Ajude-nos a melhorar a sua experiência.

Conte-nos a sua opinião.

Tem dois minutos para uma pesquisa?

Announcement: Our new, consolidated Junos CLI Reference is now available.

close
external-header-nav
keyboard_arrow_up
close
keyboard_arrow_left
list Table of Contents

Esta tradução automática foi útil?

starstarstarstarstar
Go to English page
ISENÇÃO DE RESPONSABILIDADE:

Esta página será traduzida com software de tradução por máquina de terceiros. Embora esforços razoáveis tenham sido feitos para fornecer uma tradução de qualidade, a Juniper Networks não pode garantir sua exatidão. Se houver dúvidas sobre a exatidão das informações contidas nesta tradução, consulte a versão em inglês. O PDF para download está disponível apenas em inglês.

Tempo limite da sessão de autenticação

date_range 03-Aug-24

Você pode controlar o acesso à sua rede por meio de um switch usando várias autenticações diferentes. Os switches Junos OS oferecem suporte a 802.1X, MAC RADIUS e portal cativo como métodos de autenticação para dispositivos que precisam se conectar a uma rede. Leia este tópico para obter mais informações.

Entendendo o tempo limite da sessão de autenticação

As informações sobre sessões de autenticação — incluindo as interfaces associadas e VLANs para cada endereço MAC que é autenticado — são armazenadas na tabela de sessão de autenticação. A tabela de sessão de autenticação está vinculada à tabela de comutação Ethernet (também chamada de tabela MAC). Cada vez que o switch detecta tráfego a partir de um endereço MAC, ele atualiza o data-tempo para esse nó de rede na tabela de comutação Ethernet. Um temporizador no switch verifica periodicamente o temporizador e se seu valor excede o valor configurado pelo mac-table-aging-time usuário, o endereço MAC é removido da tabela de comutação Ethernet. Quando um endereço MAC está fora da tabela de comutação da Ethernet, a entrada para esse endereço MAC também é removida da tabela de sessão de autenticação, com o resultado de que a sessão termina.

Quando a sessão de autenticação termina devido ao envelhecimento do endereço MAC, o host deve tentar novamente a autenticação. Para limitar o tempo de inatividade resultante da re-autenticação, você pode controlar o tempo limite das sessões de autenticação das seguintes maneiras:

  • Para sessões de autenticação de MAC RADIUS e 802.1X, desassocia a tabela de sessão de autenticação da tabela de comutação Ethernet usando a no-mac-table-binding declaração. Essa configuração impede o término da sessão de autenticação quando o endereço MAC associado estiver fora da tabela de comutação da Ethernet.

  • Para sessões de autenticação de portal cativos, configure um temporização de manter-se vivo usando a user-keepalive declaração. Com essa opção configurada, quando o endereço MAC associado estiver fora da tabela de comutação da Ethernet, o temporizador continua vivo é iniciado. Se o tráfego for recebido dentro do período de tempo livre, o temporizour será excluído. Se não houver tráfego dentro do período de tempo livre, a sessão será excluída.

Você também pode especificar valores de tempo limite para sessões de autenticação para encerrar a sessão antes que o temporização MAC expira. Após o intervalo da sessão, o host deve tentar novamente a autenticação.

  • Para sessões de autenticação de MAC RADIUS e 802.1X, a duração da sessão antes do intervalo depende do valor da reauthentication declaração. Se o temporizador de envelhecimento MAC expirar antes do intervalo da sessão e a no-mac-table-binding declaração não estiver configurada, a sessão será terminada e o host deverá re-autenticar.

  • Para sessões de autenticação de portal cativos, a duração da sessão depende do valor configurado para a session-expiry declaração. Se o temporizador de envelhecimento MAC expirar antes do intervalo da sessão e a user-keepalive declaração não estiver configurada, a sessão será terminada e o host deverá re-autenticar.

Nota:

Se o servidor de autenticação enviar um tempo limite de sessão de autenticação para o cliente, isso tem prioridade sobre o valor configurado localmente usando a reauthentication declaração ou a session-expiry declaração. O valor do tempo de sessão é enviado do servidor ao cliente como um atributo da mensagem RADIUS Access-Accept. Para obter informações sobre a configuração do servidor de autenticação para enviar um tempo limite de sessão de autenticação, consulte a documentação para o seu servidor.

Controle dos intervalos de sessão de autenticação (procedimento CLI)

A expiração de uma sessão de autenticação pode resultar em tempo de inatividade, pois o host deve tentar novamente a autenticação. Você pode limitar esse tempo de inatividade controlando o período limite para sessões de autenticação.

Uma sessão de autenticação pode terminar quando o endereço MAC associado ao host autenticado estiver fora da tabela de comutação da Ethernet. Quando o endereço MAC é liberado da tabela de comutação da Ethernet, a sessão autenticada para esse host termina e o host deve tentar novamente a autenticação.

Para evitar que a sessão de autenticação termine quando o endereço MAC estiver fora da tabela de comutação da Ethernet:

  • Para sessões autenticadas usando a autenticação 802.1X ou MAC RADIUS, você pode evitar o tempo limite de sessão de autenticação devido ao envelhecimento do endereço MAC, desassociando a tabela de sessão de autenticação da tabela de comutação da Ethernet usando a no-mac-table-binding declaração:
    content_copy zoom_out_map
    [edit]
    user@switch# set protocols dot1x authenticator no-mac-table-binding;
  • Para sessões autenticadas usando autenticação de portal cativo, você pode evitar o tempo limite de sessão de autenticação devido ao envelhecimento do endereço MAC, estendendo o período de tempo limite usando a user-keepalive declaração:
    content_copy zoom_out_map
    [edit]
    user@switch# set services captive-portal interface interface-name user-keepalive minutes;

Você também pode configurar valores de tempo limite para sessões de autenticação para encerrar uma sessão autenticada antes que o temporizador de envelhecimento MAC expira.

Nota:

Configurar o tempo limite da sessão para uma sessão de autenticação não estende a sessão após o término do temporização MAC. Você deve configurar a declaração para a no-mac-table-binding autenticação do 802.1X e MAC RADIUS, ou a user-keepalive declaração para autenticação cativa do portal, para evitar o tempo limite da sessão devido ao envelhecimento do MAC.

Para sessões de autenticação de MAC RADIUS e 802.1X, configure o valor de tempo limite usando a reauthentication declaração.

  • Para configurar o valor de tempo limite em uma única interface:

    content_copy zoom_out_map
    [edit]
    user@switch# set protocols dot1x authenticator interface interface-name reauthentication seconds;
  • Para configurar o valor de tempo limite em todas as interfaces:

    content_copy zoom_out_map
    [edit]
    user@switch# set protocols dot1x authenticator interface all reauthentication seconds;

Para sessões de autenticação de portal cativos, configure o valor de tempo limite usando a session-expiry declaração.

  • Para configurar o valor de tempo limite em uma única interface:

    content_copy zoom_out_map
    [edit]
    user@switch# set services captive-portal interface interface-name session-expiry minutes;
  • Para configurar o valor de tempo limite em todas as interfaces:

    content_copy zoom_out_map
    [edit]
    user@switch# set services captive-portal interface all session-expiry minutes;
Nota:

Se o servidor de autenticação enviar um tempo limite de sessão de autenticação para o cliente, isso tem prioridade sobre o valor configurado usando a reauthentication declaração ou a session-expiry declaração. O valor do tempo de sessão é enviado do servidor ao cliente como um atributo da mensagem RADIUS Access-Accept.

Retenção da sessão de autenticação com base em vinculações de endereços IP-MAC

A autenticação MAC RADIUS é frequentemente usada para permitir que hosts que não estejam habilitados para autenticação 802.1X acessem a LAN. Dispositivos finais, como impressoras, não são muito ativos na rede. Se o endereço MAC associado a um dispositivo final estiver fora de cogitação devido à inatividade, o endereço MAC será liberado da tabela de comutação Ethernet e a sessão de autenticação terminar. Isso significa que outros dispositivos não serão capazes de alcançar o dispositivo final quando necessário.

Se o endereço MAC que envelhece estiver associado a um endereço IP na tabela de espionagem DHCP, DHCPv6 ou SLAAC, essa vinculação de endereço MAC-IP será liberada da tabela. Isso pode resultar em queda de tráfego quando o cliente DHCP tenta renovar seu leasing.

Você pode configurar o dispositivo de comutação para verificar se há uma vinculação de endereço IP-MAC na tabela de espionagem DHCP, DHCPv6 ou SLAAC antes de encerrar a sessão de autenticação quando o endereço MAC estiver fora. Se o endereço MAC do dispositivo final estiver vinculado a um endereço IP, ele será retido na tabela de comutação Ethernet, e a sessão de autenticação permanecerá ativa.

Esse recurso pode ser configurado globalmente para todas as sessões autenticadas usando a CLI ou por sessão usando atributos RADIUS.

Benefícios

Este recurso oferece os seguintes benefícios:

  • Garante que um dispositivo final seja acessível por outros dispositivos na rede, mesmo que o endereço MAC esteja fora do alcance.

  • Evita que o tráfego caia quando o dispositivo final tenta renovar seu leasing DHCP.

Configuração da CLI

Antes de configurar este recurso:

  • A espionagem dhcp, a espionagem DHCPv6 ou a espionagem SLAAC devem ser habilitadas no dispositivo.

  • A no-mac-table-binding declaração da CLI deve ser configurada. Isso desassocia a tabela de sessão de autenticação da tabela de comutação Ethernet para que, quando um endereço MAC estiver fora, a sessão de autenticação seja estendida até a próxima reauthenticação.

    content_copy zoom_out_map
    [edit]
    user@switch# set protocols dot1x authenticator no-mac-table-binding;

Para configurar este recurso globalmente para todas as sessões autenticadas:

Configure o dispositivo de comutação para verificar se há uma vinculação de endereço IP-MAC na tabela de espionagem DHCP, DHCPv6 ou SLAAC antes de encerrar a sessão de autenticação quando o endereço MAC estiver desativado usando a ip-mac-session-binding declaração CLI:
content_copy zoom_out_map
[edit]
user@switch# set protocols dot1x authenticator ip-mac-session-binding;
Nota:

Você não pode confirmar a configuração a ip-mac-session-binding menos que também no-mac-table-binding esteja configurada.

Atributos do RADIUS Server

Você pode configurar este recurso para uma sessão de autenticação específica usando atributos do servidor RADIUS. Os atributos do servidor RADIUS são campos de texto claro encapsulados em mensagens de aceitação de acesso enviadas do servidor de autenticação para o dispositivo de comutação quando um suplicante conectado ao switch é autenticado com sucesso.

Para manter a sessão de autenticação com base em vinculações de endereço IP-MAC, configure ambos os seguintes pares de valor de atributo no servidor RADIUS:

  • Juniper-AV-Pair = "Ip-Mac-Session-Binding"

  • Juniper-AV-Pair = "No-Mac-Binding-Reauth"

O atributo Juniper-AV-Pair é um atributo específico do fornecedor (VSA) da Juniper Networks. Verifique se o firewall da Juniper está carregado no servidor RADIUS e inclui o Juniper-AV-Pair VSA (ID nº 52).

Se você precisar adicionar o atributo ao insípido, localize o arquivo de informações (juniper.dct) no servidor RADIUS e adicione o seguinte texto ao arquivo:

content_copy zoom_out_map
ATTRIBUTE Juniper-AV-Pair		Juniper-VSA(52, string) r
Nota:

Para obter informações específicas sobre a configuração do servidor RADIUS, consulte a documentação AAA incluída em seu servidor.

Verificação

Verifique a configuração emitindo o comando show dot1x interface interface-name detail de modo operacional e confirme que os campos de saída e No Mac Session Binding saída Ip Mac Session Binding indicam que o recurso está habilitado.

content_copy zoom_out_map
user@switch> show dot1x interface ge-0/0/16.0 detail             

 ge-0/0/16.0
  Role: Authenticator
  Administrative state: Auto
  Supplicant mode: Multiple
  Number of retries: 3
  Quiet period: 60 seconds
  Transmit period: 5 seconds
  Mac Radius: Enabled
  Mac Radius Restrict: Disabled
  Mac Radius Authentication Protocol: EAP-MD5​
  Reauthentication: Disabled 
  Configured Reauthentication interval: 3600 seconds
  Supplicant timeout: 30 seconds
  Server timeout: 30 seconds
  Maximum EAPOL requests: 2
  Guest VLAN member: <not configured>
  No Mac Session Binding: Enabled​
  Ip Mac Session Binding: Enabled​
  Number of connected supplicants: 1
    Supplicant: abc, 00:00:5E:00:53:00
      Operational state: Authenticated
      Backend Authentication state: Idle​
      Authentication method: Mac Radius
      Authenticated VLAN: v100
      Session Reauth interval: 3600 seconds
      Reauthentication due in 0 seconds
      Ip Mac Session Binding: Enabled
      No Mac Binding Reauth: Enabled
      Eapol-Block: Not In Effect
   

Os clientes autenticados com MAC RADIUS devem permanecer autenticados, e as entradas de endereço MAC na tabela de comutação Ethernet também devem ser retidas após o término do temporizador MAC.

external-footer-nav