interface (802.1X)

Configurez une liste de noms d’interface ou toutes les interfaces pour l’authentification 802.1x.

Désactiver l’authentification 802.1X sur une interface ou toutes les interfaces spécifiées.

• Par défaut: L’authentification 802.1X est désactivée sur toutes les interfaces.

(MX Series uniquement) Spécifiez l’identifiant de balise de domaine de pont ou le nom du domaine de pont invité vers lequel une interface est déplacée lorsqu’aucun demandeur 802.1X n’est connecté sur l’interface. Le domaine de pont spécifié doit déjà exister sur l’équipement.

(EX, QFX et SRX Series uniquement) Spécifiez l’identifiant de la balise VLAN ou le nom du VLAN invité vers lequel une interface est déplacée lorsqu’aucun demandeur 802.1X n’est connecté sur l’interface. Le VLAN spécifié doit déjà exister sur l’équipement. Les VLAN invités peuvent être configurés sur les équipements qui utilisent l’authentification 802.1X pour offrir un accès limité aux invités de l’entreprise , généralement uniquement à Internet. Un VLAN invité n’est pas utilisé pour les demandeurs qui envoient des informations d’identification incorrectes. Ces demandeurs sont dirigés vers le VLAN de rejet du serveur à la place.

Ignorez la commande port-bounce contenue dans une demande de modification d’autorisation (CoA). Les requêtes CoA sont des messages RADIUS utilisés pour modifier dynamiquement une session utilisateur authentifiée déjà en cours. Les demandes de CoA sont envoyées depuis le serveur AAA (authentification, autorisation et comptabilité) vers l’équipement, et sont généralement utilisées pour modifier le VLAN de l’hôte en fonction du profilage de l’équipement. Les équipements finaux tels que les imprimantes ne disposent pas d’un mécanisme permettant de détecter la modification du VLAN, de sorte qu’ils ne renouvellent pas le bail de leur adresse DHCP dans le nouveau VLAN. La commande port-bounce est utilisée pour forcer l’équipement final à lancer une renégociation DHCP en provoquant un flap de liaison sur le port authentifié.

• Par défaut: La commande port-bounce est prise en charge par défaut. Si vous ne configurez pas l’instruction ignore-port-bounce , l’équipement répond à une commande port-bounce en tapant la liaison pour relancer la négociation DHCP pour l’équipement final.

Spécifiez le nombre maximal de fois qu’un paquet de requête EAPoL est retransmis au demandeur avant que la session d’authentification n’arrive à s’arrêter.

• Gamme: 1 à 10

• Par défaut: 2

Désactiver la réauthentification ou configurer le nombre de secondes avant que la session d’authentification 802.1X n’ait plus d’horrification et que le client doit renouveler l’authentification.

• Gamme: 1 à 65 535 secondes

• Par défaut: La réauthentification est activée, avec 3 600 secondes jusqu’à ce que le client puisse tenter de s’authentifier à nouveau.

N’autorisez pas une adresse MAC balisée pour l’authentification RADIUS.

Spécifiez le nombre de secondes où l’interface reste dans l’état d’attente après une tentative d’authentification échouée par un demandeur avant de renouveler l’authentification.

• Gamme: 0 à 65 535 secondes

• Par défaut: 60 secondes

Spécifiez une URL qui redirige les hôtes non authentifiés vers un serveur central d’authentification Web (CWA). Le serveur CWA fournit un portail Web où l’utilisateur peut saisir un nom d’utilisateur et un mot de passe. Si ces informations d’identification sont validées par le serveur CWA, l’utilisateur est authentifié et est autorisé à accéder au réseau.

L’URL de redirection pour l’authentification Web centrale peut être configurée de manière centralisée sur le serveur AAA ou localement sur le commutateur. Utilisez l’instruction redirect-url pour configurer l’URL de redirection localement sur l’interface reliant l’hôte au commutateur.

L’URL de redirection et un filtre de pare-feu dynamique doivent tous deux être présents pour que le processus d’authentification Web central soit déclenché. Pour plus d’informations sur la configuration de l’URL de redirection et du filtre de pare-feu dynamique pour l’authentification Web centrale, voir Configuration de l’authentification Web centrale.

• Syntaxe: L’URL de redirection doit utiliser le protocole HTTP ou HTTPS et inclure une adresse IP ou un nom de site Web. Voici des exemples de formats d’URL de redirection valides :

  • http://www.example.com

  • https://www.example.com

  • http://10.10.10.10

  • https://10.10.10.10

  • http://www.example.com/login.html

  • https://www.example.com/login.html

  • http://10.10.10.10/login.html

  • https://10.10.10.10/login.html

• Par défaut: Désactivé. L’URL de redirection n’est pas activée par défaut pour l’authentification Web centrale.

Configurez le serveur d’authentification pour qu’il réessaye d’envoyer une demande EAP au demandeur. Cela peut aider à éviter un délai d’expiration de la session d’authentification en raison d’un demandeur qui ne répond pas. Le nombre de tentatives est basé sur la valeur configurée.

• Gamme: 1 à 10 tentatives

• Par défaut: 2 tentatives

Spécifiez le nombre de tentatives d’authentification du port par l’équipement après une défaillance initiale. Lorsque la limite est dépassée, le port attend pour renouveler l’authentification pendant le nombre de secondes spécifié avec l’option quiet-period configurée au même niveau hiérarchique.

• Gamme: 1 à 10 tentatives

• Par défaut: 3 tentatives

Spécifiez comment les terminaux connectés à un équipement sont pris en charge si le serveur d’authentification RADIUS n’est plus disponible. Lors de la réauthentification, la secours par échec du serveur est le plus souvent déclenchée lorsque le serveur RADIUS déjà configuré et en cours d’utilisation devient inaccessible. Toutefois, le serveur de secours peut également être déclenché par la tentative initiale d’authentification d’un demandeur via le serveur RADIUS.

Vous devez spécifier une action que l’équipement applique aux terminaux lorsque les serveurs d’authentification ne sont pas disponibles. L’équipement peut accepter ou refuser l’accès aux demandeurs ou maintenir l’accès déjà accordé aux demandeurs avant que le délai RADIUS ne s’affiche. Vous pouvez également configurer le commutateur pour déplacer les demandeurs vers un VLAN ou un domaine de pont spécifique. Le VLAN ou le domaine de pont doit déjà être configuré sur l’équipement.

• Valeurs: bridge-domain— (MX Series uniquement) Déplacez le demandeur sur l’interface vers le domaine de pont spécifié par ce nom ou cet identifiant numérique. Cette action n’est autorisée que s’il s’agit du premier demandeur se connectant à une interface. Si un demandeur authentifié est déjà connecté, il n’est pas déplacé vers le domaine de pont et n’est pas authentifié. Le domaine de pont doit déjà être configuré sur l’équipement.

  deny— Forcer l’authentification du demandeur à échouer. Aucun trafic ne passera par l’interface.

  permit— Forcer l’authentification du demandeur à réussir. Le trafic passe par l’interface comme s’il avait été authentifié avec succès par le serveur RADIUS.

  use-cache: forcez l’authentification du demandeur à réussir uniquement si elle a déjà été authentifiée avec succès. Cette action garantit que les demandeurs déjà authentifiés ne sont pas affectés.

  vlan-name—(EX, QFX ou SRX Series uniquement) Déplacez le demandeur sur l’interface vers le VLAN spécifié par ce nom ou cet identifiant numérique. Cette action n’est autorisée que s’il s’agit du premier demandeur se connectant à l’interface. Si un demandeur authentifié est déjà connecté, le demandeur n’est pas déplacé vers le VLAN et n’est pas authentifié. Le VLAN doit déjà être configuré sur l’équipement.

• Par défaut: Si le serveur d’authentification RADIUS n’est plus disponible, l’équipement final n’est pas authentifié et se voit refuser l’accès au réseau.

(EX, QFX Series uniquement) Spécifiez comment les clients VoIP qui envoient du trafic vocal sont pris en charge si le serveur d’authentification RADIUS devient indisponible. Lors de la réauthentification, la secours par échec du serveur est le plus souvent déclenchée lorsque le serveur RADIUS déjà configuré et en cours d’utilisation devient inaccessible. Toutefois, la tentative d’authentification initiale d’un client VoIP via le serveur RADIUS peut également déclencher la secours d’échec du serveur.

Vous devez spécifier une action que le commutateur applique aux clients VoIP lorsque les serveurs d’authentification ne sont pas disponibles. Le commutateur peut accepter ou refuser l’accès aux clients VoIP ou maintenir l’accès déjà accordé aux clients avant que le délai RADIUS ne se produise. Vous pouvez également configurer le commutateur pour déplacer les clients VoIP vers un VLAN spécifique. Le VLAN doit déjà être configuré sur le commutateur.

Cette server-fail-voip déclaration est spécifique au trafic voIP-taggé envoyé par les clients. Les clients VoIP exigent toujours que l’instruction server-fail soit configurée pour le trafic non balisé qu’ils génèrent. Par conséquent, lorsque vous configurez l’instruction server-fail-voip , vous devez également configurer l’instruction server-fail .

• Valeurs: deny: forcez l’authentification du client VoIP à échouer. Aucun trafic ne passera par l’interface.

  permit: forcez l’authentification du client VoIP pour réussir. Le trafic passe par l’interface comme s’il avait été authentifié avec succès par le serveur RADIUS.

  use-cache— Forcer l’authentification du client VoIP à réussir uniquement si elle a été authentifiée avec succès auparavant. Cette action garantit que les clients déjà authentifiés ne sont pas affectés.

  vlan-name: déplacez le client VoIP sur l’interface vers le VLAN spécifié par ce nom ou cet identifiant numérique. Cette action n’est autorisée que s’il s’agit du premier client VoIP se connectant à l’interface. Si un client VoIP authentifié est déjà connecté, le client VoIP n’est pas déplacé vers le VLAN et n’est pas authentifié. Le VLAN doit déjà être configuré sur le commutateur.

• Par défaut: Si un serveur d’authentification RADIUS devient indisponible, un client VoIP qui commence l’authentification en envoyant du trafic vocal n’est pas authentifié et le trafic vocal est abandonné.

Spécifiez le temps qu’un port attendra une réponse lorsqu’il transmet une réponse du demandeur au serveur d’authentification avant de sortir et d’invoquer l’action d’échec du serveur.

• Gamme: 1 à 60 secondes

• Par défaut: 30 secondes

Spécifiez la méthode mac utilisée pour authentifier les clients.

• Valeurs: Spécifiez l’une des options suivantes :

  • unique : n’authentifie que le premier client qui se connecte à un port d’authentificateur. Tous les autres clients qui se connectent au port d’authentificateur après le premier sont autorisés à accéder librement au port sans autre authentification. Si le premier client authentifié se déconnecte, tous les autres demandeurs sont verrouillés jusqu’à ce qu’un client s’authentifie à nouveau.

  • une seule et même sécurité : authentifie un seul client à se connecter à un port d’authentificateur. L’hôte doit être directement connecté au commutateur.

  • multiples : authentifie plusieurs clients individuellement sur un seul port d’authentificateur. Vous pouvez configurer le nombre de clients par port. Si vous configurez également un nombre maximal d’équipements pouvant être connectés à un port via des paramètres de sécurité de port, la plus faible des valeurs configurées est utilisée pour déterminer le nombre maximal de clients autorisés par port.

• Par défaut: Seul

Spécifiez le nombre de secondes que le port attend pour obtenir une réponse lorsqu’il transmet une demande du serveur d’authentification au demandeur avant de la renvoyer.

• Gamme: 1 à 60 secondes

• Par défaut: 30 secondes

Spécifiez le nombre de secondes que le port attend avant de retransmettre les PDU EAPoL initiaux vers le demandeur.

• Gamme: 1 à 65 535 secondes

• Par défaut: 30 secondes