Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
このページの目次
 

session-options

構文

階層レベル

説明

(MXシリーズおよびSRXシリーズファイアウォール)セッションの稼働時間、ユーザーの非アクティブ時間、またはその両方に基づいて、加入者のアクセスに制限を設けるオプションを定義します。

(MXシリーズ)サブスクライバのアクセス プロファイルに基づいて、ログイン時にサブスクライバのユーザ名を変更するオプションを定義します。

(MXシリーズ)ルールを含む PCEF プロファイル、ルールを処理するサービス セット、サービス セットのサービス フィルターなど、ポリシーおよび課金制御(PCC)ルールに関連する特性を指定します。

オプション

client-idle-timeout

認証されたユーザーがすべてのセッションと接続を終了した後に開始する猶予期間を指定します。猶予期間中に同じユーザーによって新しい接続が開始された場合、認証は必要ありません。

この期間中、ルーターは、ユーザーからのアップストリーム(イングレス)とユーザーへのダウンストリーム(エグレス)の両方のデータトラフィックを監視して、加入者が非アクティブかどうかを判断します。制御トラフィックは無視されます。データ トラフィックがいずれかの方向で検出される限り、加入者はアイドル状態とは見なされません。アイドル タイムアウト中にトラフィックが検出されない場合、RADIUS による切断や CLI によるログアウトと同様に、非 DHCP サブスクライバ(L2TP や PPP など)はグレースフル ログアウトされます。DHCP サブスクライバーは切断されます。

関連する client-idle-timeout-ingress-only ステートメント(MXシリーズのみ)を追加設定する場合、ルーターはイングレストラフィックのみを監視して、加入者が非アクティブであるかどうかを判断し、エグレストラフィックは監視しません。関連 client-session-timeout ステートメントは、ユーザーアクティビティに関係なく、セッションタイムアウトが期限切れになるとサブスクライバセッションを終了します。

クライアントのアイドル タイムアウトは、ほとんどの場合、ビジネス サービスではなく家庭向けサービスに使用されます。このタイムアウトの最も実用的な使用例は、PPP アクセスモデルです。DHCPまたはDHCPv6の加入者には実用的ではありません。

この ステートメントは動的に設定された加入者VLANに使用できます client-idle-timeout が、この設定は限られた状況(DHCPがなく、固定アドレスを使用するIP over Ethernetなど)でのみ有用であり、通常は使用されません。VLAN のアイドル タイムアウトを使用する場合、タイムアウト期間は VLAN がインスタンス化された時点から始まります。クライアント セッションが作成されるか、既存のセッションが再アクティブ化されると、リセットされます。タイムアウト期間中に認証されたVLANでトラフィックが検出されなかった場合、VLANは非アクティブと見なされ、削除されます。VLAN上にクライアントセッションが作成されていない場合は、タイムアウトが経過するとVLANが削除されます。

  • 既定: タイムアウトは構成されていません。

  • 値: minutes- セッションが終了するまでに経過したアイドル時間(分)。指定する値は、提供するサービスとポリシーを考慮してローカルで決定する必要があります。

  • 範囲: 10〜1440分
client-idle-timeout-ingress-only

ステートメントで client-idle-timeout 指定したアイドルタイムアウト期間の間、加入者のアイドルタイムアウト処理についてイングレストラフィックのみを監視することを指定します。タイムアウト期間中にイングレス トラフィックが受信されなかった場合、サブスクライバは正常にログアウトされるか(非 DHCP サブスクライバ)、切断されます(DHCP サブスクライバ)。

単独で設定 client-idle-timeout した場合、アイドル タイムアウト中はイングレスとエグレス トラフィックの両方が監視されます。イングレストラフィックのみの監視は、ピアが稼働していないときでもLNSがリモートピアにトラフィックを送信する場合に役立ちます。LNSでPPPキープアライブが有効になっていないため、ピアが稼働していないことを検出できない場合などです。LACはデフォルトでイングレストラフィックとエグレストラフィックの両方を監視するため、この状況ではLNSからエグレストラフィックを受信し、サブスクライバをログアウトしないか、エグレストラフィックが停止するまで非アクティブの検出を遅らせます。この場合、イングレストラフィックのみを監視するように指定すると、LAC はピアが非アクティブであることを検出し、ログアウトを開始できます。
client-session-timeout

ユーザーのアクティビティに関係なく、ユーザーセッションが終了するまでの時間を指定します(強制認証タイムアウトまたはハード認証タイムアウトとも呼ばれます)。

あるいは、サブスクライバーが終了する前に非アクティブとして識別される場合は、関連するステートメントと client-idle-timeout client-idle-timeout-ingress-onlyを使用します。単独で使用して client-idle-timeout 、イングレスとエグレスの両方の加入者データ・トラフィックを監視する期間を指定します。その期間中にトラフィックが検出されなかった場合、加入者は非アクティブと見なされ、終了します。 client-idle-timeout-ingress-only で設定された client-idle-timeout statementタイムアウトの間、イングレストラフィックのみを監視するステートメントを追加します。

ベスト プラクティス:

音声サービスを受信する加入者のセッション タイムアウトを設定しないことを推奨します。セッション タイムアウトは単純な時間ベースのタイムアウトであるため、音声サービスを使用して加入者をアクティブに中断し、(加入者の観点から)予期せずコールを終了する可能性があります。この結果は、緊急サービスコールで特に懸念されます。

クライアントセッションタイムアウトは、ビジネスサービスではなく家庭向けサービスに最もよく使用されます。このタイムアウトの最も実用的な使用例は、音声サービスが提供されない場合の PPP アクセス モデルです。DHCP または DHCPv6 サブスクライバの場合、他のリース時間設定が存在しない場合、セッション タイムアウトが DHCP リース タイマーとして使用されます。

この ステートメントは動的に設定された加入者VLANに使用できます client-session-timeout が、この設定は限られた状況(DHCPがなく、固定アドレスを使用するIP over Ethernetなど)でのみ有用であり、通常は使用されません。VLAN のセッション タイムアウトを使用する場合、タイムアウト期間は VLAN がインスタンス化された時点から始まります。

  • 既定: タイムアウトは構成されていません。

  • 値: minutes- ユーザー セッションが終了するまでの時間 (分)。指定する値は、提供するサービスとポリシーを考慮してローカルで決定する必要があります。

  • 範囲: 1 から 527040 分

残りのステートメントについては、個別に説明します。詳細については、CLI エクスプローラーでステートメントを検索するか、「構文」セクションでリンクされたステートメントをクリックしてください。

必要な権限レベル

access—設定でこのステートメントを表示します。

access-control—設定にこのステートメントを追加します。

リリース情報

Junos OSリリース8.5で導入されたステートメント。

関連ドキュメント