加入者アクセスのセッションオプション

加入者セッションタイムアウト

セッション タイムアウトまたはアイドル タイムアウトを設定することで、加入者のアクセスを制限できます。セッションタイムアウトを使用して、加入者がアクセスできる固定時間を指定します。アイドル タイムアウトを使用して、サブスクライバーがアイドル状態を維持できる最大期間を指定します。これらのタイムアウトは、個別に使用することも、一緒に使用することもできます。デフォルトでは、どちらのタイムアウトも発生しません。

手記：

DHCP 以外のすべての加入者タイプ(L2TP トンネリング加入者と PPP 終端加入者など)では、セッション タイムアウト値によって加入者セッションが制限されます。DHCP加入者の場合、セッションタイムアウト値は、他のリース時間設定が存在しない場合にリースを制限するために使用されます。リースは、タイムアウト値の期限が切れると期限切れになります。この値がCLIまたはRADIUSによって提供されない場合、DHCPリースは期限切れになりません。

アイドル タイムアウトは、加入者のアカウンティング統計情報に基づきます。ルーターは、ユーザーからのアップストリーム(イングレス)とユーザーへのダウンストリーム(エグレス)の両方のデータトラフィックを監視することで、加入者の非アクティブ性を判断します。制御トラフィックは無視されます。データ トラフィックがいずれかの方向で検出されている限り、加入者はアイドル状態とは見なされません。

オプションで、加入者のイングレストラフィックのみを監視するように指定できます。エグレストラフィックは無視されます。この設定は、LNSでPPPキープアライブが有効になっていないため、ピアが稼働していないことを検出できない場合など、ピアが稼働していない場合でもLNSがリモートピアにトラフィックを送信する場合に便利です。この状況では、LACはデフォルトで入力トラフィックと出力トラフィックの両方を監視するため、LNSからの出力トラフィックを検出し、加入者をログアウトしないか、出力トラフィックが停止するまで非アクティブの検出を遅らせます。イングレストラフィックのみを監視するように指定すると、LACはピアが非アクティブであることを検知し、ログアウトを開始できます。

どちらかのタイムアウト期間が経過すると、RADIUSが開始する切断やCLIが開始するログアウトと同様に、DHCP以外の加入者は正常にログアウトされます。DHCP サブスクライバーは切断されます。Acct-Terminate-Cause [RADIUS 属性 49] の値には、セッション タイムアウトの理由コード 5 とアイドル タイムアウトのコード 4 が含まれています。

RADIUS属性のSession-Timeout[27]およびIdle-Timeout[28]を使用することで、加入者ごとの加入者アクセスに対するこれらの制限を設定できます。RADIUSは、アクセスサーバーからのAccess-Requestメッセージに応答して、これらの属性をAccess-Acceptメッセージで返します。Junos OS リリース 19.4R1 以降、セッションタイムアウト属性 [27] が RADIUS CoA メッセージでサポートされています。この機能は、加入者が一定期間のインターネット アクセスを購入し、セッションの有効期限が切れるとログアウトしなければならない場合などに便利です。

CoAがSession-Timeoutで到着すると、タイムアウトはセッションがアクティブ化された時間からカウントされます。これにより、次の結果が生じます。

• 属性値が現在のセッション稼働時間より大きく、最小タイムアウト値と最大タイムアウト値の間にある場合、セッションのアクティブ化からその秒数が経過すると、加入者はログアウトされます。たとえば、セッションが12:00:00にアクティブ化され、CoAが12:00:30に120秒の値で受信されたとします。サブスクライバーは 12:02:00 にログアウトされます。

  同じ値でこれを見る別の方法は、現在のセッションのアップタイムが30秒であり、属性値が120秒であるということです。さらに 90 秒が経過すると、サブスクライバーはログアウトされます。

• 属性値が現在のセッション稼働時間より大きく、最小タイムアウト値である60秒未満の場合、稼働時間が60秒に達すると加入者はログアウトされます。

• 属性値が現在のセッション稼働時間より大きく、最大タイムアウト値の31,622,400秒を超えている場合、稼働時間が31,622,400秒に達すると加入者はログアウトされます。

• 属性値が現在のセッション稼働時間よりも小さい場合、セッションタイムアウトは適用されません。AAA は NAK で CoA メッセージに応答します。たとえば、Session-Timeout が 60 秒で、アップタイムが 100 秒の場合、セッションは影響を受けません。

上記のルールに従ったセッションタイムアウトの適用は、CoAの他のすべての側面が成功するかどうかにも依存します。たとえば、CoAにサービスアクティベーションが含まれていて、そのサービスアクティベーションが失敗した場合、セッションタイムアウトは適用されません。AAA は NAK で CoA メッセージに応答します。

手記：

Session-Timeout 値が 0 の場合、そのセッションの既存のセッション タイムアウトはすべて取り消されます。

サービス プロバイダは、多くの場合、多数の加入者に同じ制限を適用することを選択します。このシナリオでは、ルーティングインスタンスごとにアクセスプロファイルの加入者の制限を定義することで、RADIUSプロビジョニングの労力を削減できます。その場合、プロファイルでログインした特定の加入者に対してその後に返されるRADIUS属性が、ルーティングインスタンスごとの値を上書きします。

ベスト プラクティス:

音声サービスを受信する加入者にはセッション タイムアウトを設定しないことを推奨します。セッション タイムアウトは時間にのみ基づき、ユーザ アクティビティには基づかないため、音声サービスをアクティブに使用している加入者が中断され、(加入者の観点から)コールが予期せず終了する可能性があります。この結果は、緊急サービスのコールにとって特に懸念事項です。

ベスト プラクティス:

DHCP 加入者にはアイドル タイムアウトを設定しないことをお勧めします。アクティビティがないままタイムアウトが経過し、接続が終了すると、プロトコルにはクライアントに通知する手段がありません。その結果、これらの加入者は、次にインターネットにアクセスしようとしたときに、CPE デバイスを再起動することを余儀なくされます。

PPP加入者に対してアイドルタイムアウトが設定されている場合の動作とは対照的です。この場合、タイムアウトが切れると、PPP はピアとのリンクを終了します。CPE デバイスに応じて、この終了により、ピアはオンデマンドまたは即時に自動的に接続を再試行できます。いずれの場合も、加入者の介入は必要ありません。

タイムアウトを設定できる範囲は、CLIで構成しても、RADIUS属性で構成しても同じです。

• セッションタイムアウトは、CLIで1分から527,040分まで設定でき、セッションタイムアウト属性[27]で対応する秒数(60から31,622,400)を設定できます。

• アイドルタイムアウトは、CLIで10分から1440分に設定でき、対応する秒数(600〜86,400)をIdle-Timeout属性[28]に設定できます。

ルーターは、属性の値を、サポートされている範囲に適合するように解釈します。たとえば、Session-Timeout [27] の場合:

• 値 0 は、タイムアウトなしとして扱われます。

• 1 から 59 の範囲の値は 60 秒に上げられます。

• 値が 31,622,400 を超えると、31,622,400 秒に減少します。

Idle-Timeout [28] の場合:

• 値 0 は、タイムアウトなしとして扱われます。

• 1 から 599 の範囲の値は 600 秒に上げられます。

• 値が 86,400 を超えると、86,400 秒に短縮されます。

動的に作成された加入者 VLAN を使用する構成では、アイドル タイムアウトにより、非アクティブのしきい値に達すると、非アクティブな加入者 VLAN も削除されます。アイドル タイムアウトは、非アクティブな動的加入者 VLAN を削除するだけでなく、クライアント セッションが作成されていない場合(たとえば、ダイナミック VLAN でクライアント セッションが作成されなかった場合や、ダイナミック VLAN でクライアント セッションが作成されなかったためにセッション作成またはクライアント認証中にエラーが発生した場合)に、非アクティブな動的加入者 VLAN を削除する以外にもダイナミック VLAN を削除します。

動的加入者 VLAN を削除するためのセッション タイムアウトとアイドル タイムアウトは、非常に限られたユースケースでのみ役立ちます。通常、どちらのタイムアウトもこの目的では設定されません。

これらが役に立つ可能性がある状況としては、ダイナミックVLANに、 remove-when-no-subscribers ステートメントでVLANが削除されるタイミングを判断するのに役立つ上位層プロトコルがない場合が挙げられます。例えば、VLANが固定アドレスを持つビジネスアクセスモデルで、DHCPを使用しないIP over Ethernetをサポートしている場合などです。ただし、ビジネス アクセスは一般的に住宅地アクセスよりも上位層のサービスであるため、通常、住宅地の加入者に望まれる可能性のある非アクティブによるタイムアウトの影響を受けません。

アイドル タイムアウトは、CPE からパケットを受信したときに接続を再生成できる特定のレイヤ 2 ホールセール状況では適切な場合があります。

動的 VLAN の削除にアイドル タイムアウトを使用する場合は、次の点に注意してください。

• アイドル タイムアウト期間は、動的加入者 VLAN インターフェイスが作成された後、または動的加入者 VLAN インターフェイスでトラフィック アクティビティが停止した後に開始されます。

• 新しいクライアントセッションが作成されるか、クライアントセッションが正常に再アクティブ化されると、クライアントアイドルタイムアウトはリセットされます。

• 非アクティブな加入者 VLAN の削除は、認証された VLAN でのみ機能します。

ユーザ名およびアクセスプロファイルごとの加入者セッションの制限

正当な加入者は、ログイン資格情報を権限のない人物と共有し、プロバイダーに利益をもたらすことなくサービスプロバイダーのリソースを消費する可能性があります。Junos OS リリース 18.4R1 以降では、アクセス プロファイルに関連付けられた特定のユーザー名で許可されるアクティブな加入者セッションの数を制限することで、ログイン資格情報の共有を制御または防止できます。RADIUSを使用してこの制御を実現することもできますが、BNGでローカルに制限を設定することで、外部サーバーへの依存がなくなります。

制限を設定すると、ユーザ名/アクセス プロファイルの組み合わせのアクティブ セッションが追跡されます。追跡されたセッションの数は、authd が新しいセッションログイン要求を受信するとチェックされます。追跡されたセッションの数が制限と一致すると、新しいログイン試行は拒否され、ブロックされた要求としてカウントされます。

authd がセッションのログアウトまたはクライアント終了要求を受信すると、そのユーザ名/アクセス プロファイル エントリの追跡対象セッション数が減少します。これが、組み合わせのアクティブなセッションがなくなるまで続くと、その項目はセッション制限テーブルから削除されます。設定からアクセスプロファイルまたはセッション制限を削除すると、関連するすべてのユーザー名/アクセスプロファイルエントリーがテーブルから削除されます。

同じユーザー名を複数のアクセス プロファイルで使用できるため、1 つのユーザー名のセッションの合計数が、特定のアクセス プロファイルに設定された制限を超える可能性があります。

手記：

自動設定されたVLANを備えたPPPなどのスタックされた加入者セッションの場合、スタック内の両方のユーザー名が認証に使用されるため、両方がセッション制限に対してカウントされます。

設定された制限は既存のアクティブな加入者に適用されますが、アクティブなセッションの数が、そのユーザ名とアクセスプロファイルの組み合わせを持つ加入者の制限を超えた場合、既存のセッションは分解されません。

制限を 2 つに設定した場合、特定のユーザ名/アクセス プロファイルの組み合わせに対して 5 つのセッションが現在アクティブになっている状況を考えてみましょう。

1. アクティブなセッション数は、組み合わせのセッション制限テーブルのエントリに 5 として記録されます。

2. 同じユーザ名とアクセス プロファイルを持つ新しい加入者がログインを試みます。2 つのセッションの制限をすでに超えているため(5 > 2)、試行はブロックされます。

3. 既存のサブスクライバーがログアウトすると、アクティブなセッション数は 4 に減少します。

4. 同じユーザ名とアクセス プロファイルを持つ新しい加入者がログインを試みます。2 つのセッションの制限(4 つのセッションと 2 つのセッション)をまだ超えているため、試行>ブロックされます。

5. 既存の 3 人のサブスクライバーがログアウトし、アクティブなセッション数が 1 つに減少します。

6. 同じユーザ名とアクセス プロファイルを持つ新しい加入者がログインを試みます。この試行は、まだ 2 つのセッションの制限 (1 つ< 2 つ) に達していないため、許可されます。

セッション制限の設計により、悪意のあるユーザーが正しいユーザー名とアクセスプロファイルを使用して複数のログイン試行を行うが、パスワードが間違っているというサービス拒否イベントを防ぐことができます。多数のログイン試行が設定されたセッション制限を超える可能性がありますが、これは、加入者のセッション状態が悪意のあるログインでは達成されないアクティブ状態に移行したときにのみ追跡セッション数がインクリメントされるため、発生しません。

CLIでユーザー名のセッションを制限するメリット

• 外部のRADIUSサーバーに依存するのではなく、ルーター上でローカルにセッション数を制限できます。

• 複数のログインに基づく一部のサービス拒否攻撃を防止します。

加入者ユーザー名の変更

レイヤー2ホールセールアプリケーションの場合、一部のネットワークサービスプロバイダは、ユーザー名の変更を採用して、加入者を適切な小売エンタープライズネットワークに誘導します。この変更は、ユーザー名の一部が取り除かれて破棄されるため、ユーザー名の ストリッピングとも呼ばれます。文字列の残りの部分が、変更された新しいユーザー名になります。変更されたユーザ名は、外部 AAA サーバによってセッション認証およびアカウンティングに使用されます。変更パラメーターは、加入者とセッション コンテキストも決定する加入者アクセス プロファイルに従って適用されます。つまり、加入者が使用する論理システム:ルーティング インスタンス(LS:RI)です。デフォルト(プライマリ)論理システムのみがサポートされます。卸売業者は、複数の小売業者をそれぞれ異なる LS:RI に配置することで区別するため、ユーザー名は小売業者ごとに適切に変更されます。

最大 8 文字を区切り文字として選択して、元のユーザー名の破棄された部分と保持された部分の境界をマークできます。デフォルトの区切り文字はありません。選択した区切り文字の右側の名前の部分は、区切り文字とともに破棄されます。複数の区切り文字を設定することで、特定のユーザー名構造により、異なるユーザー名が変更される可能性があります。元の名前を解析する方向を構成して、境界を示す区切り文字を決定できます。既定では、解析方向は左から右です。

次の例を考えてみましょう。

• 区切り文字 @ を 1 つ指定します。ユーザー名は user1@example.com です。この場合、解析方向は重要ではありません。いずれの場合も、単一の区切り文字が見つかり、example.com 破棄されます。変更後のユーザー名は user1 です。

  

• 区切り文字 @ を 1 つ指定します。ユーザー名はuser1@test@example.comです。この場合、解析方向は異なるユーザー名になります。

  • 解析方向が左から右 - 左端の @ が区切り文字として識別され、test@example.com は破棄されます。変更後のユーザー名は user1 です。

  • 解析方向が右から左 - 右端の @ が区切り文字として識別され、example.com は破棄されます。変更後のユーザー名は user1@test です。

  

• @ と / の 2 つの区切り文字を指定します。ユーザー名はuser1@bldg1/example.com です。解析方向は、異なるユーザー名になります。

  • 解析方向が左から右 - @ が区切り文字として識別され、bldg1/example.com は破棄されます。変更後のユーザー名は user1 です。

  • 解析方向が右から左 - / が区切り文字として識別され、example.com は破棄されます。変更後のユーザー名は user1@bldg1 です。

  

加入者アクセス プロファイルを設定して、各加入者のログイン文字列の一部が削除され、その後、セッション認証およびアカウンティングのために外部 AAA サーバによって変更されたユーザ名として使用されるようにすることができます。変更されたユーザー名は、RADIUS Access-Request、Acct-Start、Acct-Stopメッセージのほか、RADIUSが開始する切断要求やCoA(認可変更)要求などに表示されます。

加入者のユーザー名を変更するメリット

• レイヤー2ホールセールネットワークサービスプロバイダが、加入者を適切な小売エンタープライズネットワークに簡単に誘導できるようにします。