Configurando o failback do servidor em roteadores da série MX no modo LAN aprimorado
A partir da Versão 14.2 do Junos OS, a reação de falha do servidor permite especificar como os dispositivos fim conectados ao roteador são suportados se o servidor de autenticação RADIUS ficar indisponível ou enviar uma mensagem de recusa de acesso RADIUS.
O trabalho de autenticação 802.1X e MAC RADIUS usando uma entidade de acesso de porta autenticador (o roteador) para bloquear todo o tráfego de e para um dispositivo final na interface até que as credenciais do dispositivo final sejam apresentadas e combinadas no servidor de autenticação (um servidor RADIUS). Quando o dispositivo final foi autenticado, o roteador para de bloquear e abre a interface para o dispositivo final.
Ao configurar a autenticação 802.1X ou MAC RADIUS no roteador, você especificará um servidor de autenticação primária e um ou mais servidores de autenticação de backup. Se o servidor de autenticação primária não puder ser atingido pelo roteador e os servidores de autenticação secundários também não puderem ser alcançados, ocorrerá um RADIUS de tempo do servidor. Como o servidor de autenticação conceder ou negar o acesso aos dispositivos finais que esperam autenticação, o roteador não recebe instruções de acesso para dispositivos finais que tentam acesso à LAN e a autenticação normal não pode ser concluída. A reação de falha do servidor permite configurar alternativas de autenticação que permitem ao roteador tomar as ações adequadas em direção a dispositivos fim que esperam autenticação ou reauttenticação.
O método de reação de autenticação chamado VLAN rejeitado pelo servidor fornece acesso limitado a uma LAN, normalmente apenas à Internet, para dispositivos de ponta responsivos habilitados para 802.1X, mas que tenham enviado as credenciais erradas. Se o dispositivo final autenticado usando o VLAN rejeitado pelo servidor for um telefone IP, o tráfego de voz não é permitido.
Para configurar opções básicas de failback do servidor usando a CLI:
Configure uma interface para permitir que o tráfego flua de um súplica até a LAN caso ocorra um timeout de servidor RADIUS (como se o dispositivo final tivesse sido autenticado com sucesso por um servidor RADIUS):
[edit protocols authentication-access-control] user@router# set interface ge-0/0/1 dot1x server-fail permit
Configure uma interface para impedir o fluxo de tráfego de um dispositivo final até a LAN (como se o dispositivo final tivesse falhado na autenticação e tivesse sido recusado pelo RADIUS servidor):
[edit protocols authentication-access-control] user@router# set interface ge-0/0/1 dot1x server-fail deny
Configure uma interface para mover um dispositivo final para uma VLAN especificada caso ocorra um tempo de RADIUS do servidor (neste caso, o nome VLAN é vlan1 ):
[edit protocols authentication-access-control] user@router# set interface ge-0/0/1 dot1x server-fail vlan-name vlan1
Configure uma interface para reconhecer dispositivos finais já conectados como reatenticados se houver um tempo RADIUS durante a reauttenticação (novos usuários serão impedidos de acessar):
[edit protocols authentication-access-control] user@router# set interface ge-0/0/1 dot1x server-fail use-cache
Configure uma interface que receba uma mensagem de recusa de acesso RADIUS do servidor de autenticação para mover dispositivos fim que tentam o acesso da LAN na interface para um VLAN especificado já configurado no roteador (neste caso, o nome VLAN é vlan-sf ):
[edit protocols authentication-access-control] user@router# set interface ge-0/0/1 dot1x server-reject-vlan vlan-sf
Nota:Se um telefone IP for autenticado no VLAN rejeitado pelo servidor, o tráfego de voz não é permitido.