s, internet_authenticate_start=0.0043s, ras_msg_dispatch_finished=0.0024s Framed-Protocol = PPP Service-Type = Framed-User Reply-Message = E=900
- Username: نام کاربری ، کاربر در حال اتصال.
- User-Password : رمز عبور کاربر که بسته به نوع Authentication که روی RAS ست شده، ممکن است به صورت هش و یا به صورت clear text نمایش داده می شود.
- NAS-IP-Address: ب Bras IP که این درخواست را ارسال کرده است.
- Framed-Protocol: پروتکل درخواست اتصال کاربر به Bras.
- client-mac-address: مک آدرس کاربر .
- Acct-Session-Id: مشخصه یکتایی است برای match شدن start acc و stop acc.
- id: مقدار id در access-request مطابق است با id در access-reject.
- Reply-Message: دلیل عدم اتصال کاربر.
Accounting
طی این فرایند، گزارشی از عملکرد و یا محاسبه میزان مصرف کاربران یا سختافزارهایی که هویت آنها تایید شده است توسط سرور RADIUS آماده میشود . سرور ردیوس این گزارشات و میزان مصرف را از access server بر روی پورت 1813 UDP دریافت کرده و محاسبه می نماید .
در Radias digram زیر،فاز Accounting با کادر قرمز مشخص شده است:
Start
start accounting جواب Bras به Access-accept ارسالی از AAA است.
جهت دسترسی به لاگ های این قسمت از دستور زیر می توانید استفاده نمایید:
less /var/log/IBSng/RADIUS/start_stop.log
پکت های start در فایل start_stop.log قرار گرفته است.
Nov 16 06:01:03 Ardebil-Core-DB-B RADIUS_WORKER_1: ibs_start_stop:Accounting-Request packet from host 192.168.99.6 port 21673, id=18, length=263 NAS-IP-Address = 192.168.99.6 User-Name = test NAS-Port-Id = 5/0/0/519 Cisco-Policy-Down = 512 Acct-Status-Type = Start Cisco-AVPair = connect-progress=LAN Ses Up Cisco-AVPair = client-mac-address=a1b2.c3d4.f5f6 Cisco-AVPair = circuit-id-tag=Ard-Bakeri-Zyxel-1 atm 4/15:0.35:519 Acct-Delay-Time = 0 Framed-Protocol = PPP Framed-IP-Address = xx.xx.xx.xx Acct-Authentic = RADIUS Acct-Session-Id = 5/0/0/519_132E061A NAS-Port-Type = Ethernet Service-Type = Framed-User NAS-Port = 1342177799
- Username: نام کاربری ، کاربر در حال اتصال.
- NAS-IP-Address: ب Bras IP که این درخواست را ارسال کرده است.
- Framed-Protocol: پروتکل درخواست اتصال کاربر به Bras.
- client-mac-address: مک آدرس کاربر .
- Acct-Session-Id: مشخصه یکتایی است برای match شدن start acc و stop acc.
- Acct-Status-Type: نوع پکت ارسالی را مشخص می نماید که شامل Start، Alive و Stop است.
Alive
جهت دسترسی به لاگ های این قسمت از دستور زیر می توانید استفاده نمایید:
less /var/log/IBSng/RADIUS/alive.log
پکت های alive در فایل alive.log قرار گرفته است.
Nov 16 00:01:01 Ardebil-Core-DB-B RADIUS_WORKER_4: ibs_alive:Accounting-Request packet from host 192.168.99.5 port 21654, id=71, length=347 NAS-IP-Address = 192.168.99.5 User-Name = test NAS-Port-Id = 1/0/0/408 Cisco-Policy-Down = 3072 Acct-Session-Time = 36216 Acct-Output-Packets = 15001 Framed-IP-Address = xx.xx.xx.xx Acct-Input-Packets = 11063 Framed-Protocol = PPP Cisco-AVPair = client-mac-address=a1b2.c3d4.f5f6 Cisco-AVPair = connect-progress=LAN Ses Up Cisco-AVPair = nas-tx-speed=1000000000 Cisco-AVPair = nas-rx-speed=1000000000 Cisco-AVPair = circuit-id-tag=Germi-Emam atm 3/2:408:0.35 Acct-Authentic = RADIUS Acct-Delay-Time = 0 Acct-Input-Gigawords = 2 Acct-Session-Id = 1/0/0/408_00BBE309 Acct-Output-Gigawords = 3 Acct-Input-Octets = 981842 Service-Type = Framed-User Acct-Output-Octets = 6771644 NAS-Port-Type = Ethernet NAS-Port = 268435864 Acct-Status-Type = Alive
- Username: نام کاربری ، کاربر در حال اتصال.
- NAS-IP-Address: ب Bras IP که این درخواست را ارسال کرده است.
- Framed-Protocol: پروتکل درخواست اتصال کاربر به Bras.
- client-mac-address: مک آدرس کاربر .
- Acct-Session-Id: مشخصه یکتایی است برای match شدن start acc و stop acc.
- Acct-Status-Type: نوع پکت ارسالی را مشخص می نماید که شامل Start، Alive و Stop است.
- Acct-Input-Gigawords: مقدار ثبت شده در این گزینه معادل 4 گیگا بایت دانلود کاربر است، به عنوان نمونه اگر گزینه عدد 3 را نمایش می دهد یعنی کاربر 12 گیگ مصرف داشته است. 12=3*4
- Acct-Output-Gigawords: مقدار ثبت شده در این گزینه معادل 4 گیگا بایت آپلود کاربر است، به عنوان نمونه اگر گزینه عدد 2 را نمایش می دهد یعنی کاربر 8 گیگ مصرف داشته است. 8=2*4
- Acct-Input-Octets: مقدار ثبت شده در این گزینه میزان دانلود کاربر است، که با Gigaword جمع و میزان مصرف کلی دانلود محاسبه می شود. واحد آن Byte است.
- Acct-Output-Octets: مقدار ثبت شده در این گزینه میزان آپلود کاربر است، که با Gigaword جمع و میزان مصرف کلی آپلود محاسبه می شود. واحد آن Byte است.
Stop
جهت دسترسی به لاگ های این قسمت از دستور زیر می توانید استفاده نمایید:
less /var/log/IBSng/RADIUS/start_stop.log
پکت های stop در فایل start_stop.log قرار گرفته است.
Nov 16 06:01:03 Ardebil-Core-DB-B RADIUS_WORKER_3: ibs_start_stop:Accounting-Request packet from host 192.168.99.5 port 21761, id=239, length=429 NAS-IP-Address = 192.168.99.5 User-Name = test NAS-Port-Id = 1/0/0/408 Acct-Session-Time = 2703 Acct-Output-Packets = 585 Framed-IP-Address = xx.xx.xx.xx Acct-Input-Packets = 711 Framed-Protocol = PPP Cisco-AVPair = client-mac-address=a1b2.c3d4.f5f6 Cisco-AVPair = ppp-disconnect-cause=Lower Layer disconnected Cisco-AVPair = connect-progress=LAN Ses Up Cisco-AVPair = nas-tx-speed=1000000000 Cisco-AVPair = nas-rx-speed=1000000000 Cisco-AVPair = disc-cause-ext=Radius Disc Cisco-AVPair = circuit-id-tag=Germi-Emam atm 5/24:408:0.35 Acct-Authentic = RADIUS Acct-Terminate-Cause = Admin-Reset Acct-Session-Id = 1/0/0/408_00C39464 Acct-Delay-Time = 0 Acct-Input-Octets = 26799 Service-Type = Framed-User Acct-Output-Octets = 48509 NAS-Port-Type = Ethernet NAS-Port = 268435864 Acct-Status-Type = Stop
END-Behnaz