Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

認証セッション タイムアウト

スイッチを介してネットワークへのアクセスを制御するには、いくつかの異なる認証を使用します。Junos OS スイッチは、ネットワークへの接続を必要とするデバイスへの認証方法として、802.1 X、MAC RADIUS、および専用ポータルをサポートしています。詳細については、このトピックをお読みください。

認証セッションタイムアウトを理解する

認証セッションに関する情報(認証済みの各インターフェイスMAC アドレス VLAN など)は、認証セッション テーブルに格納されます。認証セッションテーブルは、イーサネットスイッチングテーブル (MAC テーブルとも呼ばれます) に結び付けられています。スイッチは、MAC アドレスからのトラフィックを検出するたびに、イーサネットスイッチングテーブル内のそのネットワークノードのタイムスタンプを更新します。スイッチのタイマーが定期的にタイムスタンプをチェックし、その値がユーザーによっmac-table-aging-timeて設定された値を超えた場合、MAC アドレスはイーサネットスイッチングテーブルから削除されます。MAC アドレスがイーサネットスイッチングテーブルから削除されると、その MAC アドレスのエントリも認証セッションテーブルから消去され、その結果としてセッションが終了します。

MAC アドレスのエイジングが原因で認証セッションが終了した場合、ホストは認証を再試行する必要があります。再認証によるダウンタイムを抑制するには、以下の方法で認証セッションのタイムアウトを制御できます。

  • 802.1 X および MAC RADIUS 認証セッションでは、このno-mac-table-binding文を使用して、認証セッションテーブルとイーサネット・スイッチング・テーブルの関連付けを解除します。この設定により、関連する MAC アドレスがイーサネットスイッチングテーブルから切断された場合に、認証セッションが終了するのを防止します。

  • 専用ポータル認証セッションでは、このuser-keepalive文を使用してキープアライブタイマーを構成します。このオプションを設定した場合、関連する MAC アドレスがイーサネットのスイッチングテーブルから出たときに、キープアライブタイマーが開始されます。キープアライブタイムアウト期間内にトラフィックを受信すると、タイマーが削除されます。キープアライブタイムアウト期間内にトラフィックがない場合は、セッションが削除されます。

また、認証セッションのタイムアウト値を指定して、MAC エージングタイマーが期限切れになる前にセッションを終了することもできます。セッションがタイムアウトした後、ホストは認証を再試行する必要があります。

  • 802.1 X および MAC RADIUS 認証セッションでは、タイムアウトまでのセッションの時間は、 reauthentication 文の値によって異なります。セッションがタイムアウトする前に MAC エージング・タイマーが期限切れにno-mac-table-bindingなった場合、その文が構成されていなければ、セッションは終了し、ホストは再認証する必要があります。

  • 専用ポータル認証セッションでは、セッションの期間は、そのsession-expiryステートメントに設定された値によって異なります。セッションがタイムアウトする前に MAC エージング・タイマーが期限切れにuser-keepaliveなった場合、その文が構成されていなければ、セッションは終了し、ホストは再認証する必要があります。

注:

認証サーバーが認証セッション タイムアウトをクライアントに送信した場合、ステートメントまたはステートメントを使用してローカルに設定された値 reauthentication よりも優先 session-expiry されます。セッションタイムアウト値は、サーバーから RADIUS アクセス許可メッセージの属性としてクライアントに送信されます。認証セッションタイムアウトを送信するための認証サーバーの設定については、お使いのサーバーのマニュアルを参照してください。

認証セッションタイムアウトの制御 (CLI 手順)

認証セッションの満了時には、ホストが認証を再試行する必要があるため、ダウンタイムが発生する可能性があります。このダウンタイムは、認証セッションのタイムアウト期間を制御することによって制限することができます。

認証セッションは、認証済みホストに関連付けられた MAC アドレスがイーサネットスイッチングテーブルから出ると終了することができます。MAC アドレスがイーサネットスイッチングテーブルからクリアされると、そのホストの認証セッションが終了し、ホストが認証を再試行する必要があります。

MAC アドレスがイーサネットスイッチングテーブルから除外されたときに、認証セッションが終了しないようにするには、次のようにします。

  • 802.1 X または MAC RADIUS 認証を使用して認証されたセッションでは、イーサネット・スイッチング・テーブルと認証セッションテーブルを関連付け、以下のno-mac-table-binding文を使用して MAC アドレスエージングによって、認証セッションタイムアウトを回避できます。
  • 専用ポータル認証を使用して認証されたセッションでは、以下のuser-keepalive文を使用してタイムアウト期間を延長することで、MAC アドレスエージングによって認証セッションタイムアウトを回避できます。

また、認証セッションのタイムアウト値を設定して、MAC エージングタイマーが満了する前に、認証セッションを終了させることもできます。

注:

認証セッションのセッションタイムアウトを設定しても、MAC エージングタイマーが満了した後にセッションが拡張されるわけではありません。MAC エージングによるセッションno-mac-table-bindingのタイムアウトを回避するには、802.1 x およびuser-keepalive mac RADIUS 認証のステートメントか、または、専用ポータル認証の文のどちらかを設定する必要があります。

802.1 X および MAC RADIUS 認証セッションでは、 reauthentication 文を使用してタイムアウト値を設定します。

  • 単一のインターフェイスでタイムアウト値を設定するには、次のようにします。

  • すべてのインターフェイスでタイムアウト値を設定するには、以下のようにします。

専用ポータル認証セッションでは、 session-expiry文を使用してタイムアウト値を設定します。

  • 単一のインターフェイスでタイムアウト値を設定するには、次のようにします。

  • すべてのインターフェイスでタイムアウト値を設定するには、以下のようにします。

注:

認証サーバーが認証セッションタイムアウトをクライアントに送信する場合は、そのreauthentication ステートメントまたはsession-expiryステートメントを使用して設定された値よりもこれが優先度になります。セッションタイムアウト値は、サーバーから RADIUS アクセス許可メッセージの属性としてクライアントに送信されます。

IP-MACアドレス バインディングに基づく認証セッションの保持

MAC RADIUS認証は、802.1X 認証が LAN にアクセスするために有効化されていないホストを許可するためによく使用されます。プリンターなどのエンド デバイスは、ネットワークでアクティブではありません。デバイスにMAC アドレスデバイスが非アクティブ状態で関連付けられている場合、MAC アドレス がイーサネット スイッチング テーブルから消去され、認証セッションが終了します。これは、必要に応じて他のデバイスがエンド デバイスに到達できないという意味です。

古いMAC アドレス DHCP、DHCPv6、SLAAC スヌーピング テーブルの IP アドレスに関連付けられている場合、その MAC-IP アドレス バインディングはテーブルから消去されます。これにより、DHCP クライアントがリースの更新時にトラフィックをドロップする可能性があります。

スイッチング デバイスは、DHCP、DHCPv6、または SLAAC スヌーピング テーブルで IP-MAC アドレス バインディングをチェックしてから、認証セッションが終了する前に設定MAC アドレスできます。エンド MAC アドレスのプロトコル プロトコルが IP アドレスにバインドされている場合、そのデバイスはイーサネット スイッチング テーブルに保持され、認証セッションはアクティブなままです。

この機能は、CLIを使用してすべての認証されたセッションに対して、またはRADIUS属性を使用してセッションごとに設定できます。

メリット

この機能には、以下のようなメリットがあります。

  • デバイスが使用時間が終了している場合でも、ネットワーク上の他のデバイスからエンド デバイスMAC アドレスされます。

  • エンド デバイスが DHCP リースを更新しようとすると、トラフィックがドロップされるのを防します。

CLI構成

この機能を設定する前に、以下を実行します。

  • DHCP スヌーピング、DHCPv6 スヌーピング、SLAAC スヌーピングをデバイスで有効にする必要があります。

  • CLI no-mac-table-binding ステートメントを設定する必要があります。これにより、認証セッション テーブルをイーサネット スイッチング テーブルから切り離して、MAC アドレス が使用されていないと、次回の再認証まで認証セッションが拡張されます。

すべての認証されたセッションに対してこの機能をグローバルに設定するには、次の手順に示します。

MAC アドレス が CLI ステートメントを使用してタイムアウトした場合に認証セッションを終了する前に、DHCP、DHCPv6、または SLAAC スヌーピング テーブルで IP-MAC アドレス バインディングを確認するスイッチング デバイスを設定します ip-mac-session-binding
注:

また、 も設定 ip-mac-session-binding されていない限り no-mac-table-binding 、設定をコミットすることはできません。

RADIUSの属性

この機能は、サーバー属性を使用して、特定の認証セッションRADIUS設定できます。RADIUS属性は、スイッチに接続されたサプリカントが正常に認証された場合に、認証サーバーからスイッチング デバイスに送信されるアクセス許可メッセージにカプセル化されたクリアテキスト フィールドです。

IP-MAC アドレス バインディングに基づいて認証セッションを保持するには、仮想サーバーで以下の属性と値のペアの両方RADIUSします。

  • ジュニパー-AVペア = 「IP-Mac-Session-Binding」

  • ジュニパー-AVペア = 「No-Macバインディング-再認証」

ジュニパー-AV-Pair属性は、VSAジュニパーネットワークス特定の属性(VSA)です。ジュニパー レRADIUSが RADIUS サーバーにロードされ、ジュニパー-AV-Pair VSA(ID# 52)が含まれているか検証します。

属性を辞書に追加する必要がある場合は、RADIUS サーバーで辞書ファイル( )を探し、次のテキストをファイル juniper.dct に追加します。

注:

RADIUSの設定の詳細については、サーバーにAAAされているドキュメントを参照してください。

検証

動作モード コマンドを発行して設定を検証し、 と 出力フィールドに機能が有効 show dot1x interface interface-name detailIp Mac Session BindingNo Mac Session Binding になっているか示すか確認します。

MAC RADIUS で認証されたクライアントは引き続き認証され、イーサネット スイッチング テーブルの MAC アドレス エントリーも、MAC タイマーの有効期限後に保持する必要があります。