En este articulo vamos a revisar como ajustar Session Timeout en SSID WLC Cisco, en algunos casos el timeout se agrega por default cuando se crea un nuevo SSID, este valor suele ser con un tiempo de 1800 segundos y en algunos casos este parámetro se requiere actualizar según la necesidad del negocio.
El timeout es el parámetro que hace que el dispositivo cliente realice una re-asociación y autenticación en la red Wireless, en este periodo el dispositivo cliente suele presentar una breve desconexión y en algunos casos puede ser imperceptible.
Pasos para ajustar Session Timeout en SSID WLC
Nos conectamos a la WLC y en el SSID donde se requiere ajustar el Timeout
MONITOR > WLANs > [SSID donde se realizará el ajuste]
En este ejemplo usare el SSID o WLAN llamada Prueba1
Ingresamos al apartado Advanced
Como vemos en la imagen el valor por defecto en el apartado Enable Session Timeout con un valor de 1800 Segundos.
Para desactivar este parámetro, quitamos la selección del checkbox y aplicamos cambios.
NOTA: Al realizar este ajuste, se va a tener un impacto de unos segundos sobre los clientes conectados en el SSID o WLAN, tener esto en cuenta cuando se requiera aplicar.
Para realizar un ajuste en periodos de tiempos, es realizar el cálculo del tiempo en segundos.
En el siguiente ejemplo, vamos a configurar el tiempo de 3 horas, cada 3 horas los clientes van a tener que re-autenticarse.
Activamos el checkbox y configuramos 10800 segundos que equivalen a 3 horas, aplicamos cambios y guardamos configuración.
Con esto podemos evaluar la necesidad de tener este parámetro en alguna WLAN o SSID según se requiera.
¿Como se define Session Timeout en SSID WLC?
Puede configurar una WLAN con Session Timeout. Session Timeout es el tiempo máximo para que una sesión de cliente permanezca activa antes de requerir una nueva autorización. Si una WLAN está configurada con seguridad de Capa 2, por ejemplo, WPA2-PSK, y también se configura una autenticación de Capa 3, el valor de tiempo de espera de la sesión WLAN se anula con el valor de tiempo de espera de reautenticación dot1x. Si el valor del tiempo de espera de reautenticación de apf es mayor que 65535, el Session Timeout de la WLAN se establece de forma predeterminada en 65535; de lo contrario, el valor de tiempo de espera de reautenticación dot1x configurado se aplica como el Session Timeout de la WLAN.
El rango de tiempo de espera de sesión configurable es:
-300-86400 para 802.1X (EAP)
-0-65535 para todos los demás tipos de seguridad
¿Como se define Disabled Client?
Puede configurar un tiempo de espera para los clientes deshabilitados. Los clientes que no logran autenticarse tres veces cuando intentan asociarse quedan automáticamente inhabilitados para futuros intentos de asociación. Una vez que expira el período de tiempo de espera, el cliente puede volver a intentar la autenticación hasta que se asocie o falle la autenticación y se excluya nuevamente.
¿Qué es User Idle Timeout?
Elimina el cliente después de que haya estado inactivo durante más tiempo que el umbral configurado o predeterminado. También se puede establecer un umbral de tráfico. Si no se alcanza el umbral de tráfico dentro del tiempo especificado, el cliente será eliminado.
Curiosamente, el tiempo de espera de inactividad del usuario es cronometrado por el AP y reinicia el temporizador cada vez que se recibe RX/TX. Cuando el temporizador expire, se notificará al WLC.
Para ver el temporizador de tiempo de espera inactivo del usuario, podemos usar el comando “show controllers dot11Radio 0/1 client “. Como podemos ver en lo que se ha documentado, son diferentes opciones los que se pueden utilizar para tener control de las conexiones de los clientes y no tener dispositivos conectados o asociados a la red wireless que no estén usando los servicios de manera real. Puedes revisar que opciones son las que conviene utilizar en tu ambiente de trabajo y según tu necesidad.
Antes del ajuste de cualquier parámetro en la wlc recomendamos realizar un respaldo de la configuración.
Me considero una persona apasionada por la tecnología y/o todo lo relacionado a servicios de TI, me gusta conocer un poco mas de todo lo nuevo que va saliendo y que puede hacer las cosas más sencillas y seguras, lo que busco plasmar en mis artículos es una manera sencilla de entender las cosas que he aprendido con el paso del tiempo y tratar de compartir un poco mas a detalle de algunos procesos y estructuras de TI.
Soy Ingeniero en Sistemas con certificaciones en redes Cisco, comparto lo poco o mucho de mi experiencia en el mundo de las tecnologías.
Es un goce encontrar a alguien que realmente sabe lo que están hablando en la red . Con seguridad, que sabes cómo llevar articulo a la luz y que sea interesante. Más gente tiene que leer esto.