Panabit与AAA审计对接

应用场景

Panabit作为出口网关、流控、审计时，由于认证不是在panabit上，想要获取内网用户的用户名是比较困难的。而且认证厂家不一样，用户名在数据包内的体现也不一样。标准radius协议是比较多的AAA设备广泛使用的一种协议。因此Panabit采用了一个比较通用的方案，通过标准radius的accounting数据包来获取用户名与IP的对应关系。而且大多数计费厂家都能支持。

技术实现

Panabit通过radius sniffer模块，跟踪accounting-request报文

其中user-name（用户名）,framed-ip（IP）属性的内容。就包含了用户名与IP的对应关系。

相关命令

floweye radsnif config enable=1 开启radsnif模块。

floweye radsnif stat查看模块工作状态。

执行floweye radsnif stat命令后会打印以下信息

enable=1（功能模块开关，1为开启，0为关闭）

ip=0.0.0.0（白名单，只跟踪源IP为所设IP的radius报文，0.0.0.0表示任意）

count=0（计数器，功能模块获取到多少个radius报文）

panic_stat=0/0/0/0[0/1/2/3]（失败计数器，radius报文有，但是不符合标准）

Panabit设置

在数据网卡上建立一个接口地址，可以是LAN接口，也可以是WAN线路。AAA服务将认证流量抄送一份到这个地址。也就说AAA服务器到接口的IP路由可达。

打开radsnif模块

查看radsnif的状态，计数器有计数，表明已经收到了相关radius的报文。

查看TOP用户，可看到用户的用户名。