Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
EN ESTA PÁGINA
 

Falla del servidor Respaldo y autenticación

El mecanismo de reserva de errores del servidor para la autenticación 802.1X, MAC RADIUS y de portal cautivo define cómo se manejan los estados de los dispositivos si el servidor RADIUS deja de estar disponible o rechaza el acceso.

Descripción de la reserva y autenticación de errores de servidor en conmutadores

Los conmutadores Ethernet de Juniper Networks utilizan la autenticación para implementar el control de acceso en una red empresarial. Si se configura la autenticación 802.1X, MAC RADIUS o portal cautivo en el conmutador, un servidor de autenticación (RADIUS) evalúa los dispositivos finales en la conexión inicial. Si el dispositivo final está configurado en el servidor de autenticación, se le concede acceso a la LAN y el conmutador de la serie EX abre la interfaz para permitir el acceso.

La reserva por error del servidor le permite especificar cómo se admiten los dispositivos finales conectados al conmutador si el servidor de autenticación RADIUS deja de estar disponible. La reserva de error del servidor se activa con mayor frecuencia durante la reautenticación cuando el servidor RADIUS ya configurado y en uso se vuelve inaccesible. Sin embargo, la reserva de error del servidor también puede desencadenarse por el primer intento de autenticación de un dispositivo final a través del servidor RADIUS.

La reserva de errores del servidor permite especificar una de las cuatro acciones que deben llevarse a cabo para los dispositivos finales en espera de autenticación cuando se agota el tiempo de espera del servidor. El conmutador puede aceptar o denegar el acceso a los suplicantes o mantener el acceso ya concedido a los suplicantes antes de que se agotara el tiempo de espera de RADIUS. También puede configurar el conmutador para mover los suplicantes a una VLAN específica. La VLAN ya debe estar configurada en el conmutador. El nombre de VLAN configurado anula cualquier atributo enviado por el servidor.

  • Permit autenticación, que permite que el tráfico fluya desde el dispositivo final a través de la interfaz como si el servidor RADIUS autenticara correctamente el dispositivo final.

  • Deny autenticación, que impide que el tráfico fluya desde el dispositivo final a través de la interfaz. Este es el valor predeterminado.

  • Move el dispositivo final a una VLAN especificada si el conmutador recibe un mensaje de rechazo de acceso RADIUS. El nombre de VLAN configurado anula cualquier atributo enviado por el servidor. (La VLAN ya debe existir en el conmutador).

  • Sustain dispositivos finales autenticados que ya tienen acceso LAN y deny dispositivos finales no autenticados. Si se agota el tiempo de espera de los servidores RADIUS durante la reautenticación, los dispositivos finales previamente autenticados se vuelven a autenticar y a los nuevos usuarios se les deniega el acceso a la LAN.

Consulte también

Configuración de la reserva de error del servidor RADIUS (procedimiento de la CLI)

Puede configurar las opciones de reserva de autenticación para especificar cómo se admiten los dispositivos finales conectados a un conmutador si el servidor de autenticación RADIUS deja de estar disponible.

Cuando configure la autenticación 802.1X o MAC RADIUS en el conmutador, especifique un servidor de autenticación principal y uno o más servidores de autenticación de reserva. Si el conmutador no puede alcanzar el servidor de autenticación principal y tampoco se puede acceder a los servidores de autenticación secundarios, se produce un tiempo de espera del servidor RADIUS. Si esto sucede, dado que es el servidor de autenticación el que concede o deniega el acceso a los dispositivos finales en espera de autenticación, el conmutador no recibe instrucciones de acceso para los dispositivos finales que intentan acceder a la LAN y no se puede completar la autenticación normal.

Puede configurar la función de reserva de error del servidor para especificar una acción que el conmutador aplique a los dispositivos finales cuando los servidores de autenticación no estén disponibles. El conmutador puede aceptar o denegar el acceso a los suplicantes o mantener el acceso ya concedido a los suplicantes antes de que se agotara el tiempo de espera de RADIUS. También puede configurar el conmutador para mover los suplicantes a una VLAN específica.

También puede configurar la característica de reserva de rechazo del servidor para los dispositivos finales que reciben un mensaje de rechazo de acceso RADIUS del servidor de autenticación. La función de reserva de rechazo de servidor proporciona acceso limitado a una LAN, normalmente solo a Internet, para dispositivos finales con capacidad de respuesta habilitados para 802.1X pero que enviaron credenciales incorrectas.

La reserva de errores del servidor se admite para el tráfico de voz a partir de la versión 14.1X53-D40 y la versión 15.1R4. Para configurar acciones de reserva de error del servidor para clientes VoIP que envían tráfico de voz, use la server-fail-voip instrucción. Para todo el tráfico de datos, utilice la server-fail instrucción. El modificador determina el método de reserva que se va a usar en función del tipo de tráfico enviado por el cliente. Las tramas de datos sin etiquetar están sujetas a la acción configurada con server-fail, incluso si son enviadas por un cliente VoIP. Las tramas VLAN VoIP etiquetadas están sujetas a la acción configurada con server-fail-voip. Si server-fail-voip no está configurado, se interrumpe el tráfico de voz.

Nota:

La reserva de rechazo del servidor no es compatible con el tráfico etiquetado de VoIP VLAN. Si un cliente VoIP inicia la autenticación enviando tráfico de datos sin etiquetar a una VLAN mientras la reserva de rechazo del servidor está vigente, el cliente VoIP puede acceder a la VLAN de reserva. Si el mismo cliente envía posteriormente tráfico de voz etiquetado, el tráfico de voz se descarta.

Si un cliente VoIP inicia la autenticación enviando tráfico de voz etiquetado mientras la reserva de rechazo del servidor está vigente, se le deniega el acceso a la VLAN de reserva.

Puede usar el siguiente procedimiento para configurar acciones de error del servidor para clientes de datos. Para configurar la reserva de errores del servidor para los clientes VoIP que envían tráfico de voz, utilice la server-fail-voip instrucción en lugar de la server-fail instrucción.

Para configurar acciones de reserva de error del servidor:

  • Configure una interfaz para permitir que el tráfico fluya desde un suplicante a la LAN si se agota el tiempo de espera del servidor RADIUS (como si un servidor RADIUS hubiera autenticado correctamente el dispositivo final):
  • Configure una interfaz para evitar el flujo de tráfico desde un dispositivo final a la LAN (como si el dispositivo final hubiera fallado en la autenticación y el servidor RADIUS le hubiera denegado el acceso):
  • Configure una interfaz para mover un dispositivo final a una VLAN especificada si se agota el tiempo de espera del servidor RADIUS:
  • Configure una interfaz para que reconozca los dispositivos finales ya conectados como reautenticados si se agota el tiempo de espera de RADIUS durante la reautenticación (a los nuevos dispositivos finales se les deniega el acceso):

Puede configurar una interfaz que reciba un mensaje de rechazo de acceso RADIUS del servidor de autenticación para mover los dispositivos finales que intentan acceder a LAN en la interfaz a una VLAN de rechazo de servidor, una VLAN especificada ya configurada en el conmutador.

Para configurar una VLAN de reserva de rechazo de servidor:

Consulte también

Configuración de la accesibilidad de RADIUS para volver a autenticar las sesiones de error del servidor

Cuando un intento de autenticación activa una falla en el servidor, el dispositivo final puede volver a intentar la autenticación después de un período de tiempo. El intervalo de tiempo predeterminado que el dispositivo final debe esperar para que se vuelva a autenticar es de 60 minutos. El intervalo de tiempo de reautenticación se puede configurar mediante la reauthentication instrucción CLI.

Es posible que el servidor esté disponible antes de que caduque el temporizador de reautenticación. Cuando la función de accesibilidad RADIUS está habilitada, activa la reautenticación una vez que detecta que el servidor es accesible, sin esperar a que caduque el temporizador de reautenticación. Una vez que una sesión se mueve a reserva de error del servidor, el autenticador consultará periódicamente al servidor iniciando la autenticación para esa sesión. Cuando el autenticador recibe una respuesta, indicando que el servidor es accesible, iniciará la autenticación para todas las sesiones de error del servidor.

Para habilitar la accesibilidad de RADIUS, debe configurar el período de consulta, que determina la frecuencia con la que el autenticador consulta la accesibilidad del servidor. Configure el período de consulta mediante el siguiente comando:

Nota:

El período de silencio debe ser más corto que el período de consulta. El período de silencio es el período durante el cual la interfaz permanece en estado de espera después de un intento fallido de autenticación antes de volver a intentar la autenticación.

Tabla de historial de cambios

La compatibilidad de la función depende de la plataforma y la versión que utilice. Utilice Feature Explorer a fin de determinar si una función es compatible con la plataforma.

Liberación
Descripción
14.1X53-D40
La reserva de errores del servidor se admite para el tráfico de voz a partir de la versión 14.1X53-D40 y la versión 15.1R4.