Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
EN ESTA PÁGINA
 

Opciones de sesión para el acceso de suscriptores

Las opciones de sesión permiten especificar varias características para DHCP, L2TP y sesiones de suscriptor PPP terminadas. Las opciones de sesión se configuran en perfiles de acceso que determinan los parámetros para el acceso del suscriptor, autenticación, autorización y contabilidad.

Descripción de las opciones de sesión para el acceso de suscriptores

Puede utilizar perfiles de acceso para configurar varias características de las sesiones que se crean para suscriptores DHCP, L2TP y PPP terminados. Puede limitar el acceso de los suscriptores en función de cuánto tiempo ha estado activa la sesión, cuánto tiempo ha estado inactivo el usuario o ambos. Puede limitar las sesiones de suscriptor por nombre de usuario por perfil de acceso. También puede establecer parámetros que modifiquen el nombre de usuario de un suscriptor al iniciar sesión en función del perfil de acceso del suscriptor.

Tiempos de espera de la sesión del suscriptor

Puede limitar el acceso de los suscriptores configurando un tiempo de espera de sesión o un tiempo de espera de inactividad. Utilice un tiempo de espera de sesión para especificar un período de tiempo fijo al que el suscriptor puede tener acceso. Use un tiempo de espera de inactividad para especificar un período máximo de tiempo que el suscriptor puede estar inactivo. Puede usar estos tiempos de espera por separado o juntos. De forma predeterminada, no se ha agotado el tiempo de espera.

Nota:

Para todos los tipos de suscriptores distintos de DHCP (como los suscriptores con túnel L2TP y PPP), el valor del tiempo de espera de la sesión limita la sesión del suscriptor. Para los suscriptores de DHCP, el valor del tiempo de espera de la sesión se utiliza para limitar la concesión cuando no hay otra configuración de tiempo de concesión presente. La concesión expira cuando expira el valor del tiempo de espera. Si la CLI o RADIUS no proporcionan este valor, la concesión DHCP no caducará.

El tiempo de espera de inactividad se basa en las estadísticas contables del suscriptor. El enrutador determina la inactividad del suscriptor mediante la supervisión del tráfico de datos, tanto ascendente desde el usuario (entrada) como descendente al usuario (salida). Se ignora el tráfico de control. El suscriptor no se considera inactivo siempre que el tráfico de datos se detecte en cualquier dirección.

Opcionalmente, puede especificar que solo se supervise el tráfico de entrada de suscriptores; Se ignora el tráfico de salida. Esta configuración es útil en los casos en que el LNS envía tráfico al par remoto incluso cuando el par no está activo, como cuando el LNS no tiene habilitadas las conservaciones PPP y, por lo tanto, no puede detectar que el par no está activo. En esta situación, dado que de forma predeterminada LAC monitorea tanto el tráfico de entrada como el de salida, detecta el tráfico de salida del LNS y no cierra la sesión del suscriptor o retrasa la detección de inactividad hasta que cesa el tráfico de salida. Cuando se especifica que solo se supervisa el tráfico de entrada, el LAC puede detectar que el interlocutor está inactivo y, a continuación, iniciar el cierre de sesión.

Cuando expira cualquiera de los períodos de tiempo de espera, se cierra la sesión correctamente de los suscriptores que no son DHCP, de manera similar a una desconexión iniciada por RADIUS o un cierre de sesión iniciado por la CLI. Los suscriptores de DHCP están desconectados. El valor Acct-Terminate-Cause [atributo RADIUS 49] incluye un código de motivo de 5 para un tiempo de espera de sesión y un código de 4 para un tiempo de espera de inactividad.

Puede configurar estas limitaciones para el acceso de suscriptores por suscriptor mediante los atributos RADIUS Session-Timeout [27] y Idle-Time [28]. RADIUS devuelve estos atributos en mensajes de acceso-aceptación en respuesta a mensajes de solicitud de acceso del servidor de acceso. A partir de Junos OS versión 19.4R1, el atributo Session-Timeout [27] se admite en los mensajes RADIUS CoA. Esta capacidad es útil, por ejemplo, cuando los suscriptores compran acceso a Internet durante un período de tiempo específico y deben cerrar sesión cuando expira la sesión.

Cuando llega un CoA con tiempo de espera de sesión, el tiempo de espera se cuenta desde el momento en que se activó la sesión. Esto tiene las siguientes consecuencias:

  • Si el valor del atributo es mayor que el tiempo de actividad de la sesión actual y entre los valores de tiempo de espera mínimo y máximo, el suscriptor cierra la sesión cuando ha transcurrido ese número de segundos desde la activación de la sesión. Por ejemplo, supongamos que la sesión se activa a las 12:00:00 y el CoA se recibe a las 12:00:30 con un valor de 120 segundos. Se cierra la sesión del suscriptor a las 12:02:00.

    Otra forma de ver esto con los mismos valores es que el tiempo de actividad de la sesión actual es de 30 segundos y el valor del atributo es de 120 segundos. El suscriptor se cierra cuando han pasado 90 segundos más.

  • Si el valor del atributo es mayor que el tiempo de actividad de la sesión actual pero inferior al valor de tiempo de espera mínimo de 60 segundos, se cerrará la sesión del suscriptor cuando el tiempo de actividad alcance los 60 segundos.

  • Si el valor del atributo es mayor que el tiempo de actividad de la sesión actual pero superior al valor máximo de tiempo de espera de 31.622.400 segundos, el suscriptor se cierra la sesión cuando el tiempo de actividad alcanza los 31.622.400 segundos.

  • Si el valor del atributo es menor que el tiempo de actividad de la sesión actual, no se aplicará el tiempo de espera de la sesión. AAA responde al mensaje de CoA con un NAK. Por ejemplo, la sesión no se ve afectada si el tiempo de espera de la sesión es de 60 segundos, pero el tiempo de actividad es de 100 segundos.

La aplicación de un tiempo de espera de sesión de acuerdo con las reglas anteriores también depende de si todos los demás aspectos del CoA tienen éxito. Por ejemplo, si el CoA incluye una activación de servicio y se produce un error en la activación del servicio, no se aplicará el tiempo de espera de la sesión. AAA responde al mensaje de CoA con un NAK.

Nota:

Si el valor de Session-Timeout es 0, se cancelará cualquier tiempo de espera de sesión existente para esa sesión.

Los proveedores de servicios a menudo optan por aplicar las mismas limitaciones a un gran número de suscriptores. Puede reducir el esfuerzo de aprovisionamiento de RADIUS para este escenario definiendo las limitaciones para los suscriptores en un perfil de acceso por instancia de enrutamiento. Si lo hace, los atributos RADIUS devueltos posteriormente para un suscriptor en particular que inició sesión con el perfil anulan los valores por instancia de enrutamiento.

Práctica recomendada:

Se recomienda no configurar un tiempo de espera de sesión para los suscriptores que reciben servicios de voz. Debido a que el tiempo de espera de la sesión se basa solo en el tiempo y no en la actividad del usuario, es probable que interrumpa a los suscriptores que usan activamente un servicio de voz y finalice sus llamadas inesperadamente (desde el punto de vista del suscriptor). Este resultado es una preocupación particular para las llamadas de los servicios de emergencia.
Práctica recomendada:

Se recomienda no configurar un tiempo de espera de inactividad para los suscriptores de DHCP. Cuando el tiempo de espera expira sin actividad y la conexión termina, el protocolo no tiene medios para informar al cliente. En consecuencia, estos suscriptores se ven obligados a reiniciar su dispositivo CPE la próxima vez que intenten acceder a Internet.

Compare el comportamiento cuando se configura un tiempo de espera inactivo para suscriptores PPP. En este caso, la expiración del tiempo de espera hace que PPP termine el vínculo con el par. Dependiendo del dispositivo CPE, esta terminación permite al par volver a intentar automáticamente la conexión, ya sea a petición o inmediatamente. En cualquier caso, no se requiere la intervención del suscriptor.

El intervalo disponible para establecer un tiempo de espera es el mismo tanto si lo configura en la CLI como a través de los atributos RADIUS:

  • Los tiempos de espera de la sesión se pueden establecer de 1 minuto a 527.040 minutos en la CLI y el número correspondiente de segundos (del 60 al 31.622.400) en el atributo Session-Timeout [27].

  • Los tiempos de espera de inactividad se pueden establecer de 10 minutos a 1440 minutos en la CLI y el número correspondiente de segundos (de 600 a 86.400) en el atributo Idle-Timeout [28].

El enrutador interpreta los valores de los atributos para que se ajusten a los rangos admitidos. Por ejemplo, para el tiempo de espera de sesión [27]:

  • Un valor de cero se trata como si no se agotara el tiempo de espera.

  • Un valor en el intervalo de 1 a 59 se eleva a 60 segundos.

  • Un valor que supera los 31.622.400 se reduce a 31.622.400 segundos.

Para tiempo de espera de inactividad [28]:

  • Un valor de cero se trata como si no se agotara el tiempo de espera.

  • Un valor en el intervalo de 1 a 599 se eleva a 600 segundos.

  • Un valor que supera los 86.400 se reduce a 86.400 segundos.

En las configuraciones que utilizan VLAN de suscriptor creadas dinámicamente, el tiempo de espera de inactividad también elimina las VLAN de suscriptor inactivas cuando se alcanza el umbral de inactividad. Además de eliminar las VLAN de suscriptor dinámico inactivas, el tiempo de espera de inactividad también elimina las VLAN dinámicas cuando nunca se crearon sesiones de cliente (por ejemplo, en caso de que no se creen sesiones de cliente en la VLAN dinámica o después de que se produzca un error durante la creación de la sesión o la autenticación del cliente cuando no se crean sesiones de cliente en la VLAN dinámica).

Los tiempos de espera de sesión e inactividad para eliminar VLAN de suscriptor dinámico solo son útiles en casos de uso muy limitados; Normalmente, ninguno de los tiempos de espera está configurado para este propósito.

Una posible circunstancia en la que podrían ser útiles es cuando las VLAN dinámicas no tienen un protocolo de capa superior que ayude a determinar cuándo se elimina la VLAN con la remove-when-no-subscribers instrucción; por ejemplo, cuando la VLAN admite IP a través de Ethernet sin DHCP en un modelo de acceso empresarial con direcciones fijas. Sin embargo, el acceso empresarial es generalmente un servicio de nivel superior al acceso residencial y, como tal, normalmente no está sujeto a tiempos de espera debido a la inactividad, como podría desearse para los suscriptores residenciales.

Un tiempo de espera de inactividad puede ser apropiado en ciertas situaciones de venta al por mayor de capa 2, donde la conexión se puede regenerar cuando se recibe cualquier paquete del CPE.

Cuando utilice el tiempo de espera de inactividad para la eliminación dinámica de VLAN, tenga en cuenta lo siguiente:

  • El período de tiempo de espera de inactividad comienza después de que se crea una interfaz VLAN de suscriptor dinámico o se detiene la actividad de tráfico en una interfaz de VLAN de suscriptor dinámico.

  • Si se crea una nueva sesión de cliente o una sesión de cliente se reactiva correctamente, el tiempo de espera de inactividad del cliente se restablece.

  • La eliminación de VLAN de suscriptores inactivos solo funciona con VLAN que se han autenticado.

Límites en las sesiones de suscriptor por nombre de usuario y perfil de acceso

Los suscriptores legítimos pueden compartir sus credenciales de inicio de sesión con personas no autorizadas, gastando recursos del proveedor de servicios sin beneficio para el proveedor. A partir de Junos OS versión 18.4R1, puede controlar o impedir el uso compartido de credenciales de inicio de sesión limitando el número de sesiones de suscriptor activas que se permiten para un nombre de usuario específico asociado a un perfil de acceso. También puede lograr este control con RADIUS, pero configurar el límite localmente en el BNG elimina la dependencia de un servidor externo.

Cuando se configura un límite, se realiza un seguimiento de las sesiones activas para la combinación de nombre de usuario y perfil de acceso. El número de sesiones seguidas se comprueba cuando authd recibe una nueva solicitud de inicio de sesión de sesión. Si el número de sesiones rastreadas coincide con el límite, el nuevo intento de inicio de sesión se rechaza y se cuenta como una solicitud bloqueada.

Cuando authd recibe una solicitud de cierre de sesión o finalización de cliente para una sesión, el recuento de sesiones con seguimiento disminuye para esa entrada de nombre de usuario o perfil de acceso. Si esto continúa hasta que no haya sesiones activas para la combinación, la entrada se elimina de la tabla de límite de sesiones. Todas las entradas asociadas de nombre de usuario/perfil de acceso se eliminan de la tabla si elimina el perfil de acceso o el límite de sesión de la configuración.

El número total de sesiones para un nombre de usuario puede superar el límite configurado para un perfil de acceso determinado, ya que el mismo nombre de usuario se puede utilizar con varios perfiles de acceso.

Nota:

Para las sesiones de suscriptor apiladas, como PPP con VLAN configuradas automáticamente, ambos nombres de usuario de la pila se utilizan para la autenticación y, en consecuencia, ambos se cuentan en el límite de sesión.

El límite configurado se aplica a los suscriptores activos existentes, pero las sesiones existentes no se devuelven si el número de sesiones activas supera el límite para un suscriptor con esa combinación de nombre de usuario y perfil de acceso.

Considere una situación en la que actualmente hay cinco sesiones activas para una combinación determinada de nombre de usuario y perfil de acceso cuando configure un límite de dos.

  1. El recuento de sesiones activas se registra como cinco en la entrada de la tabla de límite de sesiones para la combinación.

  2. Un nuevo suscriptor con el mismo nombre de usuario y perfil de acceso intenta iniciar sesión. El intento se bloquea porque ya se ha superado el límite de dos sesiones (cinco > dos).

  3. Un suscriptor existente cierra sesión, disminuyendo el recuento de sesiones activas a cuatro.

  4. Un nuevo suscriptor con el mismo nombre de usuario y perfil de acceso intenta iniciar sesión. El intento se bloquea porque se sigue superando el límite de dos sesiones (cuatro > dos).

  5. Tres suscriptores existentes cierran sesión, lo que reduce el recuento de sesiones activas a uno.

  6. Un nuevo suscriptor con el mismo nombre de usuario y perfil de acceso intenta iniciar sesión. El intento está permitido porque aún no se ha alcanzado el límite de dos sesiones (una < dos).

El diseño de límite de sesión evita un evento de denegación de servicio en el que un usuario malintencionado realiza varios intentos de inicio de sesión con el nombre de usuario y el perfil de acceso correctos, pero con una contraseña incorrecta. Los numerosos intentos de inicio de sesión pueden superar el límite de sesión configurado, pero esto no ocurre porque el recuento de sesiones con seguimiento solo se incrementa cuando el estado de la sesión del suscriptor pasa al estado activo, lo que los inicios de sesión malintencionados no logran.

Beneficios de limitar las sesiones para nombres de usuario con la CLI

  • Permite limitar el número de sesiones localmente en el enrutador, en lugar de depender de un servidor RADIUS externo para proporcionar el límite.

  • Evita algunos ataques de denegación de servicio basados en varios inicios de sesión.

Modificación del nombre de usuario del suscriptor

Para las aplicaciones mayoristas de capa 2, algunos proveedores de servicios de red emplean la modificación del nombre de usuario para dirigir a los suscriptores a la red empresarial minorista adecuada. Esta modificación también se denomina eliminación de nombre de usuario, porque algunos de los caracteres del nombre de usuario se eliminan y se descartan. El resto de la cadena se convierte en el nuevo nombre de usuario modificado. Un servidor AAA externo utiliza el nombre de usuario modificado para la autenticación de sesión y la contabilidad. Los parámetros de modificación se aplican de acuerdo con un perfil de acceso de suscriptor que también determina el contexto de suscriptor y sesión; es decir, la instancia lógica system:routing (LS:RI) utilizada por el suscriptor. Solo se admite el sistema lógico predeterminado (primario). Debido a que el mayorista diferencia entre múltiples minoristas colocando cada uno en un LS: RI diferente, los nombres de usuario se modifican adecuadamente para cada minorista.

Puede seleccionar hasta ocho caracteres como delimitadores para marcar el límite entre las partes descartadas y retenidas del nombre de usuario original; No hay ningún delimitador predeterminado. La parte del nombre a la derecha del delimitador seleccionado se descarta junto con el delimitador. Al configurar varios delimitadores, una estructura de nombre de usuario determinada puede dar lugar a diferentes nombres de usuario modificados. Puede configurar la dirección en la que se analiza el nombre original para determinar qué delimitador marca el límite. De forma predeterminada, la dirección del análisis es de izquierda a derecha.

Considere los siguientes ejemplos:

  • Especifique un delimitador, @. El nombre de usuario es user1@example.com. En este caso, la dirección del análisis no importa. En cualquier caso, se encuentra el delimitador único y example.com descarta. El nombre de usuario modificado es user1.

  • Especifique un delimitador, @. El nombre de usuario es user1@test@example.com. En este caso, la dirección del análisis da como resultado nombres de usuario diferentes.

    • La dirección del análisis es de izquierda a derecha: la @ más a la izquierda se identifica como el delimitador y test@example.com se descarta. El nombre de usuario modificado es user1.

    • La dirección del análisis es de derecha a izquierda: la @ más a la derecha se identifica como el delimitador y example.com se descarta. El nombre de usuario modificado es user1@test.

  • Especifique dos delimitadores, @ y /. El nombre de usuario es user1@bldg1/example.com. La dirección del análisis da como resultado diferentes nombres de usuario.

    • La dirección del análisis es de izquierda a derecha: la @ se identifica como el delimitador y se descarta bldg1/example.com. El nombre de usuario modificado es user1.

    • La dirección del análisis es de derecha a izquierda: / se identifica como el delimitador y example.com se descarta. El nombre de usuario modificado es user1@bldg1.

Puede configurar un perfil de acceso de suscriptor para que una parte de cada cadena de inicio de sesión de suscriptor se elimine y, posteriormente, un servidor AAA externo lo use como nombre de usuario modificado para la autenticación de sesión y la contabilidad. El nombre de usuario modificado aparece, por ejemplo, en los mensajes RADIUS Access-Request, Acct-Start y Acct-Stop, así como en las solicitudes de desconexión iniciadas por RADIUS y en las solicitudes de cambio de autorización (CoA).

Beneficios de la modificación del nombre de usuario del suscriptor

  • Permite a los proveedores de servicios de red mayorista de capa 2 dirigir fácilmente a los suscriptores a la red empresarial minorista adecuada.

Ver también

Opciones de tiempo de espera de sesión del suscriptor

Las opciones de tiempo de espera de la sesión del suscriptor le permiten establecer límites al acceso del suscriptor en función del tiempo que la sesión ha estado activa, el tiempo que el usuario ha estado inactivo o ambos. Las opciones de sesión de suscriptor se aplican tanto a las sesiones de suscriptor con túnel L2TP como a las terminadas en PPP. Para los suscriptores DHCP, el tiempo de espera de la sesión limita el tiempo de concesión DHCP.

Nota:

Para configurar los atributos de tiempo de espera en RADIUS, consulte la documentación del servidor RADIUS.

Para configurar las limitaciones en las sesiones de suscriptor, configure las opciones de sesión en el perfil de cliente que se aplican al suscriptor:

  • Cancele el suscriptor cuando expire el tiempo de espera de la sesión configurada, independientemente de la actividad.

  • Finalice el suscriptor cuando no haya tráfico de datos de entrada o salida mientras dure el tiempo de espera de inactividad configurado.

  • Cancelar el suscriptor cuando no haya tráfico de datos de entrada durante el tiempo de espera de inactividad configurado; Ignorar el tráfico de salida.

Por ejemplo, para configurar las opciones de tiempo de espera de sesión en el perfil de acc-prof cliente, especificando un tiempo de espera de inactividad de 15 minutos, que solo se supervise el tráfico de entrada y que se agote el tiempo de espera de la sesión después de 120 minutos:

Limitar el número de sesiones activas por nombre de usuario y perfil de acceso

Puede controlar el grado en que los suscriptores legítimos pueden compartir sus credenciales de inicio de sesión limitando el número de sesiones de suscriptor activo que se permiten para un nombre de usuario específico asociado con un perfil de acceso.

Para limitar el número de sesiones activas por nombre de usuario y perfil de acceso:

  • [edit access profile profile-name]
user@host# set session-limit-per-username number

Por ejemplo, para establecer el número máximo de sesiones activas por nombre de usuario en cinco para el perfil de acceso isp-weg-4:

Puede usar el comando para ver estadísticas de show network-access aaa statistics session-limit-per-username sesiones activas y solicitudes bloqueadas.

Puede usar el clear network-access aaa statistics session-limit-per-username username comando como ayuda para la depuración borrando las estadísticas de solicitudes bloqueadas para cualquiera de los siguientes casos:

  • Para todos los nombres de usuario en todos los perfiles de acceso.

  • Para un nombre de usuario específico en todos los perfiles de acceso.

  • Para un nombre de usuario específico en un perfil de acceso específico.

  • Para todos los nombres de usuario de un perfil de acceso específico.

Configuración de la modificación del nombre de usuario para sesiones de suscriptor

Puede usar las opciones de sesión del suscriptor para establecer parámetros que modifiquen el nombre de usuario de un suscriptor al iniciar sesión en función del perfil de acceso del suscriptor. Esta modificación también se denomina eliminación de nombre de usuario, porque algunos de los caracteres del nombre de usuario se eliminan y se descartan. El resto de la cadena se convierte en el nuevo nombre de usuario modificado. Un servidor AAA externo utiliza el nombre de usuario modificado para la autenticación de sesión y la contabilidad. Esta capacidad puede ser útil, por ejemplo, en implementaciones mayoristas de capa 2, donde los proveedores de servicios de red emplean la modificación del nombre de usuario para dirigir a los suscriptores a la red empresarial minorista adecuada.

Los parámetros de modificación se aplican de acuerdo con un perfil de acceso de suscriptor que también determina el contexto de suscriptor y sesión; es decir, la instancia lógica system:routing (LS:RI) utilizada por el suscriptor. Solo se admite el sistema lógico predeterminado (primario). Debido a que el mayorista diferencia entre múltiples minoristas colocando cada uno en un LS: RI diferente, los nombres de usuario se modifican adecuadamente para cada minorista.

Puede seleccionar hasta ocho caracteres como delimitadores para marcar el límite entre las partes descartadas y retenidas del nombre de usuario original; No hay ningún delimitador predeterminado. La parte del nombre a la derecha del delimitador seleccionado se descarta junto con el delimitador. Al configurar varios delimitadores, una estructura de nombre de usuario determinada puede dar lugar a diferentes nombres de usuario modificados. Puede configurar la dirección en la que se analiza el nombre original para determinar qué delimitador marca el límite. De forma predeterminada, la dirección del análisis es de izquierda a derecha.

Para configurar la modificación del nombre de usuario:

  1. Defina un perfil que conste de un conjunto de opciones AAA para autorizar y configurar un suscriptor o un conjunto de suscriptores con un perfil de acceso de suscriptor.
    1. Especifique el nombre del perfil de acceso de suscriptor que incluye la configuración de eliminación de nombres de usuario.
    2. (Opcional) Especifique la instancia logical-system:routing-instance (LS:RI) que la sesión del suscriptor utiliza para las interacciones AAA (RADIUS), como la autenticación y la contabilidad. Por ejemplo, esto puede corresponder al LS:RI para un ISP minorista que proporciona servicios al suscriptor.
    3. (Opcional) Especifique la instancia logical-system:routing-instance (LS:RI) en la que se coloca la interfaz del suscriptor. Por ejemplo, esto puede corresponder a la interfaz orientada a ALC en el LNS a la que acceden todas las solicitudes desde la residencia de un suscriptor.
  2. Configure las opciones de sesión en el perfil de acceso que especifican cómo se eliminan los nombres de usuario.
    1. Especifique uno o más delimitadores para marcar el límite entre las partes descartadas y retenidas del nombre de usuario original.
    2. (Opcional) Especifique la dirección en la que se examina el nombre de usuario original para encontrar un delimitador. La dirección predeterminada es de izquierda a derecha.
  3. (Opcional) Especifique que las opciones AAA se realizan por interfaz cuando se autentican los suscriptores dinámicos.
  4. (Opcional) Especifique que las opciones AAA forman parte de las opciones PPP en un perfil de grupo que se aplica a los suscriptores PPP tunelizados en el LNS.

En el ejemplo siguiente, el perfil de opciones AAA, aaa1, especifica un perfil de acceso de suscriptor, entA, para suscriptores en el sistema lógico predeterminado y la instancia de enrutamiento 1. El perfil de acceso, entA, especifica que los nombres de usuario se examinan de izquierda a derecha hasta que se encuentra el delimitador, @. El perfil de opciones AAA se aplica a los suscriptores PPP tunelizados que pertenecen al perfil de grupo, FD1.

Dada esa configuración, supongamos que un suscriptor intenta iniciar sesión con el nombre de usuario user1@example.com. Cuando se examina este nombre, el delimitador y la cadena example.com se descartan, dejando un nombre de usuario modificado de user1. Tenga en cuenta que el resultado es el mismo si la dirección del análisis se establece para examinar el nombre de derecha a izquierda, porque solo se define un delimitador y solo uno está presente en el nombre de usuario original.

Ahora supongamos que el suscriptor inicia sesión con el nombre de usuario, user1@test@example.com. Para un nombre de usuario como este, la dirección de análisis hace una diferencia en el nombre de usuario modificado. La configuración determina que la primera instancia del delimitador @ se encuentre primero, ya que el nombre se analiza de izquierda a derecha. Este delimitador y la cadena test@example.com se descartan, dejando user1 como nombre de usuario modificado.

¿Qué sucede cuando la configuración establece una dirección de análisis diferente?

En este caso, para el nombre de usuario user1@test@example.com, se identifica la segunda instancia del delimitador y se descarta con la cadena @example.com. El nombre de usuario modificado es user1@test.

Puede lograr los mismos resultados de diferentes nombres de usuario modificados en función de la dirección del análisis configurando más de un delimitador que en la siguiente configuración, donde se especifican dos delimitadores, @ y /.

Para el nombre de usuario user1@bldg1/example.com, al analizar de izquierda a derecha se identifica primero el delimitador @ y el nombre de usuario modificado es user1. Analizando de derecha a izquierda en su lugar, identifica primero el delimitador / y lo elimina con la cadena example.com, dejando un nombre de usuario modificado de user1@bldg1.

Ver también

Eliminación de VLAN de suscriptores dinámicos inactivos

Los tiempos de espera de la sesión del suscriptor le permiten establecer límites al acceso del suscriptor en función del tiempo que la sesión ha estado activa, cuánto tiempo ha estado inactivo el usuario o ambos. En las configuraciones que utilizan VLAN de suscriptor creadas dinámicamente, el tiempo de espera de inactividad también:

  • Elimina las VLAN de suscriptores inactivos cuando se alcanza el umbral de inactividad.

  • Elimina las VLAN dinámicas cuando nunca se crearon sesiones de cliente (por ejemplo, en caso de que no se creen sesiones de cliente en la VLAN dinámica o de que se produzca un error durante la creación de la sesión o la autenticación del cliente cuando no se crean sesiones de cliente en la VLAN dinámica).

Nota:

Los tiempos de espera de sesión normalmente no se utilizan para eliminar VLAN de suscriptores dinámicos. El tiempo de espera puede ser útil solo en casos de uso muy limitados. Un caso podría ser cuando las VLAN dinámicas no tienen un protocolo de capa superior que ayude a determinar cuándo se elimina la VLAN con la remove-when-no-subscribers instrucción; por ejemplo, cuando la VLAN admite IP a través de Ethernet sin DHCP en un modelo de acceso empresarial con direcciones fijas.
Nota:

Para configurar el atributo de tiempo de espera de inactividad en RADIUS, consulte la documentación del servidor RADIUS.

Para eliminar VLAN de suscriptores dinámicos inactivos:

  1. Edite las opciones de sesión para el perfil de acceso del enrutador.
  2. Configure el período máximo que una sesión de suscriptor puede permanecer inactiva.

Documentación relacionada

Tabla de historial de cambios

La compatibilidad con las funciones viene determinada por la plataforma y la versión que esté utilizando. Utilice el Explorador de características para determinar si una característica es compatible con su plataforma.

Lanzamiento
Descripción
19.4R1
A partir de Junos OS versión 19.4R1, el atributo Session-Timeout [27] se admite en los mensajes RADIUS CoA.
18.4R1
A partir de Junos OS versión 18.4R1, puede controlar o impedir el uso compartido de credenciales de inicio de sesión limitando el número de sesiones de suscriptor activas que se permiten para un nombre de usuario específico asociado a un perfil de acceso.