Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
在本页
 

服务器故障回退和身份验证

802.1X、MAC RADIUS 和强制门户身份验证的服务器故障回退机制定义了在 RADIUS 服务器不可用或拒绝访问时如何处理设备状态。

了解交换机上的服务器故障回退和身份验证

瞻博网络以太网交换机使用身份验证在企业网络中实施访问控制。如果在交换机上配置了 802.1X、MAC RADIUS 或强制门户身份验证,则身份验证 (RADIUS) 服务器将在初始连接时评估终端设备。如果在身份验证服务器上配置了终端设备,则会授予设备对 LAN 的访问权限,并且 EX 系列交换机将打开接口以允许访问。

通过服务器故障回退,您可以指定在 RADIUS 身份验证服务器不可用时如何支持连接到交换机的终端设备。服务器故障回退最常在重新进行身份验证期间触发,当已配置和正在使用的 RADIUS 服务器变得不可访问时。但是,终端设备首次尝试通过 RADIUS 服务器进行身份验证时,也可以触发服务器故障回退。

通过服务器故障回退,您可以指定在服务器超时时对等待身份验证的终端设备采取的四种操作之一。交换机可以接受或拒绝请求方的访问,或者维护在 RADIUS 超时发生之前已授予请求方的访问权限。您还可以将交换机配置为将请求方移动到特定 VLAN。VLAN 必须已在交换机上配置。配置的 VLAN 名称将覆盖服务器发送的任何属性。

  • Permit 身份验证,允许流量从终端设备流经接口,就像终端设备已由 RADIUS 服务器成功进行身份验证一样。

  • Deny 身份验证,防止流量从终端设备流经接口。这是默认设置。

  • Move 如果交换机收到 RADIUS 访问拒绝消息,则为指定 VLAN 的终端设备。配置的 VLAN 名称将覆盖服务器发送的任何属性。(VLAN 必须已存在于交换机上。)

  • Sustain 已具有 LAN 访问权限 deny 的经过身份验证的终端设备和未经身份验证的终端设备。如果 RADIUS 服务器在重新身份验证期间超时,则会重新验证先前经过身份验证的终端设备,并拒绝新用户访问 LAN。

另请参阅

配置 RADIUS 服务器故障回退(CLI 过程)

您可以配置身份验证回退选项,以指定在 RADIUS 身份验证服务器不可用时如何支持连接到交换机的终端设备。

在交换机上设置 802.1X 或 MAC RADIUS 身份验证时,请指定一个主身份验证服务器以及一个或多个备份身份验证服务器。如果交换机无法访问主认证服务器,并且也无法访问辅助认证服务器,则会发生 RADIUS 服务器超时。如果发生这种情况,由于是身份验证服务器授予或拒绝对等待身份验证的终端设备的访问权限,因此交换机不会收到尝试访问 LAN 的终端设备的访问指令,并且无法完成正常的身份验证。

您可以配置服务器故障回退功能,以指定在身份验证服务器不可用时交换机应用于终端设备的操作。交换机可以接受或拒绝请求方的访问,或者维护在 RADIUS 超时发生之前已授予请求方的访问权限。您还可以将交换机配置为将请求方移动到特定 VLAN。

您还可以为从身份验证服务器接收 RADIUS 访问拒绝消息的终端设备配置服务器拒绝回退功能。服务器拒绝回退功能为启用了 802.1X 但发送了错误凭据的响应式终端设备提供对 LAN 的有限访问,通常仅访问互联网。

从版本 14.1X53-D40 和版本 15.1R4 开始的语音流量支持服务器故障回退。要为发送语音流量的 VoIP 客户端配置服务器故障回退操作,请使用该 server-fail-voip 语句。对于所有数据流量,请使用 server-fail 语句。交换机根据客户端发送的流量类型确定要使用的回退方法。未标记的数据帧受 配置的操作 server-fail的约束,即使它们是由 VoIP 客户端发送的。标记的 VoIP VLAN 帧受 配置的操作 server-fail-voip的约束。如果未配置,则会 server-fail-voip 丢弃语音流量。

注:

VoIP VLAN 标记的流量不支持服务器拒绝回退。如果 VoIP 客户端通过在服务器拒绝回退生效时向 VLAN 发送未标记的数据流量来启动身份验证,则允许 VoIP 客户端访问回退 VLAN。如果同一客户端随后发送标记的语音流量,则会丢弃语音流量。

如果 VoIP 客户端在服务器拒绝回退生效时通过发送标记的语音流量来启动身份验证,则 VoIP 客户端将被拒绝访问回退 VLAN。

可以使用以下过程为数据客户端配置服务器故障操作。要为发送语音流量的 VoIP 客户端配置服务器故障回退,请使用语句 server-fail-voip 代替 server-fail 语句。

配置服务器故障回退操作:

  • 配置一个接口,以便在发生 RADIUS 服务器超时时允许流量从请求方流向 LAN(就像终端设备已通过 RADIUS 服务器成功进行身份验证一样):
  • 配置接口以防止流量从终端设备流向 LAN(就好像终端设备身份验证失败并被 RADIUS 服务器拒绝访问一样):
  • 配置接口以在发生 RADIUS 服务器超时时将终端设备移动到指定的 VLAN:
  • 配置一个接口,以便在重新验证期间出现 RADIUS 超时(拒绝新终端设备访问)时,将已连接的终端设备识别为已重新进行身份验证:

您可以配置从身份验证服务器接收 RADIUS 访问拒绝消息的接口,以将尝试在该接口上进行 LAN 访问的终端设备移动到服务器拒绝 VLAN,即交换机上已配置的指定 VLAN。

要配置服务器拒绝回退 VLAN,请执行以下操作:

另请参阅

配置 RADIUS 可访问性以重新验证服务器故障会话

当身份验证尝试触发服务器故障回退时,终端设备可以在一段时间后重新尝试身份验证。终端设备必须等待重新进行身份验证的默认时间间隔为 60 分钟。可以使用 CLI 语句配置 reauthentication 重新验证时间间隔。

在重新身份验证计时器过期之前,服务器可能会变为可用。启用 RADIUS 可访问性功能后,一旦检测到服务器可访问,它将触发重新身份验证,而无需等待重新身份验证计时器过期。一旦会话移动到服务器故障回退,身份验证器将通过启动该会话的身份验证来定期查询服务器。当身份验证器收到响应,指示服务器可访问时,它将为所有服务器失败会话启动身份验证。

要启用 RADIUS 可访问性,您必须配置查询周期,该周期确定身份验证器查询服务器可访问性的频率。使用以下命令配置查询周期:

注:

静默期必须短于查询期。静默期是指在身份验证尝试失败后接口在重新尝试身份验证之前保持等待状态的时间段。

变更历史表

是否支持某项功能取决于您使用的平台和版本。 使用 Feature Explorer 查看您使用的平台是否支持某项功能。

版本
说明
14.1X53-D40
从版本 14.1X53-D40 和版本 15.1R4 开始的语音流量支持服务器故障回退。