初めに
本ドキュメントでは、C1111 で authentication timer inactivity コマンドを設定時に Inactivity timer が動作しない事例についてご紹介します。
※本ドキュメントはC1111-4P、Software Version 17.9.3 にて動作確認を行っています
事象
C1111にてDot1xやMABを利用している環境で、C1111とクライアントPCの間にHUBが利用されるケースがあります。
* 本記事ではMABにて動作確認を行っています
[構成例]
[C1111] --- [HUB] --- [クライアントPC]
C1111で Inactivity timer を有効にするため authentication timer inactivity コマンドを設定しているにも関わらず、コマンドで指定した時間が経過してもクライアントPCの認証セッション情報がC1111に残り続けます。
[C1111 設定例]
interface GigabitEthernet0/1/1
switchport access vlan 1310
switchport mode access
no snmp trap link-status
authentication host-mode multi-auth
authentication order mab
authentication port-control auto
authentication periodic
authentication timer reauthenticate 120
authentication timer inactivity 30 <<<<<<<<<<<<<<<<<<<<
authentication violation restrict
mab
dot1x pae authenticator
spanning-tree portfast
また、類似の問題として下記ドキュメントなども公開されております。
原因
C1111を含むISR1Kシリーズでは authentication timer inactivity コマンドが現在サポートされていないためとなります。
注意: コマンドは設定可能ですが、実際には動作しません。
この問題はISR1Kシリーズの実装としてサポートされていないことが報告されております。
また、この動作については下記URLにも記載がございますのでご確認ください。
なお、この問題に対し既に下記機能拡張リクエストが登録されてるため、将来的にサポートされる可能性はございます。
回避策
C1111では Inactivity timer が動作しないことから、C1111とクライアントPCの間にHUBが利用されているケースでは有効な回避策はありません。HUBを利用される場合はC1111ではなく authentication timer inactivityコマンド をサポートしているCatalyst などのご利用をご検討ください。
なお、手動で clear authentication sessions コマンドを実施頂くことで不要なPCの認証セッション情報を削除することは可能です。
参考