Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Tiempo de espera de la sesión de autenticación

Puede controlar el acceso a la red a través de un conmutador con distintas autenticaciones. Los conmutadores de Junos OS admiten 802.1 X, MAC RADIUS y portal cautivo como métodos de autenticación para los dispositivos que necesitan conectarse a una red. Lea este tema para obtener más información.

Descripción del tiempo de espera de sesión de autenticación

La información acerca de las sesiones de autenticación, incluidas las interfaces y VLAN asociadas para cada dirección MAC autenticada, se almacena en la tabla de sesión de autenticación. La tabla de sesión de autenticación está ligada a la tabla de conmutación Ethernet (también denominada tabla de MAC). Cada vez que el conmutador detecta el tráfico de un dirección MAC, actualiza la marca de hora de ese nodo de la red en la tabla de conmutación Ethernet. Un temporizador del conmutador comprueba periódicamente la marca de hora y si su valor supera el valor configurado mac-table-aging-time por el usuario, el dirección Mac se elimina de la tabla de conmutación Ethernet. Cuando una dirección MAC de duración de la tabla de conmutación Ethernet, la entrada para dicho dirección MAC también se quitará de la tabla de sesión de autenticación, con lo que finalizará la sesión.

Cuando finaliza la sesión de autenticación debido a dirección MAC caducidad, el host debe volver a intentar la autenticación. Para limitar el tiempo de inactividad resultante de la reautenticación, puede controlar los tiempos de espera de las sesiones de autenticación de las siguientes maneras:

  • Para las sesiones de autenticación de 802.1 X y MAC RADIUS, Desasocie la tabla de sesión de autenticación de la no-mac-table-binding tabla de conmutación Ethernet utilizando la instrucción. Esta configuración impide la terminación de la sesión de autenticación cuando el dirección MAC asociado de la tabla de conmutación Ethernet.

  • Para sesiones de autenticación de portales cautivos, configure un temporizador user-keepalive de mantenimiento de conexiones activas con la instrucción. Con esta opción configurada, cuando el dirección MAC asociado caduca de la tabla de conmutación Ethernet, se inicia el temporizador de mantenimiento de conexiones activas. Si el tráfico se recibe dentro del tiempo de espera de mantenimiento de conexiones, se elimina el temporizador. Si no hay tráfico dentro del tiempo de espera de mantenimiento de conexiones, se eliminará la sesión.

También puede especificar valores de tiempo de espera para que las sesiones de autenticación finalicen la sesión antes de que expire el temporizador de caducidad de MAC. Después de que se agote el tiempo de espera de la sesión, el host debe volver a intentar la autenticación.

  • Para las sesiones de autenticación de 802.1 X y MAC RADIUS, la duración de la sesión antes del tiempo de espera reauthentication depende del valor de la instrucción. Si el temporizador de caducidad de MAC expira antes de que se agote el tiempo no-mac-table-binding de espera de la sesión, y no se configura la instrucción, la sesión finaliza y el host debe volver a autenticarse.

  • Para sesiones de autenticación de portales cautivos, la duración de la sesión depende del valor session-expiry configurado para la instrucción. Si el temporizador de caducidad de MAC expira antes de que se agote el tiempo user-keepalive de espera de la sesión, y no se configura la instrucción, la sesión finaliza y el host debe volver a autenticarse.

Nota:

Si el servidor de autenticación envía un tiempo de espera de sesión de autenticación al cliente, esto da prioridad al valor configurado localmente mediante la reauthentication instrucción o session-expiry la instrucción. El valor de tiempo de espera de sesión se envía desde el servidor al cliente como un atributo del mensaje de RADIUS aceptación de acceso. Para obtener información acerca de cómo configurar el servidor de autenticación para que envíe un tiempo de espera de sesión de autenticación, consulte la documentación del servidor.

Controlar los tiempos de espera de sesión de autenticación (procedimiento CLI)

La caducidad de una sesión de autenticación puede tener como resultado un tiempo de inactividad, ya que el host debe volver a intentar la autenticación. Puede limitar este tiempo de inactividad controlando el período de tiempo de espera de las sesiones de autenticación.

Una sesión de autenticación puede finalizar cuando el dirección MAC asociado con el host autenticado caduca en la tabla de conmutación Ethernet. Cuando la dirección MAC se borra de la tabla de conmutación Ethernet, la sesión autenticada de ese host termina y el host debe volver a intentar la autenticación.

Para evitar que la sesión de autenticación finalice cuando el dirección MAC de la tabla de conmutación Ethernet:

  • En el caso de las sesiones autenticadas con la autenticación 802.1 X o MAC RADIUS, puede evitar Tiempos de espera de sesión de autenticación debido a la caducidad dirección MAC desasociando la tabla de sesión no-mac-table-binding de autenticación de la tabla de conmutación Ethernet mediante la instrucción:
  • En el caso de las sesiones autenticadas con la autenticación de portales, puede evitar Tiempos de espera de sesión de autenticación debidos a user-keepalive la caducidad dirección Mac, extendiendo el período de tiempo de espera mediante la siguiente instrucción:

También puede configurar valores de tiempo de espera para que las sesiones de autenticación finalicen una sesión autenticada antes de que expire el temporizador de caducidad de MAC.

Nota:

La configuración del tiempo de espera de sesión para una sesión de autenticación no extiende la sesión una vez expirado el temporizador de caducidad de MAC. Para evitar el tiempo de no-mac-table-binding espera de sesión debido a la caducidad de las Mac, user-keepalive debe configurar la afirmación para 802.1 x y Mac RADIUS autenticación, o la afirmación de autenticación de portales de cautivo.

Para las sesiones de autenticación de 802.1 X y MAC RADIUS, configure el reauthentication valor de tiempo de espera mediante la instrucción.

  • Para configurar el valor de tiempo de espera en una sola interfaz:

  • Para configurar el valor de tiempo de espera en todas las interfaces:

Para sesiones de autenticación de portales cautivos, configure session-expiry el valor de tiempo de espera mediante la instrucción.

  • Para configurar el valor de tiempo de espera en una sola interfaz:

  • Para configurar el valor de tiempo de espera en todas las interfaces:

Nota:

Si el servidor de autenticación envía al cliente un tiempo de espera de sesión de autenticación, esto tiene prioridad sobre el reauthentication valor configurado mediante session-expiry la instrucción o la instrucción. El valor de tiempo de espera de sesión se envía desde el servidor al cliente como un atributo del mensaje de RADIUS aceptación de acceso.

Conservación de la sesión de autenticación basada en enlaces de dirección IP-MAC

La RADIUS mac se suele usar para permitir que los hosts que no están habilitados para la autenticación 802.1X accedan a la LAN. Los dispositivos finales, como las impresoras, no son muy activos en la red. Si la dirección MAC asociada con un dispositivo final se acaba debido a la inactividad, la dirección MAC se borrará de la tabla de conmutación Ethernet y finalizará la sesión de autenticación. Esto significa que otros dispositivos no podrán comunicarse con el dispositivo final cuando sea necesario.

Si la dirección MAC con un tiempo de anticuación está asociada con una dirección IP en la tabla de espionaje DHCP, DHCPv6 o SLAAC, ese enlace de dirección MAC-IP se borrará de la tabla. Esto puede ocasionar una caída del tráfico cuando el cliente DHCP intenta renovar su alquiler.

Puede configurar el dispositivo de conmutación para comprobar si hay un enlace de dirección IP-MAC en la tabla de espionaje DHCP, DHCPv6 o SLAAC antes de finalizar la sesión de autenticación cuando la dirección MAC no esté disponible. Si la dirección MAC del dispositivo final está enlazada a una dirección IP, entonces se conservará en la tabla de conmutación Ethernet y la sesión de autenticación permanecerá activa.

Esta característica se puede configurar globalmente para todas las sesiones autenticadas mediante el CLI por sesión o por sesión mediante atributos RADIUS específicos.

Ventajas

Esta característica ofrece las siguientes ventajas:

  • Garantiza que otros dispositivos de la red puedan acceder a un dispositivo final, incluso si la dirección MAC no es correcta.

  • Impide que el tráfico se caiga cuando el dispositivo final intenta renovar su concesión de DHCP.

CLI configuración

Antes de poder configurar esta función:

  • En el dispositivo se debe habilitar el espionaje DHCP, el espionaje DHCPv6 o el espionaje SLAAC.

  • La no-mac-table-binding instrucción CLI debe configurarse. Esto desvincula la tabla de sesión de autenticación de la tabla de conmutación Ethernet, de modo que cuando una dirección MAC se asememe, la sesión de autenticación se extenderá hasta la próxima reautentificación.

Para configurar esta función globalmente para todas las sesiones autenticadas:

Configure el dispositivo de conmutación para comprobar si hay un enlace de dirección IP-MAC en la tabla de espionaje DHCP, DHCPv6 o SLAAC antes de finalizar la sesión de autenticación cuando la dirección MAC se extemplo con la ip-mac-session-binding instrucción CLI:
Nota:

No puede confirmar la ip-mac-session-binding configuración, a menos que no-mac-table-binding la también esté configurada.

RADIUS atributos de servidor

Puede configurar esta función para una sesión de autenticación específica mediante atributos RADIUS servidor. RADIUS atributos de servidor son campos de texto sin formato encapsulados en mensajes de aceptación de acceso enviados desde el servidor de autenticación al dispositivo de conmutación cuando se autentica correctamente un supplicante conectado al conmutador.

Para conservar la sesión de autenticación basada en enlaces de dirección IP-MAC, configure los dos pares de atributo-valor siguientes en el RADIUS servidor:

  • Juniper-AV-Pair = "IP-Mac-Session-Binding"

  • Juniper-AV-Pair = "No-Mac-Binding-Reauth"

El Juniper-AV-Pair es un atributo Juniper Networks específico del proveedor (VSA). Compruebe que el Juniper de código está cargado en el servidor RADIUS e incluye Juniper-AV-Pair VSA (ID# 52).

Si necesita agregar el atributo al diccionario, busque el archivo de RADIUS en el servidor de RADIUS y agregue juniper.dct el siguiente texto al archivo:

Nota:

Para obtener información específica acerca de cómo configurar RADIUS servidor, consulte la AAA documentación incluida con el servidor.

Comproba

Compruebe la configuración emitiendo el comando de modo operativo y confirme que los campos y de salida show dot1x interface interface-name detail indican que la función está Ip Mac Session BindingNo Mac Session Binding habilitada.

Los clientes autenticados con RADIUS MAC deben seguir autenticados, y las entradas de dirección MAC en la tabla de conmutación Ethernet también se deben conservar después de la expiración del temporizador de MAC.