Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Configurando o failback do servidor em roteadores da série MX no modo LAN aprimorado

A partir da Versão 14.2 do Junos OS, a reação de falha do servidor permite especificar como os dispositivos fim conectados ao roteador são suportados se o servidor de autenticação RADIUS ficar indisponível ou enviar uma mensagem de recusa de acesso RADIUS.

O trabalho de autenticação 802.1X e MAC RADIUS usando uma entidade de acesso de porta autenticador (o roteador) para bloquear todo o tráfego de e para um dispositivo final na interface até que as credenciais do dispositivo final sejam apresentadas e combinadas no servidor de autenticação (um servidor RADIUS). Quando o dispositivo final foi autenticado, o roteador para de bloquear e abre a interface para o dispositivo final.

Ao configurar a autenticação 802.1X ou MAC RADIUS no roteador, você especificará um servidor de autenticação primária e um ou mais servidores de autenticação de backup. Se o servidor de autenticação primária não puder ser atingido pelo roteador e os servidores de autenticação secundários também não puderem ser alcançados, ocorrerá um RADIUS de tempo do servidor. Como o servidor de autenticação conceder ou negar o acesso aos dispositivos finais que esperam autenticação, o roteador não recebe instruções de acesso para dispositivos finais que tentam acesso à LAN e a autenticação normal não pode ser concluída. A reação de falha do servidor permite configurar alternativas de autenticação que permitem ao roteador tomar as ações adequadas em direção a dispositivos fim que esperam autenticação ou reauttenticação.

Nota:

O método de reação de autenticação chamado VLAN rejeitado pelo servidor fornece acesso limitado a uma LAN, normalmente apenas à Internet, para dispositivos de ponta responsivos habilitados para 802.1X, mas que tenham enviado as credenciais erradas. Se o dispositivo final autenticado usando o VLAN rejeitado pelo servidor for um telefone IP, o tráfego de voz não é permitido.

Para configurar opções básicas de failback do servidor usando a CLI:

  • Configure uma interface para permitir que o tráfego flua de um súplica até a LAN caso ocorra um timeout de servidor RADIUS (como se o dispositivo final tivesse sido autenticado com sucesso por um servidor RADIUS):

  • Configure uma interface para impedir o fluxo de tráfego de um dispositivo final até a LAN (como se o dispositivo final tivesse falhado na autenticação e tivesse sido recusado pelo RADIUS servidor):

  • Configure uma interface para mover um dispositivo final para uma VLAN especificada caso ocorra um tempo de RADIUS do servidor (neste caso, o nome VLAN é vlan1 ):

  • Configure uma interface para reconhecer dispositivos finais já conectados como reatenticados se houver um tempo RADIUS durante a reauttenticação (novos usuários serão impedidos de acessar):

  • Configure uma interface que receba uma mensagem de recusa de acesso RADIUS do servidor de autenticação para mover dispositivos fim que tentam o acesso da LAN na interface para um VLAN especificado já configurado no roteador (neste caso, o nome VLAN é vlan-sf ):

    Nota:

    Se um telefone IP for autenticado no VLAN rejeitado pelo servidor, o tráfego de voz não é permitido.

Tabela de histórico de liberação
Versão
Descrição
14.2
A partir da Versão 14.2 do Junos OS, a reação de falha do servidor permite especificar como os dispositivos fim conectados ao roteador são suportados se o servidor de autenticação RADIUS ficar indisponível ou enviar uma mensagem de recusa de acesso RADIUS.