Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

예를 들면 다음과 같습니다. 802.1X 또는 MAC 인증 지원 인터페이스의 여러 서플리컨트에 방화벽 필터를 RADIUS 적용

EX 시리즈 스위치에서 802.1X 또는 MAC RADIUS 인증을 지원 인터페이스에 적용하는 방화벽 필터는 스위치에서 스위치로 전송되는 사용자당 정책과 RADIUS 수 있습니다. 이 스위치는 내부 로직을 사용하여 인터페이스 방화벽 필터를 RADIUS 서버의 사용자 정책과 동적으로 결합하고 인터페이스에서 인증된 여러 사용자 또는 비방위 호스트 각각에 대해 개별화된 정책을 생성합니다.

다음 예제에서는 802.1X 기반 인터페이스에서 여러 서플리컨트에 대해 동적 방화벽 필터를 어떻게 생성하는지 설명합니다(이 예에서와 동일한 원칙은 MAC RADIUS 인증에 사용 가능한 인터페이스에 적용됩니다.

요구 사항

이 예에서는 다음과 같은 하드웨어 및 소프트웨어 구성 요소를 활용합니다.

  • Junos OS EX 시리즈 스위치용 릴리스 9.5 이상

  • 1대의 EX 시리즈 스위치

  • 1대의 RADIUS 인증 서버. 인증 서버는 백END 데이터베이스로 실행하며 네트워크에 연결할 수 있는 권한을 가지는 호스트(서플리컨트)에 대한 자격 증명 정보를 포함합니다.

여러 서플리컨트와 함께 사용할 수 있는 인터페이스에 방화벽 필터를 적용하기 전에 다음을 사용하는지 확인하십시오.

개요 및 토폴로지

토폴로지

인터페이스의 802.1X 구성이 여러 서플리던트 모드로 설정되는 경우, 이 시스템은 인증 동안 인터페이스 방화벽 필터와 인증 동안 RADIUS 스위치에서 스위치로 전송되는 사용자 정책을 동적으로 결합하고 각 사용자에게 별도의 용어를 만듭니다. 인터페이스에서 인증된 각 사용자에 대해 별도의 용어가 있기 때문에 이 예에서와 같이 카운터를 사용하여 동일한 인터페이스에서 인증된 개별 사용자의 활동을 볼 수 있습니다.

인터페이스에서 새로운 사용자(또는 비통신 호스트)가 인증된 경우, 시스템은 인터페이스와 연관된 방화벽 필터에 용어를 추가하고 각 사용자에 대한 용어(정책)는 사용자의 MAC 주소와 연결됩니다. 각 사용자에 대한 용어는 RADIUS 인터페이스에 구성된 필터에 설정된 사용자별 필터를 기반으로 합니다. 예를 들어, 에 표시된 바와 같이 사용자1이 EX 시리즈 스위치에 의해 인증된 경우 시스템은 방화벽 그림 1 필터를 dynamic-filter-example 생성합니다. User2가 인증된 경우 방화벽 필터에 또 다른 용어가 추가됩니다.

그림 1: 개념 모델: 각 신규 사용자를 위해 업데이트된 동적 필터개념 모델: 각 신규 사용자를 위해 업데이트된 동적 필터

이는 내부 프로세스의 개념적 모델입니다. 동적 필터에 액세스하거나 볼 수 없습니다.

주:

사용자(또는 비통신 호스트)가 인증된 후 인터페이스의 방화벽 필터가 수정되는 경우, 사용자가 재인식되지 않는 한 변경된 내용이 동적 필터에 반영되지 않습니다.

다음 예제에서 서브넷에 위치한 파일 서버의 인터페이스에서 인증된 각 엔드포인트가 요청을 카운트하도록 방화벽 필터를 구성하고 트래픽 속도 제한을 위해 Policer 정의를 설정합니다. 이 예에서는 네트워크 토폴로지가 ge-0/0/2192.0.2.16/28그림 2 표시되어 있습니다.

그림 2: 802.1X 지원 인터페이스의 다중 서플리컨트 파일 서버 연결802.1X 지원 인터페이스의 다중 서플리컨트 파일 서버 연결

구성

802.1X 지원 인터페이스에서 여러 서플리컨트에 대한 방화벽 필터를 구성하는 방법:

여러 서플리컨트가 있는 인터페이스에서 방화벽 필터 구성

CLI 빠른 구성

802.1X 지원 인터페이스의 여러 서플리컨트에 대한 방화벽 필터를 신속하게 구성하기 위해 다음 명령을 복사하여 스위치 터미널 창에 붙여넣기:

단계별 절차

여러 서플리컨트에 사용할 수 있는 인터페이스에서 방화벽 필터를 구성하기 위해:

  1. 다중 ge-0/0/2 서플리전트 모드 인증을 위한 인터페이스 구성:

  2. Policer 정의 설정:

  3. 방화벽 필터를 구성하여 각 사용자로부터 패킷을 카운트하고 트래픽 속도 제한을 하는 Policer를 구성합니다. 새 사용자가 여러 서플리전트 인터페이스에서 인증되면 이 필터 용어는 사용자를 위해 동적으로 생성된 용어에 포함됩니다.

결과

구성의 결과를 확인:

확인

구성이 올바르게 작동하고 있는지 확인하려면 다음 작업을 수행합니다.

다중 서플리컨트가 있는 인터페이스에서 방화벽 필터 검증

목적

여러 서플리컨트가 있는 인터페이스에서 방화벽 필터가 작동하고 있는지 검증합니다.

실행

  1. 인터페이스에서 인증된 한 사용자가 결과를 검사합니다. 이 경우 사용자는 다음에 대한 인증을 통해 ge-0/0/2 인증됩니다.

  2. 두 번째 사용자인 User2가 동일한 인터페이스에서 인증된 경우 필터에 인터페이스에서 인증된 두 사용자에 대한 결과가 포함되어 있는지 확인할 ge-0/0/2 수 있습니다.

의미

명령 출력에 의해 표시되는 결과는 각 새 사용자의 인증을 통해 생성된 동적 show dot1x firewall 필터를 반영합니다. User1은 지정된 대상 주소에 위치한 파일 서버에 100회 액세스한 반면, User2는 동일한 파일 서버에 400회 액세스했습니다.