Configuración de la devolución de errores del servidor en enrutadores de la serie MX en modo LAN mejorado
A partir de Junos OS versión 14.2, la reserva de errores del servidor le permite especificar cómo se admiten los dispositivos finales conectados al enrutador si el servidor de autenticación RADIUS deja de estar disponible o envía un mensaje de rechazo de acceso RADIUS.
La autenticación 802.1X y MAC RADIUS funciona mediante authenticator port access entity un (el enrutador) para bloquear todo el tráfico hacia y desde un dispositivo final en la interfaz hasta que se presentan y coinciden las credenciales del dispositivo final en el authentication server (un servidor RADIUS). Cuando se autentica el dispositivo final, el enrutador deja de bloquear y abre la interfaz al dispositivo final.
Cuando configura la autenticación 802.1X o MAC RADIUS en el enrutador, se especifica un servidor de autenticación principal y uno o más servidores de autenticación de respaldo. Si el enrutador no puede acceder al servidor de autenticación principal y los servidores de autenticación secundarios también son inalcanzables, se produce un tiempo de espera del servidor RADIUS. Dado que el servidor de autenticación concede o niega el acceso a los dispositivos finales que esperan la autenticación, el enrutador no recibe instrucciones de acceso para los dispositivos finales que intentan acceder a la LAN y no se puede completar la autenticación normal. La recuperación de errores del servidor le permite configurar alternativas de autenticación que permiten que el enrutador tome las medidas adecuadas hacia los dispositivos finales a la espera de la autenticación o reautoentificación.
El método de reserva de autenticación llamado VLAN de rechazo de servidor proporciona acceso limitado a una LAN, normalmente solo a Internet, para dispositivos finales responsivos que están habilitados para 802.1X pero que han enviado las credenciales incorrectas. Si el dispositivo final que se autentica mediante la VLAN de rechazo de servidor es un teléfono IP, el tráfico de voz no está permitido.
Para configurar las opciones básicas de recuperación de errores de servidor mediante la CLI:
Configure una interfaz para permitir que el tráfico fluya desde un suplicante hacia la LAN si se produce un tiempo de espera del servidor RADIUS (como si el dispositivo final se hubiera autenticado correctamente por un servidor RADIUS):
[edit protocols authentication-access-control] user@router# set interface ge-0/0/1 dot1x server-fail permit
Configure una interfaz para evitar el flujo de tráfico desde un dispositivo final a la LAN (como si el dispositivo final hubiera fallado la autenticación y hubiera sido rechazado por el servidor RADIUS):
[edit protocols authentication-access-control] user@router# set interface ge-0/0/1 dot1x server-fail deny
Configure una interfaz para mover un dispositivo final a una VLAN especificada si se produce un tiempo de espera del servidor RADIUS (en este caso, el nombre de VLAN es vlan1):
[edit protocols authentication-access-control] user@router# set interface ge-0/0/1 dot1x server-fail vlan-name vlan1
Configure una interfaz para reconocer los dispositivos finales que ya están conectados como autenticados si hay un tiempo de espera RADIUS durante la reautenticación (a los nuevos usuarios se les denegará el acceso):
[edit protocols authentication-access-control] user@router# set interface ge-0/0/1 dot1x server-fail use-cache
Configure una interfaz que reciba un mensaje RADIUS de rechazo de acceso del servidor de autenticación para mover los dispositivos finales que intentan acceder a LAN en la interfaz a una VLAN especificada ya configurada en el enrutador (en este caso, el nombre de VLAN es vlan-sf):
[edit protocols authentication-access-control] user@router# set interface ge-0/0/1 dot1x server-reject-vlan vlan-sf
Nota:Si un teléfono IP se autentica en la VLAN de rechazo del servidor, no se permite el tráfico de voz.