Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Tiempo de espera de la sesión de autenticación

Puede controlar el acceso a la red a través de un conmutador mediante varias autentificaciones diferentes. Los conmutadores Junos OS admiten 802.1X, MAC RADIUS y portal cautivo como métodos de autenticación para dispositivos que requieren conectarse a una red. Lea este tema para obtener más información.

Descripción del tiempo de espera de la sesión de autenticación

La información sobre las sesiones de autenticación, incluidas las interfaces asociadas y las VLAN para cada dirección MAC autenticada, se almacena en la tabla de sesiones de autenticación. La tabla de sesiones de autenticación está vinculada a la tabla de conmutación Ethernet (también denominada tabla MAC). Cada vez que el conmutador detecta tráfico desde una dirección MAC, actualiza la marca de tiempo de ese nodo de red en la tabla de conmutación Ethernet. Un temporizador en el conmutador comprueba periódicamente la marca de hora y, si su valor supera el valor configurado por el usuario, la dirección MAC se elimina de la tabla de conmutación Ethernet.mac-table-aging-time Cuando una dirección MAC caduca de la tabla de conmutación Ethernet, la entrada para esa dirección MAC también se elimina de la tabla de sesión de autenticación, con el resultado de que la sesión finaliza.

Cuando la sesión de autenticación finaliza debido a la antigüedad de la dirección MAC, el host debe volver a intentar la autenticación. Para limitar el tiempo de inactividad resultante de la reautenticación, puede controlar el tiempo de espera de las sesiones de autenticación de las siguientes maneras:

  • Para las sesiones de autenticación 802.1X y MAC RADIUS, desvincule la tabla de sesiones de autenticación de la tabla de conmutación Ethernet mediante la instrucción.no-mac-table-binding Esta configuración impide la finalización de la sesión de autenticación cuando la dirección MAC asociada caduca fuera de la tabla de conmutación Ethernet.

  • Para las sesiones de autenticación de portal cautivo, configure un temporizador keepalive mediante la instrucción.user-keepalive Con esta opción configurada, cuando la dirección MAC asociada caduca fuera de la tabla de conmutación Ethernet, se inicia el temporizador keepalive. Si el tráfico se recibe dentro del período de tiempo de espera de mantenimiento, el temporizador se elimina. Si no hay tráfico dentro del período de tiempo de espera de mantenimiento, la sesión se elimina.

También puede especificar valores de tiempo de espera para que las sesiones de autenticación finalicen la sesión antes de que caduque el temporizador de antigüedad de MAC. Una vez agotado el tiempo de espera de la sesión, el host debe volver a intentar la autenticación.

  • Para las sesiones de autenticación 802.1X y MAC RADIUS, la duración de la sesión antes de que se agote el tiempo de espera depende del valor de la instrucción.reauthentication Si el temporizador de antigüedad de MAC caduca antes de que se agote el tiempo de espera de la sesión y la instrucción no está configurada, la sesión finaliza y el host debe volver a autenticarse.no-mac-table-binding

  • Para las sesiones de autenticación de portal cautivo, la duración de la sesión depende del valor configurado para la instrucción.session-expiry Si el temporizador de antigüedad de MAC caduca antes de que se agote el tiempo de espera de la sesión y la instrucción no está configurada, la sesión finaliza y el host debe volver a autenticarse.user-keepalive

Nota:

Si el servidor de autenticación envía un tiempo de espera de sesión de autenticación al cliente, éste tiene prioridad sobre el valor configurado localmente mediante la instrucción o la instrucción.reauthentication session-expiry El valor del tiempo de espera de la sesión se envía desde el servidor al cliente como un atributo del mensaje RADIUS Access-Accept. Para obtener información acerca de cómo configurar el servidor de autenticación para enviar un tiempo de espera de sesión de autenticación, consulte la documentación del servidor.

Control de los tiempos de espera de la sesión de autenticación (procedimiento de la CLI)

La expiración de una sesión de autenticación puede provocar tiempo de inactividad porque el host debe volver a intentar la autenticación. Puede limitar este tiempo de inactividad controlando el tiempo de espera de las sesiones de autenticación.

Una sesión de autenticación puede finalizar cuando la dirección MAC asociada con el host autenticado desaparece de la tabla de conmutación Ethernet. Cuando la dirección MAC se borra de la tabla de conmutación Ethernet, finaliza la sesión autenticada para ese host y el host debe volver a intentar la autenticación.

Para evitar que la sesión de autenticación finalice cuando la dirección MAC caduce fuera de la tabla de conmutación Ethernet:

  • Para las sesiones autenticadas mediante autenticación 802.1X o MAC RADIUS, puede evitar los tiempos de espera de la sesión de autenticación debido a la antigüedad de la dirección MAC desasociando la tabla de sesiones de autenticación de la tabla de conmutación Ethernet mediante la instrucción:no-mac-table-binding
  • Para las sesiones autenticadas mediante la autenticación de portal cautivo, puede evitar los tiempos de espera de la sesión de autenticación debido a la antigüedad de la dirección MAC extendiendo el período de tiempo de espera mediante la instrucción:user-keepalive

También puede configurar valores de tiempo de espera para que las sesiones de autenticación finalicen una sesión autenticada antes de que caduque el temporizador de antigüedad de MAC.

Nota:

La configuración del tiempo de espera de la sesión para una sesión de autenticación no prolonga la sesión después de que caduque el temporizador de antigüedad de MAC. Debe configurar la instrucción para la autenticación 802.1X y MAC RADIUS, o la instrucción para la autenticación del portal cautivo, a fin de evitar que se agote el tiempo de espera de la sesión debido a la antigüedad del MAC.no-mac-table-bindinguser-keepalive

Para las sesiones de autenticación 802.1X y MAC RADIUS, configure el valor de tiempo de espera mediante la instrucción.reauthentication

  • Para configurar el valor de tiempo de espera en una sola interfaz:

  • Para configurar el valor de tiempo de espera en todas las interfaces:

Para las sesiones de autenticación de portal cautivo, configure el valor de tiempo de espera mediante la instrucción.session-expiry

  • Para configurar el valor de tiempo de espera en una sola interfaz:

  • Para configurar el valor de tiempo de espera en todas las interfaces:

Nota:

Si el servidor de autenticación envía un tiempo de espera de sesión de autenticación al cliente, esto tiene prioridad sobre el valor configurado mediante la instrucción o la instrucción.reauthentication session-expiry El valor del tiempo de espera de la sesión se envía desde el servidor al cliente como un atributo del mensaje RADIUS Access-Accept.

Conservar la sesión de autenticación basada en enlaces de direcciones IP-MAC

La autenticación MAC RADIUS se utiliza a menudo para permitir que los hosts que no están habilitados para la autenticación 802.1X accedan a la LAN. Los dispositivos finales, como las impresoras, no están muy activos en la red. Si la dirección MAC asociada a un dispositivo final caduca debido a la inactividad, la dirección MAC se borra de la tabla de conmutación Ethernet y finaliza la sesión de autenticación. Esto significa que otros dispositivos no podrán llegar al dispositivo final cuando sea necesario.

Si la dirección MAC que caduca está asociada a una dirección IP de la tabla de espionaje DHCP, DHCPv6 o SLAAC, ese enlace de dirección MAC-IP se borrará de la tabla. Esto puede provocar la pérdida de tráfico cuando el cliente DHCP intenta renovar su concesión.

Puede configurar el dispositivo de conmutación para comprobar si hay un enlace de dirección IP-MAC en la tabla de espionaje DHCP, DHCPv6 o SLAAC antes de finalizar la sesión de autenticación cuando la dirección MAC expira. Si la dirección MAC del dispositivo final está enlazada a una dirección IP, se conservará en la tabla de conmutación Ethernet y la sesión de autenticación permanecerá activa.

Esta característica se puede configurar globalmente para todas las sesiones autenticadas mediante la CLI o por sesión mediante atributos RADIUS.

Ventajas

Esta característica proporciona los siguientes beneficios:

  • Garantiza que otros dispositivos de la red puedan acceder a un dispositivo final, incluso si la dirección MAC caduca.

  • Evita que el tráfico caiga cuando el dispositivo final intenta renovar su concesión DHCP.

Configuración de CLI

Antes de poder configurar esta función:

  • La supervisión DHCP, la supervisión DHCPv6 o la supervisión SLAAC deben estar habilitadas en el dispositivo.

  • La instrucción CLI debe estar configurada.no-mac-table-binding Esto desasocia la tabla de sesiones de autenticación de la tabla de conmutación Ethernet, de modo que cuando una dirección MAC caduca, la sesión de autenticación se extenderá hasta la próxima reautenticación.

Para configurar esta función globalmente para todas las sesiones autenticadas:

Configure el dispositivo de conmutación para comprobar si hay un enlace de dirección IP-MAC en la tabla de espionaje DHCP, DHCPv6 o SLAAC antes de finalizar la sesión de autenticación cuando la dirección MAC expire mediante la instrucción CLI:ip-mac-session-binding
Nota:

No puede confirmar la configuración a menos que también esté configurada.ip-mac-session-bindingno-mac-table-binding

Atributos del servidor RADIUS

Puede configurar esta función para una sesión de autenticación específica mediante atributos de servidor RADIUS. Los atributos de servidor RADIUS son campos de texto sin cifrar encapsulados en mensajes de acceso-aceptación enviados desde el servidor de autenticación al dispositivo de conmutación cuando un suplicante conectado al conmutador se autentica correctamente.

Para conservar la sesión de autenticación basada en enlaces de direcciones IP-MAC, configure los dos pares atributo-valor siguientes en el servidor RADIUS:

  • juniper-AV-pair = "ip-mac-session-binding"

  • Juniper-AV-Pair = "No-Mac-Binding-Reauth"

El atributo Juniper-AV-Pair es un atributo específico del proveedor (VSA) de Juniper Networks. Verifique que el diccionario Juniper esté cargado en el servidor RADIUS e incluya el VSA Juniper-AV-Pair (ID# 52).

Si necesita agregar el atributo al diccionario, busque el archivo de diccionario () en el servidor RADIUS y agregue el texto siguiente al archivo:juniper.dct

Nota:

Para obtener información específica acerca de la configuración del servidor RADIUS, consulte la documentación AAA incluida con el servidor.

Verificación

Verifique la configuración emitiendo el comando de modo operativo y confirme que los campos de salida y indican que la característica está habilitada.show dot1x interface interface-name detailIp Mac Session BindingNo Mac Session Binding

Los clientes autenticados con MAC RADIUS deben permanecer autenticados y las entradas de dirección MAC en la tabla de conmutación Ethernet también deben conservarse después de la expiración del temporizador MAC.