Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
Sur cette page
 

Secours et authentification en cas d’échec du serveur

Le mécanisme de repli d’échec du serveur pour l’authentification 802.1X, MAC RADIUS et du portail captif définit la manière dont les états des périphériques sont gérés si le serveur RADIUS devient indisponible ou refuse l’accès.

Comprendre la solution de secours et l’authentification en cas de faille serveur sur les commutateurs

Juniper Networks Commutateurs Ethernet utiliser l’authentification pour mettre en uvre le contrôle d’accès dans un réseau d’entreprise. Si l’authentification 802.1X, RADIUS MAC ou de portail captif est configurée sur le commutateur, les périphériques finaux sont évalués lors de la connexion initiale par un serveur d’authentification (RADIUS). Si le terminal est configuré sur le serveur d’authentification, l’accès au réseau local lui est accordé et le commutateur EX Series ouvre l’interface pour autoriser l’accès.

La solution de secours contre échec de serveur vous permet de spécifier la manière dont les périphériques finaux connectés au commutateur sont pris en charge si le serveur d’authentification RADIUS devient indisponible. La solution de secours en cas d’échec du serveur est déclenchée le plus souvent lors de la réauthentification, lorsque le serveur RADIUS déjà configuré et en cours d’utilisation devient inaccessible. Toutefois, la solution de secours en cas d’échec du serveur peut également être déclenchée par la première tentative d’authentification d’un terminal via le serveur RADIUS.

La solution de secours en cas d’échec du serveur vous permet de spécifier l’une des quatre actions à effectuer pour les terminaux en attente d’authentification lorsque le serveur a expiré. Le commutateur peut accepter ou refuser l’accès aux demandeurs, ou conserver l’accès déjà accordé aux demandeurs avant l’expiration du délai d’expiration RADIUS. Vous pouvez également configurer le commutateur pour qu’il déplace les demandeurs vers un VLAN spécifique. Le VLAN doit déjà être configuré sur le commutateur. Le nom de VLAN configuré remplace tous les attributs envoyés par le serveur.

  • Permit l’authentification, qui permet au trafic de circuler depuis le terminal via l’interface comme si le terminal avait été authentifié avec succès par le serveur RADIUS.

  • Deny l’authentification, empêchant le trafic de circuler de l’équipement final via l’interface. Il s’agit de l’option par défaut.

  • Move l’équipement final à un VLAN spécifié si le commutateur reçoit un message d’accès-rejet RADIUS. Le nom de VLAN configuré remplace tous les attributs envoyés par le serveur. (Le VLAN doit déjà exister sur le commutateur.)

  • Sustain les terminaux authentifiés qui disposent déjà d’un accès LAN et deny les terminaux non authentifiés. Si le délai d’expiration des serveurs RADIUS est expiré lors de la réauthentification, les terminaux précédemment authentifiés sont à nouveau authentifiés et les nouveaux utilisateurs se voient refuser l’accès au réseau local.

Voir également

Configuration de la solution de secours en cas d’échec du serveur RADIUS (procédure CLI)

Vous pouvez configurer des options de secours d’authentification pour spécifier comment les périphériques finaux connectés à un commutateur sont pris en charge si le serveur d’authentification RADIUS devient indisponible.

Lorsque vous configurez l’authentification 802.1X ou MAC RADIUS sur le commutateur, vous spécifiez un serveur d’authentification principal et un ou plusieurs serveurs d’authentification de secours. Si le commutateur ne peut pas atteindre le serveur d’authentification principal et que les serveurs d’authentification secondaires sont également inaccessibles, un délai d’expiration du serveur RADIUS se produit. Si cela se produit, étant donné que c’est le serveur d’authentification qui accorde ou refuse l’accès aux terminaux en attente d’authentification, le commutateur ne reçoit pas les instructions d’accès pour les terminaux qui tentent d’accéder au réseau local et l’authentification normale ne peut pas être effectuée.

Vous pouvez configurer la fonctionnalité de secours d’échec du serveur pour spécifier une action que le commutateur applique aux périphériques finaux lorsque les serveurs d’authentification ne sont pas disponibles. Le commutateur peut accepter ou refuser l’accès aux demandeurs, ou conserver l’accès déjà accordé aux demandeurs avant l’expiration du délai d’expiration RADIUS. Vous pouvez également configurer le commutateur pour qu’il déplace les demandeurs vers un VLAN spécifique.

Vous pouvez également configurer la fonction de repli de rejet du serveur pour les terminaux qui reçoivent un message d’accès-rejet RADIUS du serveur d’authentification. La fonctionnalité de secours de rejet de serveur fournit un accès limité à un réseau local, généralement uniquement à Internet, pour les terminaux réactifs qui sont compatibles 802.1X, mais qui ont envoyé des informations d’identification incorrectes.

La reprise de secours contre le basculement du serveur est prise en charge pour le trafic vocal à partir de la version 14.1X53-D40 et de la version 15.1R4. Pour configurer des actions de secours en cas d’échec du serveur pour les clients VoIP qui envoient du trafic vocal, utilisez l’instruction server-fail-voip . Pour tout le trafic de données, utilisez l’instruction server-fail . Le commutateur détermine la méthode de secours à utiliser en fonction du type de trafic envoyé par le client. Les trames de données non balisées sont soumises à l’action configurée avec server-fail, même si elles sont envoyées par un client VoIP. Les trames VLAN VoIP balisées sont soumises à l’action configurée avec server-fail-voip. S’il server-fail-voip n’est pas configuré, le trafic vocal est abandonné.

REMARQUE :

Le repli de rejet du serveur n’est pas pris en charge pour le trafic VoIP balisé VLAN. Si un client VoIP démarre l’authentification en envoyant du trafic de données non balisé à un VLAN alors que le repli de rejet du serveur est en vigueur, le client VoIP est autorisé à accéder au VLAN de secours. Si, par la suite, le même client envoie du trafic vocal balisé, celui-ci est abandonné.

Si un client VoIP démarre l’authentification en envoyant du trafic vocal balisé alors que le repli de rejet du serveur est en vigueur, le client VoIP se voit refuser l’accès au VLAN de secours.

Vous pouvez utiliser la procédure suivante pour configurer des actions d’échec de serveur pour les clients de données. Pour configurer la reprise après échec du serveur pour les clients VoIP qui envoient du trafic vocal, utilisez l’instruction server-fail-voip à la place de l’instruction server-fail .

Pour configurer les actions de secours en cas d’échec du serveur :

  • Configurez une interface pour autoriser le trafic à circuler d’un demandeur vers le réseau local en cas d’expiration du délai d’expiration d’un serveur RADIUS (comme si l’équipement final avait été authentifié avec succès par un serveur RADIUS) :
  • Configurez une interface pour empêcher le flux de trafic d’un terminal vers le LAN (comme si l’équipement final avait échoué à l’authentification et s’était vu refuser l’accès par le serveur RADIUS) :
  • Configurez une interface pour déplacer un terminal vers un VLAN spécifié en cas d’expiration du délai d’expiration d’un serveur RADIUS :
  • Configurez une interface pour qu’elle reconnaisse les terminaux déjà connectés comme ayant été réauthentifiés en cas d’expiration d’un délai RADIUS lors de la réauthentification (l’accès aux nouveaux terminaux se voit refuser l’accès) :

Vous pouvez configurer une interface qui reçoit un message d’accès-rejet RADIUS du serveur d’authentification pour déplacer les périphériques finaux qui tentent d’accéder au réseau local sur l’interface vers un VLAN de rejet du serveur, un VLAN spécifié déjà configuré sur le commutateur.

Pour configurer un VLAN de secours de rejet de serveur :

Voir également

Configuration de l’accessibilité RADIUS pour réauthentifier les sessions d’échec du serveur

Lorsqu’une tentative d’authentification déclenche une solution de secours en cas d’échec du serveur, le terminal peut retenter l’authentification après un certain temps. Par défaut, l’intervalle de temps pendant lequel l’appareil final doit attendre la réauthentification est de 60 minutes. L’intervalle de temps de réauthentification peut être configuré à l’aide de l’instruction reauthentication CLI.

Le serveur peut devenir disponible avant l’expiration du minuteur de réauthentification. Lorsque la fonctionnalité d’accessibilité RADIUS est activée, elle déclenche la réauthentification dès qu’elle détecte que le serveur est accessible, sans attendre l’expiration du minuteur de réauthentification. Une fois qu’une session passe à la solution de secours sans échec du serveur, l’authentificateur interroge périodiquement le serveur en lançant l’authentification pour cette session. Lorsque l’authentificateur reçoit une réponse indiquant que le serveur est joignable, il lance l’authentification pour toutes les sessions d’échec du serveur.

Pour activer l’accessibilité RADIUS, vous devez configurer la période de requête, qui détermine la fréquence à laquelle l’authentificateur interroge l’accessibilité du serveur. Configurez la période de requête à l’aide de la commande suivante :

REMARQUE :

La période de silence doit être plus courte que la période de requête. La période de silence est la période pendant laquelle l’interface reste dans l’état d’attente après l’échec d’une tentative d’authentification avant une nouvelle tentative d’authentification.

Tableau de l'historique des modifications

La prise en charge des fonctionnalités est déterminée par la plateforme et la version que vous utilisez. Utilisez l' Feature Explorer pour déterminer si une fonctionnalité est prise en charge sur votre plateforme.

Version
Description
14.1X53-D40
La reprise de secours contre le basculement du serveur est prise en charge pour le trafic vocal à partir de la version 14.1X53-D40 et de la version 15.1R4.