MXシリーズルーターの認証セッションタイムアウトについて
Junos OS リリース 14.2 以降、キャプティブ ポータル認証セッションと 802.1X および MAC RADIUS 認証セッションの認証セッションのタイムアウト値を指定できます。
キャプティブポータル認証の場合、セッションの長さは session-expiry
ステートメントに設定された値によって異なります。このトピックの残りの部分は、802.1X および MAC RADIUS 認証セッションにのみ関係します。
802.1X および MAC RADIUS 認証セッションの場合、セッションのタイムアウトは dot1x authentication の reauthentication interval の値に依存します。また、MACテーブルのエージングタイムが終了すると、認証セッションが終了する可能性があります。これは、設定しないように設定しない限り、MACアドレスがイーサネットスイッチングテーブルから削除されると、認証セッションが終了するためです。
各 802.1X 認証および MAC RADIUS 認証セッションに関する情報(802.1X 認証または MAC RADIUS 認証で認証される各 MAC アドレスの関連インターフェイスと VLAN を含む)は、認証セッション テーブルに格納されます。認証セッション テーブルは、イーサネット スイッチング テーブル(MAC テーブルとも呼ばれる)に関連付けられています。スイッチは、MACアドレスからのトラフィックを検出するたびに、イーサネット スイッチング テーブル内のそのネットワーク ノードのタイムスタンプを更新します。スイッチのタイマーは定期的にタイムスタンプを確認し、その値がユーザーが設定した mac-table-aging-time 値を超える場合、スイッチはイーサネット スイッチング テーブルからMACアドレスを削除します。MACアドレスがイーサネットスイッチングテーブルから期限切れになると、そのMACアドレスのエントリーも認証データベースから削除され、その結果、セッションが終了します。
認証セッションのタイムアウトに影響する変数は、以下の方法で制御できます:
reauthentication
ステートメントを使用して、すべてのインターフェイスまたは選択したインターフェイスで認証セッションのタイムアウトを設定します。no-mac-table-binding
ステートメントを使用して、認証セッション テーブルとイーサネット スイッチング テーブルの関連付けを解除します。この設定により、関連付けられた MAC アドレスがイーサネット スイッチング テーブルから古くなった場合に、認証セッションが終了しなくなります。
変更履歴
サポートされる機能は、使用しているプラットフォームとリリースによって決まります。 特定の機能がお使いのプラットフォームでサポートされているかどうかを確認するには、 Feature Explorer をご利用ください。