Comprendre la secours et l’authentification des serveurs sur les routeurs MX Series en mode LAN amélioré
À partir de la version 14.2 de Junos OS, le serveur de secours par échec vous permet de spécifier la manière dont les équipements finaux connectés au routeur sont pris en charge si le serveur d’authentification RADIUS devient indisponible ou envoie un message d’accès-rejet RADIUS.
Les routeurs MX Series de Juniper Networks en mode LAN amélioré utilisent l’authentification pour mettre en œuvre un contrôle d’accès dans un réseau d’entreprise. Si l’authentification 802.1X, MAC RADIUS ou le portail captif sont configurés sur l’interface, les équipements finaux sont évalués à la connexion initiale par un serveur d’authentification (RADIUS). Si l’équipement final est configuré sur le serveur d’authentification, l’équipement obtient l’accès au LAN et le routeur MX Series ouvre l’interface pour autoriser l’accès.
Un délai d’expiration du serveur RADIUS se produit si aucun serveur d’authentification RADIUS n’est accessible lorsqu’un équipement final se connecte et tente d’accéder au LAN. Le secours de défaillance du serveur vous permet de spécifier l’une des quatre actions à effectuer vers les équipements terminaux en attente d’authentification lorsque le serveur est hors délai :
Permit l’authentification, permettant au trafic de passer de l’équipement final à travers l’interface comme si l’équipement final avait été authentifié avec succès par le serveur RADIUS.
Deny l’authentification, empêchant le trafic de circuler de l’équipement final à travers l’interface. C’est la valeur par défaut.
Move l’équipement final vers un VLAN spécifié. (Le VLAN doit déjà exister sur le routeur.)
Sustain les terminaux authentifiés qui disposent déjà d’un accès LAN et deny d’équipements finaux non authentifiés. Si les serveurs RADIUS s’arrêtent pendant la réauthentification, les équipements finaux précédemment authentifiés sont réauthentificationné et les nouveaux utilisateurs se voient refuser l’accès LAN.
Lors de la réauthentification, la secours par échec du serveur est le plus souvent déclenchée lorsque le serveur RADIUS déjà configuré et en cours d’utilisation devient inaccessible. Toutefois, la secours par échec du serveur peut également être déclenchée par la première tentative d’authentification d’un équipement final via le serveur RADIUS.
La solution de secours de défaillance du serveur vous permet de spécifier qu’un équipement final doit être déplacé vers un VLAN spécifié si le routeur reçoit un message d’accès RADIUS-rejet. Le nom VLAN configuré remplace tous les attributs envoyés par le serveur.