身份验证会话超时
您可以使用几种不同的身份验证来控制通过交换机对网络的访问。Junos OS 交换机支持 802.1X、MAC RADIUS 和强制门户作为需要连接到网络的设备的身份验证方法。有关更多信息,请阅读本主题。
了解身份验证会话超时
有关身份验证会话的信息(包括经过身份验证的每个 MAC 地址的关联接口和 VLAN)存储在身份验证会话表中。身份验证会话表绑定到以太网交换表(也称为 MAC 表)。每次交换机检测到来自某个 MAC 地址的流量时,都会更新以太网交换表中该网络节点的时间戳。交换机上的计时器会定期检查时间戳,如果其值超过用户配置 mac-table-aging-time
的值,则从以太网交换表中删除 MAC 地址。当以太网交换表中的 MAC 地址老化时,该 MAC 地址的条目也会从身份验证会话表中删除,结果是会话结束。
当身份验证会话因 MAC 地址老化而结束时,主机必须重新尝试身份验证。要限制重新身份验证导致的停机时间,可以通过以下方式控制身份验证会话的超时:
对于 802.1X 和 MAC RADIUS 身份验证会话,请使用语句取消
no-mac-table-binding
身份验证会话表与以太网交换表的关联。此设置可防止在以太网交换表中关联的 MAC 地址老化时终止身份验证会话。对于强制门户身份验证会话,请使用语句
user-keepalive
配置保持活动状态计时器。配置此选项后,当关联的 MAC 地址从以太网交换表中老化时,将启动保持活动状态计时器。如果在保持活动状态超时期限内收到流量,则会删除计时器。如果在保持活动超时期限内没有流量,则会删除会话。
您还可以指定身份验证会话的超时值,以便在 MAC 老化计时器过期之前结束会话。会话超时后,主机必须重新尝试身份验证。
对于 802.1X 和 MAC RADIUS 身份验证会话,超时前会话的持续时间取决于语句的值
reauthentication
。如果 MAC 老化计时器在会话超时之前过期,并且no-mac-table-binding
未配置语句,则会话将结束,主机必须重新进行身份验证。对于强制门户身份验证会话,会话的持续时间取决于为语句配置
session-expiry
的值。如果 MAC 老化计时器在会话超时之前过期,并且user-keepalive
未配置语句,则会话将结束,主机必须重新进行身份验证。
如果认证服务器向客户端发送认证会话超时,则此超时优先于使用语句或session-expiry
语句在本地reauthentication
配置的值。会话超时值作为 RADIUS 访问-接受消息的属性从服务器发送到客户端。有关配置身份验证服务器以发送身份验证会话超时的信息,请参阅服务器的文档。
另请参阅
控制身份验证会话超时(CLI 过程)
身份验证会话的过期可能会导致停机,因为主机必须重新尝试身份验证。您可以通过控制身份验证会话的超时期限来限制此停机时间。
当与经过身份验证的主机关联的 MAC 地址在以太网交换表中老化时,身份验证会话可能会结束。从以太网交换表中清除 MAC 地址后,该主机经过身份验证的会话将结束,主机必须重新尝试身份验证。
要防止身份验证会话在以太网交换表中的 MAC 地址老化时结束,请执行以下操作:
您还可以配置身份验证会话的超时值,以便在 MAC 老化计时器过期之前结束经过身份验证的会话。
为 MAC 老化计时器过期后,为身份验证会话配置会话超时不会延长会话。您必须将语句配置为 no-mac-table-binding
802.1X 和 MAC RADIUS 身份验证,或 user-keepalive
将语句配置为强制门户身份验证,以防止由于 MAC 老化而导致会话超时。
对于 802.1X 和 MAC RADIUS 身份验证会话,请使用语句配置 reauthentication
超时值。
要在单个接口上配置超时值,请执行以下操作:
[edit] user@switch# set protocols dot1x authenticator interface interface-name reauthentication seconds;
要在所有接口上配置超时值,请执行以下操作:
[edit] user@switch# set protocols dot1x authenticator interface all reauthentication seconds;
对于强制门户身份验证会话,请使用语句配置 session-expiry
超时值。
要在单个接口上配置超时值,请执行以下操作:
[edit] user@switch# set services captive-portal interface interface-name session-expiry minutes;
要在所有接口上配置超时值,请执行以下操作:
[edit] user@switch# set services captive-portal interface all session-expiry minutes;
如果认证服务器向客户端发送认证会话超时,则此超时优先于使用该语句或session-expiry
语句配置reauthentication
的值。会话超时值作为 RADIUS 访问-接受消息的属性从服务器发送到客户端。
另请参阅
保留基于 IP-MAC 地址绑定的身份验证会话
MAC RADIUS 身份验证通常用于允许未启用 802.1X 身份验证的主机访问 LAN。终端设备(如打印机)在网络上不是很活跃。如果与终端设备关联的 MAC 地址因不活动而老化,则会从以太网交换表中清除该 MAC 地址,并结束身份验证会话。这意味着在必要时,其他设备将无法到达终端设备。
如果过期的 MAC 地址与 DHCP、DHCPv6 或 SLAAC 侦听表中的 IP 地址相关联,则该 MAC-IP 地址绑定将从表中清除。这可能会导致在 DHCP 客户端尝试续订其租约时丢弃流量。
您可以将交换设备配置为在 DHCP、DHCPv6 或 SLAAC 侦听表中检查 IP-MAC 地址绑定,然后在 MAC 地址老化时终止身份验证会话。如果终端设备的 MAC 地址绑定到 IP 地址,则该地址将保留在以太网交换表中,并且身份验证会话将保持活动状态。
可以使用 CLI 为所有经过身份验证的会话全局配置此功能,也可以使用 RADIUS 属性为每个会话配置此功能。
优势
此功能具有以下优点:
确保即使 MAC 地址已老化,网络上的其他设备也可以访问终端设备。
防止在终端设备尝试续订其 DHCP 租约时丢弃流量。
CLI 配置
在配置此功能之前:
必须在设备上启用 DHCP 侦听、DHCPv6 侦听或 SLAAC 侦听。
no-mac-table-binding
必须配置 CLI 语句。这会断开身份验证会话表与以太网交换表的关联,以便在 MAC 地址老化时,身份验证会话将延长到下一次重新身份验证。[edit] user@switch# set protocols dot1x authenticator no-mac-table-binding;
要为所有经过身份验证的会话全局配置此功能,请执行以下操作:
ip-mac-session-binding
交换设备配置为在 MAC 地址老化时终止身份验证会话之前,检查 DHCP、DHCPv6 或 SLAAC 侦听表中的 IP-MAC 地址绑定:[edit] user@switch# set protocols dot1x authenticator ip-mac-session-binding;
除非还配置了配置,no-mac-table-binding
否则无法提交ip-mac-session-binding
配置。
RADIUS 服务器属性
您可以使用 RADIUS 服务器属性为特定身份验证会话配置此功能。RADIUS 服务器属性是封装在成功验证连接到交换机的请求方时从身份验证服务器发送到交换设备的 Access-Accept 消息中的明文字段。
要保留基于 IP-MAC 地址绑定的认证会话,请在 RADIUS 服务器上配置以下两个属性值对:
Juniper-AV-pair =“ip-mac-session-binding”
Juniper-AV-pair =“no-mac-binding-reauth”
Juniper-AV-Pair 属性是瞻博网络供应商特定的属性 (VSA)。验证瞻博网络词典是否已加载到 RADIUS 服务器上,并包含瞻博网络 AV 对 VSA (ID# 52)。
如果需要将属性添加到字典中,请在 RADIUS 服务器上找到字典文件 (juniper.dct),并将以下文本添加到该文件中:
ATTRIBUTE Juniper-AV-Pair Juniper-VSA(52, string) r
有关配置 RADIUS 服务器的特定信息,请参阅服务器附带的 AAA 文档。
验证
通过发出操作模式命令show dot1x interface interface-name detail
来验证配置,并确认和No Mac Session Binding
输出字段指示Ip Mac Session Binding
已启用该功能。
user@switch> show dot1x interface ge-0/0/16.0 detail ge-0/0/16.0 Role: Authenticator Administrative state: Auto Supplicant mode: Multiple Number of retries: 3 Quiet period: 60 seconds Transmit period: 5 seconds Mac Radius: Enabled Mac Radius Restrict: Disabled Mac Radius Authentication Protocol: EAP-MD5 Reauthentication: Disabled Configured Reauthentication interval: 3600 seconds Supplicant timeout: 30 seconds Server timeout: 30 seconds Maximum EAPOL requests: 2 Guest VLAN member: <not configured> No Mac Session Binding: Enabled Ip Mac Session Binding: Enabled Number of connected supplicants: 1 Supplicant: abc, 00:00:5E:00:53:00 Operational state: Authenticated Backend Authentication state: Idle Authentication method: Mac Radius Authenticated VLAN: v100 Session Reauth interval: 3600 seconds Reauthentication due in 0 seconds Ip Mac Session Binding: Enabled No Mac Binding Reauth: Enabled Eapol-Block: Not In Effect
使用 MAC RADIUS 进行身份验证的客户端应保持身份验证状态,以太网交换表中的 MAC 地址条目也应在 MAC 计时器过期后保留。