解説書 Vol.2

[目次][用語][索引][前へ][次へ]


11.6 RADIUS/TACACS+を使用したアカウンティング

RADIUS/TACACS+を使用したアカウンティング方法について説明します。

<この節の構成>
(1) アカウンティングの指定
(2) アカウンティングの流れ
(3) アカウンティングの注意事項

(1) アカウンティングの指定

本装置のRADIUS/TACACS+コンフィグレーションとsystemコンフィグレーションのアカウンティングを設定すると,運用端末から本装置へのログイン・ログアウト時にRADIUSまたはTACACS+サーバへアカウンティング情報を送信します。また,本装置へのコマンド入力時に,TACACS+サーバへアカウンティング情報を送信します。

アカウンティングの設定は,ログインとログアウトのイベントを送信するログインアカウンティング指定と,コマンド入力のイベントを送信するコマンドアカウンティング指定があります。コマンドアカウンティングはTACACS+だけでサポートしています。

それぞれのアカウンティングに対して,アカウンティングSTARTとSTOPを両方送信するモード(start-stop)とSTOPだけを送信するモード(stop-only)を選択できます。さらに,コマンドアカウンティングに対しては,入力したコマンドをすべて送信するモードとコンフィグレーションコマンドだけを送信するモードとを選択できます。また,設定された各RADIUS/TACACS+サーバに対して,通常は,どこかのサーバでアカウンティングが成功するまで順に送信しますが,成功したかどうかにかかわらずすべてのサーバへ順に送信するモード(broadcast)も選択できます。

(2) アカウンティングの流れ

ログインアカウンティングとコマンドアカウンティングの両方をSTART-STOP送信モードでTACACS+サーバへ送信する設定をした場合のシーケンスを次の図に示します。

図11-7 TACACS+アカウンティングのシーケンス(ログイン・コマンドアカウンティングのSTART-STOP送信モード時)

[図データ]

この図で運用端末から本装置にログイン成功すると,本装置からTACACS+サーバに対しユーザ情報や時刻などのアカウンティング情報を送信します。また,コマンド入力前後にも本装置からTACACS+サーバに対し入力コマンド情報などのアカウンティング情報を送信します。最後に,ログアウト時には,ログインしていた時間などの情報を送信します。

ログインアカウンティングはSTART-STOP送信モードのままで,コマンドアカウンティングだけをSTOP-ONLY送信モードにしてTACACS+サーバへ送信する設定をした場合のシーケンスを次の図に示します。

図11-8 TACACS+アカウンティングのシーケンス(ログインアカウンティングSTART-STOP,コマンドアカウンティングSTOP-ONLY送信モード時)

[図データ]

図11-7 TACACS+アカウンティングのシーケンス(ログイン・コマンドアカウンティングのSTART-STOP送信モード時)」の例と比べ,ログイン・ログアウトでのアカウンティング動作は同じですが,コマンドアカウンティングでSTOP-ONLYを指定している場合,コマンド入力前にだけ本装置からTACACS+サーバに対し入力コマンド情報などのアカウンティング情報を送信します。

(3) アカウンティングの注意事項

RADIUS/TACACS+コンフィグレーション,systemコンフィグレーションのアカウンティングの設定やIPv4装置アドレスを変更した場合は,送受信途中や未送信のアカウンティングイベントと統計情報はクリアされ,新しい設定で動作します。

多数のユーザが,コマンドを連続して入力したり,ログイン・ログアウトを繰り返したりした場合,アカウンティングイベントが大量発生するため,一部のイベントでアカウンティングできないことがあります。

アカウンティングイベントの大量発生による本装置・サーバ・ネットワークへの負担を避けるためにも,コマンドアカウンティングはSTOP-ONLYで設定することをお勧めします。また,正常に通信できないRADIUS/TACACS+サーバは指定しないでください。

運用コマンドclear accountingでアカウンティング統計情報をクリアする場合,clear accountingコマンドの入力時点で各サーバへの送受信途中のアカウンティングイベントがあるときは,そのイベントの送受信終了後に,各サーバへの送受信統計のカウントを開始します。

DNSサーバを使用してホスト名を解決する場合,DNSサーバとの通信に時間が掛かることがあります。このため,RADIUSサーバおよびTACACS+サーバはIPアドレスで指定することをお勧めします。

[目次][前へ][次へ]


[他社商品名称に関する表示]

Copyright (c)2005, 2011, ALAXALA Networks Corporation. All rights reserved.