Radius Log
از ویکی پارس پویش
(تفاوت بین نسخهها)
| (۴۰ ویرایش میانی توسط ۲ کاربر نشان داده نشدهاست) | |||
| سطر ۴: | سطر ۴: | ||
<div dir=rtl lang=fa> | <div dir=rtl lang=fa> | ||
| − | = | + | = Radius Log = |
| + | |||
| + | '''RADIUS''' | ||
| + | |||
| + | ردیوس چیست ؟ (Remote Authentication Dail-In User Service (RADIUS یک سرویس مرکزی احراز هویت می باشد . به جای اینکه هر سرور RAS به صورت جداگانه نیازمند یک پایگاه داده باشد تا اشخاص را احراز هویت کند , درخواست های احرازهویت به یک سرور مرکزی ارسال می گردند . تا تمامی کاربران و یا تجهیزات توسط سرویس مرکزی احراز هویت شوند . | ||
کلیه اطلاعات ارسالی از BRAS توسط AAA به صورت text file در مسیر زیر ذخیره و قابل استناد است. | کلیه اطلاعات ارسالی از BRAS توسط AAA به صورت text file در مسیر زیر ذخیره و قابل استناد است. | ||
| سطر ۱۱: | سطر ۱۵: | ||
<div dir=ltr lang=en> | <div dir=ltr lang=en> | ||
| − | '''/var/log/IBSng/RADIUS ''' | + | '''/var/log/IBSng/RADIUS ''' |
</div> | </div> | ||
| − | لازم به ذکر است با توجه به حجم بالای لاگ های | + | لازم به ذکر است با توجه به حجم بالای لاگ های Radius، این لاگ ها در بازه ای از زمان rotate می گردد. |
در صورت نیاز به نگهداری RADIUS log می بایست فضای مناسب جهت ذخیره سازی در اختیار IBSng قرار گیرد. | در صورت نیاز به نگهداری RADIUS log می بایست فضای مناسب جهت ذخیره سازی در اختیار IBSng قرار گیرد. | ||
| − | + | Radius شامل سه فاز می باشد: | |
:* Authentication | :* Authentication | ||
:* Accounting | :* Accounting | ||
| + | |||
| + | :* Authorization | ||
| سطر ۲۹: | سطر ۳۵: | ||
| − | == Authentication == | + | == '''Authentication''' == |
| + | |||
| + | پروسه شناسایی و احراز هویت برای تشخیص کسی و یا چیزی است . '''authentication''' معمولا و به صورت پیشفرش به صورت یوزر و پسوزر سمت شخص و یا تجهیزات از همدیگر تمیز داده میشوند که به موجب آن دسترسی و عدم دسترسی برای کاربر را به همراه دارد . پیام Authentication از سمت access server به سمت RADIUS توسط پورت 1812 UDP ارسال میشود . | ||
| + | |||
| + | در Radias digram زیر، فاز Authentication با کادر قرمز مشخص شده است: | ||
| + | |||
| + | |||
| + | [[Image:radius-diag-auth.jpg|center]] | ||
| + | |||
| + | |||
| + | |||
| + | جهت دسترسی به لاگ های این فاز از دستور زیر می توانید استفاده نمایید: | ||
| + | |||
| + | |||
| + | <div dir=ltr lang=en> | ||
| + | |||
| + | '''less /var/log/IBSng/RADIUS/auth.log ''' | ||
| + | |||
| + | </div> | ||
| + | |||
| + | پکت های '''Access-Request'''، '''Access-Accept''' و '''Access-Reject''' در فایل '''auth.log''' قرار گرفته است. | ||
| − | |||
=== Access-Request === | === Access-Request === | ||
| − | Access-request | + | در این قسمت لاگ درخواستهای اتصال کاربران از سمت Bras به AAA ارسال می شود. نمونه packet ارسالی مشابه نمونه packet زیر می باشد: |
| + | |||
| + | |||
| + | <div dir=ltr lang=en> | ||
| + | |||
| + | Nov 16 06:25:06 Ardebil-Core-DB-B RADIUS_WORKER_4: ibs_radius:'''Access-Request''' packet from host 192.168.99.5 port 21734, '''id=75''', length=198 | ||
| + | User-Password = 0x58df6d85d38daaf3hd72eeec173fbc8f8ed | ||
| + | NAS-IP-Address = 192.168.99.5 | ||
| + | '''User-Name = test''' | ||
| + | NAS-Port-Id = 1/0/0/409 | ||
| + | Cisco-AVPair = client-mac-address=a1b2.c3d4.f5f6 | ||
| + | Cisco-AVPair = circuit-id-tag=Angut atm 9/24:409:0.35 | ||
| + | Framed-Protocol = PPP | ||
| + | Service-Type = Framed-User | ||
| + | Acct-Session-Id = 1/0/0/409_00C40C34 | ||
| + | NAS-Port-Type = Ethernet | ||
| + | NAS-Port = 268435865 | ||
| + | NAS-Port = 15781409 | ||
| + | |||
| + | </div> | ||
| + | |||
| + | موارد کاربردی در نمونه Packet بالا شامل : | ||
| + | |||
| + | :* '''Username''': نام کاربری ، کاربر در حال اتصال. | ||
| + | |||
| + | :* '''User-Password''' : رمز عبور کاربر که بسته به نوع Authentication که روی RAS ست شده، ممکن است به صورت هش و یا به صورت clear text نمایش داده می شود. | ||
| + | |||
| + | :* '''NAS-IP-Address''': ب Bras IP که این درخواست را ارسال کرده است. | ||
| + | |||
| + | :* '''Framed-Protocol''': پروتکل درخواست اتصال کاربر به Bras | ||
| + | |||
| + | :* '''client-mac-address''': مک آدرس کاربر | ||
| + | |||
| + | :* '''Acct-Session-Id''': مشخصه یکتایی است برای match شدن start acc و stop acc | ||
| + | |||
| + | :* '''id''': مقدار id در access-request مطابق است با id در access-accept | ||
=== Access-Accept === | === Access-Accept === | ||
| − | Access-Accept | + | لاگ تایید ارتباط کاربر که از سمت AAA به سمت Bras ارسال می شود. نمونه packet ارسالی مشابه نمونه packet زیر می باشد: |
| + | |||
| + | در صورت وجود مشخصه ای در AAA مانند IPpool یا policy، این مشخصه در access-accept به Bras ارسال می شود. | ||
| + | |||
| + | <div dir=ltr lang=en> | ||
| + | |||
| + | Nov 16 06:25:06 Ardebil-Core-DB-B RADIUS_WORKER_2: ibs_radius:Access-Request packet from host 192.168.99.5 port 21734, id=87, length=211 | ||
| + | User-Password = 0xa8286cd4bfeb2ccd9903b1gm99bf29e4e98 | ||
| + | NAS-IP-Address = 192.168.99.5 | ||
| + | '''User-Name = test''' | ||
| + | NAS-Port-Id = 1/0/0/407 | ||
| + | Cisco-AVPair = client-mac-address=a1b2.c3d4.f5f6 | ||
| + | Cisco-AVPair = circuit-id-tag=Jafarabad-zhone-1 atm 16/37:407:0.35 | ||
| + | Framed-Protocol = PPP | ||
| + | Service-Type = Framed-User | ||
| + | Acct-Session-Id = 1/0/0/407_00C40C32 | ||
| + | NAS-Port-Type = Ethernet | ||
| + | NAS-Port = 268435863 | ||
| + | Nov 16 06:25:06 Ardebil-Core-DB-B RADIUS_WORKER_2: ibs_radius:'''Access-Accept''' packet to host 192.168.99.5 port 21734, id=84, length=56 process_start=0.0643s, | ||
| + | rad_server_handle_start=0.0643s, rad_server_send_to_main=0.0625s, ras_msg_dispatch_start=0.0617s, internet_authenticate_before_late_check=0.0615s, | ||
| + | user_worker_enqueue=0.0615s, internet_authenticate_start=0.0133s, internet_authenticate_ready_to_process=0.0101s, user_worker_run_start=0.0097s, | ||
| + | user_worker_process_start=0.0084s, user_worker_process_finish=0.0056s, user_worker_run_finished=0.0041s, ras_msg_dispatch_finished=0.0028s | ||
| + | Framed-Protocol = PPP | ||
| + | Service-Type = Framed-User | ||
| + | Framed-IP-Netmask = 255.255.255.255 | ||
| + | Framed-IP-Address = xx.xx.xx.xx | ||
| + | '''Cisco-Policy-Down = 1024''' | ||
| + | '''Cisco-Policy-Up = 1024''' | ||
| + | |||
| + | </div> | ||
| + | |||
| + | موارد کاربردی در نمونه Packet بالا شامل : | ||
| + | |||
| + | :* '''Username''': نام کاربری ، کاربر در حال اتصال. | ||
| + | |||
| + | :* '''User-Password''' : رمز عبور کاربر که بسته به نوع Authentication که روی RAS ست شده، ممکن است به صورت هش و یا به صورت clear text نمایش داده می شود. | ||
| + | |||
| + | :* '''NAS-IP-Address''': ب Bras IP که این درخواست را ارسال کرده است. | ||
| + | |||
| + | :* '''Framed-Protocol''': پروتکل درخواست اتصال کاربر به Bras | ||
| + | |||
| + | :* '''client-mac-address''': مک آدرس کاربر | ||
| + | |||
| + | :* '''Acct-Session-Id''': مشخصه یکتایی است برای match شدن start acc و stop acc | ||
| + | |||
| + | :* '''id''': مقدار id در access-request مطابق است با id در access-accept | ||
| + | |||
| + | :* '''Cisco-Policy-Down''': پالیسی rate دانلود کاربر که در گزینه Limit bw (Inras) در شارژ ست شده است. | ||
| + | |||
| + | :* '''Cisco-Policy-Up''': پالیسی rate آپلود کاربر که در گزینه Limit bw (Inras) در شارژ ست شده است. | ||
=== Access-Reject === | === Access-Reject === | ||
| − | Access- | + | در صورت عدم تایید Access-request ارسالی از سمت Bras، سرور AAA درخواست Access-reject را به Bras ارسال می کند. نمونه packet ارسالی مشابه نمونه packet زیر می باشد: |
| − | |||
| − | Accounting | + | <div dir=ltr lang=en> |
| + | |||
| + | Nov 16 06:25:06 Ardebil-Core-DB-B RADIUS_WORKER_3: ibs_radius:'''Access-Request''' packet from host 192.168.99.5 port 21734, id=76, length=200 | ||
| + | User-Password = 0x4ab7705f03b3bgh7718cd78f0b03525a990 | ||
| + | NAS-IP-Address = 192.168.99.5 | ||
| + | '''User-Name= test''' | ||
| + | NAS-Port-Id = 1/0/0/407 | ||
| + | Cisco-AVPair = client-mac-address=a1b2.c3d4.f5f6 | ||
| + | Cisco-AVPair = circuit-id-tag=Jafarabad-2 atm 3/41:0.35 | ||
| + | Framed-Protocol = PPP | ||
| + | Service-Type = Framed-User | ||
| + | Acct-Session-Id = 1/0/0/407_00C40C2D | ||
| + | NAS-Port-Type = Ethernet | ||
| + | NAS-Port = 268435863 | ||
| + | Nov 16 06:25:06 Ardebil-Core-DB-B RADIUS_WORKER_4: ibs_radius:'''Access-Reject''' packet to host 192.168.99.5 port 21734, id=75, length=39 process_start=0.0317s, | ||
| + | rad_server_handle_start=0.0317s, rad_server_send_to_main=0.0293s, ras_msg_dispatch_start=0.0286s, internet_authenticate_before_late_check=0.0285s, | ||
| + | user_worker_enqueue=0.0285s, internet_authenticate_start=0.0043s, ras_msg_dispatch_finished=0.0024s | ||
| + | Framed-Protocol = PPP | ||
| + | Service-Type = Framed-User | ||
| + | '''Reply-Message = E=900''' | ||
| + | |||
| + | </div> | ||
| + | |||
| + | :* '''Username''': نام کاربری ، کاربر در حال اتصال. | ||
| + | |||
| + | :* '''User-Password''' : رمز عبور کاربر که بسته به نوع Authentication که روی RAS ست شده، ممکن است به صورت هش و یا به صورت clear text نمایش داده می شود. | ||
| + | |||
| + | :* '''NAS-IP-Address''': ب Bras IP که این درخواست را ارسال کرده است. | ||
| + | |||
| + | :* '''Framed-Protocol''': پروتکل درخواست اتصال کاربر به Bras. | ||
| + | |||
| + | :* '''client-mac-address''': مک آدرس کاربر . | ||
| + | |||
| + | :* '''Acct-Session-Id''': مشخصه یکتایی است برای match شدن start acc و stop acc. | ||
| + | |||
| + | :* '''id''': مقدار id در access-request مطابق است با id در access-reject. | ||
| + | |||
| + | :* '''Reply-Message''': دلیل عدم اتصال کاربر. | ||
| + | |||
| + | == '''Accounting''' == | ||
| + | |||
| + | طی این فرایند، گزارشی از عملکرد و یا محاسبه میزان مصرف کاربران یا سختافزارهایی که هویت آنها تایید شده است توسط سرور RADIUS آماده میشود . سرور ردیوس این گزارشات و میزان مصرف را از access server بر روی پورت 1813 UDP دریافت کرده و محاسبه می نماید . | ||
| + | |||
| + | در Radias digram زیر،فاز Accounting با کادر قرمز مشخص شده است: | ||
| + | |||
| + | |||
| + | [[Image:radius-diag-acc.jpg|center]] | ||
=== Start === | === Start === | ||
| − | start | + | start accounting جواب Bras به Access-accept ارسالی از AAA است. |
| + | |||
| + | جهت دسترسی به لاگ های این قسمت از دستور زیر می توانید استفاده نمایید: | ||
| + | |||
| + | |||
| + | <div dir=ltr lang=en> | ||
| + | |||
| + | '''less /var/log/IBSng/RADIUS/start_stop.log ''' | ||
| + | |||
| + | </div> | ||
| + | |||
| + | پکت های '''start''' در فایل '''start_stop.log''' قرار گرفته است. | ||
| + | |||
| + | <div dir=ltr lang=en> | ||
| + | |||
| + | Nov 16 06:01:03 Ardebil-Core-DB-B RADIUS_WORKER_1: '''ibs_start_stop''':Accounting-Request packet from host 192.168.99.6 port 21673, id=18, length=263 | ||
| + | NAS-IP-Address = 192.168.99.6 | ||
| + | '''User-Name = test''' | ||
| + | NAS-Port-Id = 5/0/0/519 | ||
| + | Cisco-Policy-Down = 512 | ||
| + | '''Acct-Status-Type = Start''' | ||
| + | Cisco-AVPair = connect-progress=LAN Ses Up | ||
| + | Cisco-AVPair = client-mac-address=a1b2.c3d4.f5f6 | ||
| + | Cisco-AVPair = circuit-id-tag=Ard-Bakeri-Zyxel-1 atm 4/15:0.35:519 | ||
| + | Acct-Delay-Time = 0 | ||
| + | Framed-Protocol = PPP | ||
| + | Framed-IP-Address = xx.xx.xx.xx | ||
| + | Acct-Authentic = RADIUS | ||
| + | Acct-Session-Id = 5/0/0/519_132E061A | ||
| + | NAS-Port-Type = Ethernet | ||
| + | Service-Type = Framed-User | ||
| + | NAS-Port = 1342177799 | ||
| + | |||
| + | </div> | ||
| + | |||
| + | :* '''Username''': نام کاربری ، کاربر در حال اتصال. | ||
| + | |||
| + | :* '''NAS-IP-Address''': ب Bras IP که این درخواست را ارسال کرده است. | ||
| + | |||
| + | :* '''Framed-Protocol''': پروتکل درخواست اتصال کاربر به Bras. | ||
| + | |||
| + | :* '''client-mac-address''': مک آدرس کاربر . | ||
| + | |||
| + | :* '''Acct-Session-Id''': مشخصه یکتایی است برای match شدن start acc و stop acc. | ||
| + | |||
| + | :* '''Acct-Status-Type''': نوع پکت ارسالی را مشخص می نماید که شامل '''Start'''، '''Alive''' و '''Stop''' است. | ||
| + | |||
=== Alive === | === Alive === | ||
| − | Alive | + | تا زمانی که اتصال کاربر برقرار است به ازا هر update accounting یک پکت Alive از سمت Bras ارسال می شود. |
| + | |||
| + | جهت دسترسی به لاگ های این قسمت از دستور زیر می توانید استفاده نمایید: | ||
| + | |||
| + | |||
| + | <div dir=ltr lang=en> | ||
| + | |||
| + | '''less /var/log/IBSng/RADIUS/alive.log ''' | ||
| + | |||
| + | </div> | ||
| + | |||
| + | پکت های '''alive''' در فایل '''alive.log''' قرار گرفته است. | ||
| + | |||
| + | <div dir=ltr lang=en> | ||
| + | |||
| + | Nov 16 00:01:01 Ardebil-Core-DB-B RADIUS_WORKER_4: '''ibs_alive''':Accounting-Request packet from host 192.168.99.5 port 21654, id=71, length=347 | ||
| + | NAS-IP-Address = 192.168.99.5 | ||
| + | '''User-Name = test''' | ||
| + | NAS-Port-Id = 1/0/0/408 | ||
| + | Cisco-Policy-Down = 3072 | ||
| + | Acct-Session-Time = 36216 | ||
| + | Acct-Output-Packets = 15001 | ||
| + | Framed-IP-Address = xx.xx.xx.xx | ||
| + | Acct-Input-Packets = 11063 | ||
| + | Framed-Protocol = PPP | ||
| + | Cisco-AVPair = client-mac-address=a1b2.c3d4.f5f6 | ||
| + | Cisco-AVPair = connect-progress=LAN Ses Up | ||
| + | Cisco-AVPair = nas-tx-speed=1000000000 | ||
| + | Cisco-AVPair = nas-rx-speed=1000000000 | ||
| + | Cisco-AVPair = circuit-id-tag=Germi-Emam atm 3/2:408:0.35 | ||
| + | Acct-Authentic = RADIUS | ||
| + | Acct-Delay-Time = 0 | ||
| + | '''Acct-Input-Gigawords = 2''' | ||
| + | Acct-Session-Id = 1/0/0/408_00BBE309 | ||
| + | '''Acct-Output-Gigawords = 3''' | ||
| + | '''Acct-Input-Octets = 981842''' | ||
| + | Service-Type = Framed-User | ||
| + | '''Acct-Output-Octets = 6771644''' | ||
| + | NAS-Port-Type = Ethernet | ||
| + | NAS-Port = 268435864 | ||
| + | '''Acct-Status-Type = Alive''' | ||
| + | |||
| + | </div> | ||
| + | |||
| + | :* '''Username''': نام کاربری ، کاربر در حال اتصال. | ||
| + | |||
| + | :* '''NAS-IP-Address''': ب Bras IP که این درخواست را ارسال کرده است. | ||
| + | |||
| + | :* '''Framed-Protocol''': پروتکل درخواست اتصال کاربر به Bras. | ||
| + | |||
| + | :* '''client-mac-address''': مک آدرس کاربر . | ||
| + | |||
| + | :* '''Acct-Session-Id''': مشخصه یکتایی است برای match شدن start acc و stop acc. | ||
| + | |||
| + | :* '''Acct-Status-Type''': نوع پکت ارسالی را مشخص می نماید که شامل '''Start'''، '''Alive''' و '''Stop''' است. | ||
| + | |||
| + | :* '''Acct-Input-Gigawords''': مقدار ثبت شده در این گزینه معادل '''4 گیگا بایت''' دانلود کاربر است، به عنوان نمونه اگر گزینه عدد 3 را نمایش می دهد یعنی کاربر 12 گیگ مصرف داشته است. 12=3*4 | ||
| + | |||
| + | :* '''Acct-Output-Gigawords''': مقدار ثبت شده در این گزینه معادل '''4 گیگا بایت''' آپلود کاربر است، به عنوان نمونه اگر گزینه عدد 2 را نمایش می دهد یعنی کاربر 8 گیگ مصرف داشته است. 8=2*4 | ||
| + | |||
| + | :* '''Acct-Input-Octets''': مقدار ثبت شده در این گزینه میزان دانلود کاربر است، که با '''Gigaword''' جمع و میزان مصرف کلی دانلود محاسبه می شود. واحد آن '''Byte''' است. | ||
| + | |||
| + | :* '''Acct-Output-Octets''': مقدار ثبت شده در این گزینه میزان آپلود کاربر است، که با '''Gigaword''' جمع و میزان مصرف کلی آپلود محاسبه می شود. واحد آن '''Byte''' است. | ||
| + | |||
=== Stop === | === Stop === | ||
| − | Stop | + | جهت دسترسی به لاگ های این قسمت از دستور زیر می توانید استفاده نمایید: |
| + | |||
| + | |||
| + | <div dir=ltr lang=en> | ||
| + | |||
| + | '''less /var/log/IBSng/RADIUS/start_stop.log ''' | ||
| + | |||
| + | </div> | ||
| + | |||
| + | پکت های '''stop''' در فایل '''start_stop.log''' قرار گرفته است. | ||
| + | |||
| + | میزان حجم مصرفی کاربر را می توانید در این پکت محاسبه نمایید. مجموع گزینه های Acct-Input-Gigawords و Acct-Input-Octets برای دانلود و Acct-Output-Gigawords و Acct- | ||
| + | Output-Octets را برای آپلود محاسبه نمایید. | ||
| + | |||
| + | |||
| + | <div dir=ltr lang=en> | ||
| + | |||
| + | Nov 16 06:01:03 Ardebil-Core-DB-B RADIUS_WORKER_3: '''ibs_start_stop''':Accounting-Request packet from host 192.168.99.5 port 21761, id=239, length=429 | ||
| + | NAS-IP-Address = 192.168.99.5 | ||
| + | '''User-Name = test''' | ||
| + | NAS-Port-Id = 1/0/0/408 | ||
| + | Acct-Session-Time = 2703 | ||
| + | Acct-Output-Packets = 585 | ||
| + | Framed-IP-Address = xx.xx.xx.xx | ||
| + | Acct-Input-Packets = 711 | ||
| + | Framed-Protocol = PPP | ||
| + | Cisco-AVPair = client-mac-address=a1b2.c3d4.f5f6 | ||
| + | Cisco-AVPair = ppp-disconnect-cause=Lower Layer disconnected | ||
| + | Cisco-AVPair = connect-progress=LAN Ses Up | ||
| + | Cisco-AVPair = nas-tx-speed=1000000000 | ||
| + | Cisco-AVPair = nas-rx-speed=1000000000 | ||
| + | Cisco-AVPair = disc-cause-ext=Radius Disc | ||
| + | Cisco-AVPair = circuit-id-tag=Germi-Emam atm 5/24:408:0.35 | ||
| + | Acct-Authentic = RADIUS | ||
| + | '''Acct-Terminate-Cause = Admin-Reset''' | ||
| + | Acct-Session-Id = 1/0/0/408_00C39464 | ||
| + | Acct-Delay-Time = 0 | ||
| + | '''Acct-Input-Gigawords = 4''' | ||
| + | '''Acct-Input-Octets = 26799''' | ||
| + | Service-Type = Framed-User | ||
| + | '''Acct-Output-Octets = 48509''' | ||
| + | '''Acct-Output-Gigawords = 3''' | ||
| + | NAS-Port-Type = Ethernet | ||
| + | NAS-Port = 268435864 | ||
| + | '''Acct-Status-Type = Stop''' | ||
| + | |||
| + | </div> | ||
| + | |||
| + | :* '''Username''': نام کاربری ، کاربر در حال اتصال. | ||
| + | |||
| + | :* '''Framed-Protocol''': پروتکل درخواست اتصال کاربر به Bras. | ||
| + | |||
| + | :* '''client-mac-address''': مک آدرس کاربر . | ||
| + | |||
| + | :* '''Acct-Session-Id''': مشخصه یکتایی است برای match شدن start acc و stop acc. | ||
| + | |||
| + | :* '''Acct-Status-Type''': نوع پکت ارسالی را مشخص می نماید که شامل '''Start'''، '''Alive''' و '''Stop''' است. | ||
| + | |||
| + | :* '''Acct-Input-Gigawords''': مقدار ثبت شده در این گزینه معادل '''4 گیگا بایت''' دانلود کاربر است، به عنوان نمونه اگر گزینه عدد 3 را نمایش می دهد یعنی کاربر 12 گیگ مصرف داشته است. 12=3*4 | ||
| + | |||
| + | :* '''Acct-Output-Gigawords''': مقدار ثبت شده در این گزینه معادل '''4 گیگا بایت''' آپلود کاربر است، به عنوان نمونه اگر گزینه عدد 2 را نمایش می دهد یعنی کاربر 8 گیگ مصرف داشته است. 8=2*4 | ||
| + | |||
| + | :* '''Acct-Input-Octets''': مقدار ثبت شده در این گزینه میزان دانلود کاربر است، که با '''Gigaword''' جمع و میزان مصرف کلی دانلود محاسبه می شود. واحد آن '''Byte''' است. | ||
| + | |||
| + | :* '''Acct-Output-Octets''': مقدار ثبت شده در این گزینه میزان آپلود کاربر است، که با '''Gigaword''' جمع و میزان مصرف کلی آپلود محاسبه می شود. واحد آن '''Byte''' است. | ||
| + | |||
| + | :* '''Acct-Terminate-Cause''': علت قطعی کاربر. | ||
| + | |||
| + | |||
| + | == '''authorization''' == | ||
| + | |||
| + | '''authorization'''، پروسه تصدیق هویت کاربر است. این پروسه در جواب '''authentication''' انجام میشود و پیرو آن برای تشخیص سطح دسترسی کاربر به اطلاعات می باشد که به منظور جلوگيري از دسترسي افراد غير مجاز به منابع و داده هاي حفاظت شده مي باشد. | ||
| + | |||
| + | |||
| − | END | + | END |
| + | [[کاربر:Behnaz|Behnaz]] ([[بحث کاربر:Behnaz|بحث]]) ۲۳ نوامبر ۲۰۱۶، ساعت ۱۲:۳۸ (IRST) | ||
نسخهٔ کنونی تا ۲۳ نوامبر ۲۰۱۶، ساعت ۱۲:۴۰
محتویات |
[ویرایش] Radius Log
RADIUS
ردیوس چیست ؟ (Remote Authentication Dail-In User Service (RADIUS یک سرویس مرکزی احراز هویت می باشد . به جای اینکه هر سرور RAS به صورت جداگانه نیازمند یک پایگاه داده باشد تا اشخاص را احراز هویت کند , درخواست های احرازهویت به یک سرور مرکزی ارسال می گردند . تا تمامی کاربران و یا تجهیزات توسط سرویس مرکزی احراز هویت شوند .
کلیه اطلاعات ارسالی از BRAS توسط AAA به صورت text file در مسیر زیر ذخیره و قابل استناد است.
/var/log/IBSng/RADIUS
لازم به ذکر است با توجه به حجم بالای لاگ های Radius، این لاگ ها در بازه ای از زمان rotate می گردد.
در صورت نیاز به نگهداری RADIUS log می بایست فضای مناسب جهت ذخیره سازی در اختیار IBSng قرار گیرد.
Radius شامل سه فاز می باشد:
- Authentication
- Accounting
- Authorization
[ویرایش] Authentication
پروسه شناسایی و احراز هویت برای تشخیص کسی و یا چیزی است . authentication معمولا و به صورت پیشفرش به صورت یوزر و پسوزر سمت شخص و یا تجهیزات از همدیگر تمیز داده میشوند که به موجب آن دسترسی و عدم دسترسی برای کاربر را به همراه دارد . پیام Authentication از سمت access server به سمت RADIUS توسط پورت 1812 UDP ارسال میشود .
در Radias digram زیر، فاز Authentication با کادر قرمز مشخص شده است:
جهت دسترسی به لاگ های این فاز از دستور زیر می توانید استفاده نمایید:
less /var/log/IBSng/RADIUS/auth.log
پکت های Access-Request، Access-Accept و Access-Reject در فایل auth.log قرار گرفته است.
[ویرایش] Access-Request
در این قسمت لاگ درخواستهای اتصال کاربران از سمت Bras به AAA ارسال می شود. نمونه packet ارسالی مشابه نمونه packet زیر می باشد:
Nov 16 06:25:06 Ardebil-Core-DB-B RADIUS_WORKER_4: ibs_radius:Access-Request packet from host 192.168.99.5 port 21734, id=75, length=198
User-Password = 0x58df6d85d38daaf3hd72eeec173fbc8f8ed
NAS-IP-Address = 192.168.99.5
User-Name = test
NAS-Port-Id = 1/0/0/409
Cisco-AVPair = client-mac-address=a1b2.c3d4.f5f6
Cisco-AVPair = circuit-id-tag=Angut atm 9/24:409:0.35
Framed-Protocol = PPP
Service-Type = Framed-User
Acct-Session-Id = 1/0/0/409_00C40C34
NAS-Port-Type = Ethernet
NAS-Port = 268435865
NAS-Port = 15781409
موارد کاربردی در نمونه Packet بالا شامل :
- Username: نام کاربری ، کاربر در حال اتصال.
- User-Password : رمز عبور کاربر که بسته به نوع Authentication که روی RAS ست شده، ممکن است به صورت هش و یا به صورت clear text نمایش داده می شود.
- NAS-IP-Address: ب Bras IP که این درخواست را ارسال کرده است.
- Framed-Protocol: پروتکل درخواست اتصال کاربر به Bras
- client-mac-address: مک آدرس کاربر
- Acct-Session-Id: مشخصه یکتایی است برای match شدن start acc و stop acc
- id: مقدار id در access-request مطابق است با id در access-accept
[ویرایش] Access-Accept
لاگ تایید ارتباط کاربر که از سمت AAA به سمت Bras ارسال می شود. نمونه packet ارسالی مشابه نمونه packet زیر می باشد:
در صورت وجود مشخصه ای در AAA مانند IPpool یا policy، این مشخصه در access-accept به Bras ارسال می شود.
Nov 16 06:25:06 Ardebil-Core-DB-B RADIUS_WORKER_2: ibs_radius:Access-Request packet from host 192.168.99.5 port 21734, id=87, length=211
User-Password = 0xa8286cd4bfeb2ccd9903b1gm99bf29e4e98
NAS-IP-Address = 192.168.99.5
User-Name = test
NAS-Port-Id = 1/0/0/407
Cisco-AVPair = client-mac-address=a1b2.c3d4.f5f6
Cisco-AVPair = circuit-id-tag=Jafarabad-zhone-1 atm 16/37:407:0.35
Framed-Protocol = PPP
Service-Type = Framed-User
Acct-Session-Id = 1/0/0/407_00C40C32
NAS-Port-Type = Ethernet
NAS-Port = 268435863
Nov 16 06:25:06 Ardebil-Core-DB-B RADIUS_WORKER_2: ibs_radius:Access-Accept packet to host 192.168.99.5 port 21734, id=84, length=56 process_start=0.0643s,
rad_server_handle_start=0.0643s, rad_server_send_to_main=0.0625s, ras_msg_dispatch_start=0.0617s, internet_authenticate_before_late_check=0.0615s,
user_worker_enqueue=0.0615s, internet_authenticate_start=0.0133s, internet_authenticate_ready_to_process=0.0101s, user_worker_run_start=0.0097s,
user_worker_process_start=0.0084s, user_worker_process_finish=0.0056s, user_worker_run_finished=0.0041s, ras_msg_dispatch_finished=0.0028s
Framed-Protocol = PPP
Service-Type = Framed-User
Framed-IP-Netmask = 255.255.255.255
Framed-IP-Address = xx.xx.xx.xx
Cisco-Policy-Down = 1024
Cisco-Policy-Up = 1024
موارد کاربردی در نمونه Packet بالا شامل :
- Username: نام کاربری ، کاربر در حال اتصال.
- User-Password : رمز عبور کاربر که بسته به نوع Authentication که روی RAS ست شده، ممکن است به صورت هش و یا به صورت clear text نمایش داده می شود.
- NAS-IP-Address: ب Bras IP که این درخواست را ارسال کرده است.
- Framed-Protocol: پروتکل درخواست اتصال کاربر به Bras
- client-mac-address: مک آدرس کاربر
- Acct-Session-Id: مشخصه یکتایی است برای match شدن start acc و stop acc
- id: مقدار id در access-request مطابق است با id در access-accept
- Cisco-Policy-Down: پالیسی rate دانلود کاربر که در گزینه Limit bw (Inras) در شارژ ست شده است.
- Cisco-Policy-Up: پالیسی rate آپلود کاربر که در گزینه Limit bw (Inras) در شارژ ست شده است.
[ویرایش] Access-Reject
در صورت عدم تایید Access-request ارسالی از سمت Bras، سرور AAA درخواست Access-reject را به Bras ارسال می کند. نمونه packet ارسالی مشابه نمونه packet زیر می باشد:
Nov 16 06:25:06 Ardebil-Core-DB-B RADIUS_WORKER_3: ibs_radius:Access-Request packet from host 192.168.99.5 port 21734, id=76, length=200
User-Password = 0x4ab7705f03b3bgh7718cd78f0b03525a990
NAS-IP-Address = 192.168.99.5
User-Name= test
NAS-Port-Id = 1/0/0/407
Cisco-AVPair = client-mac-address=a1b2.c3d4.f5f6
Cisco-AVPair = circuit-id-tag=Jafarabad-2 atm 3/41:0.35
Framed-Protocol = PPP
Service-Type = Framed-User
Acct-Session-Id = 1/0/0/407_00C40C2D
NAS-Port-Type = Ethernet
NAS-Port = 268435863
Nov 16 06:25:06 Ardebil-Core-DB-B RADIUS_WORKER_4: ibs_radius:Access-Reject packet to host 192.168.99.5 port 21734, id=75, length=39 process_start=0.0317s,
rad_server_handle_start=0.0317s, rad_server_send_to_main=0.0293s, ras_msg_dispatch_start=0.0286s, internet_authenticate_before_late_check=0.0285s,
user_worker_enqueue=0.0285s, internet_authenticate_start=0.0043s, ras_msg_dispatch_finished=0.0024s
Framed-Protocol = PPP
Service-Type = Framed-User
Reply-Message = E=900
- Username: نام کاربری ، کاربر در حال اتصال.
- User-Password : رمز عبور کاربر که بسته به نوع Authentication که روی RAS ست شده، ممکن است به صورت هش و یا به صورت clear text نمایش داده می شود.
- NAS-IP-Address: ب Bras IP که این درخواست را ارسال کرده است.
- Framed-Protocol: پروتکل درخواست اتصال کاربر به Bras.
- client-mac-address: مک آدرس کاربر .
- Acct-Session-Id: مشخصه یکتایی است برای match شدن start acc و stop acc.
- id: مقدار id در access-request مطابق است با id در access-reject.
- Reply-Message: دلیل عدم اتصال کاربر.
[ویرایش] Accounting
طی این فرایند، گزارشی از عملکرد و یا محاسبه میزان مصرف کاربران یا سختافزارهایی که هویت آنها تایید شده است توسط سرور RADIUS آماده میشود . سرور ردیوس این گزارشات و میزان مصرف را از access server بر روی پورت 1813 UDP دریافت کرده و محاسبه می نماید .
در Radias digram زیر،فاز Accounting با کادر قرمز مشخص شده است:
[ویرایش] Start
start accounting جواب Bras به Access-accept ارسالی از AAA است.
جهت دسترسی به لاگ های این قسمت از دستور زیر می توانید استفاده نمایید:
less /var/log/IBSng/RADIUS/start_stop.log
پکت های start در فایل start_stop.log قرار گرفته است.
Nov 16 06:01:03 Ardebil-Core-DB-B RADIUS_WORKER_1: ibs_start_stop:Accounting-Request packet from host 192.168.99.6 port 21673, id=18, length=263
NAS-IP-Address = 192.168.99.6
User-Name = test
NAS-Port-Id = 5/0/0/519
Cisco-Policy-Down = 512
Acct-Status-Type = Start
Cisco-AVPair = connect-progress=LAN Ses Up
Cisco-AVPair = client-mac-address=a1b2.c3d4.f5f6
Cisco-AVPair = circuit-id-tag=Ard-Bakeri-Zyxel-1 atm 4/15:0.35:519
Acct-Delay-Time = 0
Framed-Protocol = PPP
Framed-IP-Address = xx.xx.xx.xx
Acct-Authentic = RADIUS
Acct-Session-Id = 5/0/0/519_132E061A
NAS-Port-Type = Ethernet
Service-Type = Framed-User
NAS-Port = 1342177799
- Username: نام کاربری ، کاربر در حال اتصال.
- NAS-IP-Address: ب Bras IP که این درخواست را ارسال کرده است.
- Framed-Protocol: پروتکل درخواست اتصال کاربر به Bras.
- client-mac-address: مک آدرس کاربر .
- Acct-Session-Id: مشخصه یکتایی است برای match شدن start acc و stop acc.
- Acct-Status-Type: نوع پکت ارسالی را مشخص می نماید که شامل Start، Alive و Stop است.
[ویرایش] Alive
تا زمانی که اتصال کاربر برقرار است به ازا هر update accounting یک پکت Alive از سمت Bras ارسال می شود.
جهت دسترسی به لاگ های این قسمت از دستور زیر می توانید استفاده نمایید:
less /var/log/IBSng/RADIUS/alive.log
پکت های alive در فایل alive.log قرار گرفته است.
Nov 16 00:01:01 Ardebil-Core-DB-B RADIUS_WORKER_4: ibs_alive:Accounting-Request packet from host 192.168.99.5 port 21654, id=71, length=347
NAS-IP-Address = 192.168.99.5
User-Name = test
NAS-Port-Id = 1/0/0/408
Cisco-Policy-Down = 3072
Acct-Session-Time = 36216
Acct-Output-Packets = 15001
Framed-IP-Address = xx.xx.xx.xx
Acct-Input-Packets = 11063
Framed-Protocol = PPP
Cisco-AVPair = client-mac-address=a1b2.c3d4.f5f6
Cisco-AVPair = connect-progress=LAN Ses Up
Cisco-AVPair = nas-tx-speed=1000000000
Cisco-AVPair = nas-rx-speed=1000000000
Cisco-AVPair = circuit-id-tag=Germi-Emam atm 3/2:408:0.35
Acct-Authentic = RADIUS
Acct-Delay-Time = 0
Acct-Input-Gigawords = 2
Acct-Session-Id = 1/0/0/408_00BBE309
Acct-Output-Gigawords = 3
Acct-Input-Octets = 981842
Service-Type = Framed-User
Acct-Output-Octets = 6771644
NAS-Port-Type = Ethernet
NAS-Port = 268435864
Acct-Status-Type = Alive
- Username: نام کاربری ، کاربر در حال اتصال.
- NAS-IP-Address: ب Bras IP که این درخواست را ارسال کرده است.
- Framed-Protocol: پروتکل درخواست اتصال کاربر به Bras.
- client-mac-address: مک آدرس کاربر .
- Acct-Session-Id: مشخصه یکتایی است برای match شدن start acc و stop acc.
- Acct-Status-Type: نوع پکت ارسالی را مشخص می نماید که شامل Start، Alive و Stop است.
- Acct-Input-Gigawords: مقدار ثبت شده در این گزینه معادل 4 گیگا بایت دانلود کاربر است، به عنوان نمونه اگر گزینه عدد 3 را نمایش می دهد یعنی کاربر 12 گیگ مصرف داشته است. 12=3*4
- Acct-Output-Gigawords: مقدار ثبت شده در این گزینه معادل 4 گیگا بایت آپلود کاربر است، به عنوان نمونه اگر گزینه عدد 2 را نمایش می دهد یعنی کاربر 8 گیگ مصرف داشته است. 8=2*4
- Acct-Input-Octets: مقدار ثبت شده در این گزینه میزان دانلود کاربر است، که با Gigaword جمع و میزان مصرف کلی دانلود محاسبه می شود. واحد آن Byte است.
- Acct-Output-Octets: مقدار ثبت شده در این گزینه میزان آپلود کاربر است، که با Gigaword جمع و میزان مصرف کلی آپلود محاسبه می شود. واحد آن Byte است.
[ویرایش] Stop
جهت دسترسی به لاگ های این قسمت از دستور زیر می توانید استفاده نمایید:
less /var/log/IBSng/RADIUS/start_stop.log
پکت های stop در فایل start_stop.log قرار گرفته است.
میزان حجم مصرفی کاربر را می توانید در این پکت محاسبه نمایید. مجموع گزینه های Acct-Input-Gigawords و Acct-Input-Octets برای دانلود و Acct-Output-Gigawords و Acct- Output-Octets را برای آپلود محاسبه نمایید.
Nov 16 06:01:03 Ardebil-Core-DB-B RADIUS_WORKER_3: ibs_start_stop:Accounting-Request packet from host 192.168.99.5 port 21761, id=239, length=429
NAS-IP-Address = 192.168.99.5
User-Name = test
NAS-Port-Id = 1/0/0/408
Acct-Session-Time = 2703
Acct-Output-Packets = 585
Framed-IP-Address = xx.xx.xx.xx
Acct-Input-Packets = 711
Framed-Protocol = PPP
Cisco-AVPair = client-mac-address=a1b2.c3d4.f5f6
Cisco-AVPair = ppp-disconnect-cause=Lower Layer disconnected
Cisco-AVPair = connect-progress=LAN Ses Up
Cisco-AVPair = nas-tx-speed=1000000000
Cisco-AVPair = nas-rx-speed=1000000000
Cisco-AVPair = disc-cause-ext=Radius Disc
Cisco-AVPair = circuit-id-tag=Germi-Emam atm 5/24:408:0.35
Acct-Authentic = RADIUS
Acct-Terminate-Cause = Admin-Reset
Acct-Session-Id = 1/0/0/408_00C39464
Acct-Delay-Time = 0
Acct-Input-Gigawords = 4
Acct-Input-Octets = 26799
Service-Type = Framed-User
Acct-Output-Octets = 48509
Acct-Output-Gigawords = 3
NAS-Port-Type = Ethernet
NAS-Port = 268435864
Acct-Status-Type = Stop
- Username: نام کاربری ، کاربر در حال اتصال.
- Framed-Protocol: پروتکل درخواست اتصال کاربر به Bras.
- client-mac-address: مک آدرس کاربر .
- Acct-Session-Id: مشخصه یکتایی است برای match شدن start acc و stop acc.
- Acct-Status-Type: نوع پکت ارسالی را مشخص می نماید که شامل Start، Alive و Stop است.
- Acct-Input-Gigawords: مقدار ثبت شده در این گزینه معادل 4 گیگا بایت دانلود کاربر است، به عنوان نمونه اگر گزینه عدد 3 را نمایش می دهد یعنی کاربر 12 گیگ مصرف داشته است. 12=3*4
- Acct-Output-Gigawords: مقدار ثبت شده در این گزینه معادل 4 گیگا بایت آپلود کاربر است، به عنوان نمونه اگر گزینه عدد 2 را نمایش می دهد یعنی کاربر 8 گیگ مصرف داشته است. 8=2*4
- Acct-Input-Octets: مقدار ثبت شده در این گزینه میزان دانلود کاربر است، که با Gigaword جمع و میزان مصرف کلی دانلود محاسبه می شود. واحد آن Byte است.
- Acct-Output-Octets: مقدار ثبت شده در این گزینه میزان آپلود کاربر است، که با Gigaword جمع و میزان مصرف کلی آپلود محاسبه می شود. واحد آن Byte است.
- Acct-Terminate-Cause: علت قطعی کاربر.
[ویرایش] authorization
authorization، پروسه تصدیق هویت کاربر است. این پروسه در جواب authentication انجام میشود و پیرو آن برای تشخیص سطح دسترسی کاربر به اطلاعات می باشد که به منظور جلوگيري از دسترسي افراد غير مجاز به منابع و داده هاي حفاظت شده مي باشد.
