了解增强型 LAN 模式下 MX 系列路由器上的服务器故障回退和身份验证
从 Junos OS 14.2 版开始,服务器故障回退允许您指定在 RADIUS 身份验证服务器不可用或发送 RADIUS 访问拒绝消息时如何支持连接到路由器的终端设备。
增强型 LAN 模式下的瞻博网络 MX 系列路由器使用身份验证在企业网络中实施访问控制。如果在接口上配置了 802.1X、MAC RADIUS 或强制门户身份验证,则身份验证 (RADIUS) 服务器将在初始连接时评估终端设备。如果在身份验证服务器上配置了终端设备,则会授予设备对 LAN 的访问权限,并且 MX 系列路由器将打开接口以允许访问。
如果在终端设备登录并尝试访问 LAN 时无法访问 RADIUS 身份验证服务器,则会发生 RADIUS 服务器超时。服务器故障回退允许您指定在服务器超时时对等待身份验证的终端设备采取的四种操作之一:
Permit 身份验证,允许流量从终端设备流经接口,就像终端设备已由 RADIUS 服务器成功进行身份验证一样。
Deny 身份验证,防止流量从终端设备流经接口。这是默认设置。
Move 指定 VLAN 的终端设备。(VLAN 必须已存在于路由器上。)
Sustain 已具有 LAN 访问权限 deny 的经过身份验证的终端设备和未经身份验证的终端设备。如果 RADIUS 服务器在重新身份验证期间超时,则会重新验证先前经过身份验证的终端设备,并拒绝新用户访问 LAN。
服务器故障回退最常在重新进行身份验证期间触发,当已配置和正在使用的 RADIUS 服务器变得不可访问时。但是,终端设备首次尝试通过 RADIUS 服务器进行身份验证时,也可以触发服务器故障回退。
服务器故障回退允许您指定在路由器收到 RADIUS 访问拒绝消息时将终端设备移动到指定的 VLAN。配置的 VLAN 名称将覆盖服务器发送的任何属性。
变更历史表
是否支持某项功能取决于您使用的平台和版本。 使用 Feature Explorer 查看您使用的平台是否支持某项功能。