Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

향상된 LAN 모드에서 MX 시리즈 라우터를 위한 802.1X 개요

IEEE 802.1X는 Junos os Release 14.2부터 네트워크 에지 보안을 제공하여 승인되지 않은 사용자 액세스로부터 이더넷 LAN을 보호합니다. 802.1X, MAC RADIUS 또는 캡티브 포털 등 여러 다른 인증 방법을 사용하여 MX 시리즈 라우터를 통해 네트워크에 대한 액세스를 제어할 수 있도록 지원이 구현됩니다.

이 기능은 강화된 LAN 모드의 MX240, MX480 및 MX960 라우터의 MPC에서 지원됩니다.

  • 100기가비트 이더넷 포트 2개 및 10기가비트 이더넷 포트 8개를 갖춘 MPC4E

  • 32개의 10기가비트 이더넷 포트가 있는 MPC4E

  • QSFP+ 포함 2포트 40기가비트 이더넷 MIC가 포함된 MPC3E

  • 40개의 1기가비트 이더넷 포트 또는 20개의 1기가비트 이더넷 포트를 갖춘 MPC1E

라우터에서 향상된 LAN 모드를 구성하거나 삭제할 때 라우터를 재부팅해야 합니다. 옵션 구성은 network-services lan 시스템이 향상된 IP 모드에서 실행 중임을 의미합니다. MX-LAN 모드에서 작동하도록 디바이스를 구성할 때 이 모드에서 활성화 또는 확인할 수 있는 지원되는 구성 명령문 및 운영 show 명령어만 CLI 인터페이스에 표시됩니다. 시스템에 구성 파일의 MX-LAN 모드에서 지원되지 않는 매개 변수가 포함되어 있는 경우 해당 지원되지 않는 속성을 커밋할 수 없습니다. 지원되지 않는 설정을 제거한 다음 구성을 커밋해야 합니다. CLI 커밋이 성공하면 속성의 효과를 발휘하려면 시스템 재부팅이 필요합니다. 마찬가지로 명령문을 network-services lan 제거하는 경우 시스템은 MX-LAN 모드에서 실행되지 않습니다. 따라서 MX-LAN 모드 외부에서 지원되는 모든 설정이 표시되며 CLI 인터페이스에서 정의할 수 있습니다. 구성 파일에 MX-LAN 모드에서만 지원되는 설정이 포함되어 있는 경우 구성을 커밋하기 전에 해당 속성을 제거해야 합니다. CLI 커밋이 성공하면 CLI 설정이 적용되기 위해서는 시스템 재부팅이 필요합니다. 레이어 2 차세대 CLI 구성 설정은 MX-LAN 모드에서 지원됩니다. 이에 따라 일반적인 MX Series CLI 구성 형식은 MX-LAN 모드에서 다를 수 있습니다.

이 기능은 향상된 LAN 모드에서 작동하는 MX 시리즈 Virtual Chassis 조합에서 지원됩니다(계층 수준에서 명령 [edit chassis] 문을 입력 network-services lan 함). 포트 기반 네트워크 액세스 제어는 MX-LAN 모드와 비MX-LAN 모드 모두에서 MPC를 갖춘 MX240, MX480 및 MX960 라우터에서 지원됩니다(이 라우터의 MPC에서는 다른 지원 네트워크 서비스 모드에서 지원됨). 이더넷 인터페이스에서 IEEE 802.1x 포트 기반 네트워크 액세스 제어(PNAC) 프로토콜을 구성하려면 계층 수준에서 명령문을 [edit protocols authentication-access- control] 구성 authenticator 해야 합니다. 또한 라우터에서 캡티브 포털 인증을 구성하여 스위치에 연결된 사용자가 네트워크에 액세스하기 전에 인증을 받을 수 있습니다. 또한 Junos Pulse Access Control Service를 액세스 정책으로 구성하여 네트워크에 접속하고 보호되는 네트워크 리소스에 액세스할 수 있도록 스위치에 연결된 사용자를 인증 및 인증할 수 있습니다 uac-policy .

802.1X 인증의 작동 방식

802.1X 인증은 Authenticator 포트 액세스 엔티티 (스위치)를 사용하여 서플리컨트의 자격 증명이 인증 서버(RADIUS 서버 )에 표시되고 일치할 때까지 포트에서 서플리컨트(최종 디바이스)를 오가는 모든 트래픽을 차단함으로써 작동합니다. 인증되면 스위치가 트래픽 차단을 중지하고 신청자에게 포트를 엽니다.

엔드 디바이스는 단일 모드, 단일 보안 모드 또는 여러 모드에서 인증됩니다.

  • single—첫 번째 최종 디바이스만 인증합니다. 나중에 포트에 연결하는 다른 모든 엔드 디바이스는 추가 인증 없이 전체 액세스가 허용됩니다. 최종 디바이스의 인증에서 효과적으로 "피기백(piggyback)"을 합니다.

  • single-secure—단 하나의 엔드 디바이스만 포트에 연결할 수 있습니다. 첫 번째 장치가 로그아웃될 때까지 다른 엔드 디바이스는 연결할 수 없습니다.

  • multiple—여러 엔드 디바이스가 포트에 연결할 수 있도록 지원합니다. 각 엔드 디바이스는 개별적으로 인증됩니다.

VLAN 및 방화벽 필터를 사용하여 네트워크 액세스를 추가로 정의할 수 있습니다. 이 두 필터는 엔드 디바이스 그룹을 필요한 LAN 영역과 분리하고 일치시키는 필터 역할을 합니다. 예를 들어 다음과 같은 유형의 인증 실패를 처리하도록 VLAN을 구성할 수 있습니다.

  • 최종 디바이스가 802.1X 지원인지 여부

  • MAC RADIUS 인증이 호스트가 연결된 스위치 인터페이스에서 구성되었는지 여부

  • RADIUS 인증 서버를 사용할 수 없게 하든 RADIUS 액세스 거부 메시지를 전송하는지 여부 CONfiguring RADIUS Server Fail Fallback(CLI Procedure)을 참조하십시오.

802.1X 기능 개요

주:

MX 시리즈 라우터에서 사용할 수 있는 802.1X 기능은 사용 중인 스위치에 따라 달라집니다.

주니퍼 네트웍스 MX 시리즈 라우터의 802.1X 기능은 다음과 같습니다.

  • 게스트 VLAN—호스트가 연결된 스위치 인터페이스에서 MAC RADIUS 인증이 구성되지 않은 경우 802.1X를 지원하지 않는 비개입 엔드 디바이스에 대해 일반적으로 인터넷에만 LAN에 대한 제한된 액세스를 제공합니다. 또한 게스트 VLAN을 사용하여 게스트 사용자를 위해 LAN에 대한 제한된 액세스를 제공할 수 있습니다. 일반적으로 게스트 VLAN은 인터넷과 다른 게스트의 엔드 디바이스에만 액세스를 제공합니다.

  • 서버 거부 VLAN—802.1X를 지원하지만 잘못된 자격 증명을 전송한 응답 엔드 디바이스에 대해 일반적으로 인터넷에만 LAN에 대한 제한된 액세스를 제공합니다.

  • 서버 장애 VLAN—RADIUS 서버 타임아웃 동안 일반적으로 인터넷에만 LAN에 대한 제한된 액세스를 802.1X 엔드 디바이스에 제공합니다.

  • 동적 VLAN—인증 후 최종 디바이스가 VLAN의 구성원이 되도록 동적으로 지원합니다.

  • 프라이빗 VLAN—PVLAN(Private VLAN)의 구성원인 인터페이스에서 802.1X 인증 구성을 지원합니다.

  • 사용자 세션에 대한 동적 변경—스위치 관리자가 이미 인증된 세션을 종료할 수 있도록 지원합니다. 이 기능은 RFC 3576에 정의된 RADIUS Disconnect Message의 지원을 기반으로 합니다.

  • RADIUS 회계—회계 정보를 RADIUS 회계 서버로 보냅니다. 가입자가 로그인하거나 로그아웃할 때마다, 그리고 가입자가 구독을 활성화하거나 비활성화할 때마다 회계 정보가 서버로 전송됩니다.

802.1X 인증과 관련된 지원 기능

802.1X는 다른 보안 기술을 대체하지 않습니다. 802.1X는 DHCP 스누핑, DAI(Dynamic ARP Inspection), MAC 제한과 같은 포트 보안 기능과 함께 작동하여 스푸핑을 차단합니다.

인증과 관련된 지원 기능은 다음과 같습니다.

  • 정적 MAC 바이패스—802.1X 지원되지 않은 디바이스(예: 프린터)를 인증하기 위한 우회 메커니즘을 제공합니다. 정적 MAC 바이패스는 이러한 디바이스를 802.1X 지원 포트에 연결하여 802.1X 인증을 우회합니다.

  • MAC RADIUS 인증—802.1X 인증이 활성화되었는지 여부에 관계없이 MAC 인증을 활성화 또는 비활성화하는 방법을 제공합니다.

출시 내역 표
릴리스
설명
14.2
IEEE 802.1X는 Junos os Release 14.2부터 네트워크 에지 보안을 제공하여 승인되지 않은 사용자 액세스로부터 이더넷 LAN을 보호합니다. 802.1X, MAC RADIUS 또는 캡티브 포털 등 여러 다른 인증 방법을 사용하여 MX 시리즈 라우터를 통해 네트워크에 대한 액세스를 제어할 수 있도록 지원이 구현됩니다.