Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 

在增强的 LAN 模式下在 MX 系列路由器上配置服务器故障回退

 

从 Junos OS 版本14.2 开始,服务器故障回退允许您指定 RADIUS 认证服务器不可用或发送 RADIUS 访问拒绝消息时,如何支持连接到路由器的终端设备。

802.1 x 和 MAC RADIUS 身份验证工作方式是使用 认证器端口访问实体(路由器),用于在接口处阻止所有进出终端设备的流量,直到最终设备的凭据在显示后与 认证服务器(RADIUS 服务器)。结束设备经过身份验证后,路由器将停止阻止并打开到终端设备的接口。

在路由器上设置 802.1 X 或 MAC RADIUS 身份验证时,将指定一个主认证服务器以及一个或多个备份认证服务器。如果路由器无法到达主认证服务器,并且二级认证服务器也不可访问,则会发生 RADIUS 服务器超时。由于认证服务器授予或拒绝对等待认证的最终设备的访问,路由器不会收到尝试访问 LAN 的终端设备的访问说明,并且正常身份验证无法完成。服务器故障回退允许您配置身份验证替代选项,允许路由器对等待身份验证或重新验证的最终设备采取适当的操作。

注意

称为服务器拒绝 VLAN的认证回退方法提供对 LAN 的有限访问,通常仅限于 Internet,用于 802.1 x 启用但发送了错误证书的快速响应端设备。如果使用服务器拒绝 VLAN 认证的终端设备是 IP 电话,则不允许语音信息流。

要使用 CLI 配置基本服务器故障回退选项:

  • 配置一个接口,以便在发生 RADIUS 服务器超时时,允许流量从请求者流向 LAN (就像最终设备已成功通过 RADIUS 服务器的身份验证):

    [edit protocols authentication-access-control]

    user@router# set interface ge-0/0/1 dot1x server-fail permit
  • 配置接口以防止从终端设备到 LAN 的信息流(就好像最终设备未通过身份验证,被 RADIUS 服务器拒绝):

    [edit protocols authentication-access-control]

    user@router# set interface ge-0/0/1 dot1x server-fail deny
  • 配置一个接口,以便在发生 RADIUS 服务器超时时将终端设备移动到指定的 VLAN (在这种情况下,VLAN 名称为 vlan1):

    [edit protocols authentication-access-control]

    user@router# set interface ge-0/0/1 dot1x server-fail vlan-name vlan1
  • 将接口配置为识别已连接的终端设备作为重新身份验证(如果重新配置期间存在 RADIUS 超时(将拒绝新用户访问):

    [edit protocols authentication-access-control]

    user@router# set interface ge-0/0/1 dot1x server-fail use-cache
  • 配置一个接口,接收来自认证服务器的 RADIUS 接入拒绝消息,以便将尝试访问该接口上的 LAN 接入的终端设备移至路由器上已配置的指定 VLAN (这种情况下,VLAN 名称为 vlan-sf):

    [edit protocols authentication-access-control]

    user@router# set interface ge-0/0/1 dot1x server-reject-vlan vlan-sf
    注意

    如果 IP 电话在服务器拒绝 VLAN 中经过身份验证,则不允许语音信息流。

Release History Table
版本
说明
从 Junos OS 版本14.2 开始,服务器故障回退允许您指定 RADIUS 认证服务器不可用或发送 RADIUS 访问拒绝消息时,如何支持连接到路由器的终端设备。