認証セッション タイムアウト
いくつかの異なる認証を使用して、スイッチを介したネットワークへのアクセスを制御できます。Junos OSスイッチは、ネットワークへの接続を必要とするデバイスの認証方法として、802.1X、MAC RADIUS、キャプティブポータルをサポートしています。詳細については、このトピックをお読みください。
認証セッションタイムアウトについて
認証セッションに関する情報(認証された各 MAC アドレスに関連付けられたインターフェイスや VLAN など)は、認証セッション テーブルに格納されます。認証セッション テーブルは、イーサネット スイッチング テーブル(MAC テーブルとも呼ばれる)に関連付けられています。スイッチは、MACアドレスからのトラフィックを検出するたびに、イーサネット スイッチング テーブル内のそのネットワーク ノードのタイムスタンプを更新します。スイッチのタイマーは定期的にタイムスタンプを確認し、その値がユーザーが設定した mac-table-aging-time
値を超えると、MACアドレスがイーサネットスイッチングテーブルから削除されます。MACアドレスがイーサネットスイッチングテーブルから期限切れになると、そのMACアドレスのエントリーも認証セッションテーブルから削除され、その結果、セッションが終了します。
MACアドレスのエージングにより認証セッションが終了した場合、ホストは認証を再試行する必要があります。再認証によるダウンタイムを制限するために、次の方法で認証セッションのタイムアウトを制御できます。
802.1XおよびMAC RADIUS認証セッションでは、
no-mac-table-binding
ステートメントを使用して、認証セッションテーブルとイーサネットスイッチングテーブルの関連付けを解除します。この設定により、関連付けられた MAC アドレスがイーサネット スイッチング テーブルから古くなった場合に、認証セッションが終了しなくなります。キャプティブ ポータル認証セッションでは、
user-keepalive
ステートメントを使用してキープアライブ タイマーを設定します。このオプションを設定すると、関連付けられたMACアドレスがイーサネット スイッチング テーブルから期限切れになると、キープアライブ タイマーが開始されます。キープアライブ タイムアウト時間内にトラフィックを受信すると、タイマーは削除されます。キープアライブタイムアウト時間内にトラフィックがない場合、セッションは削除されます。
また、認証セッションのタイムアウト値を指定して、MAC エージング タイマーが期限切れになる前にセッションを終了することもできます。セッションがタイムアウトした後、ホストは認証を再試行する必要があります。
802.1XおよびMAC RADIUS認証セッションの場合、タイムアウトまでのセッション時間は、
reauthentication
ステートメントの値によって異なります。セッションがタイムアウトする前に MAC エージング タイマーが期限切れになり、no-mac-table-binding
ステートメントが設定されていない場合、セッションは終了し、ホストは再認証する必要があります。キャプティブ ポータル認証セッションの場合、セッションの期間は
session-expiry
ステートメントに設定された値によって異なります。セッションがタイムアウトする前に MAC エージング タイマーが期限切れになり、user-keepalive
ステートメントが設定されていない場合、セッションは終了し、ホストは再認証する必要があります。
認証サーバーが認証セッションのタイムアウトをクライアントに送信する場合、これは reauthentication
ステートメントまたは session-expiry
ステートメントのいずれかを使用してローカルに設定された値よりも優先されます。セッション タイムアウト値は、RADIUS Access-Accept メッセージの属性としてサーバーからクライアントに送信されます。認証セッションタイムアウトを送信するように認証サーバーを構成する方法については、サーバーのドキュメントを参照してください。
関連項目
認証セッションタイムアウトの制御(CLI手順)
認証セッションが終了すると、ホストが認証を再試行する必要があるため、ダウンタイムが発生する可能性があります。認証セッションのタイムアウト期間を制御することで、このダウンタイムを制限できます。
認証セッションは、認証されたホストに関連付けられたMACアドレスがイーサネット スイッチング テーブルから古くなると終了できます。イーサネット スイッチング テーブルから MAC アドレスがクリアされると、そのホストの認証済みセッションは終了し、ホストは認証を再試行する必要があります。
MAC アドレスがイーサネット スイッチング テーブルから古くなったときに認証セッションが終了しないようにするには:
また、認証セッションのタイムアウト値を設定して、MAC エージング タイマーが期限切れになる前に認証済みセッションを終了させることもできます。
認証セッションのセッション タイムアウトを設定しても、MAC エージング タイマーが期限切れになった後はセッションは延長されません。MACエージングによるセッションタイムアウトを防ぐには、802.1XおよびMAC RADIUS認証用の no-mac-table-binding
ステートメント、またはキャプティブポータル認証用の user-keepalive
ステートメントのいずれかを設定する必要があります。
802.1XおよびMAC RADIUS認証セッションでは、 reauthentication
ステートメントを使用してタイムアウト値を設定します。
単一のインターフェイスでタイムアウト値を設定するには:
[edit] user@switch# set protocols dot1x authenticator interface interface-name reauthentication seconds;
すべてのインターフェイスでタイムアウト値を設定するには:
[edit] user@switch# set protocols dot1x authenticator interface all reauthentication seconds;
キャプティブ ポータル認証セッションの場合は、 session-expiry
ステートメントを使用してタイムアウト値を設定します。
単一のインターフェイスでタイムアウト値を設定するには:
[edit] user@switch# set services captive-portal interface interface-name session-expiry minutes;
すべてのインターフェイスでタイムアウト値を設定するには:
[edit] user@switch# set services captive-portal interface all session-expiry minutes;
認証サーバーが認証セッションのタイムアウトをクライアントに送信する場合、これは reauthentication
ステートメントまたは session-expiry
ステートメントを使用して設定された値よりも優先されます。セッション タイムアウト値は、RADIUS Access-Accept メッセージの属性としてサーバーからクライアントに送信されます。
関連項目
IP-MACアドレスバインディングに基づく認証セッションの保持
MAC RADIUS 認証は、802.1X 認証が有効になっていないホストに LAN アクセスを許可するためによく使用されます。プリンターなどのエンドデバイスは、ネットワーク上であまりアクティブではありません。エンド デバイスに関連付けられた MAC アドレスが非アクティブにより期限切れになると、MAC アドレスはイーサネット スイッチング テーブルから消去され、認証セッションが終了します。これは、必要に応じて他のデバイスがエンドデバイスに到達できないことを意味します。
古くなった MAC アドレスが DHCP、DHCPv6、または SLAAC スヌーピング テーブルの IP アドレスに関連付けられている場合、その MAC-IP アドレス バインディングはテーブルからクリアされます。これにより、DHCP クライアントがリースを更新しようとしたときにトラフィックがドロップされる可能性があります。
MACアドレスが古くなったときに認証セッションを終了する前に、DHCP、DHCPv6、またはSLAACスヌーピングテーブル内のIP-MACアドレスバインディングをチェックするようにスイッチングデバイスを設定できます。エンドデバイスのMACアドレスがIPアドレスにバインドされている場合、そのアドレスはイーサネットスイッチングテーブルに保持され、認証セッションはアクティブなままになります。
この機能は、CLIを使用してすべての認証済みセッションに対してグローバルに設定することも、RADIUS属性を使用してセッションごとに設定することもできます。
メリット
この機能は、以下のメリットを提供します。
MACアドレスが古くなっても、ネットワーク上の他のデバイスからエンドデバイスに到達できるようにします。
エンドデバイスがDHCPリースを更新しようとしたときにトラフィックがドロップするのを防ぎます。
CLI設定
この機能を設定する前に、以下を実行してください。
DHCP スヌーピング、DHCPv6 スヌーピング、または SLAAC スヌーピングがデバイスで有効になっている必要があります。
no-mac-table-binding
CLI ステートメントを設定する必要があります。これにより、認証セッション テーブルとイーサネット スイッチング テーブルの関連付けが解除され、MAC アドレスが古くなると、認証セッションは次の再認証まで延長されます。[edit] user@switch# set protocols dot1x authenticator no-mac-table-binding;
すべての認証済みセッションに対してこの機能をグローバルに設定するには:
ip-mac-session-binding
CLI ステートメントを使用して MAC アドレスが古くなったときに認証セッションを終了する前に、DHCP、DHCPv6、または SLAAC スヌーピング テーブルで IP-MAC アドレス バインディングを確認するようにスイッチング デバイスを設定します。[edit] user@switch# set protocols dot1x authenticator ip-mac-session-binding;
no-mac-table-binding
も設定されていない限り、ip-mac-session-binding
設定をコミットすることはできません。
RADIUS サーバー属性
RADIUSサーバーの属性を使用して、特定の認証セッションに対してこの機能を設定できます。RADIUSサーバー属性は、スイッチに接続したサプリカントの認証に成功した際に、認証サーバ-からスイッチング デバイスに送信されるAccess-Acceptメッセージにカプセル化されたクリアテキストのフィールドです。
IP-MACアドレスバインディングに基づいて認証セッションを保持するには、RADIUSサーバー上で以下の属性-値ペアの両方を設定します。
Juniper-AV-Pair = "ip-mac-session-binding"
Juniper-AV-Pair = "no-mac-binding-reauth"
Juniper-AV-Pair属性は、ジュニパーネットワークスのベンダー固有属性(VSA)です。RADIUSサーバーにジュニパー辞書が読み込まれ、Juniper-AV-PairのVSA(ID#52)が含まれていることを確認します。
ディクショナリに属性を追加する必要がある場合は、RADIUS サーバーでディクショナリ ファイル (juniper.dct) を探し、次のテキストをファイルに追加します。
ATTRIBUTE Juniper-AV-Pair Juniper-VSA(52, string) r
RADIUS サーバーの設定についての詳細は、サーバーに付属された AAA ドキュメントをご参照ください。
検証
operational mode コマンド show dot1x interface interface-name detail
を発行して設定を確認し、 Ip Mac Session Binding
および No Mac Session Binding
出力フィールドに機能が有効になっていることが示されていることを確認します。
user@switch> show dot1x interface ge-0/0/16.0 detail ge-0/0/16.0 Role: Authenticator Administrative state: Auto Supplicant mode: Multiple Number of retries: 3 Quiet period: 60 seconds Transmit period: 5 seconds Mac Radius: Enabled Mac Radius Restrict: Disabled Mac Radius Authentication Protocol: EAP-MD5 Reauthentication: Disabled Configured Reauthentication interval: 3600 seconds Supplicant timeout: 30 seconds Server timeout: 30 seconds Maximum EAPOL requests: 2 Guest VLAN member: <not configured> No Mac Session Binding: Enabled Ip Mac Session Binding: Enabled Number of connected supplicants: 1 Supplicant: abc, 00:00:5E:00:53:00 Operational state: Authenticated Backend Authentication state: Idle Authentication method: Mac Radius Authenticated VLAN: v100 Session Reauth interval: 3600 seconds Reauthentication due in 0 seconds Ip Mac Session Binding: Enabled No Mac Binding Reauth: Enabled Eapol-Block: Not In Effect
MAC RADIUSで認証されたクライアントは認証されたままで、イーサネットスイッチングテーブルのMACアドレスエントリーもMACタイマーの満了後も保持する必要があります。