Falha no fallback e autenticação do servidor
O mecanismo de fail fallback do servidor para autenticação de portal cativo para 802.1X, MAC RADIUS e cativo define como os estados de dispositivos são tratados se o servidor RADIUS ficar indisponível ou rejeitar o acesso.
Entendendo a falha do servidor e a autenticação em switches
Os switches de ethernet da Juniper Networks usam a autenticação para implementar o controle de acesso em uma rede empresarial. Se a autenticação do portal cativo 802.1X, MAC RADIUS ou cativa for configurada no switch, os dispositivos finais serão avaliados na conexão inicial por um servidor de autenticação (RADIUS). Se o dispositivo final estiver configurado no servidor de autenticação, o dispositivo recebe acesso à LAN e o switch da Série EX abre a interface para permitir o acesso.
O fallback de falha do servidor permite que você especifique como os dispositivos finais conectados ao switch são suportados se o servidor de autenticação RADIUS ficar indisponível. O fallback de falha do servidor é desencadeado com maior frequência durante a reauthenticação, quando o servidor RADIUS já configurado e em uso se torna inacessível. No entanto, o fallback de falha do servidor também pode ser desencadeado pela primeira tentativa de autenticação de um dispositivo final através do servidor RADIUS.
O fallback de falha do servidor permite que você especifique uma das quatro ações a serem tomadas para dispositivos finais que aguardam autenticação quando o servidor é cronometrado. O switch pode aceitar ou negar acesso a suplicantes ou manter o acesso já concedido a suplicantes antes que o intervalo RADIUS ocorra. Você também pode configurar o switch para mover os suplicantes para uma VLAN específica. A VLAN já deve estar configurada no switch. O nome VLAN configurado substitui quaisquer atributos enviados pelo servidor.
Permit autenticação, permitindo que o tráfego flua do dispositivo final pela interface como se o dispositivo final fosse autenticado com sucesso pelo servidor RADIUS.
Deny autenticação, impedindo que o tráfego flua do dispositivo final pela interface. Esse é o padrão.
Move o dispositivo final para uma VLAN especificada se o switch receber uma mensagem de rejeição de acesso RADIUS. O nome VLAN configurado substitui quaisquer atributos enviados pelo servidor. (A VLAN já deve existir no switch.)
Sustain dispositivos finais autenticados que já têm acesso a LAN e deny dispositivos finais não autenticados. Se os servidores RADIUS perderem tempo durante a reauthenticação, os dispositivos finais autenticados anteriormente serão reauthenticados e novos usuários serão impedidos de acessar a LAN.
Consulte também
Configuração do fail fallback do servidor RADIUS (procedimento CLI)
Você pode configurar opções de fallback de autenticação para especificar como os dispositivos finais conectados a um switch são suportados se o servidor de autenticação RADIUS ficar indisponível.
Quando você configura a autenticação do 802.1X ou MAC RADIUS no switch, você especifica um servidor de autenticação primária e um ou mais servidores de autenticação de backup. Se o servidor de autenticação primária não puder ser alcançado pelo switch e os servidores de autenticação secundária também forem inalcançáveis, ocorre um tempo limite de servidor RADIUS. Se isso acontecer, porque é o servidor de autenticação que concede ou nega acesso aos dispositivos finais aguardando autenticação, o switch não recebe instruções de acesso para dispositivos finais que tentam acesso à LAN, e a autenticação normal não pode ser concluída.
Você pode configurar o recurso de fail fallback do servidor para especificar uma ação que o switch se aplica aos dispositivos finais quando os servidores de autenticação estão indisponíveis. O switch pode aceitar ou negar acesso a suplicantes ou manter o acesso já concedido a suplicantes antes que o intervalo RADIUS ocorra. Você também pode configurar o switch para mover os suplicantes para uma VLAN específica.
Você também pode configurar o recurso de rejeição de falhas do servidor para dispositivos finais que recebem uma mensagem de rejeição de acesso RADIUS do servidor de autenticação. O recurso de rejeição de servidores oferece acesso limitado a uma LAN, normalmente apenas para a Internet, para dispositivos finais responsivos habilitados para 802.1X, mas que enviaram as credenciais erradas.
O fallback de falha do servidor é suportado para tráfego de voz a partir do lançamento 14.1X53-D40 e versão 15.1R4. Para configurar ações de failback de servidor para clientes VoIP que enviam tráfego de voz, use a server-fail-voip declaração. Para todo o tráfego de dados, use a server-fail declaração. O switch determina o método de retorno de queda a ser usado com base no tipo de tráfego enviado pelo cliente. Os quadros de dados não registrados estão sujeitos à ação configurada, server-failmesmo que sejam enviados por um cliente VoIP. Os quadros VLAN voIP com tags estão sujeitos à ação configurada com server-fail-voip. Se server-fail-voip não estiver configurado, o tráfego de voz cairá.
O fallback de rejeição de servidor não é suportado pelo tráfego com tags VoIP VLAN. Se um cliente VoIP iniciar a autenticação enviando tráfego de dados não registrado para uma VLAN enquanto o servidor rejeita o fallback, o cliente VoIP pode acessar o VLAN de fallback. Se o mesmo cliente posteriormente enviar tráfego de voz marcado, o tráfego de voz será descartado.
Se um cliente VoIP iniciar a autenticação enviando tráfego de voz com tags enquanto o servidor rejeitar o fallback estiver em vigor, o cliente VoIP terá acesso negado ao VLAN de fallback.
Você pode usar o procedimento a seguir para configurar ações de falha de servidor para clientes de dados. Para configurar o fallback de falha do servidor para clientes VoIP que enviam tráfego de voz, use a server-fail-voip declaração no lugar da server-fail declaração.
Para configurar ações de fail fallback do servidor:
Você pode configurar uma interface que recebe uma mensagem de rejeição de acesso RADIUS do servidor de autenticação para mover dispositivos finais que tentam acesso LAN na interface para uma VLAN de rejeição de servidor, uma VLAN especificada já configurada no switch.
Para configurar um servidor rejeitar o fallback VLAN:
[edit protocols dot1x authenticator] user@switch# set interface interface-name server-reject-vlan vlan-sf
Consulte também
Configurando a acessibilidade RADIUS para reauthenticar sessões de falha do servidor
Quando uma tentativa de autenticação aciona a falha do servidor, o dispositivo final pode reinstauperar a autenticação após um período de tempo. O intervalo de tempo padrão que o dispositivo final deve esperar pela reauthenticação é de 60 minutos. O intervalo de tempo de reauthenticação pode ser configurado usando a reauthentication declaração CLI.
O servidor pode ficar disponível antes que o temporização de reauthenticação expira. Quando o recurso de acessibilidade RADIUS é habilitado, ele aciona a reauthenticação assim que detecta que o servidor é acessível, sem esperar o temporizador de reauthenção expirar. Uma vez que uma sessão se move para o fallback de falha do servidor, o autenticador consultará periodicamente o servidor iniciando a autenticação para essa sessão. Quando o autenticador receber uma resposta, indicando que o servidor é acessível, ele iniciará a autenticação para todas as sessões de falha do servidor.
Para habilitar a acessibilidade RADIUS, você deve configurar o período de consulta, que determina com que frequência o autenticador consulta o servidor para obter acessibilidade. Configure o período de consulta usando o seguinte comando:
set protocols dot1x authenticator radius-reachability query-period
O período de silêncio deve ser mais curto do que o período de consulta. O período de silêncio é o período em que a interface permanece no estado de espera após uma tentativa de autenticação fracassada antes de reinstauperar a autenticação.
Tabela de histórico de alterações
A compatibillidadde com o recurso dependerá da platadorma e versão utilizada. Use o Feature Explorer para saber se o recurso é compatível com sua plataforma.