Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 

配置 RADIUS 服务器故障回退(CLI 过程)

 

您可以配置身份验证回退选项,以指定在 RADIUS 认证服务器不可用时如何支持连接到交换机的终端设备。

在交换机上设置 802.1 X 或 MAC RADIUS 身份验证时,将指定一个主认证服务器以及一个或多个备份认证服务器。如果交换机无法访问主认证服务器,并且二级认证服务器也不可访问,则会发生 RADIUS 服务器超时。如果发生这种情况,因为它是允许或拒绝访问等待身份验证的最终设备的认证服务器,所以交换机不会收到尝试访问 LAN 的终端设备的访问说明,并且正常身份验证不能结束.

您可以配置服务器故障回退功能,以指定当认证服务器不可用时交换机应用于最终设备的操作。交换机可以接受或拒绝请求者访问,也可保持在发生 RADIUS 超时之前已授予请求者的访问权限。您还可以将交换机配置为将请求方移至特定 VLAN。

您也可为从认证服务器接收 RADIUS 访问拒绝消息的终端设备配置服务器拒绝回退功能。服务器拒绝回退功能提供对 LAN 的有限访问,通常仅限于 Internet,用于 802.1 X 启用但发送了错误证书的快速响应端设备。

在版本 14.1 X53-D40 和 Release 15.1 R 4 中开始的语音流量支持服务器故障回退。要为发送语音信息流的 VoIP 客户端配置服务器故障回退操作, server-fail-voip请使用语句。对于所有数据流量,请使用server-fail语句。交换机根据客户端发送的流量类型确定要使用的回退方法。未标记的数据帧服从于配置的操作server-fail,即使它们是由 VoIP 客户端发送的也是如此。标记的 VoIP VLAN 帧遵循配置的操作server-fail-voip。如果server-fail-voip未配置,语音信息流将断开。

注意

对于 VoIP VLAN 标记的信息流,不支持服务器拒绝回退。如果 VoIP 客户端通过在服务器拒绝回退生效时向 VLAN 发送未标记数据流量来启动身份验证,则允许 VoIP 客户端访问回退 VLAN。如果同一客户端随后发送标记为语音信息流,语音信息流将断开。

如果 VoIP 客户端通过发送带标记的语音信息流来启动身份验证,而服务器拒绝回退有效,则会拒绝 VoIP 客户端访问回退 VLAN。

您可以使用以下过程为数据客户端配置服务器故障操作。要为发送语音信息流的 VoIP 客户端配置服务器故障回退, server-fail-voip请使用语句代替server-fail语句。

要配置服务器故障回退操作:

  • 配置一个接口,以便在发生 RADIUS 服务器超时时,允许流量从请求者流向 LAN (就像最终设备已成功通过 RADIUS 服务器的身份验证):
    [edit protocols dot1x authenticator]

    user@switch# set interface interface-name server-fail permit
  • 配置接口以防止从终端设备到 LAN 的信息流(就好像最终设备未通过身份验证,并且被 RADIUS 服务器拒绝访问):
    [edit protocols dot1x authenticator]

    user@switch# set interface interface-name server-fail deny
  • 配置一个接口,以便在发生 RADIUS 服务器超时时将终端设备移动到指定的 VLAN:
    [edit protocols dot1x authenticator]

    user@switch# set interface interface-name server-fail vlan-name
  • 将接口配置为识别已连接的终端设备作为重新身份验证(如果重新配置期间存在 RADIUS 超时(新终端设备被拒绝访问):
    [edit protocols dot1x authenticator]

    user@switch# set interface interface-name server-fail use-cache

您可以配置接收来自认证服务器的 RADIUS 访问拒绝消息的接口,以将尝试 LAN 访问的终端设备移到服务器拒绝 VLAN (已在交换机上配置的指定 VLAN)。

要配置服务器拒绝回退 VLAN:

  • [edit protocols dot1x authenticator]

    user@switch# set interface interface-name server-reject-vlan vlan-sf
Release History Table
版本
说明
在版本 14.1 X53-D40 和 Release 15.1 R 4 中开始的语音流量支持服务器故障回退。