- play_arrow Aulas de login e configurações de login
- play_arrow Contas de usuário
- play_arrow Senhas para acesso ao usuário
- play_arrow Módulo de plataforma confiável
- play_arrow Autenticação do usuário
- play_arrow Gerenciamento de acesso remoto
- Visão geral do acesso remoto
- Modems USB para gerenciamento remoto de dispositivos de segurança
- Acesso seguro à Web para gerenciamento remoto
- Exemplo: Controle de acesso ao gerenciamento em dispositivos de rede da Juniper
- Diretrizes de configuração para proteger o acesso à porta do console
- Configuração do tipo de porta do console (procedimento CLI)
- play_arrow Configuração do controle de acesso à rede baseado em porta IEEE 802.1x
- play_arrow Configuração do controle de acesso à rede baseado em porta IEEE 802.1x no modo LAN aprimorado
- 802.1X para roteadores da Série MX em visão geral aprimorada do modo LAN
- Entenda o 802.1X e LLDP e LLDP-MED em roteadores da Série MX no modo LAN aprimorado
- Entenda a contabilidade 802.1X e RADIUS em roteadores da Série MX no modo LAN aprimorado
- Entenda o 802.1X e o VoIP em roteadores da Série MX no modo LAN aprimorado
- Entendendo as VLANs convidadas para 802.1X em roteadores da Série MX no modo LAN aprimorado
- Entendendo as VLANs dinâmicas para 802.1X em roteadores da Série MX no modo LAN aprimorado
- Entendendo o fail fallback do servidor e a autenticação em roteadores da Série MX no modo LAN aprimorado
- Configuração da contabilidade RADIUS 802.1X em roteadores da Série MX no modo LAN aprimorado
- Configuração das configurações da interface 802.1X em roteadores da Série MX no modo LAN aprimorado
- Configuração do LLDP-MED em roteadores da Série MX no modo LAN aprimorado
- Configuração de LLDP em roteadores da Série MX no modo LAN aprimorado
- Configuração de falha de servidor em roteadores da Série MX no modo LAN aprimorado
- Entendendo a autenticação de portal cativo nos roteadores da Série MX
- Entendendo o tempo limite de sessão de autenticação nos roteadores da Série MX
- Fluxo de processo de autenticação para roteadores da Série MX no modo LAN aprimorado
- Especificando conexões de servidor RADIUS em um roteador da Série MX no modo LAN aprimorado
- Configuração da autenticação cativa do portal em roteadores da Série MX no modo LAN aprimorado
- Projetando uma página de login de autenticação de portal cativo em um roteador da Série MX
- Configuração do desvio estático mac da autenticação em roteadores da Série MX no modo LAN aprimorado
- Controle dos intervalos de sessão de autenticação em um roteador da Série MX no modo LAN aprimorado
- Configuração da autenticação MAC RADIUS em roteadores da Série MX no modo LAN aprimorado
- Exemplo: Configuração da autenticação MAC RADIUS em um roteador da Série MX
- Exemplo: Configuração da autenticação de portal cativo em um roteador da Série MX
- Exemplo: Conectando um servidor RADIUS para 802.1X a um roteador da Série MX
- Exemplo: Configurando o 802.1X em salas de conferência para fornecer acesso à Internet a visitantes corporativos em um roteador da Série MX
- Exemplo: Configuração do desvio de autenticação mac estático em um roteador da Série MX
- Exemplo: Aplicação de filtros de firewall a vários suplicantes em interfaces habilitadas para autenticação 802.1X ou MAC RADIUS em roteadores da Série MX
- play_arrow Descoberta de dispositivos
- play_arrow Segurança de nomes de domínio
- Visão geral do DNSSEC
- Configuração do valor de TTL para caching de servidor DNS
- Exemplo: Configuração do DNSSEC
- Exemplo: Configuração de domínios seguros e chaves confiáveis para DNSSEC
- Exemplo: Configuração de chaves para DNSSEC
- Visão geral do proxy de DNS
- Configurando o dispositivo como um proxy de DNS
- play_arrow Bandeiras de permissão
- acesso
- controle de acesso
- admin
- controle de administração
- todo
- claro
- configurar
- Controle
- campo
- firewall
- controle de firewall
- disquete
- flow-tap
- controle de fluxo de tap
- operação flow-tap
- operação de idp-profiler
- interface
- controle de interface
- manutenção
- rede
- espelhamento de sessão pgcp
- pgcp-session-mirroring-control
- repor
- reversão
- roteamento
- controle de roteamento
- segredo
- controle secreto
- segurança
- controle de segurança
- concha
- Snmp
- controle de snmp
- sistema
- controle do sistema
- traço
- trace-control
- vista
- configuração de visualização
- play_arrow Declarações de configuração e comandos operacionais
Tempo limite da sessão de autenticação
Você pode controlar o acesso à sua rede por meio de um switch usando várias autenticações diferentes. Os switches Junos OS oferecem suporte a 802.1X, MAC RADIUS e portal cativo como métodos de autenticação para dispositivos que precisam se conectar a uma rede. Leia este tópico para obter mais informações.
Entendendo o tempo limite da sessão de autenticação
As informações sobre sessões de autenticação — incluindo as interfaces associadas e VLANs para cada endereço MAC que é autenticado — são armazenadas na tabela de sessão de autenticação. A tabela de sessão de autenticação está vinculada à tabela de comutação Ethernet (também chamada de tabela MAC). Cada vez que o switch detecta tráfego a partir de um endereço MAC, ele atualiza o data-tempo para esse nó de rede na tabela de comutação Ethernet. Um temporizador no switch verifica periodicamente o temporizador e se seu valor excede o valor configurado pelo mac-table-aging-time
usuário, o endereço MAC é removido da tabela de comutação Ethernet. Quando um endereço MAC está fora da tabela de comutação da Ethernet, a entrada para esse endereço MAC também é removida da tabela de sessão de autenticação, com o resultado de que a sessão termina.
Quando a sessão de autenticação termina devido ao envelhecimento do endereço MAC, o host deve tentar novamente a autenticação. Para limitar o tempo de inatividade resultante da re-autenticação, você pode controlar o tempo limite das sessões de autenticação das seguintes maneiras:
Para sessões de autenticação de MAC RADIUS e 802.1X, desassocia a tabela de sessão de autenticação da tabela de comutação Ethernet usando a
no-mac-table-binding
declaração. Essa configuração impede o término da sessão de autenticação quando o endereço MAC associado estiver fora da tabela de comutação da Ethernet.Para sessões de autenticação de portal cativos, configure um temporização de manter-se vivo usando a
user-keepalive
declaração. Com essa opção configurada, quando o endereço MAC associado estiver fora da tabela de comutação da Ethernet, o temporizador continua vivo é iniciado. Se o tráfego for recebido dentro do período de tempo livre, o temporizour será excluído. Se não houver tráfego dentro do período de tempo livre, a sessão será excluída.
Você também pode especificar valores de tempo limite para sessões de autenticação para encerrar a sessão antes que o temporização MAC expira. Após o intervalo da sessão, o host deve tentar novamente a autenticação.
Para sessões de autenticação de MAC RADIUS e 802.1X, a duração da sessão antes do intervalo depende do valor da
reauthentication
declaração. Se o temporizador de envelhecimento MAC expirar antes do intervalo da sessão e ano-mac-table-binding
declaração não estiver configurada, a sessão será terminada e o host deverá re-autenticar.Para sessões de autenticação de portal cativos, a duração da sessão depende do valor configurado para a
session-expiry
declaração. Se o temporizador de envelhecimento MAC expirar antes do intervalo da sessão e auser-keepalive
declaração não estiver configurada, a sessão será terminada e o host deverá re-autenticar.
Se o servidor de autenticação enviar um tempo limite de sessão de autenticação para o cliente, isso tem prioridade sobre o valor configurado localmente usando a reauthentication
declaração ou a session-expiry
declaração. O valor do tempo de sessão é enviado do servidor ao cliente como um atributo da mensagem RADIUS Access-Accept. Para obter informações sobre a configuração do servidor de autenticação para enviar um tempo limite de sessão de autenticação, consulte a documentação para o seu servidor.
Consulte também
Controle dos intervalos de sessão de autenticação (procedimento CLI)
A expiração de uma sessão de autenticação pode resultar em tempo de inatividade, pois o host deve tentar novamente a autenticação. Você pode limitar esse tempo de inatividade controlando o período limite para sessões de autenticação.
Uma sessão de autenticação pode terminar quando o endereço MAC associado ao host autenticado estiver fora da tabela de comutação da Ethernet. Quando o endereço MAC é liberado da tabela de comutação da Ethernet, a sessão autenticada para esse host termina e o host deve tentar novamente a autenticação.
Para evitar que a sessão de autenticação termine quando o endereço MAC estiver fora da tabela de comutação da Ethernet:
Você também pode configurar valores de tempo limite para sessões de autenticação para encerrar uma sessão autenticada antes que o temporizador de envelhecimento MAC expira.
Configurar o tempo limite da sessão para uma sessão de autenticação não estende a sessão após o término do temporização MAC. Você deve configurar a declaração para a no-mac-table-binding
autenticação do 802.1X e MAC RADIUS, ou a user-keepalive
declaração para autenticação cativa do portal, para evitar o tempo limite da sessão devido ao envelhecimento do MAC.
Para sessões de autenticação de MAC RADIUS e 802.1X, configure o valor de tempo limite usando a reauthentication
declaração.
Para configurar o valor de tempo limite em uma única interface:
content_copy zoom_out_map[edit] user@switch# set protocols dot1x authenticator interface interface-name reauthentication seconds;
Para configurar o valor de tempo limite em todas as interfaces:
content_copy zoom_out_map[edit] user@switch# set protocols dot1x authenticator interface all reauthentication seconds;
Para sessões de autenticação de portal cativos, configure o valor de tempo limite usando a session-expiry
declaração.
Para configurar o valor de tempo limite em uma única interface:
content_copy zoom_out_map[edit] user@switch# set services captive-portal interface interface-name session-expiry minutes;
Para configurar o valor de tempo limite em todas as interfaces:
content_copy zoom_out_map[edit] user@switch# set services captive-portal interface all session-expiry minutes;
Se o servidor de autenticação enviar um tempo limite de sessão de autenticação para o cliente, isso tem prioridade sobre o valor configurado usando a reauthentication
declaração ou a session-expiry
declaração. O valor do tempo de sessão é enviado do servidor ao cliente como um atributo da mensagem RADIUS Access-Accept.
Consulte também
Retenção da sessão de autenticação com base em vinculações de endereços IP-MAC
A autenticação MAC RADIUS é frequentemente usada para permitir que hosts que não estejam habilitados para autenticação 802.1X acessem a LAN. Dispositivos finais, como impressoras, não são muito ativos na rede. Se o endereço MAC associado a um dispositivo final estiver fora de cogitação devido à inatividade, o endereço MAC será liberado da tabela de comutação Ethernet e a sessão de autenticação terminar. Isso significa que outros dispositivos não serão capazes de alcançar o dispositivo final quando necessário.
Se o endereço MAC que envelhece estiver associado a um endereço IP na tabela de espionagem DHCP, DHCPv6 ou SLAAC, essa vinculação de endereço MAC-IP será liberada da tabela. Isso pode resultar em queda de tráfego quando o cliente DHCP tenta renovar seu leasing.
Você pode configurar o dispositivo de comutação para verificar se há uma vinculação de endereço IP-MAC na tabela de espionagem DHCP, DHCPv6 ou SLAAC antes de encerrar a sessão de autenticação quando o endereço MAC estiver fora. Se o endereço MAC do dispositivo final estiver vinculado a um endereço IP, ele será retido na tabela de comutação Ethernet, e a sessão de autenticação permanecerá ativa.
Esse recurso pode ser configurado globalmente para todas as sessões autenticadas usando a CLI ou por sessão usando atributos RADIUS.
Benefícios
Este recurso oferece os seguintes benefícios:
Garante que um dispositivo final seja acessível por outros dispositivos na rede, mesmo que o endereço MAC esteja fora do alcance.
Evita que o tráfego caia quando o dispositivo final tenta renovar seu leasing DHCP.
Configuração da CLI
Antes de configurar este recurso:
A espionagem dhcp, a espionagem DHCPv6 ou a espionagem SLAAC devem ser habilitadas no dispositivo.
A
no-mac-table-binding
declaração da CLI deve ser configurada. Isso desassocia a tabela de sessão de autenticação da tabela de comutação Ethernet para que, quando um endereço MAC estiver fora, a sessão de autenticação seja estendida até a próxima reauthenticação.content_copy zoom_out_map[edit] user@switch# set protocols dot1x authenticator no-mac-table-binding;
Para configurar este recurso globalmente para todas as sessões autenticadas:
ip-mac-session-binding
declaração CLI:[edit] user@switch# set protocols dot1x authenticator ip-mac-session-binding;
Você não pode confirmar a configuração a ip-mac-session-binding
menos que também no-mac-table-binding
esteja configurada.
Atributos do RADIUS Server
Você pode configurar este recurso para uma sessão de autenticação específica usando atributos do servidor RADIUS. Os atributos do servidor RADIUS são campos de texto claro encapsulados em mensagens de aceitação de acesso enviadas do servidor de autenticação para o dispositivo de comutação quando um suplicante conectado ao switch é autenticado com sucesso.
Para manter a sessão de autenticação com base em vinculações de endereço IP-MAC, configure ambos os seguintes pares de valor de atributo no servidor RADIUS:
Juniper-AV-Pair = "Ip-Mac-Session-Binding"
Juniper-AV-Pair = "No-Mac-Binding-Reauth"
O atributo Juniper-AV-Pair é um atributo específico do fornecedor (VSA) da Juniper Networks. Verifique se o firewall da Juniper está carregado no servidor RADIUS e inclui o Juniper-AV-Pair VSA (ID nº 52).
Se você precisar adicionar o atributo ao insípido, localize o arquivo de informações (juniper.dct) no servidor RADIUS e adicione o seguinte texto ao arquivo:
ATTRIBUTE Juniper-AV-Pair Juniper-VSA(52, string) r
Para obter informações específicas sobre a configuração do servidor RADIUS, consulte a documentação AAA incluída em seu servidor.
Verificação
Verifique a configuração emitindo o comando show dot1x interface interface-name detail
de modo operacional e confirme que os campos de saída e No Mac Session Binding
saída Ip Mac Session Binding
indicam que o recurso está habilitado.
user@switch> show dot1x interface ge-0/0/16.0 detail ge-0/0/16.0 Role: Authenticator Administrative state: Auto Supplicant mode: Multiple Number of retries: 3 Quiet period: 60 seconds Transmit period: 5 seconds Mac Radius: Enabled Mac Radius Restrict: Disabled Mac Radius Authentication Protocol: EAP-MD5 Reauthentication: Disabled Configured Reauthentication interval: 3600 seconds Supplicant timeout: 30 seconds Server timeout: 30 seconds Maximum EAPOL requests: 2 Guest VLAN member: <not configured> No Mac Session Binding: Enabled Ip Mac Session Binding: Enabled Number of connected supplicants: 1 Supplicant: abc, 00:00:5E:00:53:00 Operational state: Authenticated Backend Authentication state: Idle Authentication method: Mac Radius Authenticated VLAN: v100 Session Reauth interval: 3600 seconds Reauthentication due in 0 seconds Ip Mac Session Binding: Enabled No Mac Binding Reauth: Enabled Eapol-Block: Not In Effect
Os clientes autenticados com MAC RADIUS devem permanecer autenticados, e as entradas de endereço MAC na tabela de comutação Ethernet também devem ser retidas após o término do temporizador MAC.