Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

加入者アクセスのセッションオプション

セッションオプションでは、DHCP、L2TP、および終了したPPP加入者セッションの複数の特性を指定できます。セッションオプションは、加入者アクセス、認証、許可、アカウンティングのパラメーターを決定するアクセスプロファイルで設定します。

加入者アクセスのセッションオプションについて

アクセスプロファイルを使用して、DHCP、L2TP、および終了したPPP加入者向けに作成されるセッションのいくつかの特性を設定できます。セッションが稼働している時間、ユーザーが非アクティブである時間、またはその両方に基づいて、サブスクライバーのアクセスに制限を設定できます。アクセスプロファイルごとにユーザー名で加入者セッションを制限できます。また、加入者のアクセスプロファイルに基づいて、ログイン時に加入者のユーザー名を変更するパラメーターを設定することもできます。

加入者セッションタイムアウト

セッション タイムアウトまたはアイドル タイムアウトを設定することで、加入者のアクセスを制限できます。セッションタイムアウトを使用して、加入者がアクセスできる固定時間を指定します。アイドル タイムアウトを使用して、サブスクライバーがアイドル状態を維持できる最大期間を指定します。これらのタイムアウトは、個別に使用することも、一緒に使用することもできます。デフォルトでは、どちらのタイムアウトも発生しません。

手記:

DHCP 以外のすべての加入者タイプ(L2TP トンネリング加入者と PPP 終端加入者など)では、セッション タイムアウト値によって加入者セッションが制限されます。DHCP加入者の場合、セッションタイムアウト値は、他のリース時間設定が存在しない場合にリースを制限するために使用されます。リースは、タイムアウト値の期限が切れると期限切れになります。この値がCLIまたはRADIUSによって提供されない場合、DHCPリースは期限切れになりません。

アイドル タイムアウトは、加入者のアカウンティング統計情報に基づきます。ルーターは、ユーザーからのアップストリーム(イングレス)とユーザーへのダウンストリーム(エグレス)の両方のデータトラフィックを監視することで、加入者の非アクティブ性を判断します。制御トラフィックは無視されます。データ トラフィックがいずれかの方向で検出されている限り、加入者はアイドル状態とは見なされません。

オプションで、加入者のイングレストラフィックのみを監視するように指定できます。エグレストラフィックは無視されます。この設定は、LNSでPPPキープアライブが有効になっていないため、ピアが稼働していないことを検出できない場合など、ピアが稼働していない場合でもLNSがリモートピアにトラフィックを送信する場合に便利です。この状況では、LACはデフォルトで入力トラフィックと出力トラフィックの両方を監視するため、LNSからの出力トラフィックを検出し、加入者をログアウトしないか、出力トラフィックが停止するまで非アクティブの検出を遅らせます。イングレストラフィックのみを監視するように指定すると、LACはピアが非アクティブであることを検知し、ログアウトを開始できます。

どちらかのタイムアウト期間が経過すると、RADIUSが開始する切断やCLIが開始するログアウトと同様に、DHCP以外の加入者は正常にログアウトされます。DHCP サブスクライバーは切断されます。Acct-Terminate-Cause [RADIUS 属性 49] の値には、セッション タイムアウトの理由コード 5 とアイドル タイムアウトのコード 4 が含まれています。

RADIUS属性のSession-Timeout[27]およびIdle-Timeout[28]を使用することで、加入者ごとの加入者アクセスに対するこれらの制限を設定できます。RADIUSは、アクセスサーバーからのAccess-Requestメッセージに応答して、これらの属性をAccess-Acceptメッセージで返します。Junos OS リリース 19.4R1 以降、セッションタイムアウト属性 [27] が RADIUS CoA メッセージでサポートされています。この機能は、加入者が一定期間のインターネット アクセスを購入し、セッションの有効期限が切れるとログアウトしなければならない場合などに便利です。

CoAがSession-Timeoutで到着すると、タイムアウトはセッションがアクティブ化された時間からカウントされます。これにより、次の結果が生じます。

  • 属性値が現在のセッション稼働時間より大きく、最小タイムアウト値と最大タイムアウト値の間にある場合、セッションのアクティブ化からその秒数が経過すると、加入者はログアウトされます。たとえば、セッションが12:00:00にアクティブ化され、CoAが12:00:30に120秒の値で受信されたとします。サブスクライバーは 12:02:00 にログアウトされます。

    同じ値でこれを見る別の方法は、現在のセッションのアップタイムが30秒であり、属性値が120秒であるということです。さらに 90 秒が経過すると、サブスクライバーはログアウトされます。

  • 属性値が現在のセッション稼働時間より大きく、最小タイムアウト値である60秒未満の場合、稼働時間が60秒に達すると加入者はログアウトされます。

  • 属性値が現在のセッション稼働時間より大きく、最大タイムアウト値の31,622,400秒を超えている場合、稼働時間が31,622,400秒に達すると加入者はログアウトされます。

  • 属性値が現在のセッション稼働時間よりも小さい場合、セッションタイムアウトは適用されません。AAA は NAK で CoA メッセージに応答します。たとえば、Session-Timeout が 60 秒で、アップタイムが 100 秒の場合、セッションは影響を受けません。

上記のルールに従ったセッションタイムアウトの適用は、CoAの他のすべての側面が成功するかどうかにも依存します。たとえば、CoAにサービスアクティベーションが含まれていて、そのサービスアクティベーションが失敗した場合、セッションタイムアウトは適用されません。AAA は NAK で CoA メッセージに応答します。

手記:

Session-Timeout 値が 0 の場合、そのセッションの既存のセッション タイムアウトはすべて取り消されます。

サービス プロバイダは、多くの場合、多数の加入者に同じ制限を適用することを選択します。このシナリオでは、ルーティングインスタンスごとにアクセスプロファイルの加入者の制限を定義することで、RADIUSプロビジョニングの労力を削減できます。その場合、プロファイルでログインした特定の加入者に対してその後に返されるRADIUS属性が、ルーティングインスタンスごとの値を上書きします。

ベスト プラクティス:

音声サービスを受信する加入者にはセッション タイムアウトを設定しないことを推奨します。セッション タイムアウトは時間にのみ基づき、ユーザ アクティビティには基づかないため、音声サービスをアクティブに使用している加入者が中断され、(加入者の観点から)コールが予期せず終了する可能性があります。この結果は、緊急サービスのコールにとって特に懸念事項です。

ベスト プラクティス:

DHCP 加入者にはアイドル タイムアウトを設定しないことをお勧めします。アクティビティがないままタイムアウトが経過し、接続が終了すると、プロトコルにはクライアントに通知する手段がありません。その結果、これらの加入者は、次にインターネットにアクセスしようとしたときに、CPE デバイスを再起動することを余儀なくされます。

PPP加入者に対してアイドルタイムアウトが設定されている場合の動作とは対照的です。この場合、タイムアウトが切れると、PPP はピアとのリンクを終了します。CPE デバイスに応じて、この終了により、ピアはオンデマンドまたは即時に自動的に接続を再試行できます。いずれの場合も、加入者の介入は必要ありません。

タイムアウトを設定できる範囲は、CLIで構成しても、RADIUS属性で構成しても同じです。

  • セッションタイムアウトは、CLIで1分から527,040分まで設定でき、セッションタイムアウト属性[27]で対応する秒数(60から31,622,400)を設定できます。

  • アイドルタイムアウトは、CLIで10分から1440分に設定でき、対応する秒数(600〜86,400)をIdle-Timeout属性[28]に設定できます。

ルーターは、属性の値を、サポートされている範囲に適合するように解釈します。たとえば、Session-Timeout [27] の場合:

  • 値 0 は、タイムアウトなしとして扱われます。

  • 1 から 59 の範囲の値は 60 秒に上げられます。

  • 値が 31,622,400 を超えると、31,622,400 秒に減少します。

Idle-Timeout [28] の場合:

  • 値 0 は、タイムアウトなしとして扱われます。

  • 1 から 599 の範囲の値は 600 秒に上げられます。

  • 値が 86,400 を超えると、86,400 秒に短縮されます。

動的に作成された加入者 VLAN を使用する構成では、アイドル タイムアウトにより、非アクティブのしきい値に達すると、非アクティブな加入者 VLAN も削除されます。アイドル タイムアウトは、非アクティブな動的加入者 VLAN を削除するだけでなく、クライアント セッションが作成されていない場合(たとえば、ダイナミック VLAN でクライアント セッションが作成されなかった場合や、ダイナミック VLAN でクライアント セッションが作成されなかったためにセッション作成またはクライアント認証中にエラーが発生した場合)に、非アクティブな動的加入者 VLAN を削除する以外にもダイナミック VLAN を削除します。

動的加入者 VLAN を削除するためのセッション タイムアウトとアイドル タイムアウトは、非常に限られたユースケースでのみ役立ちます。通常、どちらのタイムアウトもこの目的では設定されません。

これらが役に立つ可能性がある状況としては、ダイナミックVLANに、 remove-when-no-subscribers ステートメントでVLANが削除されるタイミングを判断するのに役立つ上位層プロトコルがない場合が挙げられます。例えば、VLANが固定アドレスを持つビジネスアクセスモデルで、DHCPを使用しないIP over Ethernetをサポートしている場合などです。ただし、ビジネス アクセスは一般的に住宅地アクセスよりも上位層のサービスであるため、通常、住宅地の加入者に望まれる可能性のある非アクティブによるタイムアウトの影響を受けません。

アイドル タイムアウトは、CPE からパケットを受信したときに接続を再生成できる特定のレイヤ 2 ホールセール状況では適切な場合があります。

動的 VLAN の削除にアイドル タイムアウトを使用する場合は、次の点に注意してください。

  • アイドル タイムアウト期間は、動的加入者 VLAN インターフェイスが作成された後、または動的加入者 VLAN インターフェイスでトラフィック アクティビティが停止した後に開始されます。

  • 新しいクライアントセッションが作成されるか、クライアントセッションが正常に再アクティブ化されると、クライアントアイドルタイムアウトはリセットされます。

  • 非アクティブな加入者 VLAN の削除は、認証された VLAN でのみ機能します。

ユーザ名およびアクセスプロファイルごとの加入者セッションの制限

正当な加入者は、ログイン資格情報を権限のない人物と共有し、プロバイダーに利益をもたらすことなくサービスプロバイダーのリソースを消費する可能性があります。Junos OS リリース 18.4R1 以降では、アクセス プロファイルに関連付けられた特定のユーザー名で許可されるアクティブな加入者セッションの数を制限することで、ログイン資格情報の共有を制御または防止できます。RADIUSを使用してこの制御を実現することもできますが、BNGでローカルに制限を設定することで、外部サーバーへの依存がなくなります。

制限を設定すると、ユーザ名/アクセス プロファイルの組み合わせのアクティブ セッションが追跡されます。追跡されたセッションの数は、authd が新しいセッションログイン要求を受信するとチェックされます。追跡されたセッションの数が制限と一致すると、新しいログイン試行は拒否され、ブロックされた要求としてカウントされます。

authd がセッションのログアウトまたはクライアント終了要求を受信すると、そのユーザ名/アクセス プロファイル エントリの追跡対象セッション数が減少します。これが、組み合わせのアクティブなセッションがなくなるまで続くと、その項目はセッション制限テーブルから削除されます。設定からアクセスプロファイルまたはセッション制限を削除すると、関連するすべてのユーザー名/アクセスプロファイルエントリーがテーブルから削除されます。

同じユーザー名を複数のアクセス プロファイルで使用できるため、1 つのユーザー名のセッションの合計数が、特定のアクセス プロファイルに設定された制限を超える可能性があります。

手記:

自動設定されたVLANを備えたPPPなどのスタックされた加入者セッションの場合、スタック内の両方のユーザー名が認証に使用されるため、両方がセッション制限に対してカウントされます。

設定された制限は既存のアクティブな加入者に適用されますが、アクティブなセッションの数が、そのユーザ名とアクセスプロファイルの組み合わせを持つ加入者の制限を超えた場合、既存のセッションは分解されません。

制限を 2 つに設定した場合、特定のユーザ名/アクセス プロファイルの組み合わせに対して 5 つのセッションが現在アクティブになっている状況を考えてみましょう。

  1. アクティブなセッション数は、組み合わせのセッション制限テーブルのエントリに 5 として記録されます。

  2. 同じユーザ名とアクセス プロファイルを持つ新しい加入者がログインを試みます。2 つのセッションの制限をすでに超えているため(5 > 2)、試行はブロックされます。

  3. 既存のサブスクライバーがログアウトすると、アクティブなセッション数は 4 に減少します。

  4. 同じユーザ名とアクセス プロファイルを持つ新しい加入者がログインを試みます。2 つのセッションの制限(4 つのセッションと 2 つのセッション)をまだ超えているため、試行>ブロックされます。

  5. 既存の 3 人のサブスクライバーがログアウトし、アクティブなセッション数が 1 つに減少します。

  6. 同じユーザ名とアクセス プロファイルを持つ新しい加入者がログインを試みます。この試行は、まだ 2 つのセッションの制限 (1 つ< 2 つ) に達していないため、許可されます。

セッション制限の設計により、悪意のあるユーザーが正しいユーザー名とアクセスプロファイルを使用して複数のログイン試行を行うが、パスワードが間違っているというサービス拒否イベントを防ぐことができます。多数のログイン試行が設定されたセッション制限を超える可能性がありますが、これは、加入者のセッション状態が悪意のあるログインでは達成されないアクティブ状態に移行したときにのみ追跡セッション数がインクリメントされるため、発生しません。

CLIでユーザー名のセッションを制限するメリット

  • 外部のRADIUSサーバーに依存するのではなく、ルーター上でローカルにセッション数を制限できます。

  • 複数のログインに基づく一部のサービス拒否攻撃を防止します。

加入者ユーザー名の変更

レイヤー2ホールセールアプリケーションの場合、一部のネットワークサービスプロバイダは、ユーザー名の変更を採用して、加入者を適切な小売エンタープライズネットワークに誘導します。この変更は、ユーザー名の一部が取り除かれて破棄されるため、ユーザー名の ストリッピングとも呼ばれます。文字列の残りの部分が、変更された新しいユーザー名になります。変更されたユーザ名は、外部 AAA サーバによってセッション認証およびアカウンティングに使用されます。変更パラメーターは、加入者とセッション コンテキストも決定する加入者アクセス プロファイルに従って適用されます。つまり、加入者が使用する論理システム:ルーティング インスタンス(LS:RI)です。デフォルト(プライマリ)論理システムのみがサポートされます。卸売業者は、複数の小売業者をそれぞれ異なる LS:RI に配置することで区別するため、ユーザー名は小売業者ごとに適切に変更されます。

最大 8 文字を区切り文字として選択して、元のユーザー名の破棄された部分と保持された部分の境界をマークできます。デフォルトの区切り文字はありません。選択した区切り文字の右側の名前の部分は、区切り文字とともに破棄されます。複数の区切り文字を設定することで、特定のユーザー名構造により、異なるユーザー名が変更される可能性があります。元の名前を解析する方向を構成して、境界を示す区切り文字を決定できます。既定では、解析方向は左から右です。

次の例を考えてみましょう。

  • 区切り文字 @ を 1 つ指定します。ユーザー名は user1@example.com です。この場合、解析方向は重要ではありません。いずれの場合も、単一の区切り文字が見つかり、example.com 破棄されます。変更後のユーザー名は user1 です。

  • 区切り文字 @ を 1 つ指定します。ユーザー名はuser1@test@example.comです。この場合、解析方向は異なるユーザー名になります。

    • 解析方向が左から右 - 左端の @ が区切り文字として識別され、test@example.com は破棄されます。変更後のユーザー名は user1 です。

    • 解析方向が右から左 - 右端の @ が区切り文字として識別され、example.com は破棄されます。変更後のユーザー名は user1@test です。

  • @ と / の 2 つの区切り文字を指定します。ユーザー名はuser1@bldg1/example.com です。解析方向は、異なるユーザー名になります。

    • 解析方向が左から右 - @ が区切り文字として識別され、bldg1/example.com は破棄されます。変更後のユーザー名は user1 です。

    • 解析方向が右から左 - / が区切り文字として識別され、example.com は破棄されます。変更後のユーザー名は user1@bldg1 です。

加入者アクセス プロファイルを設定して、各加入者のログイン文字列の一部が削除され、その後、セッション認証およびアカウンティングのために外部 AAA サーバによって変更されたユーザ名として使用されるようにすることができます。変更されたユーザー名は、RADIUS Access-Request、Acct-Start、Acct-Stopメッセージのほか、RADIUSが開始する切断要求やCoA(認可変更)要求などに表示されます。

加入者のユーザー名を変更するメリット

  • レイヤー2ホールセールネットワークサービスプロバイダが、加入者を適切な小売エンタープライズネットワークに簡単に誘導できるようにします。

加入者セッションタイムアウトオプション

加入者セッションタイムアウトオプションを使用すると、セッションの稼働時間、ユーザーの非アクティブ時間、またはその両方に基づいて、加入者のアクセスを制限できます。加入者セッションオプションは、L2TPトンネリングされた加入者セッションとPPP終了加入者セッションの両方に適用されます。DHCP加入者の場合、セッションタイムアウトはDHCPリース時間を制限します。

手記:

RADIUSでタイムアウト属性を設定するには、お使いのRADIUSサーバーのマニュアルを参照してください。

加入者セッションに制限を設定するには、加入者に適用されるクライアントプロファイルでセッションオプションを設定します。

  • アクティビティに関係なく、設定されたセッションタイムアウトが経過すると、加入者を終了します。

  • 設定されたアイドルタイムアウトの間、イングレスまたはエグレスデータトラフィックがない場合、サブスクライバーを終了します。

  • 設定されたアイドルタイムアウトの間、イングレスデータトラフィックがない場合、サブスクライバーを終了します。エグレストラフィックを無視します。

例えば、 acc-prof クライアントプロファイルでセッションタイムアウトオプションを構成し、15分のアイドルタイムアウトを指定し、イングレストラフィックのみを監視し、120分後にセッションがタイムアウトするようにするには、次のようにします。

ユーザ名およびアクセス プロファイルごとのアクティブ セッション数の制限

アクセス プロファイルに関連付けられた特定のユーザ名に対して許可されるアクティブな加入者セッションの数を制限することで、正当な加入者がログイン クレデンシャルを共有できる度合いを制御できます。

ユーザ名およびアクセス プロファイルごとのアクティブ セッション数を制限するには:

  • [edit access profile profile-name]
    user@host# set session-limit-per-username number
    

たとえば、アクセス プロファイル isp-weg-4 のユーザー名ごとのアクティブ セッションの最大数を 5 に設定するには:

show network-access aaa statistics session-limit-per-username コマンドを使用して、アクティブなセッションとブロックされた要求の統計を表示できます。

clear network-access aaa statistics session-limit-per-username username コマンドは、以下のいずれかの場合にブロックされた要求統計をクリアすることにより、デバッグの補助として使用できます。

  • すべてのアクセス プロファイルのすべてのユーザー名。

  • すべてのアクセス プロファイルにわたる特定のユーザー名。

  • 特定のアクセス プロファイル内の特定のユーザー名。

  • 特定のアクセス プロファイル内のすべてのユーザー名。

加入者セッションのユーザー名変更の設定

加入者セッションオプションを使用して、加入者のアクセスプロファイルに基づいてログイン時に加入者のユーザー名を変更するパラメーターを設定できます。この変更は、ユーザー名の一部が取り除かれて破棄されるため、ユーザー名の ストリッピングとも呼ばれます。文字列の残りの部分が、変更された新しいユーザー名になります。変更されたユーザ名は、外部 AAA サーバによってセッション認証およびアカウンティングに使用されます。この機能は、たとえば、レイヤー2のホールセール型実装において、ネットワークサービスプロバイダがユーザー名を変更して、加入者を適切な小売企業ネットワークに誘導する場合に有効です。

変更パラメーターは、加入者とセッション コンテキストも決定する加入者アクセス プロファイルに従って適用されます。つまり、加入者が使用する論理システム:ルーティング インスタンス(LS:RI)です。デフォルト(プライマリ)論理システムのみがサポートされます。卸売業者は、複数の小売業者をそれぞれ異なる LS:RI に配置することで区別するため、ユーザー名は小売業者ごとに適切に変更されます。

最大 8 文字を区切り文字として選択して、元のユーザー名の破棄された部分と保持された部分の境界をマークできます。デフォルトの区切り文字はありません。選択した区切り文字の右側の名前の部分は、区切り文字とともに破棄されます。複数の区切り文字を設定することで、特定のユーザー名構造により、異なるユーザー名が変更される可能性があります。元の名前を解析する方向を構成して、境界を示す区切り文字を決定できます。既定では、解析方向は左から右です。

ユーザー名の変更を設定するには:

  1. 加入者または加入者アクセス プロファイルを持つ加入者のセットを許可および設定するための一連の AAA オプションで構成されるプロファイルを定義します。
    1. ユーザー名ストリッピング設定を含む加入者アクセスプロファイルの名前を指定します。
    2. (オプション)加入者セッションが認証やアカウンティングなどのAAA(RADIUS)インタラクションに使用する論理システム:ルーティングインスタンス(LS:RI)を指定します。例えば、これは、加入者にサービスを提供する小売業 ISP の LS:RI に相当する場合があります。
    3. (オプション)加入者インターフェイスが配置される論理システム:ルーティングインスタンス(LS:RI)を指定します。たとえば、これは、加入者居住地からのすべての要求によってアクセスされるLNS上のLAC向けインターフェイスに対応する場合があります。
  2. ユーザー名の削除方法を指定するセッション オプションをアクセス プロファイルで設定します。
    1. 1 つ以上の区切り文字を指定して、元のユーザー名の破棄された部分と保持された部分の境界をマークします。
    2. (オプション)区切り文字を見つけるために元のユーザー名を調べる方向を指定します。デフォルトの方向は左から右です。
  3. (オプション)動的加入者が認証されるときに、AAAオプションがインターフェイス単位であることを指定します。
  4. (オプション)AAA オプションが、LNS でトンネル接続された PPP 加入者に適用されるグループ プロファイルの PPP オプションの一部であることを指定します。

次の例では、AAA オプション プロファイル aaa1 は、デフォルト論理システムおよびルーティング インスタンス 1 の加入者に対して加入者アクセス プロファイルentA を指定しています。アクセス プロファイル entA は、区切り文字 @ が見つかるまでユーザー名を左から右に検査することを指定します。AAA オプション プロファイルは、グループ プロファイル FD1 に属するトンネリングされた PPP 加入者に適用されます。

この設定を前提として、加入者がユーザー名 user1@example.com でログインを試みたとします。この名前を調べると、区切り文字と文字列 example.com は破棄され、ユーザー名は user1 に変更されます。解析方向が右から左に名前を調べるように設定されている場合も、区切り文字が 1 つしか定義されておらず、元のユーザー名には 1 つしか存在しないため、結果は同じであることに注意してください。

ここで、サブスクライバーがユーザー名 user1@test@example.com でログインしたとします。このようなユーザー名の場合、解析方向によって変更されたユーザー名に違いが生じます。この構成では、名前が左から右に解析されるため、区切り文字 @ の最初のインスタンスが最初に見つかるように判断されます。この区切り文字と文字列 test@example.com は破棄され、user1 が変更されたユーザー名として残ります。

構成で異なる解析方向が設定されている場合はどうなりますか?

この場合、ユーザー名user1@test@example.comに対して、区切り文字の 2 番目のインスタンスが識別され、文字列 @example.com で破棄されます。変更後のユーザー名は user1@test です。

次の構成のように複数の区切り文字を設定し、@ と / の 2 つの区切り文字を指定することで、解析方向に基づいて異なるユーザー名を変更しても同じ結果を得ることができます。

ユーザー名 user1@bldg1/example.com の場合、左から右に解析すると、最初に @ 区切り文字が識別され、変更されたユーザー名は user1 になります。代わりに右から左に解析すると、最初に / 区切り文字が識別され、文字列 example.com で取り除かれ、変更されたユーザー名が user1@bldg1 のままになります。

非アクティブな動的加入者VLANの削除

加入者セッションタイムアウトを使用すると、セッションの稼働時間、ユーザの非アクティブ時間、またはその両方に基づいて、加入者のアクセスを制限できます。動的に作成された加入者VLANSを使用する設定では、アイドルタイムアウトも以下になります。

  • 非アクティブしきい値に達した場合、非アクティブな加入者 VLAN を削除します。

  • クライアント セッションが作成されていない場合(たとえば、ダイナミック VLAN でクライアント セッションが作成されなかった場合や、セッション作成時またはクライアント認証時にエラーが発生し、ダイナミック VLAN でクライアント セッションが作成されなかった場合など)に、ダイナミック VLAN を削除します。

手記:

セッションタイムアウトは、通常、動的加入者VLANの削除には使用されません。タイムアウトは、非常に限られたユースケースでのみ役立つ場合があります。例えば、VLAN が固定アドレスを持つビジネス アクセス モデルで DHCP を使用しない IP over Ethernet をサポートしている場合など、動的 VLAN に remove-when-no-subscribers ステートメントで VLAN が削除されるタイミングを判断するのに役立つ上位層プロトコルが存在しないケースが考えられます。

手記:

RADIUSでアイドルタイムアウト属性を設定するには、お使いのRADIUSサーバーのマニュアルを参照してください。

非アクティブな動的加入者 VLAN を削除するには、次の手順に従います。

  1. ルーターアクセスプロファイルのセッションオプションを編集します。
  2. 加入者セッションがアイドル状態を維持できる最大期間を設定します。

変更履歴

サポートされる機能は、使用しているプラットフォームとリリースによって決まります。特定の機能がお使いのプラットフォームでサポートされているかどうかを確認するには、 Feature Explorer を使用します。

解放
形容
19.4R1
Junos OS リリース 19.4R1 以降、セッションタイムアウト属性 [27] が RADIUS CoA メッセージでサポートされています。
18.4R1
Junos OS リリース 18.4R1 以降では、アクセス プロファイルに関連付けられた特定のユーザー名で許可されるアクティブな加入者セッションの数を制限することで、ログイン資格情報の共有を制御または防止できます。