了解 MX 系列路由器上的身份验证会话超时
从 Junos OS 14.2 版开始,您可以为强制门户身份验证会话以及 802.1X 和 MAC RADIUS 身份验证会话指定身份验证会话超时值。
对于强制门户身份验证,会话的长度取决于为语句配置 session-expiry 的值。本主题的其余部分仅与 802.1X 和 MAC RADIUS 身份验证会话有关。
对于 802.1X 和 MAC RADIUS 身份验证会话,会话的超时取决于 for dot1x authentication的值reauthentication interval。身份验证会话也可能在 MAC 表老化时间到期时结束,因为除非您将其配置为不这样做,否则当从以太网交换表中删除 MAC 地址时,会话将从身份验证会话表中删除。
有关每个 802.1X 和 MAC RADIUS 身份验证会话的信息(包括通过 802.1X 身份验证或 MAC RADIUS 身份验证进行身份验证的每个 MAC 地址的关联接口和 VLAN)存储在身份验证会话表中。身份验证会话表绑定到以太网交换表(也称为 MAC 表)。每次交换机检测到来自某个 MAC 地址的流量时,都会更新以太网交换表中该网络节点的时间戳。交换机上的计时器会定期检查时间戳,如果时间戳值超过用户配置 mac-table-aging-time 的值,交换机将从以太网交换表中删除 MAC 地址。当某个 MAC 地址从以太网交换表中老化时,该 MAC 地址的条目也会从身份验证数据库中删除,结果是会话结束。
您可以通过以下方式控制影响认证会话超时的变量:
使用语句在所有
reauthentication接口或选定接口上设置身份验证会话超时。使用该
no-mac-table-binding语句取消认证会话表与以太网交换表的关联。此设置可防止在以太网交换表中关联的 MAC 地址老化时终止身份验证会话。
变更历史表
是否支持某项功能取决于您使用的平台和版本。 使用 Feature Explorer 查看您使用的平台是否支持某项功能。