Radius Log
(۴۰ ویرایش میانی توسط ۲ کاربر نشان داده نشدهاست) | |||
سطر ۴: | سطر ۴: | ||
<div dir=rtl lang=fa> | <div dir=rtl lang=fa> | ||
− | = | + | = Radius Log = |
+ | |||
+ | '''RADIUS''' | ||
+ | |||
+ | ردیوس چیست ؟ (Remote Authentication Dail-In User Service (RADIUS یک سرویس مرکزی احراز هویت می باشد . به جای اینکه هر سرور RAS به صورت جداگانه نیازمند یک پایگاه داده باشد تا اشخاص را احراز هویت کند , درخواست های احرازهویت به یک سرور مرکزی ارسال می گردند . تا تمامی کاربران و یا تجهیزات توسط سرویس مرکزی احراز هویت شوند . | ||
کلیه اطلاعات ارسالی از BRAS توسط AAA به صورت text file در مسیر زیر ذخیره و قابل استناد است. | کلیه اطلاعات ارسالی از BRAS توسط AAA به صورت text file در مسیر زیر ذخیره و قابل استناد است. | ||
سطر ۱۱: | سطر ۱۵: | ||
<div dir=ltr lang=en> | <div dir=ltr lang=en> | ||
− | '''/var/log/IBSng/RADIUS ''' | + | '''/var/log/IBSng/RADIUS ''' |
</div> | </div> | ||
− | لازم به ذکر است با توجه به حجم بالای لاگ های | + | لازم به ذکر است با توجه به حجم بالای لاگ های Radius، این لاگ ها در بازه ای از زمان rotate می گردد. |
در صورت نیاز به نگهداری RADIUS log می بایست فضای مناسب جهت ذخیره سازی در اختیار IBSng قرار گیرد. | در صورت نیاز به نگهداری RADIUS log می بایست فضای مناسب جهت ذخیره سازی در اختیار IBSng قرار گیرد. | ||
− | + | Radius شامل سه فاز می باشد: | |
:* Authentication | :* Authentication | ||
:* Accounting | :* Accounting | ||
+ | |||
+ | :* Authorization | ||
سطر ۲۹: | سطر ۳۵: | ||
− | == Authentication == | + | == '''Authentication''' == |
+ | |||
+ | پروسه شناسایی و احراز هویت برای تشخیص کسی و یا چیزی است . '''authentication''' معمولا و به صورت پیشفرش به صورت یوزر و پسوزر سمت شخص و یا تجهیزات از همدیگر تمیز داده میشوند که به موجب آن دسترسی و عدم دسترسی برای کاربر را به همراه دارد . پیام Authentication از سمت access server به سمت RADIUS توسط پورت 1812 UDP ارسال میشود . | ||
+ | |||
+ | در Radias digram زیر، فاز Authentication با کادر قرمز مشخص شده است: | ||
+ | |||
+ | |||
+ | [[Image:radius-diag-auth.jpg|center]] | ||
+ | |||
+ | |||
+ | |||
+ | جهت دسترسی به لاگ های این فاز از دستور زیر می توانید استفاده نمایید: | ||
+ | |||
+ | |||
+ | <div dir=ltr lang=en> | ||
+ | |||
+ | '''less /var/log/IBSng/RADIUS/auth.log ''' | ||
+ | |||
+ | </div> | ||
+ | |||
+ | پکت های '''Access-Request'''، '''Access-Accept''' و '''Access-Reject''' در فایل '''auth.log''' قرار گرفته است. | ||
− | |||
=== Access-Request === | === Access-Request === | ||
− | Access-request | + | در این قسمت لاگ درخواستهای اتصال کاربران از سمت Bras به AAA ارسال می شود. نمونه packet ارسالی مشابه نمونه packet زیر می باشد: |
+ | |||
+ | |||
+ | <div dir=ltr lang=en> | ||
+ | |||
+ | Nov 16 06:25:06 Ardebil-Core-DB-B RADIUS_WORKER_4: ibs_radius:'''Access-Request''' packet from host 192.168.99.5 port 21734, '''id=75''', length=198 | ||
+ | User-Password = 0x58df6d85d38daaf3hd72eeec173fbc8f8ed | ||
+ | NAS-IP-Address = 192.168.99.5 | ||
+ | '''User-Name = test''' | ||
+ | NAS-Port-Id = 1/0/0/409 | ||
+ | Cisco-AVPair = client-mac-address=a1b2.c3d4.f5f6 | ||
+ | Cisco-AVPair = circuit-id-tag=Angut atm 9/24:409:0.35 | ||
+ | Framed-Protocol = PPP | ||
+ | Service-Type = Framed-User | ||
+ | Acct-Session-Id = 1/0/0/409_00C40C34 | ||
+ | NAS-Port-Type = Ethernet | ||
+ | NAS-Port = 268435865 | ||
+ | NAS-Port = 15781409 | ||
+ | |||
+ | </div> | ||
+ | |||
+ | موارد کاربردی در نمونه Packet بالا شامل : | ||
+ | |||
+ | :* '''Username''': نام کاربری ، کاربر در حال اتصال. | ||
+ | |||
+ | :* '''User-Password''' : رمز عبور کاربر که بسته به نوع Authentication که روی RAS ست شده، ممکن است به صورت هش و یا به صورت clear text نمایش داده می شود. | ||
+ | |||
+ | :* '''NAS-IP-Address''': ب Bras IP که این درخواست را ارسال کرده است. | ||
+ | |||
+ | :* '''Framed-Protocol''': پروتکل درخواست اتصال کاربر به Bras | ||
+ | |||
+ | :* '''client-mac-address''': مک آدرس کاربر | ||
+ | |||
+ | :* '''Acct-Session-Id''': مشخصه یکتایی است برای match شدن start acc و stop acc | ||
+ | |||
+ | :* '''id''': مقدار id در access-request مطابق است با id در access-accept | ||
=== Access-Accept === | === Access-Accept === | ||
− | Access-Accept | + | لاگ تایید ارتباط کاربر که از سمت AAA به سمت Bras ارسال می شود. نمونه packet ارسالی مشابه نمونه packet زیر می باشد: |
+ | |||
+ | در صورت وجود مشخصه ای در AAA مانند IPpool یا policy، این مشخصه در access-accept به Bras ارسال می شود. | ||
+ | |||
+ | <div dir=ltr lang=en> | ||
+ | |||
+ | Nov 16 06:25:06 Ardebil-Core-DB-B RADIUS_WORKER_2: ibs_radius:Access-Request packet from host 192.168.99.5 port 21734, id=87, length=211 | ||
+ | User-Password = 0xa8286cd4bfeb2ccd9903b1gm99bf29e4e98 | ||
+ | NAS-IP-Address = 192.168.99.5 | ||
+ | '''User-Name = test''' | ||
+ | NAS-Port-Id = 1/0/0/407 | ||
+ | Cisco-AVPair = client-mac-address=a1b2.c3d4.f5f6 | ||
+ | Cisco-AVPair = circuit-id-tag=Jafarabad-zhone-1 atm 16/37:407:0.35 | ||
+ | Framed-Protocol = PPP | ||
+ | Service-Type = Framed-User | ||
+ | Acct-Session-Id = 1/0/0/407_00C40C32 | ||
+ | NAS-Port-Type = Ethernet | ||
+ | NAS-Port = 268435863 | ||
+ | Nov 16 06:25:06 Ardebil-Core-DB-B RADIUS_WORKER_2: ibs_radius:'''Access-Accept''' packet to host 192.168.99.5 port 21734, id=84, length=56 process_start=0.0643s, | ||
+ | rad_server_handle_start=0.0643s, rad_server_send_to_main=0.0625s, ras_msg_dispatch_start=0.0617s, internet_authenticate_before_late_check=0.0615s, | ||
+ | user_worker_enqueue=0.0615s, internet_authenticate_start=0.0133s, internet_authenticate_ready_to_process=0.0101s, user_worker_run_start=0.0097s, | ||
+ | user_worker_process_start=0.0084s, user_worker_process_finish=0.0056s, user_worker_run_finished=0.0041s, ras_msg_dispatch_finished=0.0028s | ||
+ | Framed-Protocol = PPP | ||
+ | Service-Type = Framed-User | ||
+ | Framed-IP-Netmask = 255.255.255.255 | ||
+ | Framed-IP-Address = xx.xx.xx.xx | ||
+ | '''Cisco-Policy-Down = 1024''' | ||
+ | '''Cisco-Policy-Up = 1024''' | ||
+ | |||
+ | </div> | ||
+ | |||
+ | موارد کاربردی در نمونه Packet بالا شامل : | ||
+ | |||
+ | :* '''Username''': نام کاربری ، کاربر در حال اتصال. | ||
+ | |||
+ | :* '''User-Password''' : رمز عبور کاربر که بسته به نوع Authentication که روی RAS ست شده، ممکن است به صورت هش و یا به صورت clear text نمایش داده می شود. | ||
+ | |||
+ | :* '''NAS-IP-Address''': ب Bras IP که این درخواست را ارسال کرده است. | ||
+ | |||
+ | :* '''Framed-Protocol''': پروتکل درخواست اتصال کاربر به Bras | ||
+ | |||
+ | :* '''client-mac-address''': مک آدرس کاربر | ||
+ | |||
+ | :* '''Acct-Session-Id''': مشخصه یکتایی است برای match شدن start acc و stop acc | ||
+ | |||
+ | :* '''id''': مقدار id در access-request مطابق است با id در access-accept | ||
+ | |||
+ | :* '''Cisco-Policy-Down''': پالیسی rate دانلود کاربر که در گزینه Limit bw (Inras) در شارژ ست شده است. | ||
+ | |||
+ | :* '''Cisco-Policy-Up''': پالیسی rate آپلود کاربر که در گزینه Limit bw (Inras) در شارژ ست شده است. | ||
=== Access-Reject === | === Access-Reject === | ||
− | Access- | + | در صورت عدم تایید Access-request ارسالی از سمت Bras، سرور AAA درخواست Access-reject را به Bras ارسال می کند. نمونه packet ارسالی مشابه نمونه packet زیر می باشد: |
− | |||
− | Accounting | + | <div dir=ltr lang=en> |
+ | |||
+ | Nov 16 06:25:06 Ardebil-Core-DB-B RADIUS_WORKER_3: ibs_radius:'''Access-Request''' packet from host 192.168.99.5 port 21734, id=76, length=200 | ||
+ | User-Password = 0x4ab7705f03b3bgh7718cd78f0b03525a990 | ||
+ | NAS-IP-Address = 192.168.99.5 | ||
+ | '''User-Name= test''' | ||
+ | NAS-Port-Id = 1/0/0/407 | ||
+ | Cisco-AVPair = client-mac-address=a1b2.c3d4.f5f6 | ||
+ | Cisco-AVPair = circuit-id-tag=Jafarabad-2 atm 3/41:0.35 | ||
+ | Framed-Protocol = PPP | ||
+ | Service-Type = Framed-User | ||
+ | Acct-Session-Id = 1/0/0/407_00C40C2D | ||
+ | NAS-Port-Type = Ethernet | ||
+ | NAS-Port = 268435863 | ||
+ | Nov 16 06:25:06 Ardebil-Core-DB-B RADIUS_WORKER_4: ibs_radius:'''Access-Reject''' packet to host 192.168.99.5 port 21734, id=75, length=39 process_start=0.0317s, | ||
+ | rad_server_handle_start=0.0317s, rad_server_send_to_main=0.0293s, ras_msg_dispatch_start=0.0286s, internet_authenticate_before_late_check=0.0285s, | ||
+ | user_worker_enqueue=0.0285s, internet_authenticate_start=0.0043s, ras_msg_dispatch_finished=0.0024s | ||
+ | Framed-Protocol = PPP | ||
+ | Service-Type = Framed-User | ||
+ | '''Reply-Message = E=900''' | ||
+ | |||
+ | </div> | ||
+ | |||
+ | :* '''Username''': نام کاربری ، کاربر در حال اتصال. | ||
+ | |||
+ | :* '''User-Password''' : رمز عبور کاربر که بسته به نوع Authentication که روی RAS ست شده، ممکن است به صورت هش و یا به صورت clear text نمایش داده می شود. | ||
+ | |||
+ | :* '''NAS-IP-Address''': ب Bras IP که این درخواست را ارسال کرده است. | ||
+ | |||
+ | :* '''Framed-Protocol''': پروتکل درخواست اتصال کاربر به Bras. | ||
+ | |||
+ | :* '''client-mac-address''': مک آدرس کاربر . | ||
+ | |||
+ | :* '''Acct-Session-Id''': مشخصه یکتایی است برای match شدن start acc و stop acc. | ||
+ | |||
+ | :* '''id''': مقدار id در access-request مطابق است با id در access-reject. | ||
+ | |||
+ | :* '''Reply-Message''': دلیل عدم اتصال کاربر. | ||
+ | |||
+ | == '''Accounting''' == | ||
+ | |||
+ | طی این فرایند، گزارشی از عملکرد و یا محاسبه میزان مصرف کاربران یا سختافزارهایی که هویت آنها تایید شده است توسط سرور RADIUS آماده میشود . سرور ردیوس این گزارشات و میزان مصرف را از access server بر روی پورت 1813 UDP دریافت کرده و محاسبه می نماید . | ||
+ | |||
+ | در Radias digram زیر،فاز Accounting با کادر قرمز مشخص شده است: | ||
+ | |||
+ | |||
+ | [[Image:radius-diag-acc.jpg|center]] | ||
=== Start === | === Start === | ||
− | start | + | start accounting جواب Bras به Access-accept ارسالی از AAA است. |
+ | |||
+ | جهت دسترسی به لاگ های این قسمت از دستور زیر می توانید استفاده نمایید: | ||
+ | |||
+ | |||
+ | <div dir=ltr lang=en> | ||
+ | |||
+ | '''less /var/log/IBSng/RADIUS/start_stop.log ''' | ||
+ | |||
+ | </div> | ||
+ | |||
+ | پکت های '''start''' در فایل '''start_stop.log''' قرار گرفته است. | ||
+ | |||
+ | <div dir=ltr lang=en> | ||
+ | |||
+ | Nov 16 06:01:03 Ardebil-Core-DB-B RADIUS_WORKER_1: '''ibs_start_stop''':Accounting-Request packet from host 192.168.99.6 port 21673, id=18, length=263 | ||
+ | NAS-IP-Address = 192.168.99.6 | ||
+ | '''User-Name = test''' | ||
+ | NAS-Port-Id = 5/0/0/519 | ||
+ | Cisco-Policy-Down = 512 | ||
+ | '''Acct-Status-Type = Start''' | ||
+ | Cisco-AVPair = connect-progress=LAN Ses Up | ||
+ | Cisco-AVPair = client-mac-address=a1b2.c3d4.f5f6 | ||
+ | Cisco-AVPair = circuit-id-tag=Ard-Bakeri-Zyxel-1 atm 4/15:0.35:519 | ||
+ | Acct-Delay-Time = 0 | ||
+ | Framed-Protocol = PPP | ||
+ | Framed-IP-Address = xx.xx.xx.xx | ||
+ | Acct-Authentic = RADIUS | ||
+ | Acct-Session-Id = 5/0/0/519_132E061A | ||
+ | NAS-Port-Type = Ethernet | ||
+ | Service-Type = Framed-User | ||
+ | NAS-Port = 1342177799 | ||
+ | |||
+ | </div> | ||
+ | |||
+ | :* '''Username''': نام کاربری ، کاربر در حال اتصال. | ||
+ | |||
+ | :* '''NAS-IP-Address''': ب Bras IP که این درخواست را ارسال کرده است. | ||
+ | |||
+ | :* '''Framed-Protocol''': پروتکل درخواست اتصال کاربر به Bras. | ||
+ | |||
+ | :* '''client-mac-address''': مک آدرس کاربر . | ||
+ | |||
+ | :* '''Acct-Session-Id''': مشخصه یکتایی است برای match شدن start acc و stop acc. | ||
+ | |||
+ | :* '''Acct-Status-Type''': نوع پکت ارسالی را مشخص می نماید که شامل '''Start'''، '''Alive''' و '''Stop''' است. | ||
+ | |||
=== Alive === | === Alive === | ||
− | Alive | + | تا زمانی که اتصال کاربر برقرار است به ازا هر update accounting یک پکت Alive از سمت Bras ارسال می شود. |
+ | |||
+ | جهت دسترسی به لاگ های این قسمت از دستور زیر می توانید استفاده نمایید: | ||
+ | |||
+ | |||
+ | <div dir=ltr lang=en> | ||
+ | |||
+ | '''less /var/log/IBSng/RADIUS/alive.log ''' | ||
+ | |||
+ | </div> | ||
+ | |||
+ | پکت های '''alive''' در فایل '''alive.log''' قرار گرفته است. | ||
+ | |||
+ | <div dir=ltr lang=en> | ||
+ | |||
+ | Nov 16 00:01:01 Ardebil-Core-DB-B RADIUS_WORKER_4: '''ibs_alive''':Accounting-Request packet from host 192.168.99.5 port 21654, id=71, length=347 | ||
+ | NAS-IP-Address = 192.168.99.5 | ||
+ | '''User-Name = test''' | ||
+ | NAS-Port-Id = 1/0/0/408 | ||
+ | Cisco-Policy-Down = 3072 | ||
+ | Acct-Session-Time = 36216 | ||
+ | Acct-Output-Packets = 15001 | ||
+ | Framed-IP-Address = xx.xx.xx.xx | ||
+ | Acct-Input-Packets = 11063 | ||
+ | Framed-Protocol = PPP | ||
+ | Cisco-AVPair = client-mac-address=a1b2.c3d4.f5f6 | ||
+ | Cisco-AVPair = connect-progress=LAN Ses Up | ||
+ | Cisco-AVPair = nas-tx-speed=1000000000 | ||
+ | Cisco-AVPair = nas-rx-speed=1000000000 | ||
+ | Cisco-AVPair = circuit-id-tag=Germi-Emam atm 3/2:408:0.35 | ||
+ | Acct-Authentic = RADIUS | ||
+ | Acct-Delay-Time = 0 | ||
+ | '''Acct-Input-Gigawords = 2''' | ||
+ | Acct-Session-Id = 1/0/0/408_00BBE309 | ||
+ | '''Acct-Output-Gigawords = 3''' | ||
+ | '''Acct-Input-Octets = 981842''' | ||
+ | Service-Type = Framed-User | ||
+ | '''Acct-Output-Octets = 6771644''' | ||
+ | NAS-Port-Type = Ethernet | ||
+ | NAS-Port = 268435864 | ||
+ | '''Acct-Status-Type = Alive''' | ||
+ | |||
+ | </div> | ||
+ | |||
+ | :* '''Username''': نام کاربری ، کاربر در حال اتصال. | ||
+ | |||
+ | :* '''NAS-IP-Address''': ب Bras IP که این درخواست را ارسال کرده است. | ||
+ | |||
+ | :* '''Framed-Protocol''': پروتکل درخواست اتصال کاربر به Bras. | ||
+ | |||
+ | :* '''client-mac-address''': مک آدرس کاربر . | ||
+ | |||
+ | :* '''Acct-Session-Id''': مشخصه یکتایی است برای match شدن start acc و stop acc. | ||
+ | |||
+ | :* '''Acct-Status-Type''': نوع پکت ارسالی را مشخص می نماید که شامل '''Start'''، '''Alive''' و '''Stop''' است. | ||
+ | |||
+ | :* '''Acct-Input-Gigawords''': مقدار ثبت شده در این گزینه معادل '''4 گیگا بایت''' دانلود کاربر است، به عنوان نمونه اگر گزینه عدد 3 را نمایش می دهد یعنی کاربر 12 گیگ مصرف داشته است. 12=3*4 | ||
+ | |||
+ | :* '''Acct-Output-Gigawords''': مقدار ثبت شده در این گزینه معادل '''4 گیگا بایت''' آپلود کاربر است، به عنوان نمونه اگر گزینه عدد 2 را نمایش می دهد یعنی کاربر 8 گیگ مصرف داشته است. 8=2*4 | ||
+ | |||
+ | :* '''Acct-Input-Octets''': مقدار ثبت شده در این گزینه میزان دانلود کاربر است، که با '''Gigaword''' جمع و میزان مصرف کلی دانلود محاسبه می شود. واحد آن '''Byte''' است. | ||
+ | |||
+ | :* '''Acct-Output-Octets''': مقدار ثبت شده در این گزینه میزان آپلود کاربر است، که با '''Gigaword''' جمع و میزان مصرف کلی آپلود محاسبه می شود. واحد آن '''Byte''' است. | ||
+ | |||
=== Stop === | === Stop === | ||
− | Stop | + | جهت دسترسی به لاگ های این قسمت از دستور زیر می توانید استفاده نمایید: |
+ | |||
+ | |||
+ | <div dir=ltr lang=en> | ||
+ | |||
+ | '''less /var/log/IBSng/RADIUS/start_stop.log ''' | ||
+ | |||
+ | </div> | ||
+ | |||
+ | پکت های '''stop''' در فایل '''start_stop.log''' قرار گرفته است. | ||
+ | |||
+ | میزان حجم مصرفی کاربر را می توانید در این پکت محاسبه نمایید. مجموع گزینه های Acct-Input-Gigawords و Acct-Input-Octets برای دانلود و Acct-Output-Gigawords و Acct- | ||
+ | Output-Octets را برای آپلود محاسبه نمایید. | ||
+ | |||
+ | |||
+ | <div dir=ltr lang=en> | ||
+ | |||
+ | Nov 16 06:01:03 Ardebil-Core-DB-B RADIUS_WORKER_3: '''ibs_start_stop''':Accounting-Request packet from host 192.168.99.5 port 21761, id=239, length=429 | ||
+ | NAS-IP-Address = 192.168.99.5 | ||
+ | '''User-Name = test''' | ||
+ | NAS-Port-Id = 1/0/0/408 | ||
+ | Acct-Session-Time = 2703 | ||
+ | Acct-Output-Packets = 585 | ||
+ | Framed-IP-Address = xx.xx.xx.xx | ||
+ | Acct-Input-Packets = 711 | ||
+ | Framed-Protocol = PPP | ||
+ | Cisco-AVPair = client-mac-address=a1b2.c3d4.f5f6 | ||
+ | Cisco-AVPair = ppp-disconnect-cause=Lower Layer disconnected | ||
+ | Cisco-AVPair = connect-progress=LAN Ses Up | ||
+ | Cisco-AVPair = nas-tx-speed=1000000000 | ||
+ | Cisco-AVPair = nas-rx-speed=1000000000 | ||
+ | Cisco-AVPair = disc-cause-ext=Radius Disc | ||
+ | Cisco-AVPair = circuit-id-tag=Germi-Emam atm 5/24:408:0.35 | ||
+ | Acct-Authentic = RADIUS | ||
+ | '''Acct-Terminate-Cause = Admin-Reset''' | ||
+ | Acct-Session-Id = 1/0/0/408_00C39464 | ||
+ | Acct-Delay-Time = 0 | ||
+ | '''Acct-Input-Gigawords = 4''' | ||
+ | '''Acct-Input-Octets = 26799''' | ||
+ | Service-Type = Framed-User | ||
+ | '''Acct-Output-Octets = 48509''' | ||
+ | '''Acct-Output-Gigawords = 3''' | ||
+ | NAS-Port-Type = Ethernet | ||
+ | NAS-Port = 268435864 | ||
+ | '''Acct-Status-Type = Stop''' | ||
+ | |||
+ | </div> | ||
+ | |||
+ | :* '''Username''': نام کاربری ، کاربر در حال اتصال. | ||
+ | |||
+ | :* '''Framed-Protocol''': پروتکل درخواست اتصال کاربر به Bras. | ||
+ | |||
+ | :* '''client-mac-address''': مک آدرس کاربر . | ||
+ | |||
+ | :* '''Acct-Session-Id''': مشخصه یکتایی است برای match شدن start acc و stop acc. | ||
+ | |||
+ | :* '''Acct-Status-Type''': نوع پکت ارسالی را مشخص می نماید که شامل '''Start'''، '''Alive''' و '''Stop''' است. | ||
+ | |||
+ | :* '''Acct-Input-Gigawords''': مقدار ثبت شده در این گزینه معادل '''4 گیگا بایت''' دانلود کاربر است، به عنوان نمونه اگر گزینه عدد 3 را نمایش می دهد یعنی کاربر 12 گیگ مصرف داشته است. 12=3*4 | ||
+ | |||
+ | :* '''Acct-Output-Gigawords''': مقدار ثبت شده در این گزینه معادل '''4 گیگا بایت''' آپلود کاربر است، به عنوان نمونه اگر گزینه عدد 2 را نمایش می دهد یعنی کاربر 8 گیگ مصرف داشته است. 8=2*4 | ||
+ | |||
+ | :* '''Acct-Input-Octets''': مقدار ثبت شده در این گزینه میزان دانلود کاربر است، که با '''Gigaword''' جمع و میزان مصرف کلی دانلود محاسبه می شود. واحد آن '''Byte''' است. | ||
+ | |||
+ | :* '''Acct-Output-Octets''': مقدار ثبت شده در این گزینه میزان آپلود کاربر است، که با '''Gigaword''' جمع و میزان مصرف کلی آپلود محاسبه می شود. واحد آن '''Byte''' است. | ||
+ | |||
+ | :* '''Acct-Terminate-Cause''': علت قطعی کاربر. | ||
+ | |||
+ | |||
+ | == '''authorization''' == | ||
+ | |||
+ | '''authorization'''، پروسه تصدیق هویت کاربر است. این پروسه در جواب '''authentication''' انجام میشود و پیرو آن برای تشخیص سطح دسترسی کاربر به اطلاعات می باشد که به منظور جلوگيري از دسترسي افراد غير مجاز به منابع و داده هاي حفاظت شده مي باشد. | ||
+ | |||
+ | |||
− | END | + | END |
+ | [[کاربر:Behnaz|Behnaz]] ([[بحث کاربر:Behnaz|بحث]]) ۲۳ نوامبر ۲۰۱۶، ساعت ۱۲:۳۸ (IRST) |
نسخهٔ کنونی تا ۲۳ نوامبر ۲۰۱۶، ساعت ۱۲:۴۰
محتویات |
[ویرایش] Radius Log
RADIUS
ردیوس چیست ؟ (Remote Authentication Dail-In User Service (RADIUS یک سرویس مرکزی احراز هویت می باشد . به جای اینکه هر سرور RAS به صورت جداگانه نیازمند یک پایگاه داده باشد تا اشخاص را احراز هویت کند , درخواست های احرازهویت به یک سرور مرکزی ارسال می گردند . تا تمامی کاربران و یا تجهیزات توسط سرویس مرکزی احراز هویت شوند .
کلیه اطلاعات ارسالی از BRAS توسط AAA به صورت text file در مسیر زیر ذخیره و قابل استناد است.
/var/log/IBSng/RADIUS
لازم به ذکر است با توجه به حجم بالای لاگ های Radius، این لاگ ها در بازه ای از زمان rotate می گردد.
در صورت نیاز به نگهداری RADIUS log می بایست فضای مناسب جهت ذخیره سازی در اختیار IBSng قرار گیرد.
Radius شامل سه فاز می باشد:
- Authentication
- Accounting
- Authorization
[ویرایش] Authentication
پروسه شناسایی و احراز هویت برای تشخیص کسی و یا چیزی است . authentication معمولا و به صورت پیشفرش به صورت یوزر و پسوزر سمت شخص و یا تجهیزات از همدیگر تمیز داده میشوند که به موجب آن دسترسی و عدم دسترسی برای کاربر را به همراه دارد . پیام Authentication از سمت access server به سمت RADIUS توسط پورت 1812 UDP ارسال میشود .
در Radias digram زیر، فاز Authentication با کادر قرمز مشخص شده است:
جهت دسترسی به لاگ های این فاز از دستور زیر می توانید استفاده نمایید:
less /var/log/IBSng/RADIUS/auth.log
پکت های Access-Request، Access-Accept و Access-Reject در فایل auth.log قرار گرفته است.
[ویرایش] Access-Request
در این قسمت لاگ درخواستهای اتصال کاربران از سمت Bras به AAA ارسال می شود. نمونه packet ارسالی مشابه نمونه packet زیر می باشد:
Nov 16 06:25:06 Ardebil-Core-DB-B RADIUS_WORKER_4: ibs_radius:Access-Request packet from host 192.168.99.5 port 21734, id=75, length=198 User-Password = 0x58df6d85d38daaf3hd72eeec173fbc8f8ed NAS-IP-Address = 192.168.99.5 User-Name = test NAS-Port-Id = 1/0/0/409 Cisco-AVPair = client-mac-address=a1b2.c3d4.f5f6 Cisco-AVPair = circuit-id-tag=Angut atm 9/24:409:0.35 Framed-Protocol = PPP Service-Type = Framed-User Acct-Session-Id = 1/0/0/409_00C40C34 NAS-Port-Type = Ethernet NAS-Port = 268435865 NAS-Port = 15781409
موارد کاربردی در نمونه Packet بالا شامل :
- Username: نام کاربری ، کاربر در حال اتصال.
- User-Password : رمز عبور کاربر که بسته به نوع Authentication که روی RAS ست شده، ممکن است به صورت هش و یا به صورت clear text نمایش داده می شود.
- NAS-IP-Address: ب Bras IP که این درخواست را ارسال کرده است.
- Framed-Protocol: پروتکل درخواست اتصال کاربر به Bras
- client-mac-address: مک آدرس کاربر
- Acct-Session-Id: مشخصه یکتایی است برای match شدن start acc و stop acc
- id: مقدار id در access-request مطابق است با id در access-accept
[ویرایش] Access-Accept
لاگ تایید ارتباط کاربر که از سمت AAA به سمت Bras ارسال می شود. نمونه packet ارسالی مشابه نمونه packet زیر می باشد:
در صورت وجود مشخصه ای در AAA مانند IPpool یا policy، این مشخصه در access-accept به Bras ارسال می شود.
Nov 16 06:25:06 Ardebil-Core-DB-B RADIUS_WORKER_2: ibs_radius:Access-Request packet from host 192.168.99.5 port 21734, id=87, length=211 User-Password = 0xa8286cd4bfeb2ccd9903b1gm99bf29e4e98 NAS-IP-Address = 192.168.99.5 User-Name = test NAS-Port-Id = 1/0/0/407 Cisco-AVPair = client-mac-address=a1b2.c3d4.f5f6 Cisco-AVPair = circuit-id-tag=Jafarabad-zhone-1 atm 16/37:407:0.35 Framed-Protocol = PPP Service-Type = Framed-User Acct-Session-Id = 1/0/0/407_00C40C32 NAS-Port-Type = Ethernet NAS-Port = 268435863 Nov 16 06:25:06 Ardebil-Core-DB-B RADIUS_WORKER_2: ibs_radius:Access-Accept packet to host 192.168.99.5 port 21734, id=84, length=56 process_start=0.0643s, rad_server_handle_start=0.0643s, rad_server_send_to_main=0.0625s, ras_msg_dispatch_start=0.0617s, internet_authenticate_before_late_check=0.0615s, user_worker_enqueue=0.0615s, internet_authenticate_start=0.0133s, internet_authenticate_ready_to_process=0.0101s, user_worker_run_start=0.0097s, user_worker_process_start=0.0084s, user_worker_process_finish=0.0056s, user_worker_run_finished=0.0041s, ras_msg_dispatch_finished=0.0028s Framed-Protocol = PPP Service-Type = Framed-User Framed-IP-Netmask = 255.255.255.255 Framed-IP-Address = xx.xx.xx.xx Cisco-Policy-Down = 1024 Cisco-Policy-Up = 1024
موارد کاربردی در نمونه Packet بالا شامل :
- Username: نام کاربری ، کاربر در حال اتصال.
- User-Password : رمز عبور کاربر که بسته به نوع Authentication که روی RAS ست شده، ممکن است به صورت هش و یا به صورت clear text نمایش داده می شود.
- NAS-IP-Address: ب Bras IP که این درخواست را ارسال کرده است.
- Framed-Protocol: پروتکل درخواست اتصال کاربر به Bras
- client-mac-address: مک آدرس کاربر
- Acct-Session-Id: مشخصه یکتایی است برای match شدن start acc و stop acc
- id: مقدار id در access-request مطابق است با id در access-accept
- Cisco-Policy-Down: پالیسی rate دانلود کاربر که در گزینه Limit bw (Inras) در شارژ ست شده است.
- Cisco-Policy-Up: پالیسی rate آپلود کاربر که در گزینه Limit bw (Inras) در شارژ ست شده است.
[ویرایش] Access-Reject
در صورت عدم تایید Access-request ارسالی از سمت Bras، سرور AAA درخواست Access-reject را به Bras ارسال می کند. نمونه packet ارسالی مشابه نمونه packet زیر می باشد:
Nov 16 06:25:06 Ardebil-Core-DB-B RADIUS_WORKER_3: ibs_radius:Access-Request packet from host 192.168.99.5 port 21734, id=76, length=200 User-Password = 0x4ab7705f03b3bgh7718cd78f0b03525a990 NAS-IP-Address = 192.168.99.5 User-Name= test NAS-Port-Id = 1/0/0/407 Cisco-AVPair = client-mac-address=a1b2.c3d4.f5f6 Cisco-AVPair = circuit-id-tag=Jafarabad-2 atm 3/41:0.35 Framed-Protocol = PPP Service-Type = Framed-User Acct-Session-Id = 1/0/0/407_00C40C2D NAS-Port-Type = Ethernet NAS-Port = 268435863 Nov 16 06:25:06 Ardebil-Core-DB-B RADIUS_WORKER_4: ibs_radius:Access-Reject packet to host 192.168.99.5 port 21734, id=75, length=39 process_start=0.0317s, rad_server_handle_start=0.0317s, rad_server_send_to_main=0.0293s, ras_msg_dispatch_start=0.0286s, internet_authenticate_before_late_check=0.0285s, user_worker_enqueue=0.0285s, internet_authenticate_start=0.0043s, ras_msg_dispatch_finished=0.0024s Framed-Protocol = PPP Service-Type = Framed-User Reply-Message = E=900
- Username: نام کاربری ، کاربر در حال اتصال.
- User-Password : رمز عبور کاربر که بسته به نوع Authentication که روی RAS ست شده، ممکن است به صورت هش و یا به صورت clear text نمایش داده می شود.
- NAS-IP-Address: ب Bras IP که این درخواست را ارسال کرده است.
- Framed-Protocol: پروتکل درخواست اتصال کاربر به Bras.
- client-mac-address: مک آدرس کاربر .
- Acct-Session-Id: مشخصه یکتایی است برای match شدن start acc و stop acc.
- id: مقدار id در access-request مطابق است با id در access-reject.
- Reply-Message: دلیل عدم اتصال کاربر.
[ویرایش] Accounting
طی این فرایند، گزارشی از عملکرد و یا محاسبه میزان مصرف کاربران یا سختافزارهایی که هویت آنها تایید شده است توسط سرور RADIUS آماده میشود . سرور ردیوس این گزارشات و میزان مصرف را از access server بر روی پورت 1813 UDP دریافت کرده و محاسبه می نماید .
در Radias digram زیر،فاز Accounting با کادر قرمز مشخص شده است:
[ویرایش] Start
start accounting جواب Bras به Access-accept ارسالی از AAA است.
جهت دسترسی به لاگ های این قسمت از دستور زیر می توانید استفاده نمایید:
less /var/log/IBSng/RADIUS/start_stop.log
پکت های start در فایل start_stop.log قرار گرفته است.
Nov 16 06:01:03 Ardebil-Core-DB-B RADIUS_WORKER_1: ibs_start_stop:Accounting-Request packet from host 192.168.99.6 port 21673, id=18, length=263 NAS-IP-Address = 192.168.99.6 User-Name = test NAS-Port-Id = 5/0/0/519 Cisco-Policy-Down = 512 Acct-Status-Type = Start Cisco-AVPair = connect-progress=LAN Ses Up Cisco-AVPair = client-mac-address=a1b2.c3d4.f5f6 Cisco-AVPair = circuit-id-tag=Ard-Bakeri-Zyxel-1 atm 4/15:0.35:519 Acct-Delay-Time = 0 Framed-Protocol = PPP Framed-IP-Address = xx.xx.xx.xx Acct-Authentic = RADIUS Acct-Session-Id = 5/0/0/519_132E061A NAS-Port-Type = Ethernet Service-Type = Framed-User NAS-Port = 1342177799
- Username: نام کاربری ، کاربر در حال اتصال.
- NAS-IP-Address: ب Bras IP که این درخواست را ارسال کرده است.
- Framed-Protocol: پروتکل درخواست اتصال کاربر به Bras.
- client-mac-address: مک آدرس کاربر .
- Acct-Session-Id: مشخصه یکتایی است برای match شدن start acc و stop acc.
- Acct-Status-Type: نوع پکت ارسالی را مشخص می نماید که شامل Start، Alive و Stop است.
[ویرایش] Alive
تا زمانی که اتصال کاربر برقرار است به ازا هر update accounting یک پکت Alive از سمت Bras ارسال می شود.
جهت دسترسی به لاگ های این قسمت از دستور زیر می توانید استفاده نمایید:
less /var/log/IBSng/RADIUS/alive.log
پکت های alive در فایل alive.log قرار گرفته است.
Nov 16 00:01:01 Ardebil-Core-DB-B RADIUS_WORKER_4: ibs_alive:Accounting-Request packet from host 192.168.99.5 port 21654, id=71, length=347 NAS-IP-Address = 192.168.99.5 User-Name = test NAS-Port-Id = 1/0/0/408 Cisco-Policy-Down = 3072 Acct-Session-Time = 36216 Acct-Output-Packets = 15001 Framed-IP-Address = xx.xx.xx.xx Acct-Input-Packets = 11063 Framed-Protocol = PPP Cisco-AVPair = client-mac-address=a1b2.c3d4.f5f6 Cisco-AVPair = connect-progress=LAN Ses Up Cisco-AVPair = nas-tx-speed=1000000000 Cisco-AVPair = nas-rx-speed=1000000000 Cisco-AVPair = circuit-id-tag=Germi-Emam atm 3/2:408:0.35 Acct-Authentic = RADIUS Acct-Delay-Time = 0 Acct-Input-Gigawords = 2 Acct-Session-Id = 1/0/0/408_00BBE309 Acct-Output-Gigawords = 3 Acct-Input-Octets = 981842 Service-Type = Framed-User Acct-Output-Octets = 6771644 NAS-Port-Type = Ethernet NAS-Port = 268435864 Acct-Status-Type = Alive
- Username: نام کاربری ، کاربر در حال اتصال.
- NAS-IP-Address: ب Bras IP که این درخواست را ارسال کرده است.
- Framed-Protocol: پروتکل درخواست اتصال کاربر به Bras.
- client-mac-address: مک آدرس کاربر .
- Acct-Session-Id: مشخصه یکتایی است برای match شدن start acc و stop acc.
- Acct-Status-Type: نوع پکت ارسالی را مشخص می نماید که شامل Start، Alive و Stop است.
- Acct-Input-Gigawords: مقدار ثبت شده در این گزینه معادل 4 گیگا بایت دانلود کاربر است، به عنوان نمونه اگر گزینه عدد 3 را نمایش می دهد یعنی کاربر 12 گیگ مصرف داشته است. 12=3*4
- Acct-Output-Gigawords: مقدار ثبت شده در این گزینه معادل 4 گیگا بایت آپلود کاربر است، به عنوان نمونه اگر گزینه عدد 2 را نمایش می دهد یعنی کاربر 8 گیگ مصرف داشته است. 8=2*4
- Acct-Input-Octets: مقدار ثبت شده در این گزینه میزان دانلود کاربر است، که با Gigaword جمع و میزان مصرف کلی دانلود محاسبه می شود. واحد آن Byte است.
- Acct-Output-Octets: مقدار ثبت شده در این گزینه میزان آپلود کاربر است، که با Gigaword جمع و میزان مصرف کلی آپلود محاسبه می شود. واحد آن Byte است.
[ویرایش] Stop
جهت دسترسی به لاگ های این قسمت از دستور زیر می توانید استفاده نمایید:
less /var/log/IBSng/RADIUS/start_stop.log
پکت های stop در فایل start_stop.log قرار گرفته است.
میزان حجم مصرفی کاربر را می توانید در این پکت محاسبه نمایید. مجموع گزینه های Acct-Input-Gigawords و Acct-Input-Octets برای دانلود و Acct-Output-Gigawords و Acct- Output-Octets را برای آپلود محاسبه نمایید.
Nov 16 06:01:03 Ardebil-Core-DB-B RADIUS_WORKER_3: ibs_start_stop:Accounting-Request packet from host 192.168.99.5 port 21761, id=239, length=429 NAS-IP-Address = 192.168.99.5 User-Name = test NAS-Port-Id = 1/0/0/408 Acct-Session-Time = 2703 Acct-Output-Packets = 585 Framed-IP-Address = xx.xx.xx.xx Acct-Input-Packets = 711 Framed-Protocol = PPP Cisco-AVPair = client-mac-address=a1b2.c3d4.f5f6 Cisco-AVPair = ppp-disconnect-cause=Lower Layer disconnected Cisco-AVPair = connect-progress=LAN Ses Up Cisco-AVPair = nas-tx-speed=1000000000 Cisco-AVPair = nas-rx-speed=1000000000 Cisco-AVPair = disc-cause-ext=Radius Disc Cisco-AVPair = circuit-id-tag=Germi-Emam atm 5/24:408:0.35 Acct-Authentic = RADIUS Acct-Terminate-Cause = Admin-Reset Acct-Session-Id = 1/0/0/408_00C39464 Acct-Delay-Time = 0 Acct-Input-Gigawords = 4 Acct-Input-Octets = 26799 Service-Type = Framed-User Acct-Output-Octets = 48509 Acct-Output-Gigawords = 3 NAS-Port-Type = Ethernet NAS-Port = 268435864 Acct-Status-Type = Stop
- Username: نام کاربری ، کاربر در حال اتصال.
- Framed-Protocol: پروتکل درخواست اتصال کاربر به Bras.
- client-mac-address: مک آدرس کاربر .
- Acct-Session-Id: مشخصه یکتایی است برای match شدن start acc و stop acc.
- Acct-Status-Type: نوع پکت ارسالی را مشخص می نماید که شامل Start، Alive و Stop است.
- Acct-Input-Gigawords: مقدار ثبت شده در این گزینه معادل 4 گیگا بایت دانلود کاربر است، به عنوان نمونه اگر گزینه عدد 3 را نمایش می دهد یعنی کاربر 12 گیگ مصرف داشته است. 12=3*4
- Acct-Output-Gigawords: مقدار ثبت شده در این گزینه معادل 4 گیگا بایت آپلود کاربر است، به عنوان نمونه اگر گزینه عدد 2 را نمایش می دهد یعنی کاربر 8 گیگ مصرف داشته است. 8=2*4
- Acct-Input-Octets: مقدار ثبت شده در این گزینه میزان دانلود کاربر است، که با Gigaword جمع و میزان مصرف کلی دانلود محاسبه می شود. واحد آن Byte است.
- Acct-Output-Octets: مقدار ثبت شده در این گزینه میزان آپلود کاربر است، که با Gigaword جمع و میزان مصرف کلی آپلود محاسبه می شود. واحد آن Byte است.
- Acct-Terminate-Cause: علت قطعی کاربر.
[ویرایش] authorization
authorization، پروسه تصدیق هویت کاربر است. این پروسه در جواب authentication انجام میشود و پیرو آن برای تشخیص سطح دسترسی کاربر به اطلاعات می باشد که به منظور جلوگيري از دسترسي افراد غير مجاز به منابع و داده هاي حفاظت شده مي باشد.