8.2.5 RADIUS/TACACS+を使用したアカウンティング
RADIUS/TACACS+を使用したアカウンティング方法について説明します。
(1) アカウンティングの指定
本装置のRADIUS/TACACS+コンフィグレーションとaaa accountingコンフィグレーションのアカウンティングを設定すると,運用端末から本装置へのログイン・ログアウト時にRADIUSまたはTACACS+サーバへアカウンティング情報を送信します。また,本装置へのコマンド入力時にTACACS+サーバへアカウンティング情報を送信します。
アカウンティングの設定は,ログインとログアウトのイベントを送信するログインアカウンティング指定と,コマンド入力のイベントを送信するコマンドアカウンティング指定があります。コマンドアカウンティングはTACACS+だけでサポートしています。
それぞれのアカウンティングに対して,アカウンティングSTARTとSTOPを両方送信するモード(start-stop)とSTOPだけを送信するモード(stop-only)を選択できます。さらに,コマンドアカウンティングに対しては,入力したコマンドをすべて送信するモードとコンフィグレーションだけを送信するモードを選択できます。また,設定された各RADIUS/TACACS+サーバに対して,通常はどこかのサーバでアカウンティングが成功するまで順に送信しますが,成功したかどうかにかかわらずすべてのサーバへ順に送信するモード(broadcast)も選択できます。
(2) アカウンティングの流れ
ログインアカウンティングとコマンドアカウンティングの両方をSTART-STOP送信モードでTACACS+サーバへ送信する設定をした場合のシーケンスを次の図に示します。
この図で運用端末から本装置にログインが成功すると,本装置からTACACS+サーバに対しユーザ情報や時刻などのアカウンティング情報を送信します。また,コマンドの入力前後にも本装置からTACACS+サーバに対し入力したコマンド情報などのアカウンティング情報を送信します。最後に,ログアウト時には,ログインしていた時間などの情報を送信します。
ログインアカウンティングはSTART-STOP送信モードのままで,コマンドアカウンティングだけをSTOP-ONLY送信モードしてTACACS+サーバへ送信する設定をした場合のシーケンスを次の図に示します。
「図8‒29 TACACS+アカウンティングのシーケンス(ログイン・コマンドアカウンティングのSTART-STOP送信モード時)」の例と比べると,ログイン・ログアウトでのアカウンティング動作は同じですが,コマンドアカウンティングでSTOP-ONLYを指定している場合,コマンドの入力前にだけ本装置からTACACS+サーバに対し入力したコマンド情報などのアカウンティング情報を送信します。
(3) アカウンティングの注意事項
RADIUS/TACACS+コンフィグレーション,aaa accountingコンフィグレーションのアカウンティングの設定やinterface loopbackコンフィグレーションでIPv4装置アドレスを変更した場合は,送受信途中や未送信のアカウンティングイベントと統計情報はクリアされ,新しい設定で動作します。
多数のユーザが,コマンドを連続して入力したり,ログイン・ログアウトを繰り返したりした場合,アカウンティングイベントが大量に発生するため,一部のイベントでアカウンティングできないことがあります。
アカウンティングイベントの大量な発生による本装置・サーバ・ネットワークへの負担を避けるためにも,コマンドアカウンティングはSTOP-ONLYで設定することをお勧めします。また,正常に通信できないRADIUS/TACACS+サーバは指定しないでください。
運用コマンドclear accountingでアカウンティング統計情報をクリアする場合,clear accountingコマンドの入力時点で各サーバへの送受信途中のアカウンティングイベントがあるときは,そのイベントの送受信終了後に,各サーバへの送受信統計のカウントを開始します。
DNSサーバを使用してホスト名を解決する場合,DNSサーバとの通信に時間が掛かることがあります。このため,RADIUSサーバおよびTACACS+サーバはIPアドレスで指定することをお勧めします。