Configuration de la secours de défaillance serveur sur les routeurs MX Series en mode LAN amélioré
À partir de la version 14.2 de Junos OS, le serveur de secours par échec vous permet de spécifier la manière dont les équipements finaux connectés au routeur sont pris en charge si le serveur d’authentification RADIUS devient indisponible ou envoie un message d’accès-rejet RADIUS.
L’authentification 802.1X et MAC RADIUS fonctionne à l’aide d’un authenticator port access entity (le routeur) pour bloquer tout le trafic vers et depuis un équipement final au niveau de l’interface jusqu’à ce que les informations d’identification de l’équipement final soient présentées et mises en correspondance sur le authentication server (un serveur RADIUS). Une fois l’équipement final authentifié, le routeur cesse de bloquer et ouvre l’interface à l’équipement final.
Lorsque vous configurez l’authentification 802.1X ou MAC RADIUS sur le routeur, vous spécifiez un serveur d’authentification principal et un ou plusieurs serveurs d’authentification de secours. Si le routeur ne parvient pas à joindre le serveur d’authentification principal et que les serveurs d’authentification secondaires sont également inaccessibles, un délai d’expiration du serveur RADIUS survient. Étant donné que le serveur d’authentification accorde ou refuse l’accès aux équipements finaux en attente d’authentification, le routeur ne reçoit pas d’instructions d’accès pour les équipements finaux qui tentent d’accéder au LAN et l’authentification normale ne peut pas être effectuée. La secours de défaillance du serveur vous permet de configurer des alternatives d’authentification qui permettent au routeur d’effectuer des actions appropriées vers les équipements finaux en attente d’authentification ou de réauthentification.
La méthode d’authentification de repli appelée VLAN de refus du serveur offre un accès limité à un LAN, généralement uniquement à Internet, pour les équipements finaux réactifs compatibles 802.1X mais qui ont envoyé les informations d’identification erronées. Si l’équipement final authentifié à l’aide du VLAN de rejet du serveur est un téléphone IP, le trafic vocal n’est pas autorisé.
Pour configurer les options de repli de base du serveur à l’aide de l’interface CLI :
Configurez une interface pour permettre au trafic de passer d’un demandeur au LAN si un délai de serveur RADIUS survient (comme si l’équipement final avait été authentifié avec succès par un serveur RADIUS) :
[edit protocols authentication-access-control] user@router# set interface ge-0/0/1 dot1x server-fail permit
Configurez une interface pour empêcher le flux de trafic d’un équipement final vers le LAN (comme si l’équipement final avait échoué et avait été rejeté par le serveur RADIUS) :
[edit protocols authentication-access-control] user@router# set interface ge-0/0/1 dot1x server-fail deny
Configurez une interface pour déplacer un équipement final vers un VLAN spécifié si un délai de serveur RADIUS survient (dans ce cas, le nom du VLAN est vlan1) :
[edit protocols authentication-access-control] user@router# set interface ge-0/0/1 dot1x server-fail vlan-name vlan1
Configurez une interface pour reconnaître les équipements finaux déjà connectés comme réauthentification s’il y a un délai RADIUS pendant la réauthentification (les nouveaux utilisateurs se voient refuser l’accès) :
[edit protocols authentication-access-control] user@router# set interface ge-0/0/1 dot1x server-fail use-cache
Configurez une interface qui reçoit un message d’accès RADIUS-rejet du serveur d’authentification pour déplacer les équipements finaux qui tentent d’accéder au LAN sur l’interface vers un VLAN spécifié déjà configuré sur le routeur (dans ce cas, le nom du VLAN est vlan-sf) :
[edit protocols authentication-access-control] user@router# set interface ge-0/0/1 dot1x server-reject-vlan vlan-sf
REMARQUE :Si un téléphone IP est authentifié dans le VLAN de rejet du serveur, le trafic vocal n’est pas autorisé.