Tiempo de espera de la sesión de autenticación
Puede controlar el acceso a la red a través de un conmutador mediante varias autenticaciones diferentes. Los conmutadores Junos OS son compatibles con 802.1X, MAC RADIUS y el portal cautivo como métodos de autenticación para dispositivos que requieren conectarse a una red. Lea este tema para obtener más información.
Descripción del tiempo de espera de sesión de autenticación
La información acerca de las sesiones de autenticación (incluidas las interfaces asociadas y las VLAN para cada dirección MAC autenticada) se almacena en la tabla de sesión de autenticación. La tabla de sesión de autenticación está vinculada a la tabla de conmutación Ethernet (también llamada tabla MAC). Cada vez que el conmutador detecta tráfico desde una dirección MAC, actualiza la marca de hora para ese nodo de red en la tabla de conmutación Ethernet. Un temporizador en el conmutador comprueba periódicamente la marca de hora y si su valor supera el valor configurado por mac-table-aging-time el usuario, la dirección MAC se elimina de la tabla de conmutación Ethernet. Cuando una dirección MAC deja de salir de la tabla de conmutación Ethernet, la entrada de esa dirección MAC también se elimina de la tabla de sesión de autenticación, con el resultado de que la sesión finalice.
Cuando la sesión de autenticación termina debido al envejecimiento de la dirección MAC, el host debe volver a intentar autenticación. Para limitar el tiempo de inactividad resultante de la re-autenticación, puede controlar el tiempo de espera de las sesiones de autenticación de las siguientes maneras:
Para las sesiones de autenticación 802.1X y MAC RADIUS, desvincular la tabla de sesión de autenticación de la tabla de conmutación Ethernet mediante la
no-mac-table-bindinginstrucción. Esta configuración impide la finalización de la sesión de autenticación cuando la dirección MAC asociada está fuera de la tabla de conmutación Ethernet.Para las sesiones de autenticación de portal cautivo, configure un temporizador keep-alive mediante la
user-keepaliveinstrucción. Con esta opción configurada, cuando la dirección MAC asociada salga de la tabla de conmutación Ethernet, se inicia el temporizador keep-alive. Si se recibe tráfico dentro del período de tiempo de espera de conservación, se elimina el temporizador. Si no hay tráfico dentro del período de tiempo de espera de mantener vivo, se elimina la sesión.
También puede especificar valores de tiempo de espera para que las sesiones de autenticación finalicen la sesión antes de que expire el temporizador de antigüedad de MAC. Después del tiempo de espera de la sesión, el host debe volver a intentar autenticación.
Para las sesiones de autenticación 802.1X y MAC RADIUS, la duración de la sesión antes del tiempo de espera depende del valor de la
reauthenticationinstrucción. Si el temporizador de antigüedad MAC caduca antes de que se agote el tiempo de espera de la sesión y lano-mac-table-bindinginstrucción no está configurada, la sesión finaliza y el host debe volver a autenticarse.Para las sesiones de autenticación de portal cautivo, la duración de la sesión depende del valor configurado para la
session-expiryinstrucción. Si el temporizador de antigüedad MAC caduca antes de que se agote el tiempo de espera de la sesión y lauser-keepaliveinstrucción no está configurada, la sesión finaliza y el host debe volver a autenticarse.
Si el servidor de autenticación envía un tiempo de espera de sesión de autenticación al cliente, esto tiene prioridad sobre el valor configurado localmente mediante la reauthentication instrucción o la session-expiry instrucción. El valor del tiempo de espera de la sesión se envía desde el servidor al cliente como un atributo del mensaje RADIUS Access-Accept. Para obtener más información acerca de cómo configurar el servidor de autenticación para enviar un tiempo de espera de sesión de autenticación, consulte la documentación del servidor.
Consulte también
Control de los tiempos de espera de sesión de autenticación (procedimiento de CLI)
La expiración de una sesión de autenticación puede dar lugar a un tiempo de inactividad, ya que el host debe volver a intentar autenticación. Puede limitar este tiempo de inactividad controlando el tiempo de espera de las sesiones de autenticación.
Una sesión de autenticación puede finalizar cuando la dirección MAC asociada con el host autenticado se acabe de la tabla de conmutación Ethernet. Cuando la dirección MAC se borra de la tabla de conmutación Ethernet, termina la sesión autenticada para ese host y el host debe volver a intentar autenticación.
Para evitar que la sesión de autenticación acabe cuando la dirección MAC se acabe de la tabla de conmutación Ethernet:
También puede configurar valores de tiempo de espera para sesiones de autenticación para finalizar una sesión autenticada antes de que expire el temporizador de antigüedad de MAC.
La configuración del tiempo de espera de la sesión para una sesión de autenticación no extiende la sesión después de que expire el temporizador de antigüedad de MAC. Debe configurar la instrucción para la no-mac-table-binding autenticación 802.1X y MAC RADIUS, o la instrucción para la autenticación de user-keepalive portal cautivo, a fin de evitar el tiempo de espera de la sesión debido al envejecimiento de MAC.
Para las sesiones de autenticación 802.1X y MAC RADIUS, configure el valor de tiempo de espera mediante la reauthentication instrucción.
Para configurar el valor del tiempo de espera en una sola interfaz:
[edit] user@switch# set protocols dot1x authenticator interface interface-name reauthentication seconds;
Para configurar el valor del tiempo de espera en todas las interfaces:
[edit] user@switch# set protocols dot1x authenticator interface all reauthentication seconds;
Para las sesiones de autenticación de portal cautivo, configure el valor de tiempo de espera mediante la session-expiry instrucción.
Para configurar el valor del tiempo de espera en una sola interfaz:
[edit] user@switch# set services captive-portal interface interface-name session-expiry minutes;
Para configurar el valor del tiempo de espera en todas las interfaces:
[edit] user@switch# set services captive-portal interface all session-expiry minutes;
Si el servidor de autenticación envía un tiempo de espera de sesión de autenticación al cliente, esto tiene prioridad sobre el valor configurado mediante la reauthentication instrucción o la session-expiry instrucción. El valor del tiempo de espera de la sesión se envía desde el servidor al cliente como un atributo del mensaje RADIUS Access-Accept.
Consulte también
Conservar la sesión de autenticación basada en enlaces de direcciones IP-MAC
La autenticación MAC RADIUS se utiliza a menudo para permitir que los hosts que no están habilitados para la autenticación 802.1X accedan a la LAN. Los dispositivos finales, como las impresoras, no están muy activos en la red. Si la dirección MAC asociada con un dispositivo final envejece debido a la inactividad, la dirección MAC se borra de la tabla de conmutación Ethernet y finaliza la sesión de autenticación. Esto significa que otros dispositivos no podrán llegar al dispositivo final cuando sea necesario.
Si la dirección MAC que envejece está asociada con una dirección IP en la tabla de control DHCP, DHCPv6 o SLAAC, ese enlace de direcciones MAC-IP se borrará de la tabla. Esto puede dar lugar a una caída del tráfico cuando el cliente DHCP intenta renovar su arrendamiento.
Puede configurar el dispositivo de conmutación para que compruebe si hay un enlace de dirección IP-MAC en la tabla de revisiones DHCP, DHCPv6 o SLAAC antes de finalizar la sesión de autenticación cuando la dirección MAC no funciona. Si la dirección MAC del dispositivo final está vinculada a una dirección IP, entonces se conservará en la tabla de conmutación Ethernet y la sesión de autenticación permanecerá activa.
Esta característica se puede configurar globalmente para todas las sesiones autenticadas mediante la CLI o por sesión mediante atributos RADIUS.
Ventajas
Esta función ofrece los siguientes beneficios:
Garantiza que otros dispositivos de la red pueden llegar a un dispositivo final, incluso si la dirección MAC envejece.
Evita que el tráfico se caiga cuando el dispositivo final intenta renovar su arrendamiento DHCP.
Configuración de CLI
Antes de poder configurar esta función:
La asonda de DHCP, DHCPv6 o SLAAC deben estar habilitadas en el dispositivo.
Se
no-mac-table-bindingdebe configurar la instrucción CLI. Esto desvincula la tabla de sesión de autenticación de la tabla de conmutación Ethernet, de modo que cuando una dirección MAC se agota, la sesión de autenticación se extenderá hasta la siguiente reautenticación.[edit] user@switch# set protocols dot1x authenticator no-mac-table-binding;
Para configurar esta función globalmente para todas las sesiones autenticadas:
ip-mac-session-binding instrucción CLI:[edit] user@switch# set protocols dot1x authenticator ip-mac-session-binding;
No puede confirmar la ip-mac-session-binding configuración a menos que la no-mac-table-binding configuración también esté configurada.
Atributos de servidor RADIUS
Puede configurar esta función para una sesión de autenticación específica mediante atributos de servidor RADIUS. Los atributos del servidor RADIUS son campos de texto sin formato encapsulados en mensajes de Access-Accept enviados desde el servidor de autenticación al dispositivo de conmutación cuando un suplicante conectado al conmutador se autentica correctamente.
Para conservar la sesión de autenticación basada en enlaces de dirección IP-MAC, configure los dos pares de atributo-valor siguientes en el servidor RADIUS:
Juniper-AV-Pair = "Ip-Mac-Session-Binding"
Juniper-AV-Pair = "No-Mac-Binding-Reauth"
El atributo Juniper-AV-Pair es un atributo específico del proveedor (VSA) de Juniper Networks. Verifique que el diccionario de Juniper se cargue en el servidor RADIUS e incluya el VSA de Juniper-AV-Pair (ID# 52).
Si necesita agregar el atributo al diccionario, busque el archivo de diccionario (juniper.dct) en el servidor RADIUS y agregue el siguiente texto al archivo:
ATTRIBUTE Juniper-AV-Pair Juniper-VSA(52, string) r
Para obtener información específica acerca de cómo configurar su servidor RADIUS, consulte la documentación AAA incluida con su servidor.
Verificación
Verifique la configuración mediante la emisión del comando show dot1x interface interface-name detail de modo operativo y confirme que los Ip Mac Session Binding campos y No Mac Session Binding de salida indican que la función está habilitada.
user@switch> show dot1x interface ge-0/0/16.0 detail
ge-0/0/16.0
Role: Authenticator
Administrative state: Auto
Supplicant mode: Multiple
Number of retries: 3
Quiet period: 60 seconds
Transmit period: 5 seconds
Mac Radius: Enabled
Mac Radius Restrict: Disabled
Mac Radius Authentication Protocol: EAP-MD5
Reauthentication: Disabled
Configured Reauthentication interval: 3600 seconds
Supplicant timeout: 30 seconds
Server timeout: 30 seconds
Maximum EAPOL requests: 2
Guest VLAN member: <not configured>
No Mac Session Binding: Enabled
Ip Mac Session Binding: Enabled
Number of connected supplicants: 1
Supplicant: abc, 00:00:5E:00:53:00
Operational state: Authenticated
Backend Authentication state: Idle
Authentication method: Mac Radius
Authenticated VLAN: v100
Session Reauth interval: 3600 seconds
Reauthentication due in 0 seconds
Ip Mac Session Binding: Enabled
No Mac Binding Reauth: Enabled
Eapol-Block: Not In Effect
Los clientes autenticados con MAC RADIUS deben permanecer autenticados, y las entradas de dirección MAC en la tabla de conmutación Ethernet también deben conservarse después de la expiración del temporizador MAC.