Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
このページで
 

認証セッション タイムアウト

いくつかの異なる認証を使用して、スイッチを介したネットワークへのアクセスを制御できます。Junos OSスイッチは、ネットワークへの接続を必要とするデバイスの認証方法として、802.1X、MAC RADIUS、キャプティブポータルをサポートしています。詳細については、このトピックをお読みください。

認証セッションタイムアウトについて

認証セッションに関する情報(認証された各 MAC アドレスに関連付けられたインターフェイスや VLAN など)は、認証セッション テーブルに格納されます。認証セッション テーブルは、イーサネット スイッチング テーブル(MAC テーブルとも呼ばれる)に関連付けられています。スイッチは、MACアドレスからのトラフィックを検出するたびに、イーサネット スイッチング テーブル内のそのネットワーク ノードのタイムスタンプを更新します。スイッチのタイマーは定期的にタイムスタンプを確認し、その値がユーザーが設定した 値を超える場合、MACアドレスはイーサネットスイッチングテーブルから削除されます。mac-table-aging-time MACアドレスがイーサネットスイッチングテーブルから期限切れになると、そのMACアドレスのエントリーも認証セッションテーブルから削除され、その結果、セッションが終了します。

MACアドレスのエージングにより認証セッションが終了した場合、ホストは認証を再試行する必要があります。再認証によるダウンタイムを制限するために、次の方法で認証セッションのタイムアウトを制御できます。

  • 802.1XおよびMAC RADIUS認証セッションでは、 ステートメントを使用して 、認証セッションテーブルとイーサネットスイッチングテーブルの関連付けを解除します。no-mac-table-binding この設定により、関連付けられた MAC アドレスがイーサネット スイッチング テーブルから古くなった場合に、認証セッションが終了しなくなります。

  • キャプティブ ポータル認証セッションでは、 ステートメントを使用して キープアライブ タイマーを設定します。user-keepalive このオプションを設定すると、関連付けられたMACアドレスがイーサネット スイッチング テーブルから期限切れになると、キープアライブ タイマーが開始されます。キープアライブ タイムアウト時間内にトラフィックを受信すると、タイマーは削除されます。キープアライブタイムアウト時間内にトラフィックがない場合、セッションは削除されます。

また、認証セッションのタイムアウト値を指定して、MAC エージング タイマーが期限切れになる前にセッションを終了することもできます。セッションがタイムアウトした後、ホストは認証を再試行する必要があります。

  • 802.1X および MAC RADIUS 認証セッションの場合、タイムアウトまでのセッション時間は、 ステートメントの値によって異なります。reauthentication セッションがタイムアウトする前に MAC エージング タイマーが期限切れになり 、 ステートメントが設定されていない場合、セッションは終了し、ホストは再認証する必要があります。no-mac-table-binding

  • キャプティブポータル認証セッションの場合、セッションの期間は ステートメントに 設定された値によって異なります。session-expiry セッションがタイムアウトする前に MAC エージング タイマーが期限切れになり 、 ステートメントが設定されていない場合、セッションは終了し、ホストは再認証する必要があります。user-keepalive

注:

認証サーバーが認証セッションのタイムアウトをクライアントに送信した場合、 ステートメントまたは ステートメントのいずれかを使用してローカルに設定された値よりも優先されます。reauthentication session-expiry セッション タイムアウト値は、RADIUS Access-Accept メッセージの属性としてサーバーからクライアントに送信されます。認証セッションタイムアウトを送信するように認証サーバーを構成する方法については、サーバーのドキュメントを参照してください。

関連項目

認証セッションタイムアウトの制御(CLI手順)

認証セッションが終了すると、ホストが認証を再試行する必要があるため、ダウンタイムが発生する可能性があります。認証セッションのタイムアウト期間を制御することで、このダウンタイムを制限できます。

認証セッションは、認証されたホストに関連付けられたMACアドレスがイーサネット スイッチング テーブルから古くなると終了できます。イーサネット スイッチング テーブルから MAC アドレスがクリアされると、そのホストの認証済みセッションは終了し、ホストは認証を再試行する必要があります。

MAC アドレスがイーサネット スイッチング テーブルから古くなったときに認証セッションが終了しないようにするには:

  • 802.1X または MAC RADIUS 認証を使用して認証されたセッションでは、次の ステートメントを使用して認証セッション テーブルとイーサネット スイッチング テーブルの関連付けを解除することで、MAC アドレスのエージングによる認証セッションのタイムアウトを回避できます。no-mac-table-binding
  • キャプティブポータル認証を使用して認証されたセッションの場合、 ステートメントを使用して タイムアウト期間を延長することで、MACアドレスのエージングによる認証セッションのタイムアウトを防ぐことができます。user-keepalive

また、認証セッションのタイムアウト値を設定して、MAC エージング タイマーが期限切れになる前に認証済みセッションを終了させることもできます。

注:

認証セッションのセッション タイムアウトを設定しても、MAC エージング タイマーが期限切れになった後はセッションは延長されません。MACエージングによるセッションタイムアウトを防ぐには、802.1XおよびMAC RADIUS認証用の ステートメント、またはキャプティブポータル認証用の ステートメントのいずれかを設定する必要があります。no-mac-table-bindinguser-keepalive

802.1XおよびMAC RADIUS認証セッションでは、 ステートメントを使用して タイムアウト値を設定します。reauthentication

  • 単一のインターフェイスでタイムアウト値を設定するには:

  • すべてのインターフェイスでタイムアウト値を設定するには:

キャプティブポータル認証セッションの場合、 ステートメントを使用して タイムアウト値を設定します。session-expiry

  • 単一のインターフェイスでタイムアウト値を設定するには:

  • すべてのインターフェイスでタイムアウト値を設定するには:

注:

認証サーバーが認証セッションのタイムアウトをクライアントに送信した場合、 ステートメントまたは ステートメントを使用して設定された値よりも優先されます。reauthentication session-expiry セッション タイムアウト値は、RADIUS Access-Accept メッセージの属性としてサーバーからクライアントに送信されます。

関連項目

IP-MACアドレスバインディングに基づく認証セッションの保持

MAC RADIUS 認証は、802.1X 認証が有効になっていないホストに LAN アクセスを許可するためによく使用されます。プリンターなどのエンドデバイスは、ネットワーク上であまりアクティブではありません。エンド デバイスに関連付けられた MAC アドレスが非アクティブにより期限切れになると、MAC アドレスはイーサネット スイッチング テーブルから消去され、認証セッションが終了します。これは、必要に応じて他のデバイスがエンドデバイスに到達できないことを意味します。

古くなった MAC アドレスが DHCP、DHCPv6、または SLAAC スヌーピング テーブルの IP アドレスに関連付けられている場合、その MAC-IP アドレス バインディングはテーブルからクリアされます。これにより、DHCP クライアントがリースを更新しようとしたときにトラフィックがドロップされる可能性があります。

MACアドレスが古くなったときに認証セッションを終了する前に、DHCP、DHCPv6、またはSLAACスヌーピングテーブル内のIP-MACアドレスバインディングをチェックするようにスイッチングデバイスを設定できます。エンドデバイスのMACアドレスがIPアドレスにバインドされている場合、そのアドレスはイーサネットスイッチングテーブルに保持され、認証セッションはアクティブなままになります。

この機能は、CLIを使用してすべての認証済みセッションに対してグローバルに設定することも、RADIUS属性を使用してセッションごとに設定することもできます。

メリット

この機能は、以下のメリットを提供します。

  • MACアドレスが古くなっても、ネットワーク上の他のデバイスからエンドデバイスに到達できるようにします。

  • エンドデバイスがDHCPリースを更新しようとしたときにトラフィックがドロップするのを防ぎます。

CLI設定

この機能を設定する前に、以下を実行してください。

  • DHCP スヌーピング、DHCPv6 スヌーピング、または SLAAC スヌーピングがデバイスで有効になっている必要があります。

  • CLI ステートメントを設定する必要があります 。no-mac-table-binding これにより、認証セッション テーブルとイーサネット スイッチング テーブルの関連付けが解除され、MAC アドレスが古くなると、認証セッションは次の再認証まで延長されます。

すべての認証済みセッションに対してこの機能をグローバルに設定するには:

CLIステートメントを使用して 、MACアドレスが古くなったときに認証セッションを終了する前に、DHCP、DHCPv6、またはSLAACスヌーピングテーブルでIP-MACアドレスバインディングを確認するようにスイッチングデバイスを設定します。ip-mac-session-binding
注:

も設定されていない限り、設定をコミットすることはできません。ip-mac-session-bindingno-mac-table-binding

RADIUS サーバー属性

RADIUSサーバーの属性を使用して、特定の認証セッションに対してこの機能を設定できます。RADIUSサーバー属性は、スイッチに接続したサプリカントの認証に成功した際に、認証サーバ-からスイッチング デバイスに送信されるAccess-Acceptメッセージにカプセル化されたクリアテキストのフィールドです。

IP-MACアドレスバインディングに基づいて認証セッションを保持するには、RADIUSサーバー上で以下の属性-値ペアの両方を設定します。

  • Juniper-AV-Pair = "ip-mac-session-binding"

  • Juniper-AV-Pair = "no-mac-binding-reauth"

Juniper-AV-Pair属性は、ジュニパーネットワークスのベンダー固有属性(VSA)です。RADIUSサーバーにジュニパー辞書が読み込まれ、Juniper-AV-PairのVSA(ID#52)が含まれていることを確認します。

辞書に属性を追加する必要がある場合は、RADIUSサーバーで辞書ファイル()を探し、次のテキストをファイルに追加します。juniper.dct

注:

RADIUS サーバーの設定についての詳細は、サーバーに付属された AAA ドキュメントをご参照ください。

検証

運用モードコマンドを発行して設定を確認し、 および 出力フィールドが機能が有効になっていることを示していることを確認します。show dot1x interface interface-name detailIp Mac Session BindingNo Mac Session Binding

MAC RADIUSで認証されたクライアントは認証されたままで、イーサネットスイッチングテーブルのMACアドレスエントリーもMACタイマーの満了後も保持する必要があります。

関連項目