Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

加入者アクセスのセッション オプション

セッション オプションを使用すると、DHCP、L2TP、終端 PPP サブスクライバ セッションに複数の特性を指定できます。セッション オプションは、加入者アクセス、認証、許可、アカウンティングのパラメーターを決定するアクセス プロファイルで設定されます。

加入者アクセスのセッション オプションについて

アクセス プロファイルを使用して、DHCP、L2TP、終端 PPP サブスクライバ用に作成されるセッションのいくつかの特性を設定できます。セッションの稼働時間、ユーザーの非アクティブ時間、またはその両方に基づいて、加入者アクセスに制限を設定できます。アクセス プロファイルごとにユーザー名別に加入者セッションを制限できます。また、加入者のアクセス プロファイルに基づいてログイン時にサブスクライバのユーザー名を変更するパラメータを設定することもできます。

加入者セッション タイムアウト

セッション タイムアウトまたはアイドル タイムアウトを設定することで、加入者アクセスを制限できます。セッション タイムアウトを使用して、加入者がアクセスを許可する一定の時間を指定します。アイドル タイムアウトを使用して、加入者がアイドル状態にできる最大時間を指定します。これらのタイムアウトは、個別または一緒に使用できます。デフォルトでは、どちらのタイムアウトも存在しません。

メモ:

DHCP 以外のすべての加入者タイプ(L2TP トンネリング加入者や PPP 終端加入者など)では、セッション タイムアウト値によって加入者セッションが制限されます。DHCP 加入者の場合、他のリース時間設定がない場合は、セッション タイムアウト値を使用してリースを制限します。このリースは、タイムアウト値が期限切れになると期限切れになります。この値が CLI または RADIUS のいずれかによって指定されていない場合、DHCP リースは期限切れになりません。

アイドル タイムアウトは、サブスクライバのアカウンティング統計情報に基づいています。ルーターは、ユーザー(イングレス)とダウンストリームからユーザー(エグレス)へのアップストリームの両方のデータ トラフィックを監視することで、加入者の非アクティブ性を判断します。制御トラフィックは無視されます。加入者は、どちらの方向でもデータ トラフィックが検出されている限り、アイドル状態とは見なされません。

必要に応じて、加入者のイングレス トラフィックのみを監視することを指定できます。エグレス トラフィックは無視されます。この設定は、ピアが稼働していない場合でも LNS がリモート ピアにトラフィックを送信する場合に役立ちます。たとえば、LNS で PPP キープアライブが有効になっていないため、ピアが稼働していないのを検出できない場合などです。この状況では、LAC はデフォルトでイングレス トラフィックとエグレス トラフィックの両方を監視するため、LNS からのエグレス トラフィックを検出し、サブスクライバをログアウトしないか、エグレス トラフィックが停止するまで非アクティブの検出を遅延させます。イングレス トラフィックのみを監視することを指定すると、LAC はピアが非アクティブであることを検出してからログアウトを開始できます。

タイムアウト期間が切れると、DHCP 以外の加入者は RADIUS によって開始された切断や CLI によって開始されたログアウトと同様に、グレースフルにログアウトされます。DHCP 加入者は切断されます。Acct-Terminate-Cause [RADIUS 属性 49] 値には、セッション タイムアウトの理由コード 5、アイドル タイムアウトの場合は 4 のコードが含まれています。

RADIUS 属性セッション タイムアウト [27] と [28] のアイドル タイムアウトを使用して、加入者ごとの加入者アクセスに対してこれらの制限を設定できます。RADIUS は、アクセス サーバーからのアクセス要求メッセージに応答して、Access-Accept メッセージにこれらの属性を返します。Junos OS リリース 19.4R1 以降、セッション タイムアウト属性 [27] は RADIUS CoA メッセージでサポートされています。この機能は、加入者が特定の期間インターネット アクセスを購入し、セッションの有効期限が切れたときにログアウトする必要がある場合などに便利です。

CoAがセッションタイムアウトとともに到着すると、タイムアウトはセッションがアクティブ化された時点からカウントされます。その結果、次のような結果が生まれます。

  • 属性値が現在のセッション稼働時間よりも大きく、最小タイムアウト値と最大タイムアウト値の間にある場合、その秒数がセッションのアクティブ化から経過すると、サブスクライバはログアウトされます。たとえば、12:00:00 にアクティブになり、CoA が 12:00:30 に 120 秒の値で受信されるとします。サブスクライバは 12:02:00 にログアウトされます。

    同じ値でこれを見るもう1つの方法は、現在のセッション稼働時間が30秒で、属性値が120秒であるということです。90 秒以上経過すると、サブスクライバはログアウトされます。

  • 属性値が現在のセッション稼働時間よりも大きく、最小タイムアウト値 60 秒未満の場合、アップタイムが 60 秒に達すると、サブスクライバはログアウトされます。

  • 属性値が現在のセッション稼働時間よりも大きく、最大タイムアウト値 31,622,400 秒を超える場合、アップタイムが 31,622,400 秒に達すると、サブスクライバはログアウトされます。

  • 属性値が現在のセッション稼働時間よりも小さい場合、セッションタイムアウトは適用されません。AAA は、その COA メッセージに対して、そのメッセージに対して、1 つの取り組みについて、そのメッセージを使用して応答します。たとえば、セッションタイムアウトが60秒の場合、セッションは影響を受けませんが、アップタイムは100秒です。

上記のルールに従ってセッション タイムアウトを適用するかどうかは、CoA の他のすべての側面が成功するかどうかによっても異なります。たとえば、CoAにサービスアクティベーションが含まれている場合、そのサービスアクティベーションが失敗した場合、セッションタイムアウトは適用されません。AAA は、その COA メッセージに対して、そのメッセージに対して、1 つの取り組みについて、そのメッセージを使用して応答します。

メモ:

Session-Timeout値が0の場合、そのセッションの既存のセッションタイムアウトはキャンセルされます。

サービス プロバイダは、多くの場合、多数の加入者に同じ制限を適用することを選択します。このシナリオでは、ルーティング インスタンスごとにアクセス プロファイルの加入者の制限を定義することで、RADIUS プロビジョニングの労力を削減できます。その場合、プロファイルでログインした特定の加入者に対して RADIUS 属性が返されると、ルーティングインスタンスごとの値が上書きされます。

ベスト プラクティス:

音声サービスを受信する加入者には、セッション タイムアウトを設定しないことをお勧めします。セッション タイムアウトはユーザー アクティビティではなく時間のみに基づいているため、音声サービスを使用してアクティブに加入者を中断し、(加入者の観点から)予期せずコールを終了する可能性があります。この結果は、緊急サービスコールに特に懸念されます。

ベスト プラクティス:

DHCP 加入者に対してアイドル タイムアウトを設定しないことをお勧めします。タイムアウトがアクティビティなしで期限切れになり、接続が終了すると、プロトコルはクライアントに通知する手段がありません。その結果、これらの加入者は次回インターネットにアクセスしようとすると、CPE デバイスを再起動する必要があります。

PPP サブスクライバにアイドル タイムアウトが設定されている場合の動作を対照します。この場合、タイムアウトの有効期限が切れた場合、PPP はピアとのリンクを終端させます。CPE デバイスに応じて、この終端により、ピアはオンデマンドまたは即時に接続を自動的に再試行できます。いずれの場合も、加入者の介入は必要ありません。

タイムアウトを設定する際に使用可能な範囲は、CLI でタイムアウトを設定する場合も、RADIUS 属性を使用する場合も同じです。

  • セッション タイムアウトは、CLI で 1 分~527,040 分、セッション タイムアウト属性 [27] で対応する秒数(60~31,622,400)に設定できます。

  • アイドル タイムアウトは、CLI で 10 分~1440 分、アイドル タイムアウト属性 [28] の対応する秒数(600~86,400)に設定できます。

ルーターは、属性の値を解釈して、サポートされている範囲に準拠します。たとえば、Session-Timeout[27] の場合:

  • ゼロの値は、タイムアウトなしで処理されます。

  • 1~59 の範囲の値は 60 秒に上昇します。

  • 31,622,400 を超える値は、31,622,400 秒に減少します。

アイドルタイムアウトの場合[28]:

  • ゼロの値は、タイムアウトなしで処理されます。

  • 1~599 の範囲の値は 600 秒に上昇します。

  • 86,400 を超える値は 86,400 秒に減少します。

動的に作成された加入者 VLAN を使用する設定では、非アクティブなしきい値に達すると、アイドル タイムアウトによって非アクティブな加入者 VLAN も削除されます。非アクティブな動的加入者 VLAN の削除に加え、アイドル タイムアウトにより、クライアント セッションが作成されていない場合(たとえば、動的 VLAN でクライアント セッションが作成されなかった場合や、セッションの作成中にエラーが発生した場合や、動的 VLAN でクライアント セッションが作成されていないクライアント認証が発生した場合など)、動的 VLAN も削除されます。

動的加入者 VLAN を削除するためのセッション タイムアウトとアイドル タイムアウトは、非常に限られたユースケースでのみ役立ちます。通常、どちらのタイムアウトもこの目的で設定されていません。

役に立つ可能性がある状況は、動的 VLAN に上位レイヤー プロトコルがない場合で、ステートメントを使用して VLAN が削除されるタイミングを決定するのに役立ちます。たとえば、VLAN が固定アドレスを持つ remove-when-no-subscribers ビジネス アクセス モデルで DHCP を使用せずに IP over Ethernet をサポートしている場合などです。ただし、ビジネス アクセスは一般に家庭向けアクセスよりも階層の高いサービスであるため、一般的に、一般家庭の加入者が必要とする非アクティブのため、タイムアウトの対象にはなりません。

アイドル タイムアウトは、CPE からパケットを受信したときに接続を再生成できる特定のレイヤー 2 ホールセール状況に適している場合があります。

動的 VLAN 削除にアイドル タイムアウトを使用する場合は、次の事項に注意してください。

  • アイドル タイムアウト期間は、動的加入者 VLAN インターフェイスが作成された後、またはトラフィック アクティビティが動的加入者 VLAN インターフェイス上で停止した後に開始されます。

  • 新しいクライアント セッションが作成されるか、クライアント セッションが正常に再アクティブ化されると、クライアントのアイドル タイムアウトがリセットされます。

  • 非アクティブな加入者 VLAN の削除は、認証された VLAN でのみ機能します。

ユーザー名およびアクセス プロファイルごとの加入者セッション数の制限

正規の加入者は、不正な人物とログイン認証情報を共有し、サービスプロバイダのリソースを無駄に使い果たしてしまう可能性があります。Junos OS リリース 18.4R1 以降では、アクセス プロファイルに関連付けられた特定のユーザー名で許可されるアクティブな加入者セッションの数を制限することで、ログイン認証情報の共有を制御または防止できます。RADIUS を使用してこの制御を実現することもできますが、BNG でローカルに制限を設定すると、外部サーバーへの依存がなくなります。

制限を設定すると、ユーザー名/アクセス プロファイルの組み合わせのアクティブなセッションが追跡されます。追跡されたセッションの数は、認証が新しいセッションログイン要求を受信したときにチェックされます。追跡されたセッションの数が制限と一致する場合、新しいログイン試行は拒否され、ブロックされたリクエストとしてカウントされます。

authd がセッションのログアウト要求またはクライアント終了要求を受け取ると、そのユーザー名/アクセス プロファイルエントリに対して、追跡されたセッション数が減少します。この組み合わせに対するアクティブなセッションがないまで続く場合、エントリーはセッション制限テーブルから削除されます。アクセス プロファイルまたはセッション制限を設定から削除すると、関連するすべてのユーザー名/アクセス プロファイル エントリーがテーブルから削除されます。

複数のアクセス プロファイルで同じユーザー名を使用できるため、ユーザー名の合計セッション数が特定のアクセス プロファイルに対して設定された制限を超える可能性があります。

メモ:

自動構成された VLAN を持つ PPP などのスタック 加入者セッションでは、スタック内の両方のユーザー名が認証に使用され、その結果、両方がセッション制限にカウントされます。

設定された制限は既存のアクティブな加入者に適用されますが、そのユーザー名とアクセス プロファイルの組み合わせを持つ加入者のアクティブなセッション数が制限を超えた場合、既存のセッションは取り壊されません。

2 つの制限を設定すると、特定のユーザー名/アクセス プロファイルの組み合わせに対して 5 つのセッションが現在アクティブになっている状況を考慮します。

  1. アクティブなセッション数は、その組み合わせのセッション制限テーブルエントリに5として記録されます。

  2. 同じユーザー名とアクセス プロファイルを持つ新しい加入者がログインを試みます。2 つのセッションの制限をすでに超えている(5 > 2)ため、この試行はブロックされます。

  3. 既存の加入者はログアウトし、アクティブなセッション数を4に減らします。

  4. 同じユーザー名とアクセス プロファイルを持つ新しい加入者がログインを試みます。2 つのセッションの制限をまだ超えている(4 > 2)ため、この試行はブロックされます。

  5. 既存の加入者 3 人がログアウトし、アクティブなセッション数が 1 に減ります。

  6. 同じユーザー名とアクセス プロファイルを持つ新しい加入者がログインを試みます。2 つのセッションの制限にまだ達していない(1 < 2)ため、この試行が許可されます。

セッション制限設計では、悪意のあるユーザーが正しいユーザー名とアクセス プロファイルを使用して複数のログインを試みるが、間違ったパスワードが発生するサービス拒否イベントを防ぎます。多数のログイン試行が設定されたセッション制限を超える可能性がありますが、これは発生しません。これは、加入者のセッション状態がアクティブな状態に移行した場合にのみ、追跡されたセッション数が増加するためではありません。悪意のあるログインは達成されません。

CLI を使用してユーザー名のセッションを制限するメリット

  • 制限を提供するために外部 RADIUS サーバーに依存するのではなく、ルーターでローカルにセッション数を制限できます。

  • 複数のログインに基づいてサービス拒否攻撃を防ぎます。

加入者ユーザー名の変更

レイヤー 2 ホールセール アプリケーションの場合、一部のネットワーク サービス プロバイダはユーザー名の変更を採用して、加入者を適切な小売エンタープライズ ネットワークに誘導します。この変更は、ユーザー名の一部が削除されて破棄されるため、ユーザー名の 削除とも呼ばれます。文字列の残りの部分は、新しい変更されたユーザー名になります。変更されたユーザー名は、外部 AAA サーバーによってセッション認証とアカウンティングに使用されます。変更パラメーターは、サブスクライバとセッションのコンテキストも決定するサブスクライバ アクセス プロファイルに従って適用されます。つまり、加入者が使用する論理システム:ルーティング インスタンス(LS:RI)です。デフォルト(プライマリ)論理システムのみがサポートされています。卸売業者は、それぞれ異なる LS:RI に配置することで複数の小売業者を区別するため、ユーザー名は小売業者ごとに適切に変更されます。

区切り文字として最大 8 文字を選択して、元のユーザー名の破棄された部分と保持された部分の間の境界をマークできます。デフォルトの区切り記号はありません。選択した区切り文字の右側にある名前の部分は、区切り記号とともに破棄されます。複数の区切り文字を設定すると、指定されたユーザー名構造で異なる変更されたユーザー名が作成される可能性があります。元の名前を解析する方向を設定して、境界をマークする区切り記号を決定できます。既定では、解析の方向は左から右になります。

次の例を考えてみましょう。

  • 区切り記号 @を 1 つ指定します。ユーザー名は user1@example.com。この場合、解析方向は重要ではありません。いずれの場合も、単一の区切り文字が見つかり、example.com が破棄されます。変更されたユーザー名は user1 です。

  • 区切り記号 @を 1 つ指定します。ユーザー名は user1@test@example.com です。この場合、解析方向は異なるユーザー名になります。

    • 解析の方向は左から右へ —一番左の @ は区切り文字として識別され、test@example.com は破棄されます。変更されたユーザー名は user1 です。

    • 解析方向は右から左 - 右端の @ は区切り文字として識別され、example.com は破棄されます。変更されたユーザー名はuser1@test。

  • 区切り記号 @ と /を 2 つ指定します。ユーザー名はuser1@bldg1/example.com です。解析方向では、ユーザー名が異なります。

    • 解析方向は左から右です。@ は区切り記号として識別され、bldg1/example.com は破棄されます。変更されたユーザー名は user1 です。

    • 解析方向は右から左 : / は区切り文字として識別され、example.com は破棄されます。変更されたユーザー名はuser1@bldg1。

加入者アクセス プロファイルを設定すると、各加入者ログイン 文字列の一部が削除され、その後、外部 AAA サーバーによってセッション認証およびアカウンティング用に変更されたユーザー名として使用されます。変更されたユーザー名は、RADIUS アクセス要求、Acct-Start、Acct-Stop メッセージのほか、RADIUS が開始した切断要求や許可変更(CoA)要求にも表示されます。

加入者ユーザー名変更のメリット

  • レイヤー 2 ホールセール ネットワーク サービス プロバイダは、加入者を適切な小売エンタープライズ ネットワークに簡単に誘導できます。

加入者セッション タイムアウト オプション

加入者セッション タイムアウト オプションを使用すると、セッションの稼働時間、ユーザーの非アクティブ時間、またはその両方に基づいて、加入者アクセスに制限を設定できます。加入者セッション オプションは、L2TP トンネリングと PPP 終端加入者セッションの両方に適用されます。DHCP 加入者の場合、セッション タイムアウトによって DHCP リース時間が制限されます。

メモ:

RADIUS でタイムアウト属性を設定するには、RADIUS サーバーのマニュアルを参照してください。

加入者セッションの制限を設定するには、サブスクライバに適用されるクライアント プロファイルでセッション オプションを設定します。

  • アクティビティに関係なく、設定されたセッション タイムアウトが期限切れになると、サブスクライバを終了します。

  • 設定されたアイドル タイムアウトの間、イングレスまたはエグレス データ トラフィックがない場合は、加入者を終了します。

  • 設定されたアイドル タイムアウトの間、イングレス データ トラフィックがない場合に加入者を終了します。エグレス トラフィックを無視します。

たとえば、クライアント プロファイルでセッション タイムアウト オプションを acc-prof 設定し、15 分のアイドル タイムアウトを指定し、イングレス トラフィックのみを監視し、120 分後にセッションがタイムアウトするとします。

ユーザー名とアクセス プロファイルごとのアクティブなセッション数の制限

正規の加入者がログイン認証情報を共有する度合いを制御するには、アクセス プロファイルに関連付けられた特定のユーザー名に対して許可されるアクティブな加入者セッションの数を制限します。

ユーザー名とアクセス プロファイルごとのアクティブなセッション数を制限するには、以下の手順に従います。

  • [edit access profile profile-name]
    user@host# set session-limit-per-username number
    

たとえば、アクセス プロファイル isp-weg-4 のユーザー名あたりのアクティブ セッションの最大数を 5 に設定するには、次の手順に従います。

コマンドを show network-access aaa statistics session-limit-per-username 使用して、アクティブなセッションとブロックされたリクエストの統計を表示できます。

デバッグの支援としてコマンドを clear network-access aaa statistics session-limit-per-username username 使用するには、次のいずれかの場合のブロックされた要求統計をオフにします。

  • すべてのアクセス プロファイルのすべてのユーザー名。

  • すべてのアクセス プロファイルの特定のユーザー名。

  • 特定のアクセス プロファイルの特定のユーザー名。

  • 特定のアクセス プロファイル内のすべてのユーザー名。

加入者セッションのユーザー名変更の設定

加入者セッション オプションを使用して、加入者のアクセス プロファイルに基づいてログイン時に加入者のユーザー名を変更するパラメータを設定できます。この変更は、ユーザー名の一部が削除されて破棄されるため、ユーザー名の 削除とも呼ばれます。文字列の残りの部分は、新しい変更されたユーザー名になります。変更されたユーザー名は、外部 AAA サーバーによってセッション認証とアカウンティングに使用されます。この機能は、たとえば、レイヤー 2 ホールセールの実装では、ネットワーク サービス プロバイダがユーザー名の変更を採用して、加入者を適切な小売エンタープライズ ネットワークに誘導する場合に役立ちます。

変更パラメーターは、サブスクライバとセッションのコンテキストも決定するサブスクライバ アクセス プロファイルに従って適用されます。つまり、加入者が使用する論理システム:ルーティング インスタンス(LS:RI)です。デフォルト(プライマリ)論理システムのみがサポートされています。卸売業者は、それぞれ異なる LS:RI に配置することで複数の小売業者を区別するため、ユーザー名は小売業者ごとに適切に変更されます。

区切り文字として最大 8 文字を選択して、元のユーザー名の破棄された部分と保持された部分の間の境界をマークできます。デフォルトの区切り記号はありません。選択した区切り文字の右側にある名前の部分は、区切り記号とともに破棄されます。複数の区切り文字を設定すると、指定されたユーザー名構造で異なる変更されたユーザー名が作成される可能性があります。元の名前を解析する方向を設定して、境界をマークする区切り記号を決定できます。既定では、解析の方向は左から右になります。

ユーザー名の変更を設定するには、

  1. 加入者または加入者アクセス プロファイルを持つ加入者のセットを許可および設定するための AAA オプションのセットで構成されるプロファイルを定義します。
    1. ユーザー名の削除設定を含む加入者アクセス プロファイルの名前を指定します。
    2. (オプション)加入者セッションがAAA(RADIUS)通信(認証やアカウンティングなど)に使用する論理システム:ルーティングインスタンス(LS:RI)を指定します。たとえば、加入者にサービスを提供する小売 ISP の LS:RI に対応する場合があります。
    3. (オプション)サブスクライバ インターフェイスが配置される論理システム:routing-instance(LS:RI)を指定します。たとえば、これは、加入者宅内のすべての要求によってアクセスされる LNS 上の LAC 側インターフェイスに対応する場合があります。
  2. ユーザー名の削除方法を指定するアクセス プロファイルでセッション オプションを設定します。
    1. 1 つ以上の区切り記号を指定して、元のユーザー名の破棄部分と保持部分の境界をマークします。
    2. (オプション)元のユーザー名を検査して区切り文字を見つける方向を指定します。デフォルトの方向は左から右です。
  3. (オプション)動的加入者の認証時に、AAA オプションがインターフェイスごとに設定されていることを指定します。
  4. (オプション)AAA オプションが、LNS のトンネリングされた PPP サブスクライバに適用されるグループ プロファイルの PPP オプションの一部であることを指定します。

次の例では、AAA オプション プロファイル aaa1 は、デフォルトの論理システムおよびルーティング インスタンス 1 の加入者に対して、加入者アクセス プロファイル entA を指定します。アクセス プロファイル entA は、区切り記号 @が見つかるまで、ユーザー名を左から右に検査することを指定します。AAA オプション プロファイルは、グループ プロファイル FD1 に属するトンネリングされた PPP サブスクライバに適用されます。

その設定を考えると、加入者がユーザー名を使用してログインしようとすると、user1@example.com。この名前を検査すると、区切り文字と文字列 example.com が破棄され、user1 の変更されたユーザー名が残されます。解析方向が右から左の名前を調べるために設定されている場合、結果は同じであることに注意してください。区切り記号は 1 つだけで、元のユーザー名には 1 つだけが存在するためです。

次に、加入者がユーザー名user1@test@example.com でログインしたとします。このようなユーザー名の場合、解析の方向は変更されたユーザー名に違いをもたらします。この構成では、名前が左から右に解析されるため、区切り記号 @ の最初のインスタンスが最初に見つかると判断されます。この区切り文字と文字列 test@example.com は破棄され、user1 は変更されたユーザー名のままです。

設定が別の解析方向を設定するとどうなりますか?

この場合、ユーザー名 user1@test@example.com では、区切り記号の 2 番目のインスタンスが識別され、文字列 @example.com で破棄されます。変更されたユーザー名はuser1@test。

解析方向に基づいて異なる変更されたユーザー名の同じ結果を得るには、次の設定と同様に複数の区切り記号を設定します。この場合、2 つの区切り記号 @ と /を指定します。

ユーザー名user1@bldg1/example.com では、左から右に解析すると@区切り記号が最初に識別され、変更されたユーザー名は user1 になります。代わりに右から左に解析し、/区切り記号を最初に特定し、文字列 example.com で削除し、変更されたユーザー名をuser1@bldg1残します。

非アクティブな動的加入者 VLAN の削除

加入者セッションタイムアウトにより、セッションの起動時間、ユーザーの非アクティブ時間、またはその両方に基づいて、加入者アクセスに制限を設定できます。動的に作成された加入者 VLANS を使用する設定では、アイドル タイムアウトも次のようになります。

  • 非アクティブな加入者 VLAN は、非アクティブしきい値に達したときに削除します。

  • クライアント セッションが作成されていない場合に動的 VLAN を削除します(たとえば、動的 VLAN でクライアント セッションが作成されていない場合や、セッションの作成中にエラーが発生した場合や、動的 VLAN でクライアント セッションが作成されていないクライアント認証が発生した場合など)。

メモ:

通常、セッション タイムアウトは動的加入者 VLAN の削除には使用されません。タイムアウトは非常に限られたユースケースでのみ役立ちます。たとえば、動的 VLAN にステートメントを使用して VLAN が削除される時期を判断するのに役立つ上位レイヤー プロトコルがない場合があります。たとえば、VLAN が固定アドレスを持つ remove-when-no-subscribers ビジネス アクセス モデルで DHCP を使用せずに IP over Ethernet をサポートしている場合などです。

メモ:

RADIUS でアイドル タイムアウト属性を設定するには、RADIUS サーバーのマニュアルを参照してください。

非アクティブな動的加入者 VLAN を削除するには、次の手順に関する手順にしてください。

  1. ルーター アクセス プロファイルのセッション オプションを編集します。
  2. 加入者セッションがアイドル状態を維持できる最大期間を設定します。
リリース履歴テーブル
リリース
説明
19.4R1
Junos OS リリース 19.4R1 以降、セッション タイムアウト属性 [27] は RADIUS CoA メッセージでサポートされています。
18.4R1
Junos OS リリース 18.4R1 以降では、アクセス プロファイルに関連付けられた特定のユーザー名で許可されるアクティブな加入者セッションの数を制限することで、ログイン認証情報の共有を制御または防止できます。