Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
在本页
 

身份验证会话超时

您可以使用几种不同的身份验证来控制通过交换机对网络的访问。Junos OS 交换机支持 802.1X、MAC RADIUS 和强制门户作为需要连接到网络的设备的身份验证方法。有关更多信息,请阅读本主题。

了解身份验证会话超时

有关身份验证会话的信息(包括经过身份验证的每个 MAC 地址的关联接口和 VLAN)存储在身份验证会话表中。身份验证会话表绑定到以太网交换表(也称为 MAC 表)。每次交换机检测到来自某个 MAC 地址的流量时,都会更新以太网交换表中该网络节点的时间戳。交换机上的计时器会定期检查时间戳,如果其值超过用户配置 的值,则从以太网交换表中删除 MAC 地址。mac-table-aging-time 当以太网交换表中的 MAC 地址老化时,该 MAC 地址的条目也会从身份验证会话表中删除,结果是会话结束。

当身份验证会话因 MAC 地址老化而结束时,主机必须重新尝试身份验证。要限制重新身份验证导致的停机时间,可以通过以下方式控制身份验证会话的超时:

  • 对于 802.1X 和 MAC RADIUS 身份验证会话,请使用语句取消 身份验证会话表与以太网交换表的关联。no-mac-table-binding 此设置可防止在以太网交换表中关联的 MAC 地址老化时终止身份验证会话。

  • 对于强制门户身份验证会话,请使用语句 配置保持活动状态计时器。user-keepalive 配置此选项后,当关联的 MAC 地址从以太网交换表中老化时,将启动保持活动状态计时器。如果在保持活动状态超时期限内收到流量,则会删除计时器。如果在保持活动超时期限内没有流量,则会删除会话。

您还可以指定身份验证会话的超时值,以便在 MAC 老化计时器过期之前结束会话。会话超时后,主机必须重新尝试身份验证。

  • 对于 802.1X 和 MAC RADIUS 身份验证会话,超时前会话的持续时间取决于语句的值 。reauthentication 如果 MAC 老化计时器在会话超时之前过期,并且 未配置语句,则会话将结束,主机必须重新进行身份验证。no-mac-table-binding

  • 对于强制门户身份验证会话,会话的持续时间取决于为语句配置 的值。session-expiry 如果 MAC 老化计时器在会话超时之前过期,并且 未配置语句,则会话将结束,主机必须重新进行身份验证。user-keepalive

注:

如果认证服务器向客户端发送认证会话超时,则此超时优先于使用语句或语句在本地配置的值。reauthentication session-expiry 会话超时值作为 RADIUS 访问-接受消息的属性从服务器发送到客户端。有关配置身份验证服务器以发送身份验证会话超时的信息,请参阅服务器的文档。

另请参阅

控制身份验证会话超时(CLI 过程)

身份验证会话的过期可能会导致停机,因为主机必须重新尝试身份验证。您可以通过控制身份验证会话的超时期限来限制此停机时间。

当与经过身份验证的主机关联的 MAC 地址在以太网交换表中老化时,身份验证会话可能会结束。从以太网交换表中清除 MAC 地址后,该主机经过身份验证的会话将结束,主机必须重新尝试身份验证。

要防止身份验证会话在以太网交换表中的 MAC 地址老化时结束,请执行以下操作:

  • 对于使用 802.1X 或 MAC RADIUS 身份验证进行身份验证的会话,您可以使用以下 语句将身份验证会话表与以太网交换表解除关联,以防止由于 MAC 地址老化而导致的身份验证会话超时:no-mac-table-binding
  • 对于使用强制门户身份验证进行身份验证的会话,您可以使用以下 语句延长超时期限,以防止由于 MAC 地址老化而导致身份验证会话超时:user-keepalive

您还可以配置身份验证会话的超时值,以便在 MAC 老化计时器过期之前结束经过身份验证的会话。

注:

为 MAC 老化计时器过期后,为身份验证会话配置会话超时不会延长会话。您必须将语句配置为 802.1X 和 MAC RADIUS 身份验证,或 将语句配置为强制门户身份验证,以防止由于 MAC 老化而导致会话超时。no-mac-table-bindinguser-keepalive

对于 802.1X 和 MAC RADIUS 身份验证会话,请使用语句配置 超时值。reauthentication

  • 要在单个接口上配置超时值,请执行以下操作:

  • 要在所有接口上配置超时值,请执行以下操作:

对于强制门户身份验证会话,请使用语句配置 超时值。session-expiry

  • 要在单个接口上配置超时值,请执行以下操作:

  • 要在所有接口上配置超时值,请执行以下操作:

注:

如果认证服务器向客户端发送认证会话超时,则此超时优先于使用该语句或语句配置的值。reauthentication session-expiry 会话超时值作为 RADIUS 访问-接受消息的属性从服务器发送到客户端。

另请参阅

保留基于 IP-MAC 地址绑定的身份验证会话

MAC RADIUS 身份验证通常用于允许未启用 802.1X 身份验证的主机访问 LAN。终端设备(如打印机)在网络上不是很活跃。如果与终端设备关联的 MAC 地址因不活动而老化,则会从以太网交换表中清除该 MAC 地址,并结束身份验证会话。这意味着在必要时,其他设备将无法到达终端设备。

如果过期的 MAC 地址与 DHCP、DHCPv6 或 SLAAC 侦听表中的 IP 地址相关联,则该 MAC-IP 地址绑定将从表中清除。这可能会导致在 DHCP 客户端尝试续订其租约时丢弃流量。

您可以将交换设备配置为在 DHCP、DHCPv6 或 SLAAC 侦听表中检查 IP-MAC 地址绑定,然后在 MAC 地址老化时终止身份验证会话。如果终端设备的 MAC 地址绑定到 IP 地址,则该地址将保留在以太网交换表中,并且身份验证会话将保持活动状态。

可以使用 CLI 为所有经过身份验证的会话全局配置此功能,也可以使用 RADIUS 属性为每个会话配置此功能。

优势

此功能具有以下优点:

  • 确保即使 MAC 地址已老化,网络上的其他设备也可以访问终端设备。

  • 防止在终端设备尝试续订其 DHCP 租约时丢弃流量。

CLI 配置

在配置此功能之前:

  • 必须在设备上启用 DHCP 侦听、DHCPv6 侦听或 SLAAC 侦听。

  • 必须配置 CLI 语句。no-mac-table-binding 这会断开身份验证会话表与以太网交换表的关联,以便在 MAC 地址老化时,身份验证会话将延长到下一次重新身份验证。

要为所有经过身份验证的会话全局配置此功能,请执行以下操作:

使用 CLI 语句将 交换设备配置为在 MAC 地址老化时终止身份验证会话之前,检查 DHCP、DHCPv6 或 SLAAC 侦听表中的 IP-MAC 地址绑定:ip-mac-session-binding
注:

除非还配置了配置,否则无法提交 配置 。ip-mac-session-bindingno-mac-table-binding

RADIUS 服务器属性

您可以使用 RADIUS 服务器属性为特定身份验证会话配置此功能。RADIUS 服务器属性是封装在成功验证连接到交换机的请求方时从身份验证服务器发送到交换设备的 Access-Accept 消息中的明文字段。

要保留基于 IP-MAC 地址绑定的认证会话,请在 RADIUS 服务器上配置以下两个属性值对:

  • Juniper-AV-pair =“ip-mac-session-binding”

  • Juniper-AV-pair =“no-mac-binding-reauth”

Juniper-AV-Pair 属性是瞻博网络供应商特定的属性 (VSA)。验证瞻博网络词典是否已加载到 RADIUS 服务器上,并包含瞻博网络 AV 对 VSA (ID# 52)。

如果需要将属性添加到字典中,请在 RADIUS 服务器上找到字典文件 (),并将以下文本添加到该文件中:juniper.dct

注:

有关配置 RADIUS 服务器的特定信息,请参阅服务器附带的 AAA 文档。

验证

通过发出操作模式命令来验证配置,并确认和输出字段指示已启用该功能。show dot1x interface interface-name detailIp Mac Session BindingNo Mac Session Binding

使用 MAC RADIUS 进行身份验证的客户端应保持身份验证状态,以太网交换表中的 MAC 地址条目也应在 MAC 计时器过期后保留。

相关主题