Tempo limite da sessão de autenticação
Você pode controlar o acesso à sua rede por meio de um switch usando várias autenticações diferentes. Os switches Junos OS oferecem suporte a 802.1X, MAC RADIUS e portal cativo como métodos de autenticação para dispositivos que precisam se conectar a uma rede. Leia este tópico para obter mais informações.
Entendendo o tempo limite da sessão de autenticação
As informações sobre sessões de autenticação — incluindo as interfaces associadas e VLANs para cada endereço MAC que é autenticado — são armazenadas na tabela de sessão de autenticação. A tabela de sessão de autenticação está vinculada à tabela de comutação Ethernet (também chamada de tabela MAC). Cada vez que o switch detecta tráfego a partir de um endereço MAC, ele atualiza o data-tempo para esse nó de rede na tabela de comutação Ethernet. Um temporizador no switch verifica periodicamente o temporizador e se seu valor excede o valor configurado pelo usuário, o endereço MAC é removido da tabela de comutação Ethernet.mac-table-aging-time Quando um endereço MAC está fora da tabela de comutação da Ethernet, a entrada para esse endereço MAC também é removida da tabela de sessão de autenticação, com o resultado de que a sessão termina.
Quando a sessão de autenticação termina devido ao envelhecimento do endereço MAC, o host deve tentar novamente a autenticação. Para limitar o tempo de inatividade resultante da re-autenticação, você pode controlar o tempo limite das sessões de autenticação das seguintes maneiras:
Para sessões de autenticação de MAC RADIUS e 802.1X, desassocia a tabela de sessão de autenticação da tabela de comutação Ethernet usando a declaração.
no-mac-table-bindingEssa configuração impede o término da sessão de autenticação quando o endereço MAC associado estiver fora da tabela de comutação da Ethernet.Para sessões de autenticação de portal cativos, configure um temporização de manter-se vivo usando a declaração.
user-keepaliveCom essa opção configurada, quando o endereço MAC associado estiver fora da tabela de comutação da Ethernet, o temporizador continua vivo é iniciado. Se o tráfego for recebido dentro do período de tempo livre, o temporizour será excluído. Se não houver tráfego dentro do período de tempo livre, a sessão será excluída.
Você também pode especificar valores de tempo limite para sessões de autenticação para encerrar a sessão antes que o temporização MAC expira. Após o intervalo da sessão, o host deve tentar novamente a autenticação.
Para sessões de autenticação de MAC RADIUS e 802.1X, a duração da sessão antes do intervalo depende do valor da declaração.
reauthenticationSe o temporizador de envelhecimento MAC expirar antes do intervalo da sessão e a declaração não estiver configurada, a sessão será terminada e o host deverá re-autenticar.no-mac-table-bindingPara sessões de autenticação de portal cativos, a duração da sessão depende do valor configurado para a declaração.
session-expirySe o temporizador de envelhecimento MAC expirar antes do intervalo da sessão e a declaração não estiver configurada, a sessão será terminada e o host deverá re-autenticar.user-keepalive
Se o servidor de autenticação enviar um tempo limite de sessão de autenticação para o cliente, isso tem prioridade sobre o valor configurado localmente usando a declaração ou a declaração.reauthentication session-expiry O valor do tempo de sessão é enviado do servidor ao cliente como um atributo da mensagem RADIUS Access-Accept. Para obter informações sobre a configuração do servidor de autenticação para enviar um tempo limite de sessão de autenticação, consulte a documentação para o seu servidor.
Consulte também
Controle dos intervalos de sessão de autenticação (procedimento CLI)
A expiração de uma sessão de autenticação pode resultar em tempo de inatividade, pois o host deve tentar novamente a autenticação. Você pode limitar esse tempo de inatividade controlando o período limite para sessões de autenticação.
Uma sessão de autenticação pode terminar quando o endereço MAC associado ao host autenticado estiver fora da tabela de comutação da Ethernet. Quando o endereço MAC é liberado da tabela de comutação da Ethernet, a sessão autenticada para esse host termina e o host deve tentar novamente a autenticação.
Para evitar que a sessão de autenticação termine quando o endereço MAC estiver fora da tabela de comutação da Ethernet:
Você também pode configurar valores de tempo limite para sessões de autenticação para encerrar uma sessão autenticada antes que o temporizador de envelhecimento MAC expira.
Configurar o tempo limite da sessão para uma sessão de autenticação não estende a sessão após o término do temporização MAC. Você deve configurar a declaração para a autenticação do 802.1X e MAC RADIUS, ou a declaração para autenticação cativa do portal, para evitar o tempo limite da sessão devido ao envelhecimento do MAC.no-mac-table-bindinguser-keepalive
Para sessões de autenticação de MAC RADIUS e 802.1X, configure o valor de tempo limite usando a declaração.reauthentication
Para configurar o valor de tempo limite em uma única interface:
[edit] user@switch# set protocols dot1x authenticator interface interface-name reauthentication seconds;
Para configurar o valor de tempo limite em todas as interfaces:
[edit] user@switch# set protocols dot1x authenticator interface all reauthentication seconds;
Para sessões de autenticação de portal cativos, configure o valor de tempo limite usando a declaração.session-expiry
Para configurar o valor de tempo limite em uma única interface:
[edit] user@switch# set services captive-portal interface interface-name session-expiry minutes;
Para configurar o valor de tempo limite em todas as interfaces:
[edit] user@switch# set services captive-portal interface all session-expiry minutes;
Se o servidor de autenticação enviar um tempo limite de sessão de autenticação para o cliente, isso tem prioridade sobre o valor configurado usando a declaração ou a declaração.reauthentication session-expiry O valor do tempo de sessão é enviado do servidor ao cliente como um atributo da mensagem RADIUS Access-Accept.
Consulte também
Retenção da sessão de autenticação com base em vinculações de endereços IP-MAC
A autenticação MAC RADIUS é frequentemente usada para permitir que hosts que não estejam habilitados para autenticação 802.1X acessem a LAN. Dispositivos finais, como impressoras, não são muito ativos na rede. Se o endereço MAC associado a um dispositivo final estiver fora de cogitação devido à inatividade, o endereço MAC será liberado da tabela de comutação Ethernet e a sessão de autenticação terminar. Isso significa que outros dispositivos não serão capazes de alcançar o dispositivo final quando necessário.
Se o endereço MAC que envelhece estiver associado a um endereço IP na tabela de espionagem DHCP, DHCPv6 ou SLAAC, essa vinculação de endereço MAC-IP será liberada da tabela. Isso pode resultar em queda de tráfego quando o cliente DHCP tenta renovar seu leasing.
Você pode configurar o dispositivo de comutação para verificar se há uma vinculação de endereço IP-MAC na tabela de espionagem DHCP, DHCPv6 ou SLAAC antes de encerrar a sessão de autenticação quando o endereço MAC estiver fora. Se o endereço MAC do dispositivo final estiver vinculado a um endereço IP, ele será retido na tabela de comutação Ethernet, e a sessão de autenticação permanecerá ativa.
Esse recurso pode ser configurado globalmente para todas as sessões autenticadas usando a CLI ou por sessão usando atributos RADIUS.
Benefícios
Este recurso oferece os seguintes benefícios:
Garante que um dispositivo final seja acessível por outros dispositivos na rede, mesmo que o endereço MAC esteja fora do alcance.
Evita que o tráfego caia quando o dispositivo final tenta renovar seu leasing DHCP.
Configuração da CLI
Antes de configurar este recurso:
A espionagem dhcp, a espionagem DHCPv6 ou a espionagem SLAAC devem ser habilitadas no dispositivo.
A declaração da CLI deve ser configurada.
no-mac-table-bindingIsso desassocia a tabela de sessão de autenticação da tabela de comutação Ethernet para que, quando um endereço MAC estiver fora, a sessão de autenticação seja estendida até a próxima reauthenticação.[edit] user@switch# set protocols dot1x authenticator no-mac-table-binding;
Para configurar este recurso globalmente para todas as sessões autenticadas:
ip-mac-session-binding[edit] user@switch# set protocols dot1x authenticator ip-mac-session-binding;
Você não pode confirmar a configuração a menos que também esteja configurada.ip-mac-session-bindingno-mac-table-binding
Atributos do RADIUS Server
Você pode configurar este recurso para uma sessão de autenticação específica usando atributos do servidor RADIUS. Os atributos do servidor RADIUS são campos de texto claro encapsulados em mensagens de aceitação de acesso enviadas do servidor de autenticação para o dispositivo de comutação quando um suplicante conectado ao switch é autenticado com sucesso.
Para manter a sessão de autenticação com base em vinculações de endereço IP-MAC, configure ambos os seguintes pares de valor de atributo no servidor RADIUS:
Juniper-AV-Pair = "Ip-Mac-Session-Binding"
Juniper-AV-Pair = "No-Mac-Binding-Reauth"
O atributo Juniper-AV-Pair é um atributo específico do fornecedor (VSA) da Juniper Networks. Verifique se o firewall da Juniper está carregado no servidor RADIUS e inclui o Juniper-AV-Pair VSA (ID nº 52).
Se você precisar adicionar o atributo ao insípido, localize o arquivo de informações () no servidor RADIUS e adicione o seguinte texto ao arquivo:juniper.dct
ATTRIBUTE Juniper-AV-Pair Juniper-VSA(52, string) r
Para obter informações específicas sobre a configuração do servidor RADIUS, consulte a documentação AAA incluída em seu servidor.
Verificação
Verifique a configuração emitindo o comando de modo operacional e confirme que os campos de saída e saída indicam que o recurso está habilitado.show dot1x interface interface-name detailIp Mac Session BindingNo Mac Session Binding
user@switch> show dot1x interface ge-0/0/16.0 detail
ge-0/0/16.0
Role: Authenticator
Administrative state: Auto
Supplicant mode: Multiple
Number of retries: 3
Quiet period: 60 seconds
Transmit period: 5 seconds
Mac Radius: Enabled
Mac Radius Restrict: Disabled
Mac Radius Authentication Protocol: EAP-MD5
Reauthentication: Disabled
Configured Reauthentication interval: 3600 seconds
Supplicant timeout: 30 seconds
Server timeout: 30 seconds
Maximum EAPOL requests: 2
Guest VLAN member: <not configured>
No Mac Session Binding: Enabled
Ip Mac Session Binding: Enabled
Number of connected supplicants: 1
Supplicant: abc, 00:00:5E:00:53:00
Operational state: Authenticated
Backend Authentication state: Idle
Authentication method: Mac Radius
Authenticated VLAN: v100
Session Reauth interval: 3600 seconds
Reauthentication due in 0 seconds
Ip Mac Session Binding: Enabled
No Mac Binding Reauth: Enabled
Eapol-Block: Not In Effect
Os clientes autenticados com MAC RADIUS devem permanecer autenticados, e as entradas de endereço MAC na tabela de comutação Ethernet também devem ser retidas após o término do temporizador MAC.