在增强的 LAN 模式下在 MX 系列路由器上配置服务器故障回退
从 Junos OS 版本14.2 开始,服务器故障回退允许您指定 RADIUS 认证服务器不可用或发送 RADIUS 访问拒绝消息时,如何支持连接到路由器的终端设备。
802.1 x 和 MAC RADIUS 身份验证工作方式是使用 认证器端口访问实体(路由器),用于在接口处阻止所有进出终端设备的流量,直到最终设备的凭据在显示后与 认证服务器(RADIUS 服务器)。结束设备经过身份验证后,路由器将停止阻止并打开到终端设备的接口。
在路由器上设置 802.1 X 或 MAC RADIUS 身份验证时,将指定一个主认证服务器以及一个或多个备份认证服务器。如果路由器无法到达主认证服务器,并且二级认证服务器也不可访问,则会发生 RADIUS 服务器超时。由于认证服务器授予或拒绝对等待认证的最终设备的访问,路由器不会收到尝试访问 LAN 的终端设备的访问说明,并且正常身份验证无法完成。服务器故障回退允许您配置身份验证替代选项,允许路由器对等待身份验证或重新验证的最终设备采取适当的操作。
称为服务器拒绝 VLAN的认证回退方法提供对 LAN 的有限访问,通常仅限于 Internet,用于 802.1 x 启用但发送了错误证书的快速响应端设备。如果使用服务器拒绝 VLAN 认证的终端设备是 IP 电话,则不允许语音信息流。
要使用 CLI 配置基本服务器故障回退选项:
配置一个接口,以便在发生 RADIUS 服务器超时时,允许流量从请求者流向 LAN (就像最终设备已成功通过 RADIUS 服务器的身份验证):
[edit protocols authentication-access-control]
user@router# set interface ge-0/0/1 dot1x server-fail permit配置接口以防止从终端设备到 LAN 的信息流(就好像最终设备未通过身份验证,被 RADIUS 服务器拒绝):
[edit protocols authentication-access-control]
user@router# set interface ge-0/0/1 dot1x server-fail deny配置一个接口,以便在发生 RADIUS 服务器超时时将终端设备移动到指定的 VLAN (在这种情况下,VLAN 名称为 vlan1):
[edit protocols authentication-access-control]
user@router# set interface ge-0/0/1 dot1x server-fail vlan-name vlan1将接口配置为识别已连接的终端设备作为重新身份验证(如果重新配置期间存在 RADIUS 超时(将拒绝新用户访问):
[edit protocols authentication-access-control]
user@router# set interface ge-0/0/1 dot1x server-fail use-cache配置一个接口,接收来自认证服务器的 RADIUS 接入拒绝消息,以便将尝试访问该接口上的 LAN 接入的终端设备移至路由器上已配置的指定 VLAN (这种情况下,VLAN 名称为 vlan-sf):
[edit protocols authentication-access-control]
user@router# set interface ge-0/0/1 dot1x server-reject-vlan vlan-sf注意 如果 IP 电话在服务器拒绝 VLAN 中经过身份验证,则不允许语音信息流。