Configuração de falha de servidor em roteadores da Série MX no modo LAN aprimorado
A partir do Junos OS Release 14.2, o fallback de falha do servidor permite que você especifique como os dispositivos finais conectados ao roteador são suportados se o servidor de autenticação RADIUS ficar indisponível ou enviar uma mensagem de rejeição de acesso RADIUS.
A autenticação do 802.1X e MAC RADIUS funciona usando um authenticator port access entity (o roteador) para bloquear todo o tráfego de e para um dispositivo final na interface até que as credenciais do dispositivo final sejam apresentadas e combinadas no authentication server (um servidor RADIUS). Quando o dispositivo final foi autenticado, o roteador para de bloquear e abre a interface para o dispositivo final.
Quando você configura a autenticação do 802.1X ou MAC RADIUS no roteador, você especifica um servidor de autenticação primária e um ou mais servidores de autenticação de backup. Se o servidor de autenticação primária não puder ser alcançado pelo roteador e os servidores de autenticação secundária também forem inalcançáveis, ocorre um intervalo de servidor RADIUS. Como o servidor de autenticação concede ou nega acesso aos dispositivos finais que aguardam autenticação, o roteador não recebe instruções de acesso para dispositivos finais que tentam acesso à LAN e a autenticação normal não pode ser concluída. O fallback de falha do servidor permite configurar alternativas de autenticação que permitem que o roteador tome as medidas apropriadas em direção a dispositivos finais aguardando autenticação ou reauthenticação.
O método de autenticação de fallback chamado VLAN rejeitado por servidor oferece acesso limitado a uma LAN, normalmente apenas para a Internet, para dispositivos finais responsivos que estão habilitados para 802.1X, mas que enviaram as credenciais erradas. Se o dispositivo final que é autenticado usando o VLAN rejeitado por servidor for um telefone IP, o tráfego de voz não será permitido.
Para configurar opções básicas de fail fallback de servidor usando o CLI:
Configure uma interface para permitir que o tráfego flua de um suplicante para a LAN se ocorrer um tempo limite de servidor RADIUS (como se o dispositivo final tivesse sido autenticado com sucesso por um servidor RADIUS):
[edit protocols authentication-access-control] user@router# set interface ge-0/0/1 dot1x server-fail permit
Configure uma interface para evitar o fluxo de tráfego de um dispositivo final para a LAN (como se o dispositivo final tivesse falhado na autenticação e tivesse sido rejeitado pelo servidor RADIUS):
[edit protocols authentication-access-control] user@router# set interface ge-0/0/1 dot1x server-fail deny
Configure uma interface para mover um dispositivo final para um VLAN especificado se ocorrer um tempo limite de servidor RADIUS (neste caso, o nome VLAN é vlan1):
[edit protocols authentication-access-control] user@router# set interface ge-0/0/1 dot1x server-fail vlan-name vlan1
Configure uma interface para reconhecer dispositivos finais já conectados como reauthenticados se houver um tempo limite RADIUS durante a reauthenção (novos usuários terão acesso negado):
[edit protocols authentication-access-control] user@router# set interface ge-0/0/1 dot1x server-fail use-cache
Configure uma interface que recebe uma mensagem de rejeição de acesso RADIUS do servidor de autenticação para mover dispositivos finais que tentam acesso LAN na interface para um VLAN especificado já configurado no roteador (neste caso, o nome da VLAN é vlan-sf):
[edit protocols authentication-access-control] user@router# set interface ge-0/0/1 dot1x server-reject-vlan vlan-sf
Nota:Se um telefone IP for autenticado na VLAN com rejeição de servidor, o tráfego de voz não será permitido.
Tabela de histórico de alterações
A compatibillidadde com o recurso dependerá da platadorma e versão utilizada. Use o Feature Explorer para saber se o recurso é compatível com sua plataforma.