Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Configuración de la reserva de error del servidor en enrutadores de la serie MX del modo de LAN mejorada

A partir de Junos OS versión 14,2, Server FAIL fallback permite especificar cómo se admiten los dispositivos finales conectados al enrutador si el servidor de autenticación RADIUS no está disponible o envía un mensaje de denegación de acceso RADIUS.

La autenticación 802.1X y MAC RADIUS funciona mediante el uso de una entidad de acceso de puerto de autenticación (el enrutador) para bloquear todo el tráfico hacia y desde un dispositivo final en la interfaz hasta que se presenten y coincidan los credenciales del dispositivo final en el servidor de autenticación (servidor RADIUS). Cuando el dispositivo final se ha autenticado, el enrutador detiene el bloqueo y abre la interfaz en el dispositivo final.

Cuando configure 802.1 X o MAC RADIUS autenticación en el enrutador, debe especificar un servidor de autenticación principal y uno o varios servidores de autenticación de reserva. Si el enrutador no puede alcanzar el servidor de autenticación principal y los servidores de autenticación secundarios tampoco son accesibles, se produce un tiempo de espera de RADIUS Server. Dado que el servidor de autenticación concede o deniega el acceso a los dispositivos de fin en espera de autenticación, el enrutador no recibe instrucciones de acceso para los dispositivos de extremo que intentan acceder a la LAN y no se puede completar la autenticación normal. La reserva de fallos del servidor le permite configurar alternativas de autenticación que permiten al enrutador llevar a cabo las acciones apropiadas en los dispositivos finales que esperan a ser autenticados o reautenticados.

Nota:

El método de reserva de autenticación llamado VLAN de rechazo de servidor proporciona acceso limitado a una LAN, normalmente solo a Internet, para dispositivos de fin dinámico que 802.1 x habilitados, pero que han enviado Credenciales incorrectas. Si el dispositivo final que se autentica utilizando la VLAN de servidor o rechazo es un teléfono IP, no se permitirá el tráfico de voz.

Para configurar las opciones básicas del servidor de reserva de errores mediante la CLI:

  • Configure una interfaz para permitir que el tráfico fluya de un suplicante a la LAN si se produce un tiempo de espera del servidor RADIUS (como si el dispositivo final hubiera sido autenticado correctamente por un servidor RADIUS):

  • Configure una interfaz para impedir el flujo de tráfico desde un dispositivo final a la LAN (como si el dispositivo final hubiera fallado la autenticación y hubiera sido rechazado por el servidor RADIUS):

  • Configure una interfaz para mover un dispositivo final a una VLAN especificada si RADIUS tiempo de espera del servidor (en este caso, el nombre de VLAN es vlan1 ):

  • Configure una interfaz para que reconozca los dispositivos de fin ya conectados como reautenticados si hay un tiempo de espera de RADIUS durante la reautenticación (se denegará el acceso a los nuevos usuarios):

  • Configure una interfaz que recibe un mensaje de RADIUS de denegación de acceso del servidor de autenticación para mover los dispositivos finales que intentan acceder a LAN en la interfaz a una VLAN especificada que ya está configurada en el enrutador (en este caso, el nombre de VLAN es vlan-sf ):

    Nota:

    Si un teléfono IP está autenticado en la VLAN de rechazo de servidor, no se permite el tráfico de voz.

Tabla de historial de versiones
Liberación
Descripción
14.2
A partir de Junos OS versión 14,2, Server FAIL fallback permite especificar cómo se admiten los dispositivos finales conectados al enrutador si el servidor de autenticación RADIUS no está disponible o envía un mensaje de denegación de acceso RADIUS.