Tiempo de espera de la sesión de autenticación
Puede controlar el acceso a la red a través de un conmutador mediante varias autentificaciones diferentes. Los conmutadores Junos OS admiten 802.1X, MAC RADIUS y portal cautivo como métodos de autenticación para dispositivos que requieren conectarse a una red. Lea este tema para obtener más información.
Descripción del tiempo de espera de la sesión de autenticación
La información sobre las sesiones de autenticación, incluidas las interfaces asociadas y las VLAN para cada dirección MAC autenticada, se almacena en la tabla de sesiones de autenticación. La tabla de sesiones de autenticación está vinculada a la tabla de conmutación Ethernet (también denominada tabla MAC). Cada vez que el conmutador detecta tráfico desde una dirección MAC, actualiza la marca de tiempo de ese nodo de red en la tabla de conmutación Ethernet. Un temporizador en el conmutador comprueba periódicamente la marca de hora y, si su valor supera el valor configurado por el usuario, la dirección MAC se elimina de la tabla de conmutación Ethernet.mac-table-aging-time
Cuando una dirección MAC caduca de la tabla de conmutación Ethernet, la entrada para esa dirección MAC también se elimina de la tabla de sesión de autenticación, con el resultado de que la sesión finaliza.
Cuando la sesión de autenticación finaliza debido a la antigüedad de la dirección MAC, el host debe volver a intentar la autenticación. Para limitar el tiempo de inactividad resultante de la reautenticación, puede controlar el tiempo de espera de las sesiones de autenticación de las siguientes maneras:
Para las sesiones de autenticación 802.1X y MAC RADIUS, desvincule la tabla de sesiones de autenticación de la tabla de conmutación Ethernet mediante la instrucción.
no-mac-table-binding
Esta configuración impide la finalización de la sesión de autenticación cuando la dirección MAC asociada caduca fuera de la tabla de conmutación Ethernet.Para las sesiones de autenticación de portal cautivo, configure un temporizador keepalive mediante la instrucción.
user-keepalive
Con esta opción configurada, cuando la dirección MAC asociada caduca fuera de la tabla de conmutación Ethernet, se inicia el temporizador keepalive. Si el tráfico se recibe dentro del período de tiempo de espera de mantenimiento, el temporizador se elimina. Si no hay tráfico dentro del período de tiempo de espera de mantenimiento, la sesión se elimina.
También puede especificar valores de tiempo de espera para que las sesiones de autenticación finalicen la sesión antes de que caduque el temporizador de antigüedad de MAC. Una vez agotado el tiempo de espera de la sesión, el host debe volver a intentar la autenticación.
Para las sesiones de autenticación 802.1X y MAC RADIUS, la duración de la sesión antes de que se agote el tiempo de espera depende del valor de la instrucción.
reauthentication
Si el temporizador de antigüedad de MAC caduca antes de que se agote el tiempo de espera de la sesión y la instrucción no está configurada, la sesión finaliza y el host debe volver a autenticarse.no-mac-table-binding
Para las sesiones de autenticación de portal cautivo, la duración de la sesión depende del valor configurado para la instrucción.
session-expiry
Si el temporizador de antigüedad de MAC caduca antes de que se agote el tiempo de espera de la sesión y la instrucción no está configurada, la sesión finaliza y el host debe volver a autenticarse.user-keepalive
Si el servidor de autenticación envía un tiempo de espera de sesión de autenticación al cliente, éste tiene prioridad sobre el valor configurado localmente mediante la instrucción o la instrucción.reauthentication
session-expiry
El valor del tiempo de espera de la sesión se envía desde el servidor al cliente como un atributo del mensaje RADIUS Access-Accept. Para obtener información acerca de cómo configurar el servidor de autenticación para enviar un tiempo de espera de sesión de autenticación, consulte la documentación del servidor.
Consulte también
Control de los tiempos de espera de la sesión de autenticación (procedimiento de la CLI)
La expiración de una sesión de autenticación puede provocar tiempo de inactividad porque el host debe volver a intentar la autenticación. Puede limitar este tiempo de inactividad controlando el tiempo de espera de las sesiones de autenticación.
Una sesión de autenticación puede finalizar cuando la dirección MAC asociada con el host autenticado desaparece de la tabla de conmutación Ethernet. Cuando la dirección MAC se borra de la tabla de conmutación Ethernet, finaliza la sesión autenticada para ese host y el host debe volver a intentar la autenticación.
Para evitar que la sesión de autenticación finalice cuando la dirección MAC caduce fuera de la tabla de conmutación Ethernet:
También puede configurar valores de tiempo de espera para que las sesiones de autenticación finalicen una sesión autenticada antes de que caduque el temporizador de antigüedad de MAC.
La configuración del tiempo de espera de la sesión para una sesión de autenticación no prolonga la sesión después de que caduque el temporizador de antigüedad de MAC. Debe configurar la instrucción para la autenticación 802.1X y MAC RADIUS, o la instrucción para la autenticación del portal cautivo, a fin de evitar que se agote el tiempo de espera de la sesión debido a la antigüedad del MAC.no-mac-table-binding
user-keepalive
Para las sesiones de autenticación 802.1X y MAC RADIUS, configure el valor de tiempo de espera mediante la instrucción.reauthentication
Para configurar el valor de tiempo de espera en una sola interfaz:
[edit] user@switch# set protocols dot1x authenticator interface interface-name reauthentication seconds;
Para configurar el valor de tiempo de espera en todas las interfaces:
[edit] user@switch# set protocols dot1x authenticator interface all reauthentication seconds;
Para las sesiones de autenticación de portal cautivo, configure el valor de tiempo de espera mediante la instrucción.session-expiry
Para configurar el valor de tiempo de espera en una sola interfaz:
[edit] user@switch# set services captive-portal interface interface-name session-expiry minutes;
Para configurar el valor de tiempo de espera en todas las interfaces:
[edit] user@switch# set services captive-portal interface all session-expiry minutes;
Si el servidor de autenticación envía un tiempo de espera de sesión de autenticación al cliente, esto tiene prioridad sobre el valor configurado mediante la instrucción o la instrucción.reauthentication
session-expiry
El valor del tiempo de espera de la sesión se envía desde el servidor al cliente como un atributo del mensaje RADIUS Access-Accept.
Consulte también
Conservar la sesión de autenticación basada en enlaces de direcciones IP-MAC
La autenticación MAC RADIUS se utiliza a menudo para permitir que los hosts que no están habilitados para la autenticación 802.1X accedan a la LAN. Los dispositivos finales, como las impresoras, no están muy activos en la red. Si la dirección MAC asociada a un dispositivo final caduca debido a la inactividad, la dirección MAC se borra de la tabla de conmutación Ethernet y finaliza la sesión de autenticación. Esto significa que otros dispositivos no podrán llegar al dispositivo final cuando sea necesario.
Si la dirección MAC que caduca está asociada a una dirección IP de la tabla de espionaje DHCP, DHCPv6 o SLAAC, ese enlace de dirección MAC-IP se borrará de la tabla. Esto puede provocar la pérdida de tráfico cuando el cliente DHCP intenta renovar su concesión.
Puede configurar el dispositivo de conmutación para comprobar si hay un enlace de dirección IP-MAC en la tabla de espionaje DHCP, DHCPv6 o SLAAC antes de finalizar la sesión de autenticación cuando la dirección MAC expira. Si la dirección MAC del dispositivo final está enlazada a una dirección IP, se conservará en la tabla de conmutación Ethernet y la sesión de autenticación permanecerá activa.
Esta característica se puede configurar globalmente para todas las sesiones autenticadas mediante la CLI o por sesión mediante atributos RADIUS.
Ventajas
Esta característica proporciona los siguientes beneficios:
Garantiza que otros dispositivos de la red puedan acceder a un dispositivo final, incluso si la dirección MAC caduca.
Evita que el tráfico caiga cuando el dispositivo final intenta renovar su concesión DHCP.
Configuración de CLI
Antes de poder configurar esta función:
La supervisión DHCP, la supervisión DHCPv6 o la supervisión SLAAC deben estar habilitadas en el dispositivo.
La instrucción CLI debe estar configurada.
no-mac-table-binding
Esto desasocia la tabla de sesiones de autenticación de la tabla de conmutación Ethernet, de modo que cuando una dirección MAC caduca, la sesión de autenticación se extenderá hasta la próxima reautenticación.[edit] user@switch# set protocols dot1x authenticator no-mac-table-binding;
Para configurar esta función globalmente para todas las sesiones autenticadas:
ip-mac-session-binding
[edit] user@switch# set protocols dot1x authenticator ip-mac-session-binding;
No puede confirmar la configuración a menos que también esté configurada.ip-mac-session-binding
no-mac-table-binding
Atributos del servidor RADIUS
Puede configurar esta función para una sesión de autenticación específica mediante atributos de servidor RADIUS. Los atributos de servidor RADIUS son campos de texto sin cifrar encapsulados en mensajes de acceso-aceptación enviados desde el servidor de autenticación al dispositivo de conmutación cuando un suplicante conectado al conmutador se autentica correctamente.
Para conservar la sesión de autenticación basada en enlaces de direcciones IP-MAC, configure los dos pares atributo-valor siguientes en el servidor RADIUS:
juniper-AV-pair = "ip-mac-session-binding"
Juniper-AV-Pair = "No-Mac-Binding-Reauth"
El atributo Juniper-AV-Pair es un atributo específico del proveedor (VSA) de Juniper Networks. Verifique que el diccionario Juniper esté cargado en el servidor RADIUS e incluya el VSA Juniper-AV-Pair (ID# 52).
Si necesita agregar el atributo al diccionario, busque el archivo de diccionario () en el servidor RADIUS y agregue el texto siguiente al archivo:juniper.dct
ATTRIBUTE Juniper-AV-Pair Juniper-VSA(52, string) r
Para obtener información específica acerca de la configuración del servidor RADIUS, consulte la documentación AAA incluida con el servidor.
Verificación
Verifique la configuración emitiendo el comando de modo operativo y confirme que los campos de salida y indican que la característica está habilitada.show dot1x interface interface-name detail
Ip Mac Session Binding
No Mac Session Binding
user@switch> show dot1x interface ge-0/0/16.0 detail ge-0/0/16.0 Role: Authenticator Administrative state: Auto Supplicant mode: Multiple Number of retries: 3 Quiet period: 60 seconds Transmit period: 5 seconds Mac Radius: Enabled Mac Radius Restrict: Disabled Mac Radius Authentication Protocol: EAP-MD5 Reauthentication: Disabled Configured Reauthentication interval: 3600 seconds Supplicant timeout: 30 seconds Server timeout: 30 seconds Maximum EAPOL requests: 2 Guest VLAN member: <not configured> No Mac Session Binding: Enabled Ip Mac Session Binding: Enabled Number of connected supplicants: 1 Supplicant: abc, 00:00:5E:00:53:00 Operational state: Authenticated Backend Authentication state: Idle Authentication method: Mac Radius Authenticated VLAN: v100 Session Reauth interval: 3600 seconds Reauthentication due in 0 seconds Ip Mac Session Binding: Enabled No Mac Binding Reauth: Enabled Eapol-Block: Not In Effect
Los clientes autenticados con MAC RADIUS deben permanecer autenticados y las entradas de dirección MAC en la tabla de conmutación Ethernet también deben conservarse después de la expiración del temporizador MAC.