サーバー障害時のフォールバックおよび認証
802.1X、MAC RADIUS、およびキャプティブポータル認証のサーバー障害フォールバックメカニズムは、RADIUSサーバーが利用できなくなった場合やアクセスを拒否した場合のデバイスの状態の処理方法を定義します。
スイッチにおけるサーバー障害時のフォールバックおよび認証についての理解
ジュニパーネットワークスのイーサネットスイッチは、認証を使用してエンタープライズネットワークにアクセス制御を実装します。スイッチで 802.1X、MAC RADIUS、またはキャプティブ ポータル認証が設定されている場合、エンド デバイスは初期接続時に認証(RADIUS)サーバによって評価されます。エンドデバイスが認証サーバーに設定されている場合、デバイスはLANへのアクセスを許可され、EXシリーズスイッチはインターフェイスを開いてアクセスを許可します。
サーバー障害フォールバックを使用すると、RADIUS 認証サーバーが利用できなくなった場合に、スイッチに接続されたエンド デバイスをどのようにサポートするかを指定できます。サーバー障害時のフォールバックは、ほとんどの場合、再認証中に、設定済みで使用中のRADIUSサーバーにアクセスできなくなったときにトリガーされます。ただし、サーバー障害時のフォールバックは、エンドデバイスがRADIUSサーバーを介した認証を初めて試みたときにトリガーされることもあります。
サーバー障害時のフォールバックでは、サーバーがタイムアウトした場合に、認証待機中のエンドデバイスで実行する4つのアクションのいずれかを指定できます。スイッチは、サプリカントへのアクセスを受け入れるか拒否するか、または RADIUS タイムアウトが発生する前にサプリカントに既に許可されたアクセスを維持することができます。サプリカントを特定のVLANに移動させるようにスイッチを設定することもできます。VLANはスイッチ上ですでに設定されている必要があります。設定されたVLAN名は、サーバーから送信された属性をすべて上書きします。
Permit 認証:エンドデバイスがRADIUSサーバーによって正常に認証されたかのように、トラフィックがエンドデバイスからインターフェイスを介して流れるようにします。
Deny 認証により、トラフィックがエンドデバイスからインターフェイスを介して流れるのを防ぎます。これはデフォルトです。
Move スイッチが RADIUS アクセス拒否メッセージを受信した場合に、指定された VLAN へのエンド デバイス。設定されたVLAN名は、サーバーから送信された属性をすべて上書きします。(VLANはすでにスイッチ上に存在している必要があります。)
Sustain すでにLANアクセスを持つ認証済みエンドデバイスと deny 非認証エンドデバイス。再認証中にRADIUSサーバーがタイムアウトすると、以前に認証されたエンドデバイスが再認証され、新しいユーザーはLANアクセスを拒否されます。
関連項目
RADIUS サーバー障害時のフォールバックの設定 (CLI 手順)
認証フォールバックオプションを設定して、RADIUS認証サーバーが利用できなくなった場合に、スイッチに接続されたエンドデバイスをどのようにサポートするかを指定できます。
スイッチで 802.1X または MAC RADIUS 認証を設定する場合、プライマリ認証サーバーと 1 つ以上のバックアップ認証サーバーを指定します。スイッチがプライマリ認証サーバーに到達できず、セカンダリ認証サーバーにも到達できない場合は、RADIUS サーバーのタイムアウトが発生します。この場合、認証を待機しているエンドデバイスへのアクセスを許可または拒否するのは認証サーバーであるため、スイッチはLANへのアクセスを試みるエンドデバイスに対するアクセス指示を受信せず、通常の認証を完了できません。
サーバー障害フォールバック機能を設定して、認証サーバーが使用できない場合にスイッチがエンドデバイスに適用するアクションを指定できます。スイッチは、サプリカントへのアクセスを受け入れるか拒否するか、または RADIUS タイムアウトが発生する前にサプリカントに既に許可されたアクセスを維持することができます。サプリカントを特定のVLANに移動させるようにスイッチを設定することもできます。
また、認証サーバーから RADIUS アクセス拒否メッセージを受信したエンド デバイスに対して、サーバー拒否フォールバック機能を設定することもできます。サーバー拒否フォールバック機能は、802.1X に対応しているが、間違った資格情報を送信した応答性の高いエンド デバイスに LAN への限定アクセス(通常はインターネットへのアクセスのみ)を提供します。
サーバー障害フォールバックは、リリース 14.1X53-D40 およびリリース 15.1R4 以降の音声トラフィックでサポートされています。音声トラフィックを送信する VoIP クライアントに対するサーバー障害フォールバック アクションを設定するには、 server-fail-voip ステートメントを使用します。すべてのデータ トラフィックに対して、 server-fail ステートメントを使用します。スイッチは、クライアントから送信されるトラフィックの種類に基づいて、使用するフォールバック方法を決定します。タグなしのデータ フレームは、VoIP クライアントから送信された場合でも、 server-fail で設定されたアクションの対象となります。タグ付きVoIP VLANフレームは、 server-fail-voipで設定されたアクションの対象となります。server-fail-voipが設定されていない場合、音声トラフィックはドロップされます。
サーバー拒否フォールバックは、VoIP VLAN タグ付きトラフィックではサポートされていません。サーバー拒否フォールバックが有効なときに、VoIP クライアントがタグなしのデータ トラフィックを VLAN に送信して認証を開始した場合、VoIP クライアントはフォールバック VLAN へのアクセスを許可されます。その後、同じクライアントがタグ付き音声トラフィックを送信すると、音声トラフィックはドロップされます。
サーバー拒否フォールバックが有効なときに、VoIP クライアントがタグ付き音声トラフィックを送信して認証を開始すると、VoIP クライアントはフォールバック VLAN へのアクセスを拒否されます。
以下の手順を使用して、データ・クライアントのサーバー障害アクションを構成できます。音声トラフィックを送信する VoIP クライアントに対してサーバー障害時のフォールバックを設定するには、server-fail ステートメントの代わりに server-fail-voip ステートメントを使用します。
サーバー障害時のフォールバック アクションを構成するには:
認証サーバーから RADIUS アクセス拒否メッセージを受信したインターフェイスを設定すると、そのインターフェイスで LAN アクセスを試みるエンド デバイスを、スイッチにすでに設定されている指定された VLAN(サーバー拒否 VLAN)に移動できます。
サーバー拒否フォールバック VLAN を構成するには:
[edit protocols dot1x authenticator] user@switch# set interface interface-name server-reject-vlan vlan-sf
関連項目
サーバー障害セッションを再認証するためのRADIUS到達可能性の設定
認証の試行によってサーバー障害時のフォールバックがトリガーされると、エンドデバイスは一定時間後に認証を再試行できます。エンドデバイスが再認証を待つデフォルトの時間間隔は60分です。再認証の間隔は、 reauthentication CLI ステートメントを使用して設定できます。
再認証タイマーが満了する前にサーバーが使用可能になる場合があります。RADIUS到達可能性機能が有効になっている場合、再認証タイマーの期限が切れるのを待たずに、サーバーが到達可能であることを検出すると再認証をトリガーします。セッションがサーバー障害フォールバックに移動すると、オーセンティケーターは、そのセッションの認証を開始することによって、サーバーに定期的にクエリを実行します。オーセンティケータは、サーバーが到達可能であることを示す応答を受信すると、すべてのサーバー障害セッションの認証を開始します。
RADIUS到達可能性を有効にするには、オーセンティケータがサーバーに到達可能性を照会する頻度を決定するクエリ期間を設定する必要があります。次のコマンドを使用して、クエリ期間を構成します。
set protocols dot1x authenticator radius-reachability query-period
沈黙期間は、クエリ期間よりも短くする必要があります。クワイエット期間は、認証試行が失敗した後、認証を再試行するまでインターフェイスが待機状態を維持する期間です。
変更履歴
サポートされる機能は、使用しているプラットフォームとリリースによって決まります。 特定の機能がお使いのプラットフォームでサポートされているかどうかを確認するには、 Feature Explorer をご利用ください。