Tiempo de espera de la sesión de autenticación
Puede controlar el acceso a la red a través de un conmutador con distintas autenticaciones. Los conmutadores de Junos OS admiten 802.1 X, MAC RADIUS y portal cautivo como métodos de autenticación para los dispositivos que necesitan conectarse a una red. Lea este tema para obtener más información.
Descripción del tiempo de espera de sesión de autenticación
La información acerca de las sesiones de autenticación, incluidas las interfaces y VLAN asociadas para cada dirección MAC autenticada, se almacena en la tabla de sesión de autenticación. La tabla de sesión de autenticación está ligada a la tabla de conmutación Ethernet (también denominada tabla de MAC). Cada vez que el conmutador detecta el tráfico de un dirección MAC, actualiza la marca de hora de ese nodo de la red en la tabla de conmutación Ethernet. Un temporizador del conmutador comprueba periódicamente la marca de hora y si su valor supera el valor configurado mac-table-aging-time por el usuario, el dirección Mac se elimina de la tabla de conmutación Ethernet. Cuando una dirección MAC de duración de la tabla de conmutación Ethernet, la entrada para dicho dirección MAC también se quitará de la tabla de sesión de autenticación, con lo que finalizará la sesión.
Cuando finaliza la sesión de autenticación debido a dirección MAC caducidad, el host debe volver a intentar la autenticación. Para limitar el tiempo de inactividad resultante de la reautenticación, puede controlar los tiempos de espera de las sesiones de autenticación de las siguientes maneras:
Para las sesiones de autenticación de 802.1 X y MAC RADIUS, Desasocie la tabla de sesión de autenticación de la
no-mac-table-bindingtabla de conmutación Ethernet utilizando la instrucción. Esta configuración impide la terminación de la sesión de autenticación cuando el dirección MAC asociado de la tabla de conmutación Ethernet.Para sesiones de autenticación de portales cautivos, configure un temporizador
user-keepalivede mantenimiento de conexiones activas con la instrucción. Con esta opción configurada, cuando el dirección MAC asociado caduca de la tabla de conmutación Ethernet, se inicia el temporizador de mantenimiento de conexiones activas. Si el tráfico se recibe dentro del tiempo de espera de mantenimiento de conexiones, se elimina el temporizador. Si no hay tráfico dentro del tiempo de espera de mantenimiento de conexiones, se eliminará la sesión.
También puede especificar valores de tiempo de espera para que las sesiones de autenticación finalicen la sesión antes de que expire el temporizador de caducidad de MAC. Después de que se agote el tiempo de espera de la sesión, el host debe volver a intentar la autenticación.
Para las sesiones de autenticación de 802.1 X y MAC RADIUS, la duración de la sesión antes del tiempo de espera
reauthenticationdepende del valor de la instrucción. Si el temporizador de caducidad de MAC expira antes de que se agote el tiempono-mac-table-bindingde espera de la sesión, y no se configura la instrucción, la sesión finaliza y el host debe volver a autenticarse.Para sesiones de autenticación de portales cautivos, la duración de la sesión depende del valor
session-expiryconfigurado para la instrucción. Si el temporizador de caducidad de MAC expira antes de que se agote el tiempouser-keepalivede espera de la sesión, y no se configura la instrucción, la sesión finaliza y el host debe volver a autenticarse.
Si el servidor de autenticación envía un tiempo de espera de sesión de autenticación al cliente, esto da prioridad al valor configurado localmente mediante la reauthentication instrucción o session-expiry la instrucción. El valor de tiempo de espera de sesión se envía desde el servidor al cliente como un atributo del mensaje de RADIUS aceptación de acceso. Para obtener información acerca de cómo configurar el servidor de autenticación para que envíe un tiempo de espera de sesión de autenticación, consulte la documentación del servidor.
Consulte también
Controlar los tiempos de espera de sesión de autenticación (procedimiento CLI)
La caducidad de una sesión de autenticación puede tener como resultado un tiempo de inactividad, ya que el host debe volver a intentar la autenticación. Puede limitar este tiempo de inactividad controlando el período de tiempo de espera de las sesiones de autenticación.
Una sesión de autenticación puede finalizar cuando el dirección MAC asociado con el host autenticado caduca en la tabla de conmutación Ethernet. Cuando la dirección MAC se borra de la tabla de conmutación Ethernet, la sesión autenticada de ese host termina y el host debe volver a intentar la autenticación.
Para evitar que la sesión de autenticación finalice cuando el dirección MAC de la tabla de conmutación Ethernet:
También puede configurar valores de tiempo de espera para que las sesiones de autenticación finalicen una sesión autenticada antes de que expire el temporizador de caducidad de MAC.
La configuración del tiempo de espera de sesión para una sesión de autenticación no extiende la sesión una vez expirado el temporizador de caducidad de MAC. Para evitar el tiempo de no-mac-table-binding espera de sesión debido a la caducidad de las Mac, user-keepalive debe configurar la afirmación para 802.1 x y Mac RADIUS autenticación, o la afirmación de autenticación de portales de cautivo.
Para las sesiones de autenticación de 802.1 X y MAC RADIUS, configure el reauthentication valor de tiempo de espera mediante la instrucción.
Para configurar el valor de tiempo de espera en una sola interfaz:
[edit] user@switch# set protocols dot1x authenticator interface interface-name reauthentication seconds;
Para configurar el valor de tiempo de espera en todas las interfaces:
[edit] user@switch# set protocols dot1x authenticator interface all reauthentication seconds;
Para sesiones de autenticación de portales cautivos, configure session-expiry el valor de tiempo de espera mediante la instrucción.
Para configurar el valor de tiempo de espera en una sola interfaz:
[edit] user@switch# set services captive-portal interface interface-name session-expiry minutes;
Para configurar el valor de tiempo de espera en todas las interfaces:
[edit] user@switch# set services captive-portal interface all session-expiry minutes;
Si el servidor de autenticación envía al cliente un tiempo de espera de sesión de autenticación, esto tiene prioridad sobre el reauthentication valor configurado mediante session-expiry la instrucción o la instrucción. El valor de tiempo de espera de sesión se envía desde el servidor al cliente como un atributo del mensaje de RADIUS aceptación de acceso.
Consulte también
Conservación de la sesión de autenticación basada en enlaces de dirección IP-MAC
La RADIUS mac se suele usar para permitir que los hosts que no están habilitados para la autenticación 802.1X accedan a la LAN. Los dispositivos finales, como las impresoras, no son muy activos en la red. Si la dirección MAC asociada con un dispositivo final se acaba debido a la inactividad, la dirección MAC se borrará de la tabla de conmutación Ethernet y finalizará la sesión de autenticación. Esto significa que otros dispositivos no podrán comunicarse con el dispositivo final cuando sea necesario.
Si la dirección MAC con un tiempo de anticuación está asociada con una dirección IP en la tabla de espionaje DHCP, DHCPv6 o SLAAC, ese enlace de dirección MAC-IP se borrará de la tabla. Esto puede ocasionar una caída del tráfico cuando el cliente DHCP intenta renovar su alquiler.
Puede configurar el dispositivo de conmutación para comprobar si hay un enlace de dirección IP-MAC en la tabla de espionaje DHCP, DHCPv6 o SLAAC antes de finalizar la sesión de autenticación cuando la dirección MAC no esté disponible. Si la dirección MAC del dispositivo final está enlazada a una dirección IP, entonces se conservará en la tabla de conmutación Ethernet y la sesión de autenticación permanecerá activa.
Esta característica se puede configurar globalmente para todas las sesiones autenticadas mediante el CLI por sesión o por sesión mediante atributos RADIUS específicos.
Ventajas
Esta característica ofrece las siguientes ventajas:
Garantiza que otros dispositivos de la red puedan acceder a un dispositivo final, incluso si la dirección MAC no es correcta.
Impide que el tráfico se caiga cuando el dispositivo final intenta renovar su concesión de DHCP.
CLI configuración
Antes de poder configurar esta función:
En el dispositivo se debe habilitar el espionaje DHCP, el espionaje DHCPv6 o el espionaje SLAAC.
La
no-mac-table-bindinginstrucción CLI debe configurarse. Esto desvincula la tabla de sesión de autenticación de la tabla de conmutación Ethernet, de modo que cuando una dirección MAC se asememe, la sesión de autenticación se extenderá hasta la próxima reautentificación.[edit] user@switch# set protocols dot1x authenticator no-mac-table-binding;
Para configurar esta función globalmente para todas las sesiones autenticadas:
ip-mac-session-binding instrucción CLI:[edit] user@switch# set protocols dot1x authenticator ip-mac-session-binding;
No puede confirmar la ip-mac-session-binding configuración, a menos que no-mac-table-binding la también esté configurada.
RADIUS atributos de servidor
Puede configurar esta función para una sesión de autenticación específica mediante atributos RADIUS servidor. RADIUS atributos de servidor son campos de texto sin formato encapsulados en mensajes de aceptación de acceso enviados desde el servidor de autenticación al dispositivo de conmutación cuando se autentica correctamente un supplicante conectado al conmutador.
Para conservar la sesión de autenticación basada en enlaces de dirección IP-MAC, configure los dos pares de atributo-valor siguientes en el RADIUS servidor:
Juniper-AV-Pair = "IP-Mac-Session-Binding"
Juniper-AV-Pair = "No-Mac-Binding-Reauth"
El Juniper-AV-Pair es un atributo Juniper Networks específico del proveedor (VSA). Compruebe que el Juniper de código está cargado en el servidor RADIUS e incluye Juniper-AV-Pair VSA (ID# 52).
Si necesita agregar el atributo al diccionario, busque el archivo de RADIUS en el servidor de RADIUS y agregue juniper.dct el siguiente texto al archivo:
ATTRIBUTE Juniper-AV-Pair Juniper-VSA(52, string) r
Para obtener información específica acerca de cómo configurar RADIUS servidor, consulte la AAA documentación incluida con el servidor.
Comproba
Compruebe la configuración emitiendo el comando de modo operativo y confirme que los campos y de salida show dot1x interface interface-name detail indican que la función está Ip Mac Session BindingNo Mac Session Binding habilitada.
user@switch> show dot1x interface ge-0/0/16.0 detail
ge-0/0/16.0
Role: Authenticator
Administrative state: Auto
Supplicant mode: Multiple
Number of retries: 3
Quiet period: 60 seconds
Transmit period: 5 seconds
Mac Radius: Enabled
Mac Radius Restrict: Disabled
Mac Radius Authentication Protocol: EAP-MD5
Reauthentication: Disabled
Configured Reauthentication interval: 3600 seconds
Supplicant timeout: 30 seconds
Server timeout: 30 seconds
Maximum EAPOL requests: 2
Guest VLAN member: <not configured>
No Mac Session Binding: Enabled
Ip Mac Session Binding: Enabled
Number of connected supplicants: 1
Supplicant: abc, 00:00:5E:00:53:00
Operational state: Authenticated
Backend Authentication state: Idle
Authentication method: Mac Radius
Authenticated VLAN: v100
Session Reauth interval: 3600 seconds
Reauthentication due in 0 seconds
Ip Mac Session Binding: Enabled
No Mac Binding Reauth: Enabled
Eapol-Block: Not In Effect
Los clientes autenticados con RADIUS MAC deben seguir autenticados, y las entradas de dirección MAC en la tabla de conmutación Ethernet también se deben conservar después de la expiración del temporizador de MAC.