Délai d’expiration de la session d’authentification
Vous pouvez contrôler l’accès à votre réseau par le biais d’un commutateur en utilisant plusieurs authentifications différentes. Les commutateurs Junos OS prennent en charge 802.1X, RADIUS MAC et le portail captif comme méthodes d’authentification pour les équipements devant se connecter à un réseau. Lisez cette rubrique pour plus d’informations.
Comprendre le délai d’expiration de la session d’authentification
Les informations sur les sessions d’authentification, y compris les interfaces et VLAN associés pour chaque adresse MAC authentifiée, sont stockées dans la table des sessions d’authentification. La table de session d’authentification est liée à la table de commutation Ethernet (également appelée table MAC). Chaque fois que le commutateur détecte du trafic provenant d’une adresse MAC, il met à jour l’horodatage de ce nœud réseau dans la table de commutation Ethernet. Un minuteur sur le commutateur vérifie périodiquement l’horodatage et si sa valeur dépasse la valeur configurée mac-table-aging-time par l’utilisateur, l’adresse MAC est supprimée de la table de commutation Ethernet. Lorsqu’une adresse MAC sort de la table de commutation Ethernet, l’entrée de cette adresse MAC est également supprimée de la table de session d’authentification, ce qui entraîne la fin de la session.
Lorsque la session d’authentification se termine en raison de l’ancienneté de l’adresse MAC, l’hôte doit retenter l’authentification. Pour limiter le temps d’arrêt résultant de la réauthentification, vous pouvez contrôler le délai d’expiration des sessions d’authentification de l’une des manières suivantes :
Pour les sessions d’authentification 802.1X et MAC RADIUS, dissociez la table de session d’authentification de la table de commutation Ethernet à l’aide de l’instruction
no-mac-table-binding. Ce paramètre empêche l’arrêt de la session d’authentification lorsque l’adresse MAC associée sort de la table de commutation Ethernet.Pour les sessions d’authentification du portail captif, configurez un minuteur keep-alive à l’aide de l’instruction
user-keepalive. Avec cette option configurée, lorsque l’adresse MAC associée sort de la table de commutation Ethernet, le minuteur keep-alive est démarré. Si le trafic est reçu pendant le délai d’expiration de la maintenance, le minuteur est supprimé. S’il n’y a pas de trafic pendant le délai d’expiration, la session est supprimée.
Vous pouvez également spécifier des valeurs de délai d’expiration pour les sessions d’authentification afin de mettre fin à la session avant l’expiration du minuteur MAC vieillissant. Une fois la session expirée, l’hôte doit retenter de s’authentifier.
Pour les sessions d’authentification 802.1X et MAC RADIUS, la durée de la session avant expiration du délai d’expiration dépend de la valeur de l’instruction
reauthentication. Si le minuteur MAC vieillissant expire avant l’expiration de la session et que l’instruction n’est pas configurée, la session est terminée et l’hôte doit s’authentifierno-mac-table-bindingà nouveau.Pour les sessions d’authentification de portail captif, la durée de la session dépend de la valeur configurée pour l’instruction
session-expiry. Si le minuteur MAC vieillissant expire avant l’expiration de la session et que l’instruction n’est pas configurée, la session est terminée et l’hôte doit s’authentifieruser-keepaliveà nouveau.
Si le serveur d’authentification envoie un délai d’expiration de session d’authentification au client, celui-ci est prioritaire sur la valeur configurée localement à l’aide de l’instruction ou de l’instructionreauthentication session-expiry. La valeur du délai d’expiration de la session est envoyée du serveur au client en tant qu’attribut du message RADIUS Access-Accept. Pour plus d’informations sur la configuration du serveur d’authentification pour envoyer un délai d’expiration de session d’authentification, reportez-vous à la documentation de votre serveur.
Voir également
Contrôle des délais d’expiration des sessions d’authentification (procédure CLI)
L’expiration d’une session d’authentification peut entraîner un temps d’arrêt, car l’hôte doit effectuer une nouvelle tentative d’authentification. Vous pouvez limiter ce temps d’arrêt en contrôlant le délai d’expiration des sessions d’authentification.
Une session d’authentification peut se terminer lorsque l’adresse MAC associée à l’hôte authentifié sort de la table de commutation Ethernet. Lorsque l’adresse MAC est effacée de la table de commutation Ethernet, la session authentifiée de cet hôte se termine et l’hôte doit retenter l’authentification.
Pour empêcher la session d’authentification de se terminer lorsque l’adresse MAC sort de la table de commutation Ethernet :
Vous pouvez également configurer des valeurs de délai d’expiration pour les sessions d’authentification afin de mettre fin à une session authentifiée avant l’expiration du minuteur MAC vieillissant.
La configuration du délai d’expiration d’une session d’authentification ne prolonge pas la session après l’expiration du minuteur MAC vieillissant. Vous devez configurer l’instruction pour l’authentification 802.1X et MAC RADIUS, ou l’instruction pour l’authentification du portail captif, afin d’éviter le délai d’expiration de session dû à l’ancienneté no-mac-table-bindinguser-keepalive MAC.
Pour les sessions d’authentification 802.1X et MAC RADIUS, configurez la valeur du délai d’expiration à l’aide de l’instruction reauthentication .
Pour configurer la valeur du délai d’expiration sur une seule interface :
[edit] user@switch# set protocols dot1x authenticator interface interface-name reauthentication seconds;
Pour configurer la valeur du délai d’expiration sur toutes les interfaces :
[edit] user@switch# set protocols dot1x authenticator interface all reauthentication seconds;
Pour les sessions d’authentification du portail captif, configurez la valeur du délai d’expiration à l’aide de l’instruction session-expiry .
Pour configurer la valeur du délai d’expiration sur une seule interface :
[edit] user@switch# set services captive-portal interface interface-name session-expiry minutes;
Pour configurer la valeur du délai d’expiration sur toutes les interfaces :
[edit] user@switch# set services captive-portal interface all session-expiry minutes;
Si le serveur d’authentification envoie un délai d’expiration de session d’authentification au client, celui-ci est prioritaire sur la valeur configurée à l’aide de l’instruction ou de l’instructionreauthentication session-expiry. La valeur du délai d’expiration de la session est envoyée du serveur au client en tant qu’attribut du message RADIUS Access-Accept.
Voir également
Conservation de la session d’authentification basée sur les liaisons d’adresses IP-MAC
L’authentification MAC RADIUS est souvent utilisée pour permettre aux hôtes qui ne sont pas activés pour l’authentification 802.1X d’accéder au réseau local. Les terminaux tels que les imprimantes ne sont pas très actifs sur le réseau. Si l’adresse MAC associée à un terminal vieillit en raison de l’inactivité, l’adresse MAC est effacée de la table de commutation Ethernet et la session d’authentification se termine. Cela signifie que d’autres appareils ne pourront pas atteindre le terminal en cas de besoin.
Si l’adresse MAC qui expire est associée à une adresse IP dans la table de surveillance DHCP, DHCPv6 ou SLAAC, cette liaison d’adresse MAC-IP est effacée de la table. Cela peut entraîner une perte de trafic lorsque le client DHCP tente de renouveler son bail.
Vous pouvez configurer le périphérique de commutation pour qu’il vérifie la liaison IP-adresse MAC dans la table de surveillance DHCP, DHCPv6 ou SLAAC avant de mettre fin à la session d’authentification lorsque l’adresse MAC expire. Si l’adresse MAC du périphérique final est liée à une adresse IP, elle sera conservée dans la table de commutation Ethernet et la session d’authentification restera active.
Cette fonctionnalité peut être configurée globalement pour toutes les sessions authentifiées à l’aide de l’interface de ligne de commande, ou par session à l’aide des attributs RADIUS.
- Avantages
- Configuration de l’interface de ligne de commande
- Attributs du serveur RADIUS
- Vérification
Avantages
Cette fonctionnalité offre les avantages suivants :
Garantit qu’un terminal est accessible par d’autres périphériques sur le réseau, même si l’adresse MAC est obsolète.
Empêche l’interruption de trafic lorsque l’équipement final tente de renouveler son bail DHCP.
Configuration de l’interface de ligne de commande
Avant de pouvoir configurer cette fonctionnalité :
La surveillance DHCP, la surveillance DHCPv6 ou la surveillance SLAAC doivent être activées sur l’équipement.
L’instruction
no-mac-table-bindingCLI doit être configurée. Cela dissocie la table de session d’authentification de la table de commutation Ethernet, de sorte que lorsqu’une adresse MAC expire, la session d’authentification est prolongée jusqu’à la prochaine réauthentification.[edit] user@switch# set protocols dot1x authenticator no-mac-table-binding;
Pour configurer cette fonctionnalité globalement pour toutes les sessions authentifiées :
ip-mac-session-binding CLI :[edit] user@switch# set protocols dot1x authenticator ip-mac-session-binding;
Vous ne pouvez pas valider la ip-mac-session-binding configuration à moins que le no-mac-table-binding ne soit également configuré.
Attributs du serveur RADIUS
Vous pouvez configurer cette fonctionnalité pour une session d’authentification spécifique à l’aide des attributs de serveur RADIUS. Les attributs de serveur RADIUS sont des champs en texte clair encapsulés dans les messages d’accès-acceptation envoyés par le serveur d’authentification à l’équipement de commutation lorsqu’un demandeur connecté au commutateur est authentifié avec succès.
Pour conserver la session d’authentification basée sur les liaisons IP-adresse MAC, configurez les deux paires attribut-valeur suivantes sur le serveur RADIUS :
Juniper-AV-Pair = « ip-mac-session-binding »
Juniper-AV-Pair = « No-Mac-Binding-Reauth »
L’attribut Juniper-AV-Pair est un attribut spécifique au fournisseur (VSA) de Juniper Networks. Vérifiez que le dictionnaire Juniper est chargé sur le serveur RADIUS et qu’il inclut Juniper-AV-Pair VSA (ID # 52).
Si vous devez ajouter l’attribut au dictionnaire, recherchez le fichier de dictionnaire (juniper.dct) sur le serveur RADIUS et ajoutez le texte suivant au fichier :
ATTRIBUTE Juniper-AV-Pair Juniper-VSA(52, string) r
Pour plus d’informations sur la configuration de votre serveur RADIUS, consultez la documentation AAA fournie avec votre serveur.
Vérification
Vérifiez la configuration en exécutant la commande show dot1x interface interface-name detail en mode opérationnel et vérifiez que les Ip Mac Session Binding champs et No Mac Session Binding en sortie indiquent que la fonctionnalité est activée.
user@switch> show dot1x interface ge-0/0/16.0 detail
ge-0/0/16.0
Role: Authenticator
Administrative state: Auto
Supplicant mode: Multiple
Number of retries: 3
Quiet period: 60 seconds
Transmit period: 5 seconds
Mac Radius: Enabled
Mac Radius Restrict: Disabled
Mac Radius Authentication Protocol: EAP-MD5
Reauthentication: Disabled
Configured Reauthentication interval: 3600 seconds
Supplicant timeout: 30 seconds
Server timeout: 30 seconds
Maximum EAPOL requests: 2
Guest VLAN member: <not configured>
No Mac Session Binding: Enabled
Ip Mac Session Binding: Enabled
Number of connected supplicants: 1
Supplicant: abc, 00:00:5E:00:53:00
Operational state: Authenticated
Backend Authentication state: Idle
Authentication method: Mac Radius
Authenticated VLAN: v100
Session Reauth interval: 3600 seconds
Reauthentication due in 0 seconds
Ip Mac Session Binding: Enabled
No Mac Binding Reauth: Enabled
Eapol-Block: Not In Effect
Les clients authentifiés avec MAC RADIUS doivent rester authentifiés et les entrées d’adresse MAC dans la table de commutation Ethernet doivent également être conservées après l’expiration du minuteur MAC.