Konfigurieren des Serverfehler-Fallbacks auf Routern der MX-Serie im erweiterten LAN-Modus
Ab Junos OS Version 14.2 können Sie mit dem Serverausfall-Fallback angeben, wie mit dem Router verbundene Endgeräte unterstützt werden, wenn der RADIUS-Authentifizierungsserver nicht mehr verfügbar ist oder eine RADIUS-Zugriffsablehnungsnachricht sendet.
Bei der 802.1X- und MAC RADIUS-Authentifizierung wird der authenticator port access entity gesamte Datenverkehr zu und von einem Endgerät an der Schnittstelle blockiert, bis die Anmeldeinformationen des Endgeräts auf dem authentication server (einem RADIUS-Server) angezeigt und abgeglichen werden. Wenn das Endgerät authentifiziert wurde, hört der Router auf zu blockieren und öffnet die Schnittstelle zum Endgerät.
Wenn Sie die 802.1X- oder MAC RADIUS-Authentifizierung auf dem Router einrichten, geben Sie einen primären Authentifizierungsserver und einen oder mehrere Backup-Authentifizierungsserver an. Wenn der primäre Authentifizierungsserver vom Router nicht erreicht werden kann und die sekundären Authentifizierungsserver ebenfalls nicht erreichbar sind, tritt eine Zeitüberschreitung beim RADIUS-Server auf. Da der Authentifizierungsserver den Zugriff auf die auf die Authentifizierung wartenden Endgeräte gewährt oder verweigert, erhält der Router keine Zugriffsanweisungen für Endgeräte, die versuchen, auf das LAN zuzugreifen, und die normale Authentifizierung kann nicht abgeschlossen werden. Mit dem Serverausfall-Fallback können Sie Authentifizierungsalternativen konfigurieren, die es dem Router ermöglichen, geeignete Aktionen für Endgeräte auszuführen, die auf eine Authentifizierung oder erneute Authentifizierung warten.
Die Authentifizierungs-Fallback-Methode namens Server-Reject-VLAN bietet eingeschränkten Zugriff auf ein LAN, in der Regel nur auf das Internet, für reaktionsfähige Endgeräte, die 802.1X-fähig sind, aber die falschen Anmeldeinformationen gesendet haben. Wenn es sich bei dem Endgerät, das über das Server-Reject-VLAN authentifiziert wird, um ein IP-Telefon handelt, ist Sprachverkehr nicht zulässig.
So konfigurieren Sie grundlegende Fallback-Optionen für Serverfehler mithilfe der CLI:
Konfigurieren Sie eine Schnittstelle, die den Datenverkehr von einem Supplicant zum LAN zulässt, wenn ein RADIUS-Server-Timeout auftritt (als ob das Endgerät erfolgreich von einem RADIUS-Server authentifiziert worden wäre):
[edit protocols authentication-access-control] user@router# set interface ge-0/0/1 dot1x server-fail permit
Konfigurieren Sie eine Schnittstelle, um den Datenverkehrsfluss von einem Endgerät zum LAN zu verhindern (als ob das Endgerät die Authentifizierung fehlgeschlagen hätte und vom RADIUS-Server zurückgewiesen worden wäre):
[edit protocols authentication-access-control] user@router# set interface ge-0/0/1 dot1x server-fail deny
Konfigurieren Sie eine Schnittstelle, um ein Endgerät in ein bestimmtes VLAN zu verschieben, wenn ein RADIUS-Server-Timeout auftritt (in diesem Fall lautet vlan1der VLAN-Name):
[edit protocols authentication-access-control] user@router# set interface ge-0/0/1 dot1x server-fail vlan-name vlan1
Konfigurieren Sie eine Schnittstelle, die bereits verbundene Endgeräte als reauthentifiziert erkennt, wenn es bei der erneuten Authentifizierung zu einem RADIUS-Timeout kommt (neuen Benutzern wird der Zugriff verweigert):
[edit protocols authentication-access-control] user@router# set interface ge-0/0/1 dot1x server-fail use-cache
Konfigurieren Sie eine Schnittstelle, die eine RADIUS-Zugriffsverweigerungsnachricht vom Authentifizierungsserver empfängt, um Endgeräte, die versuchen, auf der Schnittstelle auf LAN zuzugreifen, in ein angegebenes VLAN zu verschieben, das bereits auf dem Router konfiguriert ist (in diesem Fall lautet vlan-sfder VLAN-Name):
[edit protocols authentication-access-control] user@router# set interface ge-0/0/1 dot1x server-reject-vlan vlan-sf
HINWEIS:Wenn ein IP-Telefon im VLAN mit Serverablehnung authentifiziert ist, ist Sprachverkehr nicht zulässig.
Tabellarischer Änderungsverlauf
Die Unterstützung der Funktion hängt von der Plattform und der Version ab, die Sie benutzen. Verwenden Sie Feature Explorer, um festzustellen, ob eine Funktion auf Ihrer Plattform unterstützt wird.