Tiempo de espera de la sesión de autenticación
Puede controlar el acceso a la red a través de un conmutador mediante varias autentificaciones diferentes. Los conmutadores Junos OS admiten 802.1X, MAC RADIUS y portal cautivo como métodos de autenticación para dispositivos que requieren conectarse a una red. Lea este tema para obtener más información.
Descripción del tiempo de espera de la sesión de autenticación
La información sobre las sesiones de autenticación, incluidas las interfaces asociadas y las VLAN para cada dirección MAC autenticada, se almacena en la tabla de sesiones de autenticación. La tabla de sesiones de autenticación está vinculada a la tabla de conmutación Ethernet (también denominada tabla MAC). Cada vez que el conmutador detecta tráfico desde una dirección MAC, actualiza la marca de tiempo de ese nodo de red en la tabla de conmutación Ethernet. Un temporizador en el conmutador comprueba periódicamente la marca de hora y, si su valor supera el valor configurado por mac-table-aging-time el usuario, la dirección MAC se elimina de la tabla de conmutación Ethernet. Cuando una dirección MAC caduca de la tabla de conmutación Ethernet, la entrada para esa dirección MAC también se elimina de la tabla de sesión de autenticación, con el resultado de que la sesión finaliza.
Cuando la sesión de autenticación finaliza debido a la antigüedad de la dirección MAC, el host debe volver a intentar la autenticación. Para limitar el tiempo de inactividad resultante de la reautenticación, puede controlar el tiempo de espera de las sesiones de autenticación de las siguientes maneras:
Para las sesiones de autenticación 802.1X y MAC RADIUS, desvincule la tabla de sesiones de autenticación de la tabla de conmutación Ethernet mediante la
no-mac-table-bindinginstrucción. Esta configuración impide la finalización de la sesión de autenticación cuando la dirección MAC asociada caduca fuera de la tabla de conmutación Ethernet.Para las sesiones de autenticación de portal cautivo, configure un temporizador keepalive mediante la
user-keepaliveinstrucción. Con esta opción configurada, cuando la dirección MAC asociada caduca fuera de la tabla de conmutación Ethernet, se inicia el temporizador keepalive. Si el tráfico se recibe dentro del período de tiempo de espera de mantenimiento, el temporizador se elimina. Si no hay tráfico dentro del período de tiempo de espera de mantenimiento, la sesión se elimina.
También puede especificar valores de tiempo de espera para que las sesiones de autenticación finalicen la sesión antes de que caduque el temporizador de antigüedad de MAC. Una vez agotado el tiempo de espera de la sesión, el host debe volver a intentar la autenticación.
Para las sesiones de autenticación 802.1X y MAC RADIUS, la duración de la sesión antes de que se agote el tiempo de espera depende del valor de la
reauthenticationinstrucción. Si el temporizador de antigüedad de MAC caduca antes de que se agote el tiempo de espera de la sesión y lano-mac-table-bindinginstrucción no está configurada, la sesión finaliza y el host debe volver a autenticarse.Para las sesiones de autenticación de portal cautivo, la duración de la sesión depende del valor configurado para la
session-expiryinstrucción. Si el temporizador de antigüedad de MAC caduca antes de que se agote el tiempo de espera de la sesión y lauser-keepaliveinstrucción no está configurada, la sesión finaliza y el host debe volver a autenticarse.
Si el servidor de autenticación envía un tiempo de espera de sesión de autenticación al cliente, éste tiene prioridad sobre el valor configurado localmente mediante la reauthentication instrucción o la session-expiry instrucción. El valor del tiempo de espera de la sesión se envía desde el servidor al cliente como un atributo del mensaje RADIUS Access-Accept. Para obtener información acerca de cómo configurar el servidor de autenticación para enviar un tiempo de espera de sesión de autenticación, consulte la documentación del servidor.
Consulte también
Control de los tiempos de espera de la sesión de autenticación (procedimiento de la CLI)
La expiración de una sesión de autenticación puede provocar tiempo de inactividad porque el host debe volver a intentar la autenticación. Puede limitar este tiempo de inactividad controlando el tiempo de espera de las sesiones de autenticación.
Una sesión de autenticación puede finalizar cuando la dirección MAC asociada con el host autenticado desaparece de la tabla de conmutación Ethernet. Cuando la dirección MAC se borra de la tabla de conmutación Ethernet, finaliza la sesión autenticada para ese host y el host debe volver a intentar la autenticación.
Para evitar que la sesión de autenticación finalice cuando la dirección MAC caduce fuera de la tabla de conmutación Ethernet:
También puede configurar valores de tiempo de espera para que las sesiones de autenticación finalicen una sesión autenticada antes de que caduque el temporizador de antigüedad de MAC.
La configuración del tiempo de espera de la sesión para una sesión de autenticación no prolonga la sesión después de que caduque el temporizador de antigüedad de MAC. Debe configurar la instrucción para la autenticación 802.1X y MAC RADIUS, o la instrucción para la autenticación del portal cautivo, a fin de evitar que user-keepalive se agote el no-mac-table-binding tiempo de espera de la sesión debido a la antigüedad del MAC.
Para las sesiones de autenticación 802.1X y MAC RADIUS, configure el valor de tiempo de espera mediante la reauthentication instrucción.
Para configurar el valor de tiempo de espera en una sola interfaz:
[edit] user@switch# set protocols dot1x authenticator interface interface-name reauthentication seconds;
Para configurar el valor de tiempo de espera en todas las interfaces:
[edit] user@switch# set protocols dot1x authenticator interface all reauthentication seconds;
Para las sesiones de autenticación de portal cautivo, configure el valor de tiempo de espera mediante la session-expiry instrucción.
Para configurar el valor de tiempo de espera en una sola interfaz:
[edit] user@switch# set services captive-portal interface interface-name session-expiry minutes;
Para configurar el valor de tiempo de espera en todas las interfaces:
[edit] user@switch# set services captive-portal interface all session-expiry minutes;
Si el servidor de autenticación envía un tiempo de espera de sesión de autenticación al cliente, esto tiene prioridad sobre el valor configurado mediante la reauthentication instrucción o la session-expiry instrucción. El valor del tiempo de espera de la sesión se envía desde el servidor al cliente como un atributo del mensaje RADIUS Access-Accept.
Consulte también
Conservar la sesión de autenticación basada en enlaces de direcciones IP-MAC
La autenticación MAC RADIUS se utiliza a menudo para permitir que los hosts que no están habilitados para la autenticación 802.1X accedan a la LAN. Los dispositivos finales, como las impresoras, no están muy activos en la red. Si la dirección MAC asociada a un dispositivo final caduca debido a la inactividad, la dirección MAC se borra de la tabla de conmutación Ethernet y finaliza la sesión de autenticación. Esto significa que otros dispositivos no podrán llegar al dispositivo final cuando sea necesario.
Si la dirección MAC que caduca está asociada a una dirección IP de la tabla de espionaje DHCP, DHCPv6 o SLAAC, ese enlace de dirección MAC-IP se borrará de la tabla. Esto puede provocar la pérdida de tráfico cuando el cliente DHCP intenta renovar su concesión.
Puede configurar el dispositivo de conmutación para comprobar si hay un enlace de dirección IP-MAC en la tabla de espionaje DHCP, DHCPv6 o SLAAC antes de finalizar la sesión de autenticación cuando la dirección MAC expira. Si la dirección MAC del dispositivo final está enlazada a una dirección IP, se conservará en la tabla de conmutación Ethernet y la sesión de autenticación permanecerá activa.
Esta característica se puede configurar globalmente para todas las sesiones autenticadas mediante la CLI o por sesión mediante atributos RADIUS.
Ventajas
Esta característica proporciona los siguientes beneficios:
Garantiza que otros dispositivos de la red puedan acceder a un dispositivo final, incluso si la dirección MAC caduca.
Evita que el tráfico caiga cuando el dispositivo final intenta renovar su concesión DHCP.
Configuración de CLI
Antes de poder configurar esta función:
La supervisión DHCP, la supervisión DHCPv6 o la supervisión SLAAC deben estar habilitadas en el dispositivo.
La
no-mac-table-bindinginstrucción CLI debe estar configurada. Esto desasocia la tabla de sesiones de autenticación de la tabla de conmutación Ethernet, de modo que cuando una dirección MAC caduca, la sesión de autenticación se extenderá hasta la próxima reautenticación.[edit] user@switch# set protocols dot1x authenticator no-mac-table-binding;
Para configurar esta función globalmente para todas las sesiones autenticadas:
ip-mac-session-binding instrucción CLI:[edit] user@switch# set protocols dot1x authenticator ip-mac-session-binding;
No puede confirmar la ip-mac-session-binding configuración a menos que no-mac-table-binding también esté configurada.
Atributos del servidor RADIUS
Puede configurar esta función para una sesión de autenticación específica mediante atributos de servidor RADIUS. Los atributos de servidor RADIUS son campos de texto sin cifrar encapsulados en mensajes de acceso-aceptación enviados desde el servidor de autenticación al dispositivo de conmutación cuando un suplicante conectado al conmutador se autentica correctamente.
Para conservar la sesión de autenticación basada en enlaces de direcciones IP-MAC, configure los dos pares atributo-valor siguientes en el servidor RADIUS:
juniper-AV-pair = "ip-mac-session-binding"
Juniper-AV-Pair = "No-Mac-Binding-Reauth"
El atributo Juniper-AV-Pair es un atributo específico del proveedor (VSA) de Juniper Networks. Verifique que el diccionario Juniper esté cargado en el servidor RADIUS e incluya el VSA Juniper-AV-Pair (ID# 52).
Si necesita agregar el atributo al diccionario, busque el archivo de diccionario (juniper.dct) en el servidor RADIUS y agregue el texto siguiente al archivo:
ATTRIBUTE Juniper-AV-Pair Juniper-VSA(52, string) r
Para obtener información específica acerca de la configuración del servidor RADIUS, consulte la documentación AAA incluida con el servidor.
Verificación
Verifique la configuración emitiendo el comando show dot1x interface interface-name detail de modo operativo y confirme que los Ip Mac Session Binding campos de salida y No Mac Session Binding indican que la característica está habilitada.
user@switch> show dot1x interface ge-0/0/16.0 detail
ge-0/0/16.0
Role: Authenticator
Administrative state: Auto
Supplicant mode: Multiple
Number of retries: 3
Quiet period: 60 seconds
Transmit period: 5 seconds
Mac Radius: Enabled
Mac Radius Restrict: Disabled
Mac Radius Authentication Protocol: EAP-MD5
Reauthentication: Disabled
Configured Reauthentication interval: 3600 seconds
Supplicant timeout: 30 seconds
Server timeout: 30 seconds
Maximum EAPOL requests: 2
Guest VLAN member: <not configured>
No Mac Session Binding: Enabled
Ip Mac Session Binding: Enabled
Number of connected supplicants: 1
Supplicant: abc, 00:00:5E:00:53:00
Operational state: Authenticated
Backend Authentication state: Idle
Authentication method: Mac Radius
Authenticated VLAN: v100
Session Reauth interval: 3600 seconds
Reauthentication due in 0 seconds
Ip Mac Session Binding: Enabled
No Mac Binding Reauth: Enabled
Eapol-Block: Not In Effect
Los clientes autenticados con MAC RADIUS deben permanecer autenticados y las entradas de dirección MAC en la tabla de conmutación Ethernet también deben conservarse después de la expiración del temporizador MAC.