Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Configuración de la reserva de errores del servidor en enrutadores de la serie MX en modo LAN mejorado

A partir de Junos OS versión 14.2, la reserva de error del servidor le permite especificar cómo se admiten los dispositivos finales conectados al enrutador si el servidor de autenticación RADIUS deja de estar disponible o envía un mensaje de rechazo de acceso RADIUS.

La autenticación 802.1X y MAC RADIUS funcionan mediante el uso de un (el enrutador) para bloquear todo el tráfico hacia y desde un dispositivo final en la interfaz hasta que las credenciales del dispositivo final se presenten y coincidan en el (un servidor RADIUS).authenticator port access entityauthentication server Cuando el dispositivo final se ha autenticado, el enrutador deja de bloquear y abre la interfaz al dispositivo final.

Cuando configure la autenticación 802.1X o MAC RADIUS en el enrutador, especifique un servidor de autenticación principal y uno o más servidores de autenticación de reserva. Si el enrutador no puede alcanzar el servidor de autenticación principal y tampoco se puede acceder a los servidores de autenticación secundarios, se produce un tiempo de espera del servidor RADIUS. Debido a que el servidor de autenticación concede o deniega el acceso a los dispositivos finales en espera de autenticación, el enrutador no recibe instrucciones de acceso para los dispositivos finales que intentan acceder a la LAN y no se puede completar la autenticación normal. La reserva de errores del servidor le permite configurar alternativas de autenticación que permiten al enrutador realizar las acciones adecuadas hacia los dispositivos finales en espera de autenticación o reautenticación.

Nota:

El método de reserva de autenticación denominado VLAN de rechazo de servidor proporciona acceso limitado a una LAN, normalmente solo a Internet, para dispositivos finales con capacidad de respuesta habilitados para 802.1X pero que enviaron credenciales incorrectas. Si el dispositivo final que se autentica mediante la VLAN de rechazo del servidor es un teléfono IP, no se permite el tráfico de voz.

Para configurar las opciones básicas de reserva de errores del servidor mediante la CLI:

  • Configure una interfaz para permitir que el tráfico fluya desde un suplicante a la LAN si se agota el tiempo de espera del servidor RADIUS (como si un servidor RADIUS hubiera autenticado correctamente el dispositivo final):

  • Configure una interfaz para evitar el flujo de tráfico desde un dispositivo final a la LAN (como si el dispositivo final hubiera fallado la autenticación y hubiera sido rechazado por el servidor RADIUS):

  • Configure una interfaz para mover un dispositivo final a una VLAN especificada si se agota el tiempo de espera del servidor RADIUS (en este caso, el nombre de VLAN es ):vlan1

  • Configure una interfaz para reconocer los dispositivos finales ya conectados como reautenticados si se agota el tiempo de espera de RADIUS durante la reautenticación (a los nuevos usuarios se les denegará el acceso):

  • Configure una interfaz que reciba un mensaje de rechazo de acceso RADIUS del servidor de autenticación para mover los dispositivos finales que intentan acceder a LAN en la interfaz a una VLAN especificada ya configurada en el enrutador (en este caso, el nombre de VLAN es ):vlan-sf

    Nota:

    Si se autentica un teléfono IP en la VLAN de rechazo del servidor, no se permite el tráfico de voz.

Tabla de historial de cambios

La compatibilidad de la función depende de la plataforma y la versión que utilice. Utilice Feature Explorer a fin de determinar si una función es compatible con la plataforma.

Liberación
Descripción
14.2
A partir de Junos OS versión 14.2, la reserva de error del servidor le permite especificar cómo se admiten los dispositivos finales conectados al enrutador si el servidor de autenticación RADIUS deja de estar disponible o envía un mensaje de rechazo de acceso RADIUS.