Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 

Configuración del servidor de RADIUS recuperación de reserva (procedimiento de CLI)

 

Puede configurar las opciones de reserva de autenticación para especificar cómo se admiten los dispositivos finales conectados a un conmutador si el servidor de RADIUS autenticación deja de estar disponible.

Cuando configura la autenticación 802.1 X o MAC RADIUS en el conmutador, debe especificar un servidor de autenticación principal y uno o varios servidores de autenticación de reserva. Si el conmutador no puede alcanzar el servidor de autenticación principal y los servidores de autenticación secundarios tampoco son accesibles, se produce un tiempo de espera de RADIUS Server. Si esto ocurre, ya que se trata del servidor de autenticación que concede o deniega el acceso a los dispositivos de fin en espera de autenticación, el conmutador no recibe instrucciones de acceso para los dispositivos de extremo que intentan acceder a la LAN, y la autenticación normal no se puede completado.

Puede configurar la característica servidor de reserva de errores para especificar una acción que el conmutador aplica a los dispositivos finales cuando los servidores de autenticación no están disponibles. El modificador puede aceptar o denegar el acceso a suplicantes o mantener el acceso ya concedido a suplicantes antes de que se haya producido el tiempo de espera del RADIUS. También puede configurar el conmutador para mover los suplicantes a una VLAN específica.

También puede configurar la característica de rechazo de reserva en el servidor para los dispositivos finales que reciban un mensaje de rechazo de acceso RADIUS del servidor de autenticación. La característica de rechazo de servidor de reserva proporciona acceso limitado a una LAN, normalmente solo a Internet, para dispositivos de fin dinámico que 802.1 X habilitados, pero que han enviado Credenciales incorrectas.

La reserva de error del servidor se admite para el tráfico de voz que comienza en la versión 14.1 X53-D40 y la versión 15.1 R4. Para configurar las acciones de reserva de errores del servidor para los clientes VoIP que server-fail-voip envían tráfico de voz, utilice la instrucción. Para todo el tráfico de datos, server-fail utilice la instrucción. El modificador determina el método de reserva que se va a utilizar en función del tipo de tráfico enviado por el cliente. Los marcos de datos sin etiquetar están sujetos a la server-failacción configurada con, incluso si son enviados por un cliente de VoIP. Las tramas VoIP geomarcadas VLAN están sujetas server-fail-voipa la acción configurada con. Si server-fail-voip no está configurado, se descarta el tráfico de voz.

Nota

No se admite la reserva de rechazo del servidor para tráfico etiquetado VoIP VLAN. Si un cliente de VoIP inicia la autenticación mediante el envío de tráfico de datos sin etiquetar a una VLAN mientras está en vigor el servidor de respaldo rechazar, el cliente de VoIP puede acceder a la VLAN de reserva. Si, posteriormente, el mismo cliente envía tráfico de voz etiquetado, se descarta el tráfico de voz.

Si un cliente VoIP inicia la autenticación mediante el envío de tráfico de voz etiquetado mientras está en vigor el rechazo de servidor de respaldo, se denegará el acceso del cliente de VoIP a la VLAN de reserva.

Puede utilizar el siguiente procedimiento para configurar acciones de error de servidor para clientes de datos. Para configurar el respaldo de error del servidor para clientes VoIP que envían tráfico server-fail-voip de voz, utilice la server-fail instrucción en lugar de la instrucción.

Para configurar acciones de reserva de errores del servidor:

  • Configure una interfaz para permitir que el tráfico fluya de un suplicante a la LAN si se produce un tiempo de espera del servidor RADIUS (como si el dispositivo final hubiera sido autenticado correctamente por un servidor RADIUS):
    [edit protocols dot1x authenticator]

    user@switch# set interface interface-name server-fail permit
  • Configure una interfaz para impedir el flujo de tráfico desde un dispositivo final a la LAN (como si el dispositivo final hubiera fallado la autenticación y hubiera sido denegado el acceso por el servidor RADIUS):
    [edit protocols dot1x authenticator]

    user@switch# set interface interface-name server-fail deny
  • Configure una interfaz para mover un dispositivo final a una VLAN especificada si se agota el tiempo de espera del servidor RADIUS:
    [edit protocols dot1x authenticator]

    user@switch# set interface interface-name server-fail vlan-name
  • Configure una interfaz para que reconozca los dispositivos de fin ya conectados como reautenticados si hay un tiempo de espera de RADIUS durante la reautenticación (denegará el acceso a los nuevos dispositivos de fin):
    [edit protocols dot1x authenticator]

    user@switch# set interface interface-name server-fail use-cache

Puede configurar una interfaz que reciba un mensaje RADIUS de rechazo de acceso desde el servidor de autenticación para mover los dispositivos finales que intenten acceder a LAN en la interfaz con una VLAN de rechazo de servidor, una VLAN especificada ya configurada en el conmutador.

Para configurar una VLAN de Reject de reserva del servidor:

  • [edit protocols dot1x authenticator]

    user@switch# set interface interface-name server-reject-vlan vlan-sf
Release History Table
Publicación
Descripción
La reserva de error del servidor se admite para el tráfico de voz que comienza en la versión 14.1 X53-D40 y la versión 15.1 R4.