認証セッションタイムアウトの制御 (CLI 手順)
認証セッションの満了時には、ホストが認証を再試行する必要があるため、ダウンタイムが発生する可能性があります。このダウンタイムは、認証セッションのタイムアウト期間を制御することによって制限することができます。
認証セッションは、認証済みホストに関連付けられた MAC アドレスがイーサネットスイッチングテーブルから出ると終了することができます。MAC アドレスがイーサネットスイッチングテーブルからクリアされると、そのホストの認証セッションが終了し、ホストが認証を再試行する必要があります。
MAC アドレスがイーサネットスイッチングテーブルから除外されたときに、認証セッションが終了しないようにするには、次のようにします。
- 802.1 X または MAC RADIUS 認証を使用して認証されたセッションでは、イーサネット・スイッチング・テーブルと認証セッションテーブルを関連付け、以下のno-mac-table-binding文を使用して MAC アドレスエージングによって、認証セッションタイムアウトを回避できます。
[edit]
user@switch# set protocols dot1x authenticator no-mac-table-binding; - 専用ポータル認証を使用して認証されたセッションでは、以下のuser-keepalive文を使用してタイムアウト期間を延長することで、MAC アドレスエージングによって認証セッションタイムアウトを回避できます。
[edit]
user@switch# set services captive-portal interface interface-name user-keepalive minutes;
また、認証セッションのタイムアウト値を設定して、MAC エージングタイマーが満了する前に、認証セッションを終了させることもできます。
認証セッションのセッションタイムアウトを設定しても、MAC エージングタイマーが満了した後にセッションが拡張されるわけではありません。MAC エージングによるセッションno-mac-table-bindingのタイムアウトを回避するには、802.1 x およびuser-keepalive mac RADIUS 認証のステートメントか、または、専用ポータル認証の文のどちらかを設定する必要があります。
802.1 X および MAC RADIUS 認証セッションでは、 reauthentication 文を使用してタイムアウト値を設定します。
- 単一のインターフェイスでタイムアウト値を設定するには、次のようにします。
[edit]
user@switch# set protocols dot1x authenticator interface interface-name reauthentication seconds; - すべてのインターフェイスでタイムアウト値を設定するには、以下のようにします。
[edit]
user@switch# set protocols dot1x authenticator interface all reauthentication seconds;
専用ポータル認証セッションでは、 session-expiry文を使用してタイムアウト値を設定します。
- 単一のインターフェイスでタイムアウト値を設定するには、次のようにします。
[edit]
user@switch# set services captive-portal interface interface-name session-expiry minutes; - すべてのインターフェイスでタイムアウト値を設定するには、以下のようにします。
[edit]
user@switch# set services captive-portal interface all session-expiry minutes;
認証サーバーが認証セッションタイムアウトをクライアントに送信する場合は、そのreauthentication ステートメントまたはsession-expiryステートメントを使用して設定された値よりもこれが優先度になります。セッションタイムアウト値は、サーバーから RADIUS アクセス許可メッセージの属性としてクライアントに送信されます。