Zeitüberschreitung bei Authentifizierungssitzung
Sie können den Zugriff auf Ihr Netzwerk über einen Switch steuern, indem Sie verschiedene Authentifizierungen verwenden. Junos OS-Switches unterstützen 802.1X, MAC RADIUS und Captive Portal als Authentifizierungsmethoden für Geräte, die eine Verbindung zu einem Netzwerk herstellen müssen. Weitere Informationen finden Sie in diesem Thema.
Grundlegendes zur Zeitüberschreitung bei Authentifizierungssitzungen
Informationen zu Authentifizierungssitzungen – einschließlich der zugehörigen Schnittstellen und VLANs für jede authentifizierte MAC-Adresse – werden in der Authentifizierungssitzungstabelle gespeichert. Die Authentifizierungssitzungstabelle ist an die Ethernet-Switching-Tabelle (auch MAC-Tabelle genannt) gebunden. Jedes Mal, wenn der Switch Datenverkehr von einer MAC-Adresse erkennt, aktualisiert er den Zeitstempel für diesen Netzwerkknoten in der Ethernet-Switching-Tabelle. Ein Timer auf dem Switch überprüft regelmäßig den Zeitstempel, und wenn sein Wert den vom Benutzer konfigurierten mac-table-aging-time Wert überschreitet, wird die MAC-Adresse aus der Ethernet-Switching-Tabelle entfernt. Wenn eine MAC-Adresse aus der Ethernet-Switching-Tabelle entfernt wird, wird der Eintrag für diese MAC-Adresse ebenfalls aus der Tabelle der Authentifizierungssitzung entfernt, was zur Folge hat, dass die Sitzung beendet wird.
Wenn die Authentifizierungssitzung aufgrund einer veralteten MAC-Adresse beendet wird, muss der Host die Authentifizierung erneut versuchen. Um die Ausfallzeit zu begrenzen, die sich aus der erneuten Authentifizierung ergibt, können Sie das Timeout von Authentifizierungssitzungen auf folgende Weise steuern:
Heben Sie für 802.1X- und MAC RADIUS-Authentifizierungssitzungen die Zuordnung der Authentifizierungssitzungstabelle zur Ethernet-Switching-Tabelle mithilfe der
no-mac-table-bindingAnweisung auf. Diese Einstellung verhindert, dass die Authentifizierungssitzung beendet wird, wenn die zugehörige MAC-Adresse aus der Ethernet-Switching-Tabelle heraus veraltet ist.Konfigurieren Sie für Authentifizierungssitzungen des Captive Portals mithilfe der
user-keepaliveAnweisung einen Keep-Alive-Timer. Wenn diese Option konfiguriert ist, wird der Keep-Alive-Timer gestartet, wenn die zugehörige MAC-Adresse aus der Ethernet-Switching-Tabelle entfernt wird. Wenn Datenverkehr innerhalb des Keep-Alive-Timeouts empfangen wird, wird der Timer gelöscht. Wenn innerhalb des Keep-Alive-Timeouts kein Datenverkehr vorhanden ist, wird die Sitzung gelöscht.
Sie können auch Zeitüberschreitungswerte für Authentifizierungssitzungen angeben, um die Sitzung zu beenden, bevor der MAC-Alterungstimer abläuft. Nach dem Timeout der Sitzung muss der Host die Authentifizierung erneut versuchen.
Bei 802.1X- und MAC RADIUS-Authentifizierungssitzungen hängt die Dauer der Sitzung bis zur Zeitüberschreitung vom Wert der
reauthenticationAnweisung ab. Wenn der MAC-Alterungstimer abläuft, bevor die Sitzung abläuft, und dieno-mac-table-bindingAnweisung nicht konfiguriert ist, wird die Sitzung beendet, und der Host muss sich erneut authentifizieren.Bei Authentifizierungssitzungen des Captive Portals hängt die Dauer der Sitzung von dem für die
session-expiryAnweisung konfigurierten Wert ab. Wenn der MAC-Alterungstimer abläuft, bevor die Sitzung abläuft, und dieuser-keepaliveAnweisung nicht konfiguriert ist, wird die Sitzung beendet, und der Host muss sich erneut authentifizieren.
Wenn der Authentifizierungsserver ein Zeitlimit für die Authentifizierungssitzung an den Client sendet, hat dies Vorrang vor dem Wert, der lokal mithilfe der reauthentication Anweisung oder der session-expiry Anweisung konfiguriert wurde. Der Wert für das Sitzungstimeout wird vom Server an den Client als Attribut der RADIUS Access-Accept-Nachricht gesendet. Informationen zum Konfigurieren des Authentifizierungsservers zum Senden eines Zeitlimits für die Authentifizierungssitzung finden Sie in der Dokumentation zu Ihrem Server.
Siehe auch
Steuern von Zeitüberschreitungen bei Authentifizierungssitzungen (CLI-Verfahren)
Der Ablauf einer Authentifizierungssitzung kann zu Ausfallzeiten führen, da der Host die Authentifizierung erneut versuchen muss. Sie können diese Ausfallzeit begrenzen, indem Sie das Zeitlimit für Authentifizierungssitzungen steuern.
Eine Authentifizierungssitzung kann beendet werden, wenn die MAC-Adresse, die dem authentifizierten Host zugeordnet ist, aus der Ethernet-Switching-Tabelle heraus veraltet ist. Wenn die MAC-Adresse aus der Ethernet-Switching-Tabelle gelöscht wird, wird die authentifizierte Sitzung für diesen Host beendet, und der Host muss die Authentifizierung erneut versuchen.
So verhindern Sie, dass die Authentifizierungssitzung beendet wird, wenn die MAC-Adresse aus der Ethernet-Switching-Tabelle entfernt wird:
Sie können auch Zeitüberschreitungswerte für Authentifizierungssitzungen konfigurieren, um eine authentifizierte Sitzung zu beenden, bevor der MAC-Alterungstimer abläuft.
Durch die Konfiguration des Sitzungstimeouts für eine Authentifizierungssitzung wird die Sitzung nach Ablauf des MAC-Alterungstimers nicht verlängert. Sie müssen entweder die Anweisung für die no-mac-table-binding 802.1X- und MAC RADIUS-Authentifizierung oder die Anweisung für die user-keepalive Captive Portal-Authentifizierung konfigurieren, um ein Sitzungstimeout aufgrund der MAC-Alterung zu verhindern.
Konfigurieren Sie für 802.1X- und MAC RADIUS-Authentifizierungssitzungen den Timeout-Wert mithilfe der reauthentication Anweisung.
So konfigurieren Sie den Timeout-Wert auf einer einzelnen Schnittstelle:
[edit] user@switch# set protocols dot1x authenticator interface interface-name reauthentication seconds;
So konfigurieren Sie den Timeout-Wert auf allen Schnittstellen:
[edit] user@switch# set protocols dot1x authenticator interface all reauthentication seconds;
Konfigurieren Sie für Captive Portal-Authentifizierungssitzungen den Timeout-Wert mithilfe der session-expiry Anweisung.
So konfigurieren Sie den Timeout-Wert auf einer einzelnen Schnittstelle:
[edit] user@switch# set services captive-portal interface interface-name session-expiry minutes;
So konfigurieren Sie den Timeout-Wert auf allen Schnittstellen:
[edit] user@switch# set services captive-portal interface all session-expiry minutes;
Wenn der Authentifizierungsserver ein Zeitlimit für die Authentifizierungssitzung an den Client sendet, hat dies Vorrang vor dem Wert, der mit der reauthentication Anweisung oder der session-expiry Anweisung konfiguriert wurde. Der Wert für das Sitzungstimeout wird vom Server an den Client als Attribut der RADIUS Access-Accept-Nachricht gesendet.
Siehe auch
Beibehaltung der Authentifizierungssitzung basierend auf IP-MAC-Adressbindungen
Die MAC RADIUS-Authentifizierung wird häufig verwendet, um Hosts, die nicht für die 802.1X-Authentifizierung aktiviert sind, den Zugriff auf das LAN zu ermöglichen. Endgeräte wie Drucker sind im Netzwerk wenig aktiv. Wenn die MAC-Adresse, die einem Endgerät zugeordnet ist, aufgrund von Inaktivität veraltet, wird die MAC-Adresse aus der Ethernet-Switching-Tabelle gelöscht und die Authentifizierungssitzung beendet. Das bedeutet, dass andere Geräte das Endgerät bei Bedarf nicht erreichen können.
Wenn die veraltete MAC-Adresse einer IP-Adresse in der DHCP-, DHCPv6- oder SLAAC-Snooping-Tabelle zugeordnet ist, wird diese MAC-IP-Adressbindung aus der Tabelle gelöscht. Dies kann zu Datenverkehrsverlusten führen, wenn der DHCP-Client versucht, seine Lease zu erneuern.
Sie können das Switching-Gerät so konfigurieren, dass es in der DHCP-, DHCPv6- oder SLAAC-Snooping-Tabelle nach einer IP-MAC-Adressbindung sucht, bevor die Authentifizierungssitzung beendet wird, wenn die MAC-Adresse veraltet ist. Wenn die MAC-Adresse für das Endgerät an eine IP-Adresse gebunden ist, bleibt sie in der Ethernet-Switching-Tabelle erhalten und die Authentifizierungssitzung bleibt aktiv.
Diese Funktion kann global für alle authentifizierten Sitzungen mithilfe der CLI oder pro Sitzung mithilfe von RADIUS-Attributen konfiguriert werden.
Vorteile
Diese Funktion bietet die folgenden Vorteile:
Stellt sicher, dass ein Endgerät für andere Geräte im Netzwerk erreichbar ist, auch wenn die MAC-Adresse veraltet ist.
Verhindert, dass der Datenverkehr unterbrochen wird, wenn das Endgerät versucht, seine DHCP-Lease zu erneuern.
CLI-Konfiguration
Bevor Sie diese Funktion konfigurieren können, gehen Sie wie folgt vor:
DHCP-Snooping, DHCPv6-Snooping oder SLAAC-Snooping müssen auf dem Gerät aktiviert sein.
Die
no-mac-table-bindingCLI-Anweisung muss konfiguriert werden. Dadurch wird die Zuordnung der Authentifizierungssitzungstabelle zur Ethernet-Switching-Tabelle aufgehoben, sodass die Authentifizierungssitzung bis zur nächsten erneuten Authentifizierung verlängert wird, wenn eine MAC-Adresse veraltet ist.[edit] user@switch# set protocols dot1x authenticator no-mac-table-binding;
So konfigurieren Sie diese Funktion global für alle authentifizierten Sitzungen:
ip-mac-session-binding CLI-Anweisung verwenden:[edit] user@switch# set protocols dot1x authenticator ip-mac-session-binding;
Sie können die ip-mac-session-binding Konfiguration nur bestätigen, wenn sie no-mac-table-binding ebenfalls konfiguriert ist.
RADIUS-Serverattribute
Sie können diese Funktion mithilfe von RADIUS-Serverattributen für eine bestimmte Authentifizierungssitzung konfigurieren. RADIUS-Serverattribute sind Klartextfelder, die in Access-Accept-Nachrichten gekapselt sind, die vom Authentifizierungsserver an das Switching-Gerät gesendet werden, wenn ein mit dem Switch verbundener Supplicant erfolgreich authentifiziert wurde.
Um die Authentifizierungssitzung basierend auf IP-MAC-Adressbindungen beizubehalten, konfigurieren Sie die beiden folgenden Attribut-Wert-Paare auf dem RADIUS-Server:
Juniper-AV-Pair = "ip-mac-session-binding"
Juniper-AV-Pair = "no-mac-binding-reauth"
Das Juniper-AV-Pair-Attribut ist ein anbieterspezifisches Attribut (VSA) von Juniper Networks. Stellen Sie sicher, dass das Juniper-Wörterbuch auf dem RADIUS-Server geladen ist und die Juniper-AV-Pair-VSA (ID# 52) enthält.
Wenn Sie das Attribut zum Wörterbuch hinzufügen müssen, suchen Sie die Wörterbuchdatei (juniper.dct) auf dem RADIUS-Server, und fügen Sie der Datei den folgenden Text hinzu:
ATTRIBUTE Juniper-AV-Pair Juniper-VSA(52, string) r
Spezifische Informationen zum Konfigurieren des RADIUS-Servers finden Sie in der AAA-Dokumentation, die im Lieferumfang des Servers enthalten ist.
Verifizierung
Überprüfen Sie die Konfiguration, indem Sie den Befehl show dot1x interface interface-name detail Betriebsmodus eingeben, und vergewissern Sie sich, dass die Ip Mac Session Binding Ausgabefelder und No Mac Session Binding anzeigen, dass die Funktion aktiviert ist.
user@switch> show dot1x interface ge-0/0/16.0 detail
ge-0/0/16.0
Role: Authenticator
Administrative state: Auto
Supplicant mode: Multiple
Number of retries: 3
Quiet period: 60 seconds
Transmit period: 5 seconds
Mac Radius: Enabled
Mac Radius Restrict: Disabled
Mac Radius Authentication Protocol: EAP-MD5
Reauthentication: Disabled
Configured Reauthentication interval: 3600 seconds
Supplicant timeout: 30 seconds
Server timeout: 30 seconds
Maximum EAPOL requests: 2
Guest VLAN member: <not configured>
No Mac Session Binding: Enabled
Ip Mac Session Binding: Enabled
Number of connected supplicants: 1
Supplicant: abc, 00:00:5E:00:53:00
Operational state: Authenticated
Backend Authentication state: Idle
Authentication method: Mac Radius
Authenticated VLAN: v100
Session Reauth interval: 3600 seconds
Reauthentication due in 0 seconds
Ip Mac Session Binding: Enabled
No Mac Binding Reauth: Enabled
Eapol-Block: Not In Effect
Clients, die mit MAC RADIUS authentifiziert wurden, sollten authentifiziert bleiben, und MAC-Adresseinträge in der Ethernet-Switching-Tabelle sollten auch nach Ablauf des MAC-Timers beibehalten werden.