Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Délai d’ouverture des sessions d’authentification

Vous pouvez contrôler l’accès à votre réseau via un commutateur en utilisant plusieurs authentifications différentes. Junos OS,1X, les commutateurs MAC RADIUS et les portails captifs sont utilisés comme méthodes d’authentification pour les équipements nécessitant une connexion à un réseau. Pour plus d’informations, lisez ce sujet.

Understanding Authentication Session Timeout

Des informations sur les sessions d’authentification, y compris les interfaces associées et les VLAN pour chaque adresse MAC authentifiée, sont stockées dans la table de session d’authentification. La table de session d’authentification est liée à la table de commutation Ethernet (également appelée table MAC). Chaque fois que le commutateur détecte le trafic à partir d’une adresse MAC, il met à jour le délai d’attente de ce nœud réseau dans la table de commutation Ethernet. Un système d’heureur sur le commutateur vérifie périodiquement le délai d’attente et, si sa valeur dépasse la valeur configurée par l’utilisateur, l’adresse MAC est supprimée de la table de commutation mac-table-aging-time Ethernet. Lorsqu’une adresse MAC sort de la table de commutation Ethernet, l’entrée de cette adresse MAC est également retirée de la table de session d’authentification, ce qui permet de terminer la session.

Lorsque la session d’authentification se termine en raison du vieillissement de l’adresse MAC, l’hôte doit re-tenter l’authentification. Pour limiter les temps d’arrêt résultant de la ré-authentification, vous pouvez contrôler le délai d’arrêt des sessions d’authentification des manières suivantes:

  • Pour les sessions d’authentification RADIUS 802.1X et MAC, dissociez la table de session d’authentification de la table de commutation Ethernet à l’aide de la no-mac-table-binding déclaration. Ces paramètres empêchent la fin de la session d’authentification lorsque l’adresse MAC associée est sortie de la table de commutation Ethernet.

  • Pour les sessions d’authentification sur les portails captifs, configurez un compte à suivre à l’aide de user-keepalive l’énoncé. Lorsque l’adresse MAC associée est sortie de la table de commutation Ethernet, elle est mise en place. Si le trafic est reçu au cours de la période d’attente, le délai d’attente est supprimé. S’il n’y a aucun trafic au cours de la période d’attente, la session est supprimée.

Vous pouvez également spécifier des valeurs d’expiration de la session d’authentification pour mettre fin à la session avant l’expiration du délai de vieillissement de l’MAC. Après l’ouverture de la session, l’hôte doit re-tenter l’authentification.

  • Pour les sessions d’authentification 802.1X et MAC RADIUS, la durée de la session avant le délai d’utilisation dépend de la valeur de reauthentication l’énoncé. Si le timer de vieillissement MAC expire avant l’expiration de la session et que l’instruction n’est pas configurée, la session est terminée et l’hôte doit no-mac-table-binding s’authentifier.

  • Pour les sessions d’authentification sur le portail captif, la durée de la session dépend de la valeur configurée pour session-expiry l’énoncé. Si le timer de vieillissement MAC expire avant l’expiration de la session et que l’instruction n’est pas configurée, la session est terminée et l’hôte doit user-keepalive s’authentifier.

Remarque :

Si le serveur d’authentification envoie un délai d’au moins une session d’authentification au client, la priorité est donnée à la valeur configurée localement à l’aide de l’énoncé ou de reauthentication session-expiry l’énoncé. La valeur de délai d’utilisation de la session est envoyée du serveur au client en tant qu’attribut du message d RADIUS’accès. Pour plus d’informations sur la configuration du serveur d’authentification afin d’envoyer un délai d’épuisement des sessions d’authentification, consultez la documentation relative à votre serveur.

Contrôle des temps d’ouverture des sessions d’authentification (CLI)

L’expiration d’une session d’authentification peut entraîner un temps d’arrêt car l’hôte doit ré-tenter l’authentification. Vous pouvez limiter ce temps d’arrêt en contrôlant la période d’attente des sessions d’authentification.

Une session d’authentification peut prendre fin lorsque l’adresse MAC associée à l’hôte authentifié est érodée de la table de commutation Ethernet. Lorsque l’adresse MAC est autorisée depuis la table de commutation Ethernet, la session authentifiée de cet hôte se termine, et l’hôte doit re-tenter l’authentification.

Pour empêcher la session d’authentification de se terminer lorsque l’adresse MAC est sortie de la table de commutation Ethernet:

  • Pour les sessions authentifiées à l’aide de l’authentification 802.1X ou MAC RADIUS, vous pouvez éviter les temps d’arrêt des sessions d’authentification dues au temps de vieillissement de l’adresse MAC en dissociant la table de session d’authentification de la table de commutation Ethernet à l’aide de la no-mac-table-binding déclaration:
  • Pour les sessions authentifiées à l’aide d’une authentification sur le portail captif, vous pouvez empêcher les temps d’attente des sessions d’authentification dues au vieillissement de l’adresse MAC en prolongeant la période d’attente à l’aide de user-keepalive l’énoncé:

Vous pouvez également configurer des valeurs d’expiration de la session d’authentification pour mettre fin à une session authentifiée avant l’expiration du délai de vieillissement de l’MAC.

Remarque :

La configuration du délai d’expiration de session pour une session d’authentification n’étend pas la session après l’expiration du délai de vieillissement de l’MAC. Vous devez configurer soit l’instruction no-mac-table-binding pour 802.1X et l’authentification RADIUS MAC, soit l’instruction d’authentification captive du portail, afin d’empêcher le délai d’épuisement des sessions dus au temps de vieillissement de user-keepalive l’mac.

Pour les sessions d’authentification RADIUS 802.1X et MAC, configurez la valeur de délai d’utilisation à l’aide de reauthentication l’énoncé.

  • Pour configurer la valeur de délai d’utilisation sur une interface unique:

  • Pour configurer la valeur de délai d’utilisation sur toutes les interfaces:

Pour les sessions d’authentification sur le portail captif, configurez la valeur de délai d’utilisation à l’aide de session-expiry l’énoncé.

  • Pour configurer la valeur de délai d’utilisation sur une interface unique:

  • Pour configurer la valeur de délai d’utilisation sur toutes les interfaces:

Remarque :

Si le serveur d’authentification envoie un délai d’authentification pour la session d’authentification au client, la priorité est donnée à la valeur configurée à l’aide de l’instruction ou reauthentication de session-expiry l’énoncé. La valeur de délai d’utilisation de la session est envoyée du serveur au client en tant qu’attribut du message d RADIUS’accès.

Conserver la session d’authentification basée sur les adages d’adresses IP-MAC

L’RADIUS mac est souvent utilisée pour autoriser les hôtes qui ne sont pas activés pour l’authentification 802.1X pour accéder au réseau. Les périphériques finaux comme les imprimantes ne sont pas très actifs sur le réseau. Si l’adresse MAC associée à un équipement final a disparu en raison d’une inactivité, elle est autorisée sur la table de commutation Ethernet, et la session d’authentification se termine. Autrement dit, les autres équipements ne pourront pas atteindre l’équipement final lorsque cela est nécessaire.

Si l’adresse MAC qui viennent à se démager est associée à une adresse IP dans la table de snooping DHCP, DHCPv6 ou SLAAC, l’accord obligatoire sur les adresses MAC-IP sera autorisé à partir de la table. Cela peut entraîner une baisse du trafic lorsque le client DHCP tente de renouveler son bail.

Vous pouvez configurer le dispositif de commutation pour vérifier qu’une adresse IP-MAC est contraignante dans la table de contrôle DHCP, DHCPv6 ou SLAAC avant de mettre fin à la session d’authentification lorsque l’adresse MAC est ingération. Si l’adresse MAC de l’équipement final est liée à une adresse IP, elle sera conservée dans la table de commutation Ethernet et la session d’authentification reste active.

Cette fonctionnalité peut être configurée globalement pour toutes les sessions authentifiées à l’aide de CLI, ou par session à l’aide RADIUS données.

Avantages

Cette fonctionnalité offre les avantages suivants:

  • S’assure qu’un équipement final est accessible par les autres équipements du réseau même si l’adresse MAC n’a pas d’effet.

  • Empêche le trafic de baisser lorsque l’équipement final tente de renouveler son bail DHCP.

CLI Configuration

Avant de pouvoir configurer cette fonctionnalité:

  • La snooping DHCP, la snooping DHCPv6 ou la snooping SLAAC doivent être activées sur l’équipement.

  • no-mac-table-bindingL CLI de sécurité doit être configurée. Cette dissociation dissocie la table de session d’authentification de la table de commutation Ethernet. Ainsi, lorsqu’une adresse MAC est désabrébrée, la session d’authentification sera prolongée jusqu’à la prochaine désinseau.

Pour configurer cette fonctionnalité globalement pour toutes les sessions authentifiées:

Configurez le dispositif de commutation pour vérifier qu’une adresse IP-MAC est contraignante dans la table de contrôle DHCP, DHCPv6 ou SLAAC avant de mettre fin à la session d’authentification lorsque l’adresse MAC est sortie à l’aide de l’énoncé de ip-mac-session-binding CLI:
Remarque :

Vous ne pouvez pas valider la configuration sauf si la configuration ip-mac-session-bindingno-mac-table-binding est également configurée.

attributs RADIUS serveur

Vous pouvez configurer cette fonctionnalité pour une session d’authentification spécifique en utilisant RADIUS attributs de serveur. RADIUS serveur est un champ en texte clair encapsulé dans des messages d’acceptation d’accès envoyés du serveur d’authentification au dispositif de commutation lorsqu’un demandeur connecté au commutateur est authentifié.

Pour conserver la session d’authentification en fonction des liaisons d’adresses IP-MAC, configurez les deux paires de valeur d’attribut suivantes sur RADIUS serveur:

  • Juniper-AV-Pair = « IP-Mac-Session-Binding »

  • Juniper-AV-Pair = « No-Mac-Binding-Reauth »

L Juniper-AV-Pair est un attribut spécifique Juniper Networks fournisseur spécifique (VSA). Vérifiez que le dictionnaire Juniper est chargé sur le serveur RADIUS et qu’il inclut le VSA Juniper-AV-Pair (ID# 52).

Si vous devez ajouter l’attribut au dictionnaire, localisez le fichier du dictionnaire () sur le serveur de RADIUS et ajoutez le texte suivant juniper.dct au fichier:

Remarque :

Pour des informations spécifiques sur la configuration de RADIUS réseau, consultez la documentation relative AAA incluse dans votre serveur.

Vérification

Vérifiez la configuration en publiant la commande du mode opérationnel et confirmez que les champs de sortie et les champs indiquent que show dot1x interface interface-name detailIp Mac Session Binding la fonctionnalité est No Mac Session Binding activée.

Les clients authentifiés avec mac RADIUS doivent rester authentifiés et les entrées d’adresse MAC dans la table de commutation Ethernet doivent également être conservées après l’expiration du minuteur MAC.