Opções de sessão para acesso ao assinante
As opções de sessão permitem que você especifique várias características para DHCP, L2TP e sessões de assinantes PPP terminadas. As opções de sessão estão configuradas em perfis de acesso que determinam os parâmetros para acesso, autenticação, autorização e contabilidade para assinantes.
Entendendo as opções de sessão para acesso ao assinante
Você pode usar perfis de acesso para configurar várias características das sessões criadas para DHCP, L2TP e assinantes PPP encerrados. Você pode colocar limites no acesso ao assinante com base em quanto tempo a sessão está ativa, quanto tempo o usuário está inativo ou ambos. Você pode limitar as sessões de assinantes por nome de usuário por perfil de acesso. Você também pode definir parâmetros que modificam o nome de usuário de um assinante no login com base no perfil de acesso do assinante.
- Intervalos de sessão para assinantes
- Limites para sessões de assinantes por nome de usuário e perfil de acesso
- Benefícios de limitar sessões para nomes de usuários com a CLI
- Modificação do nome de usuário do assinante
- Benefícios da modificação do nome de usuário do assinante
Intervalos de sessão para assinantes
Você pode limitar o acesso ao assinante configurando um tempo limite de sessão ou um tempo limite ocioso. Use um tempo limite de sessão para especificar um período fixo de tempo que o assinante pode ter acesso. Use um tempo limite ocioso para especificar um período máximo de tempo que o assinante pode ficar ocioso. Você pode usar esses intervalos separadamente ou juntos. Por padrão, nem o tempo limite está presente.
Para todos os tipos de assinantes que não sejam DHCP (como assinantes com tunel L2TP e encerrados por PPP), o valor do tempo de sessão limita a sessão do assinante. Para os assinantes de DHCP, o valor do tempo limite da sessão é usado para limitar o leasing quando nenhuma outra configuração de tempo de locação estiver presente. O contrato expira quando o valor do tempo limite expirar. Se esse valor não for fornecido pela CLI ou pelo RADIUS, o leasing DHCP não expirará.
O tempo de inatividade é baseado em estatísticas contábeis para o assinante. O roteador determina a inatividade do assinante monitorando o tráfego de dados, tanto upstream do usuário (entrada) quanto downstream até o usuário (saída). Controle o tráfego é ignorado. O assinante não é considerado ocioso enquanto o tráfego de dados for detectado em nenhuma das direções.
Opcionalmente, você pode especificar que apenas o tráfego de entrada de assinantes é monitorado; O tráfego de saída é ignorado. Essa configuração é útil nos casos em que o LNS envia tráfego para o peer remoto mesmo quando o peer não está em alta, como quando a LNS não tem keepalives PPP habilitadas e, portanto, não pode detectar que o peer não está funcionando. Nessa situação, porque por padrão o LAC monitora o tráfego de entrada e saída, ele detecta o tráfego de saída a partir do LNS e não registra o assinante ou atrasa a detecção de inatividade até que o tráfego de saída cesse. Quando você especifica que apenas o tráfego de entrada é monitorado, o LAC pode detectar que o peer está inativo e, em seguida, iniciar o logotipo.
Quando o período de intervalo expira, os assinantes que não são DHCP são registrados graciosamente, de forma semelhante a uma desconexão iniciada pelo RADIUS ou a um logotipo iniciado pela CLI. Os assinantes de DHCP estão desconectados. O valor de Acct-Terminate-Cause [atributo RADIUS 49] inclui um código de razão de 5 para um tempo limite de sessão e um código de 4 para um tempo limite ocioso.
Você pode configurar essas limitações para o acesso ao assinante em uma base por assinante usando os atributos RADIUS Session-Timeout [27] e Idle-Timeout [28]. O RADIUS devolve esses atributos em mensagens de aceitação de acesso em resposta às mensagens de solicitação de acesso do servidor de acesso. A partir do Junos OS Release 19.4R1, o atributo Session-Timeout [27] é suportado em mensagens RADIUS CoA. Esse recurso é útil, por exemplo, quando os assinantes compram acesso à Internet por um período específico de tempo e devem fazer login quando a sessão expirar.
Quando um CoA chega com o Session-Timeout, o tempo limite é contado a partir do momento em que a sessão é ativada. Isso tem as seguintes consequências:
Se o valor do atributo for maior do que o tempo de atividade da sessão atual e entre os valores mínimos e máximos de tempo limite, o assinante será logado quando esse número de segundos tiver passado desde a ativação da sessão. Por exemplo, suponha que a sessão seja ativada às 12:00:00 e o CoA seja recebido às 12:00:30 com um valor de 120 segundos. O assinante está logado às 12:02:00.
Outra maneira de analisar isso com os mesmos valores é que o tempo de atividade da sessão atual é de 30 segundos e o valor do atributo é de 120 segundos. O assinante fica logado quando mais 90 segundos se passaram.
Se o valor do atributo for maior do que o tempo de atividade da sessão atual, mas menor do que o valor mínimo de tempo limite de 60 segundos, o assinante fica logado quando o tempo de atividade chega a 60 segundos.
Se o valor do atributo for maior do que o tempo de atividade da sessão atual, mas mais do que o valor máximo de tempo limite de 31.622.400 segundos, o assinante fica logado quando o tempo de atividade chega a 31.622.400 segundos.
Se o valor do atributo for menor do que o tempo de atividade da sessão atual, o tempo limite da sessão não será aplicado. A AAA responde à mensagem de CoA com um NAK. Por exemplo, a sessão não será afetada se o Tempo de sessão for de 60 segundos, mas o tempo de atividade é de 100 segundos.
A aplicação de um tempo limite de sessão de acordo com as regras acima também depende se todos os outros aspectos da CoA são bem-sucedidos. Por exemplo, se o CoA incluir uma ativação de serviços e essa ativação do serviço falhar, o tempo limite da sessão não será aplicado. A AAA responde à mensagem de CoA com um NAK.
Se o valor do Session-Timeout for 0, então qualquer tempo limite de sessão existente para essa sessão será cancelado.
Os provedores de serviços costumam optar por aplicar as mesmas limitações a um grande número de assinantes. Você pode reduzir o esforço de provisionamento RADIUS para este cenário definindo as limitações para assinantes em um perfil de acesso por instância de roteamento. Se você fizer isso, os atributos RADIUS posteriormente retornaram para um determinado assinante logado com o perfil sobrepor os valores por instância de roteamento.
Recomendamos que você não configure um intervalo de sessão para assinantes que recebem serviços de voz. Como o tempo limite da sessão é baseado apenas no tempo e não na atividade do usuário, é provável que interrompa os assinantes usando ativamente um serviço de voz e encerre suas chamadas inesperadamente (do ponto de vista do assinante). Esse resultado é uma preocupação particular para as chamadas de serviços de emergência.
Recomendamos que você não configure um tempo limite ocioso para assinantes DHCP. Quando o tempo limite expira sem atividade e a conexão é terminada, o protocolo não tem meios para informar o cliente. Consequentemente, esses assinantes são forçados a reiniciar seu dispositivo CPE da próxima vez que tentarem acessar a Internet.
Contraste o comportamento quando um tempo limite ocioso é configurado para assinantes PPP. Nesse caso, a expiração do tempo limite faz com que o PPP encerre o link com o peer. Dependendo do dispositivo CPE, essa rescisão permite que o peer rejunteça automaticamente a conexão sob demanda ou imediatamente. Em ambos os casos, nenhuma intervenção do assinante é necessária.
O intervalo disponível para a configuração de um tempo limite é o mesmo, seja configurando-o na CLI ou através dos atributos RADIUS:
Os intervalos de sessão podem ser definidos de 1 minuto a 527.040 minutos na CLI e o número correspondente de segundos (60 a 31.622.400) no atributo Session-Timeout [27].
Os intervalos ociosos podem ser definidos por 10 minutos a 1440 minutos na CLI e o número correspondente de segundos (600 a 86.400) no atributo Idle-Timeout [28].
O roteador interpreta os valores nos atributos para estar em conformidade com as faixas suportadas. Por exemplo, para Session-Timeout [27]:
Um valor zero é tratado como sem tempo limite.
Um valor na faixa de 1 a 59 é elevado para 60 segundos.
Um valor superior a 31.622.400 é reduzido para 31.622.400 segundos.
Para o tempo limite ocioso [28]:
Um valor zero é tratado como sem tempo limite.
Um valor na faixa de 1 a 599 é elevado para 600 segundos.
Um valor superior a 86.400 é reduzido para 86.400 segundos.
Em configurações que usam VLANs de assinantes criadas dinamicamente, o tempo de inatividade também exclui as VLANs inativas de assinantes quando o limite de inatividade foi atingido. Além de excluir VLANs dinâmicas inativas, o tempo limite ocioso também remove VLANs dinâmicas quando nenhuma sessão de cliente foi criada (por exemplo, caso não sejam criadas sessões de cliente no VLAN dinâmico ou após a ocorrência de um erro durante a criação de sessão ou autenticação do cliente onde nenhuma sessão do cliente é criada na VLAN dinâmica).
Os intervalos de sessão e ociosos para excluir VLANs de assinantes dinâmicos são úteis apenas em casos de uso muito limitados; normalmente, nem o tempo limite é configurado para essa finalidade.
Uma possível circunstância em que podem ser úteis é quando as VLANs dinâmicas não têm protocolo de camada superior que ajude a determinar quando o VLAN é removido com a remove-when-no-subscribers
declaração; por exemplo, quando o VLAN está suportando IP sobre Ethernet sem DHCP em um modelo de acesso comercial com endereços fixos. No entanto, o acesso comercial geralmente é um serviço de nível mais alto do que o acesso residencial e, como tal, normalmente não está sujeito a intervalos devido à inatividade, como poderia ser desejado para assinantes residenciais.
Um tempo limite ocioso pode ser apropriado em determinadas situações de atacado de Camada 2, onde a conexão pode ser regenerada quando qualquer pacote é recebido do CPE.
Ao usar o tempo limite ocioso para a remoção dinâmica de VLAN, lembre-se do seguinte:
O período de inatividade começa após a criação de uma interface VLAN dinâmica para assinantes ou para a atividade de tráfego em uma interface VLAN dinâmica para assinantes.
Se uma nova sessão do cliente for criada ou uma sessão do cliente for reativada com sucesso, o tempo de inatividade do cliente será reiniciado.
A remoção de VLANs inativas de assinantes somente com VLANs que foram autenticadas.
Limites para sessões de assinantes por nome de usuário e perfil de acesso
Os assinantes legítimos podem compartilhar suas credenciais de login com pessoas não autorizadas, gastando recursos de provedores de serviços sem benefícios para o provedor. A partir do Junos OS Release 18.4R1, você pode controlar ou impedir o compartilhamento de credenciais de login limitando o número de sessões ativas de assinantes que podem ser permitidas para um nome de usuário específico associado a um perfil de acesso. Você também pode alcançar esse controle com o RADIUS, mas configurar o limite localmente no BNG elimina a dependência de um servidor externo.
Quando você configura um limite, as sessões ativas para a combinação de nome de usuário/perfil de acesso são acompanhadas. O número de sessões acompanhadas é verificado quando authd recebe uma nova solicitação de login de sessão. Se o número de sessões acompanhadas corresponde ao limite, a nova tentativa de login será recusada e contada como uma solicitação bloqueada.
Quando o authd recebe um logotipo ou uma solicitação de rescisão de cliente para uma sessão, a contagem de sessões acompanhadas é decrementeda para essa entrada de perfil de nome de usuário/acesso. Se isso continuar até que não haja sessões ativas para a combinação, a entrada será removida da tabela limite da sessão. Todas as entradas de perfil de usuário/acesso associadas são removidas da tabela se você excluir o perfil de acesso ou o limite de sessão de sua configuração.
O número total de sessões para um nome de usuário pode exceder o limite configurado para um determinado perfil de acesso, pois o mesmo nome de usuário pode ser usado com vários perfis de acesso.
Para sessões de assinantes em pilha, como PPP com VLANs autoconfiguradas, ambos os nomes de usuário na pilha são usados para autenticação e, consequentemente, ambos são contados em relação ao limite da sessão.
O limite configurado se aplica aos assinantes ativos existentes, mas as sessões existentes não são derrubadas se o número de sessões ativas exceder o limite para um assinante com esse nome de usuário e combinação de perfil de acesso.
Considere uma situação em que cinco sessões estejam ativas para uma determinada combinação de perfil de usuário/acesso quando você configura um limite de duas.
A contagem de sessões ativas é registrada como cinco na entrada da tabela de limite de sessão para a combinação.
Um novo assinante com o mesmo nome de usuário e perfil de acesso tenta fazer login. A tentativa está bloqueada porque o limite de duas sessões já está excedido (cinco > duas).
Um assinante existente faz o login, decrementando a contagem de sessões ativas para quatro.
Um novo assinante com o mesmo nome de usuário e perfil de acesso tenta fazer login. A tentativa está bloqueada porque o limite de duas sessões ainda é excedido (quatro > duas).
Três assinantes existentes fazem login, reduzindo a contagem de sessões ativas para um.
Um novo assinante com o mesmo nome de usuário e perfil de acesso tenta fazer login. A tentativa é permitida porque o limite de duas sessões ainda não foi alcançado (uma < duas).
O design do limite de sessão impede um evento de negação de serviço em que um usuário malicioso faz várias tentativas de login com o nome de usuário e o perfil de acesso corretos, mas com a senha errada. As inúmeras tentativas de login podem exceder o limite de sessão configurado, mas isso não ocorre porque a contagem de sessões acompanhadas só é aumentada quando o estado da sessão do assinante faz a transição para o estado ativo, o que os logins maliciosos não alcançam.
Benefícios de limitar sessões para nomes de usuários com a CLI
Permite que você limite o número de sessões localmente no roteador, em vez de depender de um servidor RADIUS externo para fornecer o limite.
Evita alguns ataques de negação de serviço com base em vários logins.
Modificação do nome de usuário do assinante
Para aplicativos de atacado de Camada 2, alguns provedores de serviços de rede utilizam modificações de nome de usuário para direcionar os assinantes à rede empresarial de varejo apropriada. Essa modificação também é chamada de despojamento de nome de usuário, porque alguns dos caracteres no nome de usuário são retirados e descartados. O restante da corda torna-se o novo nome de usuário modificado. O nome de usuário modificado é usado por um servidor AAA externo para autenticação e contabilidade de sessão. Os parâmetros de modificação são aplicados de acordo com um perfil de acesso ao assinante que também determina o contexto do assinante e da sessão; ou seja, a instância lógica de sistema:roteamento (LS:RI) usada pelo assinante. Apenas o sistema lógico padrão (primário) é suportado. Como o atacadista se diferencia entre vários varejistas colocando cada um em um LS:RI diferente, os nomes de usuário são adequadamente modificados para cada varejista.
Você pode selecionar até oito caracteres como delimiters para marcar o limite entre as partes descartadas e retidas do nome de usuário original; não há delimiter padrão. A parte do nome à direita do delimitador selecionado é descartada junto com o delimiter. Ao configurar vários delimiters, uma determinada estrutura de nome de usuário pode resultar em diferentes nomes de usuário modificados. Você pode configurar a direção em que o nome original é analisado para determinar qual delimiter marca o limite. Por padrão, a direção do parse é da esquerda para a direita.
Considere os seguintes exemplos:
Você especifica um delimiter, @. O nome de usuário é user1@example.com. Neste caso, a direção do parse não importa. Em ambos os casos, o único dirigível é encontrado e example.com é descartado. O nome de usuário modificado é user1.
Você especifica um delimiter, @. O nome de usuário é user1@test@example.com. Neste caso, a direção de análise resulta em diferentes nomes de usuário.
A direção do parse é da esquerda para a direita — a esquerda mais @ é identificada como o delimitador e test@example.com é descartada. O nome de usuário modificado é user1.
A direção do parse é de direita para esquerda — a direita mais @ é identificada como a delimiter e example.com é descartada. O nome de usuário modificado é user1@test.
Você especifica dois delimiters, @ e /. O nome de usuário é user1@bldg1/example.com. A direção de análise resulta em diferentes nomes de usuário.
A direção do parse é da esquerda para a direita — o @ é identificado como o delimiter e bldg1/example.com é descartado. O nome de usuário modificado é user1.
A direção do parse é de direita para esquerda — o / é identificado como o delimitador e example.com é descartado. O nome de usuário modificado é user1@bldg1.
Você pode configurar um perfil de acesso ao assinante para que uma parte de cada string de login do assinante seja despojada e posteriormente usada como um nome de usuário modificado por um servidor AAA externo para autenticação e contabilidade de sessão. O nome de usuário modificado aparece, por exemplo, em mensagens RADIUS Access-Request, Acct-Start e Acct-Stop, bem como solicitações de desconexão iniciadas pelo RADIUS e solicitações de alteração de autorização (CoA).
Benefícios da modificação do nome de usuário do assinante
Permite que provedores de serviços de rede por atacado de Camada 2 direcionem facilmente os assinantes para a rede empresarial de varejo apropriada.
Veja também
Opções de tempo limite de sessão para assinantes
As opções de tempo limite de sessão do assinante permitem que você coloque limites no acesso ao assinante com base em quanto tempo a sessão está ativa, há quanto tempo o usuário está inativo ou ambos. As opções de sessão de assinantes se aplicam tanto às sessões de assinantes terminadas por L2TP quanto a PPP. Para assinantes DHCP, o tempo limite de sessão limita o tempo de locação do DHCP.
Para configurar os atributos de tempo limite no RADIUS, consulte a documentação do seu servidor RADIUS.
Para configurar limitações nas sessões de assinantes, configure as opções de sessão no perfil do cliente que se aplicam ao assinante:
Encerre o assinante quando o tempo limite de sessão configurado expirar, independentemente da atividade.
[edit access profile profile-name session-options] user@host# set client-session-timeout minutes
Encerre o assinante quando não houver tráfego de dados de entrada ou saída durante a duração do tempo limite ocioso configurado.
[edit access profile profile-name session-options] user@host# set client-idle-timeout minutes
Encerre o assinante quando não houver tráfego de dados de entrada durante a duração do tempo limite ocioso configurado; ignorar o tráfego de saída.
[edit access profile profile-name session-options] user@host# set client-idle-timeout minutes user@host# set client-idle-timeout-ingress-only
Por exemplo, para configurar opções de tempo limite de sessão no perfil do acc-prof
cliente, especificando um tempo limite ocioso de 15 minutos, que apenas o tráfego de entrada é monitorado e que o tempo de sessão é desativado após 120 minutos:
[edit] access { profile { acc-prof { session-options { client-idle-timeout 15; client-idle-timeout-ingress-only; client-session-timeout 120; } } } }
Limitando o número de sessões ativas por nome de usuário e perfil de acesso
Você pode controlar até que ponto os assinantes legítimos podem compartilhar suas credenciais de login limitando o número de sessões ativas de assinantes permitidas para um nome de usuário específico associado a um perfil de acesso.
Limitar o número de sessões ativas por nome de usuário e perfil de acesso:
[edit access profile profile-name] user@host# set session-limit-per-username number
Por exemplo, definir o número máximo de sessões ativas por nome de usuário para cinco para o perfil de acesso isp-weg-4:
[edit access profile isp-weg-4] user@host# set session-limit-per-username 5
Você pode usar o show network-access aaa statistics session-limit-per-username
comando para visualizar estatísticas para sessões ativas e solicitações bloqueadas.
Você pode usar o clear network-access aaa statistics session-limit-per-username username
comando como um auxílio para depuração, eliminando as estatísticas de solicitação bloqueadas para qualquer um dos seguintes casos:
Para todos os nomes de usuário em todos os perfis de acesso.
Para um nome de usuário específico em todos os perfis de acesso.
Para um nome de usuário específico em um perfil de acesso específico.
Para todos os nomes de usuário em um perfil de acesso específico.
Configuração da modificação do nome de usuário para sessões de assinantes
Você pode usar opções de sessão de assinantes para definir parâmetros que modificam o nome de usuário de um assinante no login com base no perfil de acesso do assinante. Essa modificação também é chamada de despojamento de nome de usuário, porque alguns dos caracteres no nome de usuário são retirados e descartados. O restante da corda torna-se o novo nome de usuário modificado. O nome de usuário modificado é usado por um servidor AAA externo para autenticação e contabilidade de sessão. Esse recurso pode ser útil, por exemplo, em implementações de atacado de Camada 2, onde os provedores de serviços de rede utilizam modificações de nome de usuário para direcionar os assinantes para a rede empresarial de varejo apropriada.
Os parâmetros de modificação são aplicados de acordo com um perfil de acesso ao assinante que também determina o contexto do assinante e da sessão; ou seja, a instância lógica de sistema:roteamento (LS:RI) usada pelo assinante. Apenas o sistema lógico padrão (primário) é suportado. Como o atacadista se diferencia entre vários varejistas colocando cada um em um LS:RI diferente, os nomes de usuário são adequadamente modificados para cada varejista.
Você pode selecionar até oito caracteres como delimiters para marcar o limite entre as partes descartadas e retidas do nome de usuário original; não há delimiter padrão. A parte do nome à direita do delimitador selecionado é descartada junto com o delimiter. Ao configurar vários delimiters, uma determinada estrutura de nome de usuário pode resultar em diferentes nomes de usuário modificados. Você pode configurar a direção em que o nome original é analisado para determinar qual delimiter marca o limite. Por padrão, a direção do parse é da esquerda para a direita.
Para configurar a modificação do nome de usuário:
No exemplo a seguir, o perfil de opções AAA, aaa1, especifica um perfil de acesso ao assinante, entA, para assinantes no sistema lógico padrão e na instância de roteamento 1. O perfil de acesso, entA, especifica que os nomes de usuário são analisados da esquerda para a direita até que o delimiter, @, seja encontrado. O perfil de opções AAA é aplicado a assinantes PPP em túnel que pertencem ao perfil do grupo, FD1.
[edit access aaa-options aaa1] user@host# access-profile entA user@host# aaa-context default:1 [edit access profile entA session-options strip-user-name] user@host# set delimiter @ user@host# set parse-direction left-to-right [edit access group-profile FD1 ppp] user@host# set ppp-options aaa-options aaa1
Dada essa configuração, suponha que um assinante tente fazer login com o nome de usuário, user1@example.com. Quando esse nome é analisado, o delimiter e o example.com de string são descartados, deixando um nome de usuário modificado do usuário1. Observe que o resultado é o mesmo se a direção do parse estiver definida para examinar o nome da direita para a esquerda, porque apenas um dirigível é definido e apenas um está presente no nome de usuário original.

Agora suponha que o assinante faça login com o nome de usuário, user1@test@example.com. Para um nome de usuário como este, a direção de análise faz a diferença no nome de usuário modificado. A configuração determina que a primeira instância do delimitador @ é encontrada primeiro, porque o nome é analisado da esquerda para a direita. Este delimiter e o test@example.com de string são descartados, deixando o usuário1 como o nome de usuário modificado.
O que acontece quando a configuração define uma direção de análise diferente?
[edit access profile entA session-options strip-user-name] user@host# set delimiter @ user@host# set parse-direction right-to-left
Neste caso, para o nome de usuário user1@test@example.com, a segunda instância do delimiter é identificada e ela é descartada com a string @example.com. O nome de usuário modificado é user1@test.

Você pode alcançar os mesmos resultados de diferentes nomes de usuário modificados com base na direção do parse configurando mais de um delimitador como na configuração a seguir, onde você especifica dois delimiters, @ e /.
[edit access profile entA session-options strip-user-name] user@host# set delimiter [@ /] user@host# set parse-direction left-to-right
Para o nome de usuário user1@bldg1/example.com, analisar da esquerda para a direita identifica o @ delimiter primeiro e o nome de usuário modificado é user1. Analisando a direita para a esquerda, em vez disso, identifica o /delimiter primeiro e tira-o com o example.com de corda, deixando um nome de usuário modificado de user1@bldg1.

Veja também
Removendo VLANs inativas de assinantes dinâmicos
Os intervalos de sessão dos assinantes permitem que você coloque limites no acesso ao assinante com base no tempo de duração da sessão, por quanto tempo o usuário está inativo ou ambos. Nas configurações que utilizam VLANS assinantes criados dinamicamente, o tempo limite ocioso também:
Elimina as VLANs inativas de assinantes quando o limite de inatividade é atingido.
Remove VLANs dinâmicas quando nenhuma sessão do cliente foi criada (por exemplo, caso não sejam criadas sessões de cliente na VLAN dinâmica ou após a ocorrência de um erro durante a criação de sessão ou autenticação do cliente onde nenhuma sessão do cliente é criada no VLAN dinâmico).
Os intervalos de sessão normalmente não são usados para excluir VLANs dinâmicas de assinantes. O tempo limite pode ser útil apenas em casos de uso muito limitados. Um caso pode ser quando as VLANs dinâmicas não têm protocolo de camada superior que ajude a determinar quando a VLAN é removida com a remove-when-no-subscribers
declaração; por exemplo, quando a VLAN está oferecendo suporte a IP sobre Ethernet sem DHCP em um modelo de acesso comercial com endereços fixos.
Para configurar o atributo de tempo limite ocioso no RADIUS, consulte a documentação do seu servidor RADIUS.
Para remover VLANS de assinante dinâmico inativo:
Tabela de histórico de mudanças
O suporte de recursos é determinado pela plataforma e versão que você está usando. Use o Feature Explorer para determinar se um recurso é suportado em sua plataforma.