Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

RADIUS-Serverkonfiguration für die Authentifizierung

Ethernet-Switches von Juniper Networks verwenden 802.1X-, MAC RADIUS- oder Captive Portal-Authentifizierung, um den Geräten oder Benutzern die Zugriffskontrolle zu ermöglichen. Wenn 802.1X-, MAC RADIUS- oder Captive Portal-Authentifizierungen auf dem Switch konfiguriert sind, werden Endgeräte bei der ersten Verbindung von einem Authentifizierungsserver (RADIUS) ausgewertet. Um die 802.1X- oder MAC RADIUS-Authentifizierung zu verwenden, müssen Sie die Verbindungen auf dem Switch für jeden RADIUS-Server angeben, mit dem Sie eine Verbindung herstellen möchten. Weitere Informationen finden Sie in diesem Thema.

Angeben von RADIUS-Serververbindungen auf Switches (CLI-Verfahren)

Sowohl IEEE 802.1X als auch die MAC RADIUS-Authentifizierung bieten Netzwerk-Edge-Sicherheit und schützen Ethernet-LANs vor unbefugtem Benutzerzugriff, indem der gesamte Datenverkehr zu und von Geräten an der Schnittstelle blockiert wird, bis die Anmeldeinformationen oder die MAC-Adresse des Supplicants auf dem (einem RADIUS-Server) angezeigt und abgeglichen werden.authentication server Wenn der Supplicant authentifiziert ist, blockiert der Switch den Zugriff nicht mehr und öffnet die Schnittstelle zum Supplicant.

Um die 802.1X- oder MAC RADIUS-Authentifizierung zu verwenden, müssen Sie die Verbindungen auf dem Switch für jeden RADIUS-Server angeben, mit dem Sie eine Verbindung herstellen möchten.

Um mehrere RADIUS-Server zu konfigurieren, schließen Sie mehrere Anweisungen ein.radius-server Wenn mehrere Server konfiguriert sind, erfolgt der Zugriff auf die Server standardmäßig in der Reihenfolge ihrer Konfiguration. Der erste konfigurierte Server ist der primäre Server. Wenn der primäre Server nicht erreichbar ist, versucht der Router, den zweiten konfigurierten Server zu erreichen, usw. Sie können einen Lastenausgleich für die Anforderungen durchführen, indem Sie die Roundrobin-Methode konfigurieren. Die Server werden der Reihe nach und im Round-Robin-Verfahren getestet, bis eine gültige Antwort von einem der Server eingeht oder bis alle konfigurierten Wiederholungslimits erreicht sind.

HINWEIS:

Die Round-Robin-Zugriffsmethode wird für die Verwendung mit Switches der EX-Serie nicht empfohlen.

Sie können auch einen vollqualifizierten Domänennamen (Fully Qualified Domain Name, FQDN) konfigurieren, der in eine oder mehrere IP-Adressen aufgelöst wird. Siehe .Angeben von RADIUS-Serververbindungen auf Switches (CLI-Verfahren)

So konfigurieren Sie einen RADIUS-Server auf dem Switch:

  1. Konfigurieren Sie die IP-Adresse des RADIUS-Servers, die Portnummer für die RADIUS-Serverauthentifizierung und das geheime Kennwort. Das geheime Kennwort auf dem Switch muss mit dem geheimen Kennwort auf dem Server übereinstimmen.
    HINWEIS:

    Die Angabe des Authentifizierungsports ist optional, Port 1812 ist die Standardeinstellung. Es wird jedoch empfohlen, es zu konfigurieren, um Verwechslungen zu vermeiden, da einige RADIUS-Server möglicherweise auf eine ältere Standardeinstellung verweisen.

  2. (Optional) Geben Sie die IP-Adresse an, über die der Switch vom RADIUS-Server identifiziert wird. Wenn Sie die IP-Adresse nicht angeben, verwendet der RADIUS-Server die Adresse der Schnittstelle, die die RADIUS-Anforderung sendet. Es wird empfohlen, diese IP-Adresse anzugeben, denn wenn die Anforderung auf eine alternative Route zum RADIUS-Server umgeleitet wird, ist die Schnittstelle, die die Anforderung weiterleitet, möglicherweise keine Schnittstelle auf dem Switch.
  3. Konfigurieren Sie die Authentifizierungsreihenfolge, indem Sie die erste Authentifizierungsmethode festlegen :radius
  4. (Optional) Konfigurieren Sie die Methode, die der Router für den Zugriff auf RADIUS-Authentifizierungs- und Kontoführungsserver verwendet, wenn mehrere Server konfiguriert sind:
    • direct– Die Standardmethode, bei der es keinen Lastenausgleich gibt. Der erste konfigurierte Server ist der primäre Server. Der Zugriff auf die Server erfolgt in der Reihenfolge der Konfiguration. Wenn der primäre Server nicht erreichbar ist, versucht der Router, den zweiten konfigurierten Server zu erreichen, usw.

    • round-robin– Die Methode, die Load Balancing durch Rotieren von Routeranforderungen in der Liste der konfigurierten RADIUS-Server bereitstellt. Der für den Zugriff ausgewählte Server wird je nachdem, welcher Server zuletzt verwendet wurde, rotiert. Der erste Server in der Liste wird für die erste Authentifizierungsanforderung als primärer Server behandelt, aber für die zweite Anforderung wird der zweite konfigurierte Server als primärer Server behandelt usw. Bei dieser Methode erhalten alle konfigurierten Server im Durchschnitt ungefähr die gleiche Anzahl von Anforderungen, sodass kein einzelner Server alle Anforderungen bearbeiten muss.

      HINWEIS:

      Wenn ein RADIUS-Server in der Round-Robin-Liste nicht mehr erreichbar ist, wird der nächste erreichbare Server in der Round-Robin-Liste für die aktuelle Anforderung verwendet. Derselbe Server wird auch für die nächste Anforderung verwendet, da er sich ganz oben in der Liste der verfügbaren Server befindet. Dies hat zur Folge, dass nach einem Serverausfall der verwendete Server die Last von zwei Servern übernimmt.

    • So konfigurieren Sie die Methode, die der Router für den Zugriff auf RADIUS-Kontoführungsserver verwendet:

    • So konfigurieren Sie die Methode, die der Router für den Zugriff auf RADIUS-Authentifizierungsserver verwendet:

  5. Erstellen Sie ein Profil, und geben Sie die Liste der RADIUS-Server an, die dem Profil zugeordnet werden sollen. Sie können Ihre RADIUS-Server beispielsweise geografisch nach Stadt gruppieren. Diese Funktion ermöglicht eine einfache Änderung, wenn Sie zu einem anderen Satz von Authentifizierungsservern wechseln möchten.
  6. Geben Sie die Gruppe von Servern an, die für die 802.1X- oder MAC RADIUS-Authentifizierung verwendet werden sollen, indem Sie den Profilnamen identifizieren:
  7. Konfigurieren Sie die IP-Adresse des Switches in der Liste der Clients auf dem RADIUS-Server. Informationen zum Konfigurieren des RADIUS-Servers finden Sie in der Dokumentation Ihres Servers.

Konfigurieren eines RADIUS-Servers mithilfe eines FQDN

Sie können einen vollqualifizierten Domänennamen (Fully Qualified Domain Name, FQDN) konfigurieren, der in eine oder mehrere IP-Adressen aufgelöst wird. Konfigurieren Sie einen RADIUS-Server mithilfe eines FQDN auf der Hierarchieebene [].edit access radius-server-name hostname Wenn ein FQDN in mehrere Adressen aufgelöst wird, erfolgt der Zugriff auf die Server standardmäßig in der Reihenfolge der Konfiguration. Die erste aufgelöste Adresse ist der primäre Server. Wenn der primäre Server nicht erreichbar ist, versucht der Router, den zweiten Server zu erreichen, und so weiter. Sie können einen Lastenausgleich für die Anforderungen durchführen, indem Sie die Roundrobin-Methode konfigurieren. Die Server werden der Reihe nach und im Round-Robin-Verfahren getestet, bis eine gültige Antwort von einem der Server eingeht oder bis alle konfigurierten Wiederholungslimits erreicht sind.

  1. Konfigurieren Sie den FQDN des RADIUS-Servers, die Portnummer für die RADIUS-Serverauthentifizierung und das geheime Kennwort. Das geheime Kennwort auf dem Switch muss mit dem geheimen Kennwort auf dem Server übereinstimmen.
    HINWEIS:

    Die Angabe des Authentifizierungsports ist optional, Port 1812 ist die Standardeinstellung. Es wird jedoch empfohlen, es zu konfigurieren, um Verwechslungen zu vermeiden, da einige RADIUS-Server möglicherweise auf eine ältere Standardeinstellung verweisen.

  2. (Optional) Konfigurieren Sie das Intervall für die Auflösung eines FQDN als Serveradresse. Der FQDN wird dynamisch in festen Intervallen basierend auf dem konfigurierten Wert aufgelöst.
  3. (Optional) Geben Sie die IP-Adresse an, über die der Switch vom RADIUS-Server identifiziert wird. Wenn Sie die IP-Adresse nicht angeben, verwendet der RADIUS-Server die Adresse der Schnittstelle, die die RADIUS-Anforderung sendet. Es wird empfohlen, diese IP-Adresse anzugeben, denn wenn die Anforderung auf eine alternative Route zum RADIUS-Server umgeleitet wird, ist die Schnittstelle, die die Anforderung weiterleitet, möglicherweise keine Schnittstelle auf dem Switch.
  4. Konfigurieren Sie die Authentifizierungsreihenfolge, indem Sie die erste Authentifizierungsmethode festlegen :radius
  5. (Optional) Konfigurieren Sie die Methode, die der Switch für den Zugriff auf RADIUS-Authentifizierungs- und Kontoführungsserver verwendet, wenn mehrere Server konfiguriert sind:
    • direct– Die Standardmethode, bei der es keinen Lastenausgleich gibt. Der erste konfigurierte Server ist der primäre Server. Der Zugriff auf die Server erfolgt in der Reihenfolge der Konfiguration. Wenn der primäre Server nicht erreichbar ist, versucht der Router, den zweiten konfigurierten Server zu erreichen, usw.

    • round-robin– Die Methode, die einen Lastenausgleich durch Rotieren von Anforderungen in der Liste der konfigurierten RADIUS-Server ermöglicht. Der für den Zugriff ausgewählte Server wird je nachdem, welcher Server zuletzt verwendet wurde, rotiert. Der erste Server in der Liste wird für die erste Authentifizierungsanforderung als primärer Server behandelt, aber für die zweite Anforderung wird der zweite konfigurierte Server als primärer Server behandelt usw. Bei dieser Methode erhalten alle konfigurierten Server im Durchschnitt ungefähr die gleiche Anzahl von Anforderungen, sodass kein einzelner Server alle Anforderungen bearbeiten muss.

      HINWEIS:

      Wenn ein RADIUS-Server in der Round-Robin-Liste nicht mehr erreichbar ist, wird der nächste erreichbare Server in der Round-Robin-Liste für die aktuelle Anforderung verwendet. Derselbe Server wird auch für die nächste Anforderung verwendet, da er sich ganz oben in der Liste der verfügbaren Server befindet. Dies hat zur Folge, dass nach einem Serverausfall der verwendete Server die Last von zwei Servern übernimmt.

    • So konfigurieren Sie die Methode, die der Switch für den Zugriff auf RADIUS-Kontoführungsserver verwendet:

    • So konfigurieren Sie die Methode, die der Switch für den Zugriff auf RADIUS-Authentifizierungsserver verwendet:

  6. Erstellen Sie ein Profil, und geben Sie die Liste der RADIUS-Server an, die dem Profil zugeordnet werden sollen. Sie können Ihre RADIUS-Server beispielsweise geografisch nach Stadt gruppieren. Diese Funktion ermöglicht einfache Änderungen, wenn Sie zu einem anderen Satz von Authentifizierungsservern wechseln möchten.
  7. Geben Sie die Gruppe von Servern an, die für die 802.1X- oder MAC RADIUS-Authentifizierung verwendet werden sollen, indem Sie den Profilnamen identifizieren:
  8. Konfigurieren Sie die IP-Adresse des Switches in der Liste der Clients auf dem RADIUS-Server. Informationen zum Konfigurieren des RADIUS-Servers finden Sie in der Dokumentation Ihres Servers.

Grundlegendes zu sitzungsbasierten Round-Robin-RADIUS-Anforderungen

Ab Junos OS Version 22.4R1 sind Authentifizierungsdienste (authd) sitzungsbewusst, wenn der Roundrobin-Algorithmus so konfiguriert ist, dass die entsprechende Zugriffsanforderung als Antwort auf eine Zugriffsaufforderung vom RADIUS-Server an denselben RADIUS-Server gesendet wird, was zu einer erfolgreichen Authentifizierung führt.

Gemäß dem bisherigen Verhalten wird beim Empfang der Zugriffsaufforderung und des Statusattributs von einem der RADIUS-Server die entsprechende Zugriffsanforderung mithilfe des Round-Robin-Algorithmus an den nächsten RADIUS-Server gesendet. Da der nächste RADIUS-Server nicht über einen Datensatz dieser Sitzung verfügt, lehnt er die Zugriffsanforderung ab, was zu einem Authentifizierungsfehler führt. Mit der neuen Funktion wird der entsprechende Algorithmus so konfiguriert, dass die jeweilige Zugriffsanforderung als Antwort auf die Zugriffsaufforderung vom RADIUS-Server an denselben RADIUS-Server gesendet wird, was zu einer erfolgreichen Authentifizierung führt. Wenn der RADIUS-Server nicht mit einer Zugriffsaufforderung antwortet, akzeptiert er die Anforderung oder lehnt sie ab. Für die nächste Authentifizierungsanforderung werden Anforderungen gemäß der Round-Robin-Methode an den nächsten RADIUS-Server gesendet. Als Antwort auf jede Zugriffsanforderung kann eine beliebige Anzahl von Zugriffsherausforderungen vom RADIUS-Server gesendet werden, und authd antwortet auf denselben RADIUS-Server, bis die Anforderung vom RADIUS-Server akzeptiert oder abgelehnt wird.

Beachten Sie, dass diese Funktion nur für authd-lite-Clients (dot1x usw.) und nicht für Breitband-Clients unterstützt wird, die das Point-to-Point-Protokoll (PPP) verwenden, da dies auf Breitband-Clients nicht unterstützt wird. Außerdem werden Zugriffsaufforderungsnachrichten zwischen RADIUS-Client und RADIUS-Server nur im Falle der Authentifizierung und nicht zur Abrechnung ausgetauscht.

Konfigurieren von MS-CHAPv2 für die Unterstützung von Kennwortänderungen (CLI-Verfahren)

Mit Junos OS für Switches der EX-Serie können Sie die Microsoft Corporation-Implementierung des Challenge Handshake Authentication Protocol Version 2 (MS-CHAPv2) auf dem Switch konfigurieren, um Unterstützung für Kennwortänderungen bereitzustellen. Durch die Konfiguration von MS-CHAPv2 auf dem Switch haben Benutzer, die auf einen Switch zugreifen, die Möglichkeit, das Kennwort zu ändern, wenn das Kennwort abläuft, zurückgesetzt wird oder so konfiguriert ist, dass es bei der nächsten Anmeldung geändert wird.

Weitere Informationen zu MS-CHAP finden Sie unter RFC 2433, Microsoft PPP CHAP Extensions.

Bevor Sie MS-CHAPv2 für die Unterstützung von Kennwortänderungen konfigurieren, stellen Sie sicher, dass Sie über Folgendes verfügen:

Geben Sie zum Konfigurieren von MS-CHAPv2 Folgendes an:

Sie müssen über die erforderliche Zugriffsberechtigung auf dem Switch verfügen, um Ihr Kennwort ändern zu können.

Konfigurieren von MS-CHAPv2 für die Unterstützung von Kennwortänderungen

Bevor Sie MS-CHAPv2 für die Unterstützung von Kennwortänderungen konfigurieren, stellen Sie sicher, dass Sie die folgenden Schritte ausgeführt haben:

  • Konfigurierte RADIUS-Server-Authentifizierungsparameter.

  • Legen Sie die erste versuchte Option in der Authentifizierungsreihenfolge auf RADIUS-Server fest.

Sie können die Microsoft-Implementierung des Challenge Handshake Authentication Protocol Version 2 (MS-CHAPv2) auf dem Router oder Switch so konfigurieren, dass das Ändern von Kennwörtern unterstützt wird. Diese Funktion bietet Benutzern, die auf einen Router oder Switch zugreifen, die Möglichkeit, das Kennwort zu ändern, wenn das Kennwort abläuft, zurückgesetzt wird oder so konfiguriert ist, dass es bei der nächsten Anmeldung geändert wird.

Fügen Sie zum Konfigurieren von MS-CHAP-v2 die folgenden Anweisungen auf Hierarchieebene ein:[edit system radius-options]

Das folgende Beispiel zeigt Anweisungen zum Konfigurieren des MS-CHAPv2-Kennwortprotokolls, der Kennwortauthentifizierungsreihenfolge und der Benutzerkonten:

Grundlegendes zu Serverausfall-Fallback und Authentifizierung auf Switches

Ethernet-Switches von Juniper Networks verwenden Authentifizierung, um die Zugriffssteuerung in einem Unternehmensnetzwerk zu implementieren. Wenn die 802.1X-, MAC RADIUS- oder Captive Portal-Authentifizierung auf dem Switch konfiguriert ist, werden die Endgeräte bei der ersten Verbindung von einem Authentifizierungsserver (RADIUS) ausgewertet. Wenn das Endgerät auf dem Authentifizierungsserver konfiguriert ist, erhält das Gerät Zugriff auf das LAN und der Switch der EX-Serie öffnet die Schnittstelle, um den Zugriff zu ermöglichen.

Mit dem Serverausfall-Fallback können Sie festlegen, wie mit dem Switch verbundene Endgeräte unterstützt werden, wenn der RADIUS-Authentifizierungsserver nicht mehr verfügbar ist. Das Fallback für Serverfehler wird am häufigsten während der erneuten Authentifizierung ausgelöst, wenn auf den bereits konfigurierten und verwendeten RADIUS-Server nicht mehr zugegriffen werden kann. Ein Serverausfall-Fallback kann aber auch durch den ersten Authentifizierungsversuch eines Endgeräts über den RADIUS-Server ausgelöst werden.

Mit dem Fallback für Serverfehler können Sie eine von vier Aktionen angeben, die für Endgeräte ausgeführt werden sollen, die auf die Authentifizierung warten, wenn für den Server eine Zeitüberschreitung auftritt. Der Switch kann den Zugriff auf Supplicants annehmen oder verweigern oder den Zugriff beibehalten, der Supplicants bereits vor dem Auftreten des RADIUS-Timeouts gewährt wurde. Sie können den Switch auch so konfigurieren, dass die Supplicants in ein bestimmtes VLAN verschoben werden. Das VLAN muss bereits auf dem Switch konfiguriert sein. Der konfigurierte VLAN-Name überschreibt alle vom Server gesendeten Attribute.

  • Permit Authentifizierung, sodass der Datenverkehr vom Endgerät über die Schnittstelle fließen kann, als ob das Endgerät erfolgreich vom RADIUS-Server authentifiziert worden wäre.

  • Deny Authentifizierung, die verhindert, dass der Datenverkehr vom Endgerät über die Schnittstelle fließt. Dies ist die Standardeinstellung.

  • Move das Endgerät in ein bestimmtes VLAN, wenn der Switch eine RADIUS-Zugriffsverweigerungsnachricht empfängt. Der konfigurierte VLAN-Name überschreibt alle vom Server gesendeten Attribute. (Das VLAN muss bereits auf dem Switch vorhanden sein.)

  • authentifizierte Endgeräte, die bereits über einen LAN-Zugang verfügen, und nicht authentifizierte Endgeräte.Sustaindeny Wenn die RADIUS-Server bei der erneuten Authentifizierung eine Zeitüberschreitung aufweisen, werden zuvor authentifizierte Endgeräte erneut authentifiziert und neuen Benutzern der LAN-Zugriff verweigert.

Konfigurieren des RADIUS-Serverausfall-Fallbacks (CLI-Verfahren)

Sie können Authentifizierungs-Fallback-Optionen konfigurieren, um festzulegen, wie mit einem Switch verbundene Endgeräte unterstützt werden, wenn der RADIUS-Authentifizierungsserver nicht mehr verfügbar ist.

Wenn Sie die 802.1X- oder MAC RADIUS-Authentifizierung auf dem Switch einrichten, geben Sie einen primären Authentifizierungsserver und einen oder mehrere Backup-Authentifizierungsserver an. Wenn der primäre Authentifizierungsserver vom Switch nicht erreicht werden kann und die sekundären Authentifizierungsserver ebenfalls nicht erreichbar sind, tritt eine Zeitüberschreitung beim RADIUS-Server auf. Da in diesem Fall der Authentifizierungsserver den Zugriff auf die auf die Authentifizierung wartenden Endgeräte gewährt oder verweigert, erhält der Switch keine Zugriffsanweisungen für Endgeräte, die versuchen, auf das LAN zuzugreifen, und die normale Authentifizierung kann nicht abgeschlossen werden.

Sie können die Fallback-Funktion für Serverfehler so konfigurieren, dass eine Aktion angegeben wird, die der Switch auf Endgeräte anwendet, wenn die Authentifizierungsserver nicht verfügbar sind. Der Switch kann den Zugriff auf Supplicants annehmen oder verweigern oder den Zugriff beibehalten, der Supplicants bereits vor dem Auftreten des RADIUS-Timeouts gewährt wurde. Sie können den Switch auch so konfigurieren, dass die Supplicants in ein bestimmtes VLAN verschoben werden.

Sie können die Fallback-Funktion zum Ablehnen des Servers auch für Endgeräte konfigurieren, die eine RADIUS-Zugriffsablehnungsnachricht vom Authentifizierungsserver erhalten. Die Fallback-Funktion zum Ablehnen von Servern bietet eingeschränkten Zugriff auf ein LAN, in der Regel nur auf das Internet, für reaktionsfähige Endgeräte, die 802.1X-fähig sind, aber die falschen Anmeldeinformationen gesendet haben.

Serverausfallfallback wird für Sprachdatenverkehr ab Version 14.1X53-D40 und Version 15.1R4 unterstützt. Verwenden Sie die Anweisung, um Serverfehler-Fallbackaktionen für VoIP-Clients zu konfigurieren, die Sprachdatenverkehr senden.server-fail-voip Verwenden Sie für den gesamten Datenverkehr die Anweisung.server-fail Der Switch bestimmt die zu verwendende Fallbackmethode basierend auf dem Typ des vom Client gesendeten Datenverkehrs. Nicht getaggte Datenrahmen unterliegen der mit konfigurierten Aktion, auch wenn sie von einem VoIP-Client gesendet werden.server-fail Markierte VoIP-VLAN-Frames unterliegen der Aktion, die mit konfiguriert ist .server-fail-voip Wenn diese Option nicht konfiguriert ist, wird der Sprachverkehr verworfen.server-fail-voip

HINWEIS:

Server-Ablehnungs-Fallback wird für VoIP-VLAN-getaggten Datenverkehr nicht unterstützt. Wenn ein VoIP-Client die Authentifizierung startet, indem er ungetaggten Datenverkehr an ein VLAN sendet, während der Server-Reject-Fallback aktiv ist, darf der VoIP-Client auf das Fallback-VLAN zugreifen. Wenn derselbe Client anschließend getaggten Sprachdatenverkehr sendet, wird der Sprachdatenverkehr verworfen.

Wenn ein VoIP-Client die Authentifizierung startet, indem er getaggten Sprachdatenverkehr sendet, während das Fallback der Serverablehnung aktiv ist, wird dem VoIP-Client der Zugriff auf das Fallback-VLAN verweigert.

Sie können das folgende Verfahren verwenden, um Serverfehleraktionen für Datenclients zu konfigurieren. Um den Serverausfallfallback für VoIP-Clients zu konfigurieren, die Sprachdatenverkehr senden, verwenden Sie die Anweisung anstelle der Anweisung.server-fail-voipserver-fail

So konfigurieren Sie Fallback-Aktionen für Serverfehler:

  • Konfigurieren Sie eine Schnittstelle, die den Datenverkehr von einem Supplicant zum LAN zulässt, wenn ein RADIUS-Server-Timeout auftritt (als ob das Endgerät erfolgreich von einem RADIUS-Server authentifiziert worden wäre):
  • Konfigurieren Sie eine Schnittstelle, um den Datenverkehrsfluss von einem Endgerät zum LAN zu verhindern (als ob das Endgerät die Authentifizierung fehlgeschlagen hätte und der Zugriff vom RADIUS-Server verweigert worden wäre):
  • Konfigurieren Sie eine Schnittstelle, um ein Endgerät in ein bestimmtes VLAN zu verschieben, wenn ein RADIUS-Server-Timeout auftritt:
  • Konfigurieren Sie eine Schnittstelle, die bereits verbundene Endgeräte als reauthentifiziert erkennt, wenn es bei der erneuten Authentifizierung zu einem RADIUS-Timeout kommt (neuen Endgeräten wird der Zugriff verweigert):

Sie können eine Schnittstelle, die eine RADIUS-Zugriffsverweigerungsnachricht vom Authentifizierungsserver empfängt, so konfigurieren, dass Endgeräte, die versuchen, auf der Schnittstelle auf LAN zuzugreifen, in ein VLAN mit Serverablehnung verschoben werden, ein angegebenes VLAN, das bereits auf dem Switch konfiguriert ist.

So konfigurieren Sie ein Fallback-VLAN zum Ablehnen des Servers:

Tabellarischer Änderungsverlauf

Die Unterstützung der Funktion hängt von der Plattform und der Version ab, die Sie benutzen. Verwenden Sie Feature Explorer, um festzustellen, ob eine Funktion auf Ihrer Plattform unterstützt wird.

Release
Beschreibung
14.1X53-D40
Serverausfallfallback wird für Sprachdatenverkehr ab Version 14.1X53-D40 und Version 15.1R4 unterstützt.