Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
Auf dieser Seite
 

Fallback und Authentifizierung bei Serverfehlern

Der Serverausfall-Fallbackmechanismus für 802.1X, MAC RADIUS und Captive Portal-Authentifizierung definiert, wie Gerätezustände behandelt werden, wenn der RADIUS-Server nicht mehr verfügbar ist oder den Zugriff ablehnt.

Grundlegendes zu Serverausfall-Fallback und Authentifizierung auf Switches

Ethernet-Switches von Juniper Networks verwenden Authentifizierung, um die Zugriffssteuerung in einem Unternehmensnetzwerk zu implementieren. Wenn die 802.1X-, MAC RADIUS- oder Captive Portal-Authentifizierung auf dem Switch konfiguriert ist, werden die Endgeräte bei der ersten Verbindung von einem Authentifizierungsserver (RADIUS) ausgewertet. Wenn das Endgerät auf dem Authentifizierungsserver konfiguriert ist, erhält das Gerät Zugriff auf das LAN und der Switch der EX-Serie öffnet die Schnittstelle, um den Zugriff zu ermöglichen.

Mit dem Serverausfall-Fallback können Sie festlegen, wie mit dem Switch verbundene Endgeräte unterstützt werden, wenn der RADIUS-Authentifizierungsserver nicht mehr verfügbar ist. Das Fallback für Serverfehler wird am häufigsten während der erneuten Authentifizierung ausgelöst, wenn auf den bereits konfigurierten und verwendeten RADIUS-Server nicht mehr zugegriffen werden kann. Ein Serverausfall-Fallback kann aber auch durch den ersten Authentifizierungsversuch eines Endgeräts über den RADIUS-Server ausgelöst werden.

Mit dem Fallback für Serverfehler können Sie eine von vier Aktionen angeben, die für Endgeräte ausgeführt werden sollen, die auf die Authentifizierung warten, wenn für den Server eine Zeitüberschreitung auftritt. Der Switch kann den Zugriff auf Supplicants annehmen oder verweigern oder den Zugriff beibehalten, der Supplicants bereits vor dem Auftreten des RADIUS-Timeouts gewährt wurde. Sie können den Switch auch so konfigurieren, dass die Supplicants in ein bestimmtes VLAN verschoben werden. Das VLAN muss bereits auf dem Switch konfiguriert sein. Der konfigurierte VLAN-Name überschreibt alle vom Server gesendeten Attribute.

  • Permit Authentifizierung, sodass der Datenverkehr vom Endgerät über die Schnittstelle fließen kann, als ob das Endgerät erfolgreich vom RADIUS-Server authentifiziert worden wäre.

  • Deny Authentifizierung, die verhindert, dass der Datenverkehr vom Endgerät über die Schnittstelle fließt. Dies ist die Standardeinstellung.

  • Move das Endgerät in ein bestimmtes VLAN, wenn der Switch eine RADIUS-Zugriffsverweigerungsnachricht empfängt. Der konfigurierte VLAN-Name überschreibt alle vom Server gesendeten Attribute. (Das VLAN muss bereits auf dem Switch vorhanden sein.)

  • Sustain authentifizierte Endgeräte, die bereits über einen LAN-Zugang verfügen, und deny nicht authentifizierte Endgeräte. Wenn die RADIUS-Server bei der erneuten Authentifizierung eine Zeitüberschreitung aufweisen, werden zuvor authentifizierte Endgeräte erneut authentifiziert und neuen Benutzern der LAN-Zugriff verweigert.

Siehe auch

Konfigurieren des RADIUS-Serverausfall-Fallbacks (CLI-Verfahren)

Sie können Authentifizierungs-Fallback-Optionen konfigurieren, um festzulegen, wie mit einem Switch verbundene Endgeräte unterstützt werden, wenn der RADIUS-Authentifizierungsserver nicht mehr verfügbar ist.

Wenn Sie die 802.1X- oder MAC RADIUS-Authentifizierung auf dem Switch einrichten, geben Sie einen primären Authentifizierungsserver und einen oder mehrere Backup-Authentifizierungsserver an. Wenn der primäre Authentifizierungsserver vom Switch nicht erreicht werden kann und die sekundären Authentifizierungsserver ebenfalls nicht erreichbar sind, tritt eine Zeitüberschreitung beim RADIUS-Server auf. Da in diesem Fall der Authentifizierungsserver den Zugriff auf die auf die Authentifizierung wartenden Endgeräte gewährt oder verweigert, erhält der Switch keine Zugriffsanweisungen für Endgeräte, die versuchen, auf das LAN zuzugreifen, und die normale Authentifizierung kann nicht abgeschlossen werden.

Sie können die Fallback-Funktion für Serverfehler so konfigurieren, dass eine Aktion angegeben wird, die der Switch auf Endgeräte anwendet, wenn die Authentifizierungsserver nicht verfügbar sind. Der Switch kann den Zugriff auf Supplicants annehmen oder verweigern oder den Zugriff beibehalten, der Supplicants bereits vor dem Auftreten des RADIUS-Timeouts gewährt wurde. Sie können den Switch auch so konfigurieren, dass die Supplicants in ein bestimmtes VLAN verschoben werden.

Sie können die Fallback-Funktion zum Ablehnen des Servers auch für Endgeräte konfigurieren, die eine RADIUS-Zugriffsablehnungsnachricht vom Authentifizierungsserver erhalten. Die Fallback-Funktion zum Ablehnen von Servern bietet eingeschränkten Zugriff auf ein LAN, in der Regel nur auf das Internet, für reaktionsfähige Endgeräte, die 802.1X-fähig sind, aber die falschen Anmeldeinformationen gesendet haben.

Serverausfallfallback wird für Sprachdatenverkehr ab Version 14.1X53-D40 und Version 15.1R4 unterstützt. Verwenden Sie die Anweisung, um Serverfehler-Fallbackaktionen für VoIP-Clients zu konfigurieren, die server-fail-voip Sprachdatenverkehr senden. Verwenden Sie für den gesamten Datenverkehr die server-fail Anweisung. Der Switch bestimmt die zu verwendende Fallbackmethode basierend auf dem Typ des vom Client gesendeten Datenverkehrs. Nicht getaggte Datenrahmen unterliegen der mit konfigurierten server-failAktion, auch wenn sie von einem VoIP-Client gesendet werden. Markierte VoIP-VLAN-Frames unterliegen der Aktion, die mit konfiguriert ist server-fail-voip. Wenn server-fail-voip diese Option nicht konfiguriert ist, wird der Sprachverkehr verworfen.

HINWEIS:

Server-Ablehnungs-Fallback wird für VoIP-VLAN-getaggten Datenverkehr nicht unterstützt. Wenn ein VoIP-Client die Authentifizierung startet, indem er ungetaggten Datenverkehr an ein VLAN sendet, während der Server-Reject-Fallback aktiv ist, darf der VoIP-Client auf das Fallback-VLAN zugreifen. Wenn derselbe Client anschließend getaggten Sprachdatenverkehr sendet, wird der Sprachdatenverkehr verworfen.

Wenn ein VoIP-Client die Authentifizierung startet, indem er getaggten Sprachdatenverkehr sendet, während das Fallback der Serverablehnung aktiv ist, wird dem VoIP-Client der Zugriff auf das Fallback-VLAN verweigert.

Sie können das folgende Verfahren verwenden, um Serverfehleraktionen für Datenclients zu konfigurieren. Um den Serverausfallfallback für VoIP-Clients zu konfigurieren, die Sprachdatenverkehr senden, verwenden Sie die server-fail-voip Anweisung anstelle der server-fail Anweisung.

So konfigurieren Sie Fallback-Aktionen für Serverfehler:

  • Konfigurieren Sie eine Schnittstelle, die den Datenverkehr von einem Supplicant zum LAN zulässt, wenn ein RADIUS-Server-Timeout auftritt (als ob das Endgerät erfolgreich von einem RADIUS-Server authentifiziert worden wäre):
  • Konfigurieren Sie eine Schnittstelle, um den Datenverkehrsfluss von einem Endgerät zum LAN zu verhindern (als ob das Endgerät die Authentifizierung fehlgeschlagen hätte und der Zugriff vom RADIUS-Server verweigert worden wäre):
  • Konfigurieren Sie eine Schnittstelle, um ein Endgerät in ein bestimmtes VLAN zu verschieben, wenn ein RADIUS-Server-Timeout auftritt:
  • Konfigurieren Sie eine Schnittstelle, die bereits verbundene Endgeräte als reauthentifiziert erkennt, wenn es bei der erneuten Authentifizierung zu einem RADIUS-Timeout kommt (neuen Endgeräten wird der Zugriff verweigert):

Sie können eine Schnittstelle, die eine RADIUS-Zugriffsverweigerungsnachricht vom Authentifizierungsserver empfängt, so konfigurieren, dass Endgeräte, die versuchen, auf der Schnittstelle auf LAN zuzugreifen, in ein VLAN mit Serverablehnung verschoben werden, ein angegebenes VLAN, das bereits auf dem Switch konfiguriert ist.

So konfigurieren Sie ein Fallback-VLAN zum Ablehnen des Servers:

Siehe auch

Konfigurieren der RADIUS-Erreichbarkeit für die erneute Authentifizierung von Serverfehlsitzungen

Wenn ein Authentifizierungsversuch einen Server-Fail-Fallback auslöst, kann das Endgerät nach einer gewissen Zeit einen erneuten Authentifizierungsversuch unternehmen. Das Standard-Zeitintervall, in dem das Endgerät auf eine erneute Authentifizierung warten muss, beträgt 60 Minuten. Das Zeitintervall für die erneute Authentifizierung kann mit der CLI-Anweisung reauthentication konfiguriert werden.

Der Server wird möglicherweise verfügbar, bevor der Timer für die erneute Authentifizierung abläuft. Wenn die RADIUS-Erreichbarkeitsfunktion aktiviert ist, löst sie eine erneute Authentifizierung aus, sobald erkannt wird, dass der Server erreichbar ist, ohne auf den Ablauf des Zeitgebers für die erneute Authentifizierung zu warten. Sobald eine Sitzung zum Serverausfall-Fallback wechselt, fragt der Authentifikator den Server in regelmäßigen Abständen ab, indem er die Authentifizierung für diese Sitzung initiiert. Wenn der Authentifikator eine Antwort erhält, die angibt, dass der Server erreichbar ist, leitet er die Authentifizierung für alle Serverfehlschlagsitzungen ein.

Um die RADIUS-Erreichbarkeit zu aktivieren, müssen Sie den Abfragezeitraum konfigurieren, der bestimmt, wie oft der Authentifikator den Server nach der Erreichbarkeit abfragt. Konfigurieren Sie den Abfragezeitraum mit dem folgenden Befehl:

HINWEIS:

Der Ruhezeitraum muss kürzer sein als der Abfragezeitraum. Die Ruhezeit ist der Zeitraum, in dem die Schnittstelle nach einem fehlgeschlagenen Authentifizierungsversuch im Wartezustand verbleibt, bevor die Authentifizierung erneut versucht wird.

Tabellarischer Änderungsverlauf

Die Unterstützung der Funktion hängt von der Plattform und der Version ab, die Sie benutzen. Verwenden Sie Feature Explorer, um festzustellen, ob eine Funktion auf Ihrer Plattform unterstützt wird.

Release
Beschreibung
14.1X53-D40
Serverausfallfallback wird für Sprachdatenverkehr ab Version 14.1X53-D40 und Version 15.1R4 unterstützt.