認証セッション タイムアウト
いくつかの異なる認証を使用して、スイッチを介したネットワークへのアクセスを制御できます。Junos OSスイッチは、ネットワークへの接続を必要とするデバイスの認証方法として、802.1X、MAC RADIUS、キャプティブポータルをサポートしています。詳細については、このトピックをお読みください。
認証セッションタイムアウトについて
認証セッションに関する情報(認証された各 MAC アドレスに関連付けられたインターフェイスや VLAN など)は、認証セッション テーブルに格納されます。認証セッション テーブルは、イーサネット スイッチング テーブル(MAC テーブルとも呼ばれる)に関連付けられています。スイッチは、MACアドレスからのトラフィックを検出するたびに、イーサネット スイッチング テーブル内のそのネットワーク ノードのタイムスタンプを更新します。スイッチのタイマーは定期的にタイムスタンプを確認し、その値がユーザーが設定した 値を超える場合、MACアドレスはイーサネットスイッチングテーブルから削除されます。mac-table-aging-time
MACアドレスがイーサネットスイッチングテーブルから期限切れになると、そのMACアドレスのエントリーも認証セッションテーブルから削除され、その結果、セッションが終了します。
MACアドレスのエージングにより認証セッションが終了した場合、ホストは認証を再試行する必要があります。再認証によるダウンタイムを制限するために、次の方法で認証セッションのタイムアウトを制御できます。
802.1XおよびMAC RADIUS認証セッションでは、 ステートメントを使用して 、認証セッションテーブルとイーサネットスイッチングテーブルの関連付けを解除します。
no-mac-table-binding
この設定により、関連付けられた MAC アドレスがイーサネット スイッチング テーブルから古くなった場合に、認証セッションが終了しなくなります。キャプティブ ポータル認証セッションでは、 ステートメントを使用して キープアライブ タイマーを設定します。
user-keepalive
このオプションを設定すると、関連付けられたMACアドレスがイーサネット スイッチング テーブルから期限切れになると、キープアライブ タイマーが開始されます。キープアライブ タイムアウト時間内にトラフィックを受信すると、タイマーは削除されます。キープアライブタイムアウト時間内にトラフィックがない場合、セッションは削除されます。
また、認証セッションのタイムアウト値を指定して、MAC エージング タイマーが期限切れになる前にセッションを終了することもできます。セッションがタイムアウトした後、ホストは認証を再試行する必要があります。
802.1X および MAC RADIUS 認証セッションの場合、タイムアウトまでのセッション時間は、 ステートメントの値によって異なります。
reauthentication
セッションがタイムアウトする前に MAC エージング タイマーが期限切れになり 、 ステートメントが設定されていない場合、セッションは終了し、ホストは再認証する必要があります。no-mac-table-binding
キャプティブポータル認証セッションの場合、セッションの期間は ステートメントに 設定された値によって異なります。
session-expiry
セッションがタイムアウトする前に MAC エージング タイマーが期限切れになり 、 ステートメントが設定されていない場合、セッションは終了し、ホストは再認証する必要があります。user-keepalive
認証サーバーが認証セッションのタイムアウトをクライアントに送信した場合、 ステートメントまたは ステートメントのいずれかを使用してローカルに設定された値よりも優先されます。reauthentication
session-expiry
セッション タイムアウト値は、RADIUS Access-Accept メッセージの属性としてサーバーからクライアントに送信されます。認証セッションタイムアウトを送信するように認証サーバーを構成する方法については、サーバーのドキュメントを参照してください。
関連項目
認証セッションタイムアウトの制御(CLI手順)
認証セッションが終了すると、ホストが認証を再試行する必要があるため、ダウンタイムが発生する可能性があります。認証セッションのタイムアウト期間を制御することで、このダウンタイムを制限できます。
認証セッションは、認証されたホストに関連付けられたMACアドレスがイーサネット スイッチング テーブルから古くなると終了できます。イーサネット スイッチング テーブルから MAC アドレスがクリアされると、そのホストの認証済みセッションは終了し、ホストは認証を再試行する必要があります。
MAC アドレスがイーサネット スイッチング テーブルから古くなったときに認証セッションが終了しないようにするには:
また、認証セッションのタイムアウト値を設定して、MAC エージング タイマーが期限切れになる前に認証済みセッションを終了させることもできます。
認証セッションのセッション タイムアウトを設定しても、MAC エージング タイマーが期限切れになった後はセッションは延長されません。MACエージングによるセッションタイムアウトを防ぐには、802.1XおよびMAC RADIUS認証用の ステートメント、またはキャプティブポータル認証用の ステートメントのいずれかを設定する必要があります。no-mac-table-binding
user-keepalive
802.1XおよびMAC RADIUS認証セッションでは、 ステートメントを使用して タイムアウト値を設定します。reauthentication
単一のインターフェイスでタイムアウト値を設定するには:
[edit] user@switch# set protocols dot1x authenticator interface interface-name reauthentication seconds;
すべてのインターフェイスでタイムアウト値を設定するには:
[edit] user@switch# set protocols dot1x authenticator interface all reauthentication seconds;
キャプティブポータル認証セッションの場合、 ステートメントを使用して タイムアウト値を設定します。session-expiry
単一のインターフェイスでタイムアウト値を設定するには:
[edit] user@switch# set services captive-portal interface interface-name session-expiry minutes;
すべてのインターフェイスでタイムアウト値を設定するには:
[edit] user@switch# set services captive-portal interface all session-expiry minutes;
認証サーバーが認証セッションのタイムアウトをクライアントに送信した場合、 ステートメントまたは ステートメントを使用して設定された値よりも優先されます。reauthentication
session-expiry
セッション タイムアウト値は、RADIUS Access-Accept メッセージの属性としてサーバーからクライアントに送信されます。
関連項目
IP-MACアドレスバインディングに基づく認証セッションの保持
MAC RADIUS 認証は、802.1X 認証が有効になっていないホストに LAN アクセスを許可するためによく使用されます。プリンターなどのエンドデバイスは、ネットワーク上であまりアクティブではありません。エンド デバイスに関連付けられた MAC アドレスが非アクティブにより期限切れになると、MAC アドレスはイーサネット スイッチング テーブルから消去され、認証セッションが終了します。これは、必要に応じて他のデバイスがエンドデバイスに到達できないことを意味します。
古くなった MAC アドレスが DHCP、DHCPv6、または SLAAC スヌーピング テーブルの IP アドレスに関連付けられている場合、その MAC-IP アドレス バインディングはテーブルからクリアされます。これにより、DHCP クライアントがリースを更新しようとしたときにトラフィックがドロップされる可能性があります。
MACアドレスが古くなったときに認証セッションを終了する前に、DHCP、DHCPv6、またはSLAACスヌーピングテーブル内のIP-MACアドレスバインディングをチェックするようにスイッチングデバイスを設定できます。エンドデバイスのMACアドレスがIPアドレスにバインドされている場合、そのアドレスはイーサネットスイッチングテーブルに保持され、認証セッションはアクティブなままになります。
この機能は、CLIを使用してすべての認証済みセッションに対してグローバルに設定することも、RADIUS属性を使用してセッションごとに設定することもできます。
メリット
この機能は、以下のメリットを提供します。
MACアドレスが古くなっても、ネットワーク上の他のデバイスからエンドデバイスに到達できるようにします。
エンドデバイスがDHCPリースを更新しようとしたときにトラフィックがドロップするのを防ぎます。
CLI設定
この機能を設定する前に、以下を実行してください。
DHCP スヌーピング、DHCPv6 スヌーピング、または SLAAC スヌーピングがデバイスで有効になっている必要があります。
CLI ステートメントを設定する必要があります 。
no-mac-table-binding
これにより、認証セッション テーブルとイーサネット スイッチング テーブルの関連付けが解除され、MAC アドレスが古くなると、認証セッションは次の再認証まで延長されます。[edit] user@switch# set protocols dot1x authenticator no-mac-table-binding;
すべての認証済みセッションに対してこの機能をグローバルに設定するには:
ip-mac-session-binding
[edit] user@switch# set protocols dot1x authenticator ip-mac-session-binding;
も設定されていない限り、設定をコミットすることはできません。ip-mac-session-binding
no-mac-table-binding
RADIUS サーバー属性
RADIUSサーバーの属性を使用して、特定の認証セッションに対してこの機能を設定できます。RADIUSサーバー属性は、スイッチに接続したサプリカントの認証に成功した際に、認証サーバ-からスイッチング デバイスに送信されるAccess-Acceptメッセージにカプセル化されたクリアテキストのフィールドです。
IP-MACアドレスバインディングに基づいて認証セッションを保持するには、RADIUSサーバー上で以下の属性-値ペアの両方を設定します。
Juniper-AV-Pair = "ip-mac-session-binding"
Juniper-AV-Pair = "no-mac-binding-reauth"
Juniper-AV-Pair属性は、ジュニパーネットワークスのベンダー固有属性(VSA)です。RADIUSサーバーにジュニパー辞書が読み込まれ、Juniper-AV-PairのVSA(ID#52)が含まれていることを確認します。
辞書に属性を追加する必要がある場合は、RADIUSサーバーで辞書ファイル()を探し、次のテキストをファイルに追加します。juniper.dct
ATTRIBUTE Juniper-AV-Pair Juniper-VSA(52, string) r
RADIUS サーバーの設定についての詳細は、サーバーに付属された AAA ドキュメントをご参照ください。
検証
運用モードコマンドを発行して設定を確認し、 および 出力フィールドが機能が有効になっていることを示していることを確認します。show dot1x interface interface-name detail
Ip Mac Session Binding
No Mac Session Binding
user@switch> show dot1x interface ge-0/0/16.0 detail ge-0/0/16.0 Role: Authenticator Administrative state: Auto Supplicant mode: Multiple Number of retries: 3 Quiet period: 60 seconds Transmit period: 5 seconds Mac Radius: Enabled Mac Radius Restrict: Disabled Mac Radius Authentication Protocol: EAP-MD5 Reauthentication: Disabled Configured Reauthentication interval: 3600 seconds Supplicant timeout: 30 seconds Server timeout: 30 seconds Maximum EAPOL requests: 2 Guest VLAN member: <not configured> No Mac Session Binding: Enabled Ip Mac Session Binding: Enabled Number of connected supplicants: 1 Supplicant: abc, 00:00:5E:00:53:00 Operational state: Authenticated Backend Authentication state: Idle Authentication method: Mac Radius Authenticated VLAN: v100 Session Reauth interval: 3600 seconds Reauthentication due in 0 seconds Ip Mac Session Binding: Enabled No Mac Binding Reauth: Enabled Eapol-Block: Not In Effect
MAC RADIUSで認証されたクライアントは認証されたままで、イーサネットスイッチングテーブルのMACアドレスエントリーもMACタイマーの満了後も保持する必要があります。