Att använda RADIUS-bokföring med Ingate Firewall/SIParator Lisa Hallingström Paul Donald
Table of Contents Att använda RADIUS-bokföring med Ingate Firewall/SIParator steg för steg...3 Ingate RADIUS Accounting...5 Accounting-attribut som används av Ingate Firewall/SIParator...5 När genererar Ingate Firewall/SIParator bokföringsdata?...7 ii
Ingate Firewall/SIParator -version: 4.7. Dokumentversion:. Att använda RADIUS-bokföring med Ingate Firewall/SIParator steg för steg Här visas hur brandväggen/siparatorn ska konfigureras för att RADIUS-bokföring ska användas för samtal till eller från lokala användare. Om RADIUS-bokföring endast ska användas för samtal till andra domäner utanför brandväggen/siparatorn behöver man endast slå på inställningen RADIUS-bokföring. Om man vill kunna ta betalt för samtal där båda användare sitter på samma sida om brandväggen/siparatorn eller samtal inom samma domän, måste användarna tvingas att gå via brandväggen/siparatorn även när båda finns på samma sida. Brandväggen behöver då agera som en back-to-back user agent (B2BUA). Denna funktion finns endast när någon av modulerna Advanced SIP Routing och SIP Trunking installerats. Gå först till sidan RADIUS och ange den RADIUS-server som ska ta emot bokföringsinformationen. Om RADIUS-servern endast ska användas för bokföring går det bra med vilket portnummer som helst i tabellen; brandväggen/siparatorn använder alltid port 83 för detta ändamål. Om brandväggen/siparatorn används som SIP-registrator och RADIUS-servern även ska användas till SIP-autentisering, ska det portnummer anges som på RADIUS-servern används för autentisering (normalt port 82 eller 645). Om brandväggen/siparatorn ska vara registrator för telefonerna på insidan bör du ha en lokal SIP-domän. Domänen kan heta vad som helst, bara den inte används av någon annan. Ett sätt att enkelt skaffa en egen SIP-domän är att använda företagets www-adress, men ersätta "www" med "sip", till exempel sip.ingate.com. Samma domän kan då också användas i vanliga SIP-till-SIP-samtal. Ange denna domän på sidan Lokal registrator under SIP-trafik. 3
Gå till sidan Autentisering och bokföring och välj att autentiseringen ska vara på. Ange också den lokala SIP-domänen som Realm. Om brandväggen/siparatorn ska användas som SIP-registrator väljs RADIUS som SIPanvändardatabas. Välj också vilket nätverk användarna får registrera sig från. På sidan Nummerplan definieras hur samtalen ska skickas genom brandväggen/siparatorn. Först ska Nummerplanen vara på. I tabellen Matcha på Request-URI definieras vart samtal är adresserade. Detta används sedan i tabellen Nummerplan. I detta fall definieras ett Reguljärt uttryck som passar alla Request-URIer. Skriv in "(.+)@(.+)" i fältet Reguljärt uttryck. I tabellen Skicka vidare till definieras vart brandväggen/siparatorn ska skicka samtalen. Detta används sedan i tabellen Nummerplan. I detta fall ska samtalen skickas till samma ställe som de var adresserade till innan, men 4
brandväggen/siparatorn ska skicka vidare dem som B2BUA. Skriv in "$0;b2bua" i fältet Reguljärt uttryck. Detta betyder att den Request-URI som fanns i det inkommande SIPpaketet återanvänds, men att brandväggen/siparatorn agerar som B2BUA istället för SIPproxy. Till sist ska dessa definitioner kombineras i tabellen Nummerplan. Gör en ny rad i tabellen och välj de alternativ som definierats i tabellerna ovan. När en SIP-användare ringer till någon annan kommer brandväggen/siparatorn att gå in och agera som mellanhand i samtalet. Båda SIP-klienterna kommer bara att prata med brandväggen/siparatorn, och den kommer att skicka vidare signalering mellan dem. Media går fortfarande närmaste vägen. Gå till sist till sidan Spara/Läsa inställningar under Administration och ta de nya inställningarna i drift genom att trycka på Ta i drift. Ingate RADIUS Accounting Ingate Firewall/SIParator stöder RADIUS Accounting som det beskrivs i RFC 2866. RADIUS Accounting ger möjlighet att skicka bokföringsinformation om SIP-samtal från en brandvägg/siparator till en RADIUS Accounting-server. RADIUS Accounting (RADIUS-bokföring) slås av och på i brandväggen/siparatorns GUI. Inställningen för vilka RADIUS-servrar som ska användas är gemensam med inställningen för RADIUS-autentisering. Detta betyder att bokföring och autentisering använder samma uppsättning servrar, och att det inte går att ange en specifik server som ska användas av den ena eller andra tjänsten. RADIUS Accounting använder alltid port 83. 5
Accounting-attribut som används av Ingate Firewall/SIParator Attribut Nr Värde- eller textformat User-name Sträng med NAS-IP-Address 4 IP-adress (fyra oktetter). NAS-Identifier 32 En eller flera oktetter. Acct-Session-Id 44 Sträng med Acct-Status-Type 40 Fyra oktetter (32-bitars Called-Station-Id 30 Sträng med Calling-Station-Id 3 Sträng med Acct-Session-Time 46 Fyra oktetter (32-bitars Acct-Terminate-Cause 49 Fyra oktetter (32-bitars IG-Acct-Input-Jitter 28 Fyra oktetter (32-bitars IG-Acct-Output-Jitter 29 Fyra oktetter (32-bitars IG-Acct-Input-Missing 30 Fyra oktetter (32-bitars IG-Acct-Output- Missing IG-Acct-Input- Missing-Max IG-Acct-Output- Missing-Max 3 Fyra oktetter (32-bitars 32 Fyra oktetter (32-bitars 33 Fyra oktetter (32-bitars Exempel sip:alice@ingate.com 93.45.23.245 eabba66464748908df9f7... 2 sip:bob@ingate.com 0.7.244.4 sip:alice@ingate.com 93.45.23. 80 Attributen följer RFC 2865 och RFC 2866, där man kan hitta mer information. 6
Acct-Session-Time och Acct-Terminate-Cause skickas när Acct-Status-Type är "Stop". När genererar Ingate Firewall/SIParator bokföringsdata? Ingate Firewall/SIParator genererar bokföringsinformation när RADIUS-bokföring är påslaget i konfigurationen och minst ett av följande villkor är uppfyllt: Mediaströmmen hanteras av brandväggen/siparatorn, dvs när media går genom brandväggen/siparatorn eller när Remote SIP Connectivity används för samtalet. Brandväggen agerar B2BUA. Detta kräver att någon av modulerna SIP Trunking eller Advanced SIP Routing finns installerad samt att minst ett kriterium nedan är uppfyllt: Ett XF- eller B2BUAWM-konto används för samtalet. Reguljära uttryck används i tabellerna Matcha på Request-URI och Skicka vidare till, och det reguljära uttrycket i Skicka vidare till slutar med ";b2bua". Hantera REFER lokalt används för samtalet. Record-Route för alla begäran är på. För att testa RADIUS Accounting med Ingate Firewall/SIParator kan man använda FreeRADIUS (http://freeradius.org/freeradius-url.sgml) eller valfri RADIUS-server som stöder RFC 2866. 7