Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

향상된 LAN 모드의 MX 시리즈 라우터용 802.1X 개요

Junos OS 릴리스 14.2부터 IEEE 802.1X는 네트워크 에지 보안을 제공하여 무단 사용자 액세스로부터 이더넷 LAN을 보호합니다. 802.1X, MAC RADIUS 또는 캡티브 포털과 같은 여러 가지 인증 방법을 사용하여 MX 시리즈 라우터를 통해 네트워크에 대한 액세스를 제어하기 위한 지원이 구현됩니다.

이 기능은 향상된 LAN 모드의 MX240, MX480 및 MX960 라우터의 다음 MPC에서 지원됩니다.

  • 100기가비트 이더넷 포트 2개와 10기가비트 이더넷 포트 8개가 있는 MPC4E

  • 32개의 10기가비트 이더넷 포트가 있는 MPC4E

  • QSFP+를 지원하는 2포트 40기가비트 이더넷 MIC가 포함된 MPC3E

  • 40개의 1기가비트 이더넷 포트 또는 20개의 1기가비트 이더넷 포트가 있는 MPC1E

라우터에서 향상된 LAN 모드를 구성하거나 삭제할 때 라우터를 재부팅해야 합니다. 옵션을 구성한다는 것은 시스템이 향상된 IP 모드에서 실행 중임을 의미합니다.network-services lan MX-LAN 모드에서 작동하도록 디바이스를 구성하면 이 모드에서 활성화하거나 볼 수 있는 지원되는 구성 명령문과 운영 show 명령만 CLI 인터페이스에 표시됩니다. 시스템에 구성 파일의 MX-LAN 모드에서 지원되지 않는 매개 변수가 포함되어 있는 경우 지원되지 않는 속성을 커밋할 수 없습니다. 지원되지 않는 설정을 제거한 다음 구성을 커밋해야 합니다. CLI 커밋이 성공한 후 속성이 적용되려면 시스템 재부팅이 필요합니다. 마찬가지로 문을 제거하면 시스템이 MX-LAN 모드에서 실행되지 않습니다.network-services lan 따라서 MX-LAN 모드 외부에서 지원되는 모든 설정이 표시되고 CLI 인터페이스에서 정의할 수 있습니다. 구성 파일에 MX-LAN 모드에서만 지원되는 설정이 포함되어 있는 경우 구성을 커밋하기 전에 해당 속성을 제거해야 합니다. CLI 커밋에 성공한 후 CLI 설정을 적용하려면 시스템을 재부팅해야 합니다. 레이어 2 차세대 CLI 구성 설정은 MX-LAN 모드에서 지원됩니다. 그 결과, CLI 구성의 일반적인 MX 시리즈 형식은 MX-LAN 모드에서 다를 수 있습니다.

이 기능은 향상된 LAN 모드(계층 수준에서 명령문 입력 )에서 작동하는 MX 시리즈 Virtual Chassis 조합에서 지원됩니다.network-services lan[edit chassis] 포트 기반 네트워크 액세스 제어는 MX-LAN 모드와 비 MX-LAN 모드 모두에서 MPC가 있는 MX240, MX480 및 MX960 라우터에서 지원됩니다(이러한 라우터의 MPC에서 지원되는 다른 네트워크 서비스 모드 포함). 이더넷 인터페이스에서 IEEE 802.1x 포트 기반 네트워크 액세스 제어(PNAC) 프로토콜을 구성하려면 계층 수준에서 문을 구성해야 합니다.authenticator[edit protocols authentication-access- control] 또한 라우터에서 캡티브 포털(captive portal) 인증을 구성하여 스위치에 연결된 사용자가 네트워크 액세스를 허용하기 전에 인증되도록 할 수 있습니다. 또한 Junos Pulse Access Control Service를 액세스 정책으로 구성하여 스위치에 연결된 사용자가 네트워크에 입장하고 문을 사용하여 보호된 네트워크 리소스에 액세스할 수 있도록 인증하고 권한을 부여할 수 있습니다.uac-policy

802.1X 인증 작동 방식

802.1X 인증은 신청자의 자격 증명이 제시되고 (RADIUS 서버)에서 일치할 때까지 포트에서 신청자(종단 디바이스)와 주고 받는 모든 트래픽을 차단하기 위해 (스위치)를 사용하여 작동합니다.Authenticator Port Access EntityAuthentication server 인증되면 스위치가 트래픽 차단을 중단하고 인증 요청자에 대한 포트를 개방합니다.

최종 디바이스는 모드, 모드 또는 모드 중 하나로 인증됩니다.singlesingle-securemultiple

  • single- 첫 번째 종단 디바이스만 인증합니다. 나중에 포트에 연결하는 다른 모든 종단 디바이스는 추가 인증 없이 모든 권한이 허용되며, 최종 장치의 인증에 효과적으로 "피기백"합니다.

  • single-secure- 하나의 종단 장치만 포트에 연결할 수 있습니다. 다른 종단 장치는 처음 로그아웃할 때까지 연결할 수 없습니다.

  • multiple- 여러 종단 디바이스를 포트에 연결할 수 있습니다. 각 종단 디바이스는 개별적으로 인증됩니다.

네트워크 액세스는 VLAN 및 방화벽 필터를 사용하여 추가로 정의할 수 있습니다. 두 가지 모두 최종 디바이스 그룹을 분리하고 필요한 LAN 영역에 일치시키는 필터 역할을 합니다. 예를 들어, 다음에 따라 다양한 범주의 인증 실패를 처리하도록 VLAN을 구성할 수 있습니다.

  • 종단 디바이스의 802.1X 지원 여부.

  • 호스트가 연결된 스위치 인터페이스에서 MAC RADIUS 인증이 구성되었는지 여부.

  • RADIUS 인증 서버를 사용할 수 없는지, 또는 RADIUS access-reject 메시지를 전송하는지 여부. RADIUS 서버 장애 복구 구성(CLI 절차)을 참조하십시오.

802.1X 기능 개요

주:

MX 시리즈 라우터에서 사용할 수 있는 802.1X 기능은 사용 중인 스위치에 따라 다릅니다.

주니퍼 네트웍스 MX 시리즈 라우터의 802.1X 기능은 다음과 같습니다.

  • Guest VLAN—호스트가 연결된 스위치 인터페이스에서 MAC RADIUS 인증이 구성되지 않은 경우 802.1X가 활성화되지 않은 비응답 종단 디바이스의 경우 LAN(일반적으로 인터넷에만)에 대한 제한된 액세스를 제공합니다. 또한 guest VLAN은 게스트 사용자에게 LAN에 대한 제한된 액세스를 제공하는 데 사용될 수 있습니다. 일반적으로 게스트 VLAN은 인터넷과 다른 게스트의 종단 디바이스에 대한 액세스만 제공합니다.

  • Server-reject VLAN—802.1X가 활성화되었지만 잘못된 자격 증명을 전송한 응답형 종단 디바이스의 경우 LAN(일반적으로 인터넷에만)에 대한 제한된 액세스를 제공합니다.

  • Server-fail VLAN—RADIUS 서버 시간 초과 동안 802.1X 종단 디바이스에 대해 LAN(일반적으로 인터넷에만)에 대한 제한된 액세스를 제공합니다.

  • 동적 VLAN—인증 후 종단 디바이스가 동적으로 VLAN의 구성원이 되도록 활성화합니다.

  • 프라이빗 VLAN—프라이빗 VLAN(PVLAN)의 구성원인 인터페이스에서 802.1X 인증 구성을 활성화합니다.

  • 사용자 세션에 대한 동적 변경—스위치 관리자가 이미 인증된 세션을 종료할 수 있습니다. 이 기능은 RFC 3576에 정의된 RADIUS Disconnect Message 지원을 기반으로 합니다.

  • RADIUS 어카운팅—RADIUS 어카운팅 서버에 어카운팅 정보를 전송합니다. 어카운팅 정보는 가입자가 로그인하거나 로그아웃할 때마다, 그리고 가입자가 구독을 활성화하거나 비활성화할 때마다 서버로 전송됩니다.

802.1X 인증과 관련하여 지원되는 기능

802.1X는 다른 보안 기술을 대체하지 않습니다. 802.1X는 DHCP 스누핑, 동적 ARP 검사(DAI) 및 MAC 제한과 같은 포트 보안 기능과 함께 작동하여 스푸핑을 방지합니다.

인증과 관련하여 지원되는 기능은 다음과 같습니다.

  • 정적 MAC 바이패스—802.1X가 활성화되지 않은 디바이스(예: 프린터)를 인증하기 위해 바이패스 메커니즘을 제공합니다. 정적 MAC 바이패스는 802.1X 인증을 우회하여 이러한 디바이스를 802.1X 지원 포트에 연결합니다.

  • MAC RADIUS 인증 - 802.1X 인증의 활성화 여부와 관계없이 MAC 인증을 활성화 또는 비활성화할 수 있는 수단을 제공합니다.

변경 내역 표

기능 지원은 사용 중인 플랫폼과 릴리스에 따라 결정됩니다. Feature Explorer 를 사용하여 플랫폼에서 기능이 지원되는지 확인하세요.

릴리스
설명
14.2
Junos OS 릴리스 14.2부터 IEEE 802.1X는 네트워크 에지 보안을 제공하여 무단 사용자 액세스로부터 이더넷 LAN을 보호합니다. 802.1X, MAC RADIUS 또는 캡티브 포털과 같은 여러 가지 인증 방법을 사용하여 MX 시리즈 라우터를 통해 네트워크에 대한 액세스를 제어하기 위한 지원이 구현됩니다.