interface (802.1X)

Настройте либо список имен интерфейсов, либо все интерфейсы для аутентификации по 802.1x.

Отключите аутентификацию 802.1X на указанном интерфейсе или на всех интерфейсах.

• По умолчанию: Аутентификация 802.1X отключена на всех интерфейсах.

(только серия MX) Укажите идентификатор тега домена моста или имя гостевого домена моста, в который перемещается интерфейс, если на интерфейс не подключены ссылки 802.1X. Указанный домен моста уже должен существовать на устройстве.

(только EX, QFX и серия SRX) Укажите идентификатор метки VLAN или имя гостевой VLAN, в которую перемещается интерфейс, если на интерфейс не подключены ссылки 802.1X. Указанная VLAN должна уже существовать на устройстве. Гостевых VLANs можно настроить на устройствах, использующих аутентификацию 802.1X для предоставления ограниченного доступа (как правило, только к Интернету) для корпоративных гостей. Гостевая VLAN не используется для отправки некорректных учетных данных. Они направляются в VLAN, отклоненную сервером.

Игнорируйте команду port-bounce, содержаную в запросе Изменение авторизации (CoA). Запросы CoA RADIUS, которые используются для динамического изменения уже сеанса аутентификации пользователя. Запросы coA отправляются с сервера аутентификации, авторизации и учета (AAA) на устройство и обычно используются для изменения VLAN для хоста на основе профилирования устройства. У о конечных устройств, таких как принтеры, нет механизма обнаружения изменений VLAN, поэтому они не обновляют аренду для своих DHCP-адресов в новой VLAN. Команда port-bounce используется для принудительного инициирования конечным устройством повторного согласования DHCP, что приводит к перепущению соединения на аутентированном порту.

• По умолчанию: Команда port-bounce по умолчанию поддерживается. Если утверждение не было настроено, устройство отвечает на команду port-bounce, перехватив ссылку для повторного инициирования ignore-port-bounce DHCP-согласования для о конце устройства.

Укажите максимальное число раз, которое пакет запроса EAPoL ретранслирован запрашивающей компании до истечевания сеанса аутентификации.

• Диапазон: От 1 до 10

• По умолчанию: 2

Либо отключите повторной аутентификацию, либо настройте период в секундах до истеления времени сеанса аутентификации 802.1X, и клиент должен переаттемптировать аутентификацию.

• Диапазон: от 1 до 65 535 секунд

• По умолчанию: Повторная аутентификация включена с 3600 секунд до тех пор, пока клиент не сможет повторить аутентификацию.

Не допускайте маркировку MAC-адрес аутентификации RADIUS аутентификации.

Укажите время в секундах, в течение которое интерфейс остается в состоянии ожидания после неудачной попытки аутентификации, предпринятойпросканатором перед повторной аутентификацией.

• Диапазон: От 0 до 65535 секунд

• По умолчанию: 60 секунд

Укажите URL- адрес, который перенаправляет неавтентификацию хостов на сервер центральной веб-аутентификации (CWA). Сервер CWA предоставляет веб-портал, на котором пользователь может ввести имя пользователя и пароль. Если эти учетные данные подтверждаются сервером CWA, пользователь аутентификация и ему разрешен доступ в сеть.

URL-адрес перенаправления для проверки подлинности в центре сети можно настроить централизованно на AAA или локально на коммутаторе. Используйте утверждение для локальной настройки URL-адреса перенаправления на redirect-url интерфейсе, соединяющем хост с коммутатором.

URL-адрес перенаправления и динамический фильтр брандмауэра должны присутствовать для запуска процесса аутентификации центрального веб-сайта. Дополнительные сведения о настройке URL-адреса перенаправления и фильтра динамического брандмауэра для аутентификации по центральному вебу см. в "Настройка аутентификации по центральному вебу".

• Синтаксис: URL-адрес перенаправления должен использовать протокол HTTP или HTTPS и включать IP-адрес или имя веб-сайта. Ниже приводится пример допустимого формата URL-адреса перенаправления:

  • http://www.example.com

  • https://www.example.com

  • http://10.10.10.10

  • https://10.10.10.10

  • http://www.example.com/login.html

  • https://www.example.com/login.html

  • http://10.10.10.10/login.html

  • https://10.10.10.10/login.html

• По умолчанию: Отключен. URL-адрес перенаправления по умолчанию не включен для центральной веб-аутентификации.

Настройте сервер аутентификации для повторного отправки запроса EAP запрашивающей компании. Это может помочь предотвратить период времени сеанса аутентификации из-за неотвечающей справки. Количество повторного числа исходя из настроенного значения.

• Диапазон: От 1 до 10

• По умолчанию: 2 повторного

Укажите, сколько раз устройство пыталось аутентификацию порта после первоначального сбоя. Когда предел превышен, порт ждет повторной проверки подлинности в течение количества секунд, заданного параметром, настроенным на том же quiet-period уровне иерархии.

• Диапазон: От 1 до 10

• По умолчанию: 3 повторного прогона

Укажите, как поддерживаются конечные устройства, подключенные к устройству, если RADIUS сервер аутентификации становится недоступен. Механизм перенастройки при сбойе сервера чаще всего активируется во время повторнойauthentication, когда сервер, уже настроенный и RADIUS- сервер становится недоступен. Тем не менее, перепад сбой сервера также может быть инициирован первоначальной попыткой аутентификации RADIUS сервером.

Необходимо указать действие, которое устройство применяет к конечным устройствам, если серверы аутентификации недоступны. Устройство может принять или запретить доступ кпроцентантам или поддерживать доступ, уже предоставленныйпросканаторам, до RADIUS иллюминаторов. Можно также настроить коммутатор для перемещения запроцентов в определенную VLAN или домен моста. Домен VLAN или моста уже должен быть настроен на устройстве.

• Значения: bridge-domain(только серия MX) Переместите необходимое имя на интерфейсе в домен моста, указанный этим именем или численическим идентификатором. Данное действие допустимо только в том случае, если к интерфейсу подключается первый разрешитель. Если авторизированный необходимое имя уже подключен, он не перемещается в домен моста и не аутентификация не аутентификация. Домен моста уже должен быть настроен на устройстве.

  deny- Принудительное отбой аутентификации, подавляющей авторификацию. Трафик через интерфейс не будет проходить.

  permit— для успешной аутентификации необходимо принудительно упротить аутентификацию. Трафик будет проходить через интерфейс так, как если бы он был успешно аутентификацией RADIUS сервером.

  use-cache— необходимо успешно упротить аутентификацию, только если аутентификация ранее была успешно аутентификацией. Это действие гарантирует, что уже аутентификация авторизацированных авторов не затронута.

  vlan-name(только EX, QFX или серия SRX) Переместите вопросификатор на интерфейсе в VLAN, указанную этим именем или численическим идентификатором. Данное действие допустимо только в том случае, если к интерфейсу подключается первый разрешитель. Если аутентификация уже подключена, то он не перемещается в VLAN и не аутентификация не аутентификация. VLAN уже должна быть настроена на устройстве.

• По умолчанию: Если сервер RADIUS аутентификации становится недоступным, о конечному устройству не аутентификация и ему отказано в доступе к сети.

(Только ex, серия QFX) Укажите, как поддерживаются voIP-клиенты, отправляя голосовой трафик, RADIUS сервер аутентификации становится недоступен. Механизм перенастройки при сбойе сервера чаще всего активируется во время повторнойauthentication, когда сервер, уже настроенный и RADIUS- сервер становится недоступен. Однако перепад сбой сервера также может быть инициирован первоначальной попыткой клиента VoIP аутентификации через RADIUS сервер.

Необходимо указать действие, которое коммутатор применяет к клиентам VoIP, когда серверы аутентификации недоступны. Коммутатор может принимать или отключать доступ к клиентам VoIP или поддерживать доступ, уже предоставленный клиентам, до RADIUS и по иными словами. Можно также настроить коммутатор для перемещения VoIP-клиентов в определенную VLAN. VLAN уже должна быть настроена на коммутаторе.

Этот server-fail-voip утверждение характерен для трафика, помеченного VoIP, отосланного клиентами. Клиенты VoIP все еще требуют, чтобы утверждение было настроено для генерируемого ими трафика без server-fail тегов. Таким образом, при настройке утверждения server-fail-voip необходимо также настроить server-fail его.

• Значения: deny— Принудить неудачу аутентификации клиента VoIP. Трафик через интерфейс не будет проходить.

  permit— Для успешного применения аутентификации клиента VoIP необходимо принудительно. Трафик будет проходить через интерфейс так, как если бы он был успешно аутентификацией RADIUS сервером.

  use-cache- Принудительное успешное аутентификацию клиента VoIP, только если она была успешно аутентификация ранее успешно аутентификацией. Это действие гарантирует, что уже аутентификация клиентов не затронута.

  vlan-name— переместите клиент VoIP на интерфейс в VLAN, определяемую этим именем или численическим идентификатором. Данное действие допустимо, только если это первый клиент VoIP, подключающийся к интерфейсу. Если аутентификация клиента VoIP уже подключена, то клиент VoIP не перемещается в VLAN и не аутентификация не аутентификации. VLAN уже должна быть настроена на коммутаторе.

• По умолчанию: Если сервер RADIUS аутентификации становится недоступен, клиент VoIP, который начинает аутентификацию с отправки голосового трафика, не аутентификация не аутентификации и голосовой трафик отброшен.

Укажите время ожидания портом ответа при ретрансляции ответа от запроса на сервер аутентификации перед тайм-аутентификацией и запросом действия по сбою сервера.

• Диапазон: От 1 до 60 секунд

• По умолчанию: 30 секунд

Укажите метод на основе MAC-данных, используемый для аутентификации клиентов.

• Значения: Укажите один из следующих ок.

  • single — аутентификация только для первого клиента, который подключается к порту аутентификации. Всем другим клиентам, подключенным к порту аутентиатора после первого, разрешается свободный доступ к порту без дальнейшей аутентификации. При выходе первого аутентифицированного клиента все остальные запроверчики блокированы до повторной аутентификации клиента.

  • single-secure — аутентификация только одного клиента для подключения к порту аутентификации. Хост должен быть напрямую подключен к коммутатору.

  • multiple — аутентификация нескольких клиентов отдельно на одном порте аутентификации. Количество клиентов на порт можно настроить. Если также настроить максимальное количество устройств, которые могут быть подключены к порту с помощью параметров безопасности порта, то для определения максимального количества клиентов, разрешенных для каждого порта, используется меньшее значение настроенных значений.

• По умолчанию: Одного

Укажите время в секундах, которое порт ждет ответа при ретрансляции запроса с сервера аутентификации запрашивающей компании перед повторной отправкой запроса.

• Диапазон: От 1 до 60 секунд

• По умолчанию: 30 секунд

Укажите время ожидания портом перед повторной ретрансляциями исходных PDUs EAPoL к необходимому источнику.

• Диапазон: от 1 до 65 535 секунд

• По умолчанию: 30 секунд