在增强型 LAN 模式下配置 MX 系列路由器上的服务器故障回退
从 Junos OS 14.2 版开始,服务器故障回退允许您指定在 RADIUS 身份验证服务器不可用或发送 RADIUS 访问拒绝消息时如何支持连接到路由器的终端设备。
802.1X 和 MAC RADIUS 身份验证的工作原理是使用( 路由器)在接口上阻止进出终端设备的所有流量,直到终端设备的凭据在 (RADIUS 服务器) 上 显示和匹配。authenticator port access entityauthentication server 终端设备通过身份验证后,路由器将停止阻塞并打开终端设备的接口。
在路由器上设置 802.1X 或 MAC RADIUS 身份验证时,请指定一个主身份验证服务器以及一个或多个备份身份验证服务器。如果路由器无法访问主身份验证服务器,并且也无法访问辅助身份验证服务器,则会发生 RADIUS 服务器超时。由于身份验证服务器授予或拒绝对等待身份验证的终端设备的访问,因此路由器不会接收尝试访问 LAN 的终端设备的访问指令,并且无法完成正常的身份验证。服务器故障回退允许您配置身份验证替代方案,允许路由器对等待身份验证或重新身份验证的终端设备采取适当的操作。
称为 服务器拒绝 VLAN 的身份验证回退方法为启用了 802.1X 但发送了错误凭据的响应式终端设备提供对 LAN 的有限访问,通常仅访问互联网。如果使用服务器拒绝 VLAN 进行身份验证的终端设备是 IP 电话,则不允许语音流量。
要使用 CLI 配置基本服务器故障回退选项,请执行以下操作:
配置一个接口,以便在发生 RADIUS 服务器超时时允许流量从请求方流向 LAN(就像终端设备已通过 RADIUS 服务器成功进行身份验证一样):
[edit protocols authentication-access-control] user@router# set interface ge-0/0/1 dot1x server-fail permit
配置接口以防止流量从终端设备流向 LAN(就好像终端设备身份验证失败并被 RADIUS 服务器拒绝一样):
[edit protocols authentication-access-control] user@router# set interface ge-0/0/1 dot1x server-fail deny
配置接口以在发生 RADIUS 服务器超时时将终端设备移动到指定的 VLAN(在本例中为 VLAN 名称 为 ):vlan1
[edit protocols authentication-access-control] user@router# set interface ge-0/0/1 dot1x server-fail vlan-name vlan1
配置一个接口,以便在重新验证期间出现 RADIUS 超时时将已连接的终端设备识别为已重新进行身份验证(新用户将被拒绝访问):
[edit protocols authentication-access-control] user@router# set interface ge-0/0/1 dot1x server-fail use-cache
配置从身份验证服务器接收 RADIUS 访问拒绝消息的接口,以将尝试在该接口上进行 LAN 访问的终端设备移动到已在路由器上配置的指定 VLAN(在本例中,VLAN 名称为 ):vlan-sf
[edit protocols authentication-access-control] user@router# set interface ge-0/0/1 dot1x server-reject-vlan vlan-sf
注:如果 IP 电话在服务器拒绝 VLAN 中进行身份验证,则不允许语音流量。
变更历史表
是否支持某项功能取决于您使用的平台和版本。 使用 Feature Explorer 查看您使用的平台是否支持某项功能。