Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

무색 포트에 대한 동적 VLAN 할당

기업에는 일반적으로 다양한 사용자와 엔드포인트가 있으며, 이로 인해 정책 인프라에서 해결해야 하는 여러 사용 사례가 발생합니다. 정책 인프라는 지원되는 모든 사용자 디바이스가 액세스 스위치의 모든 포트에 연결되고 디바이스의 기능, 사용자의 권한 부여 수준 또는 둘 다를 기반으로 인증될 수 있도록 해야 합니다.

Colorless 포트는 초기 구성이 모두 동일하기 때문에 모든 디바이스 t를 스위치 포트에 연결할 수 있습니다. 초기 구성에서는 디바이스 또는 사용자를 인증하고 프로파일링하는 데 사용되는 기본 VLAN에 디바이스를 배치합니다. 무색 포트 개념은 VLAN 할당을 위한 디바이스 프로파일링에 의존합니다. 포트에 연결된 장치 유형(AP, IP 카메라 또는 프린터)에 따라 NAC 서버는 RADIUS 속성을 사용하여 적절한 VLAN을 반환합니다.

무색 포트에 대한 동적 VLAN 할당의 이점

  • 모든 장치를 액세스 스위치의 모든 포트에 연결할 수 있습니다.

  • 기업 전체에 일관된 보안 정책을 구축합니다.

개요

포트에서 802.1X 인증이 활성화되면 요청자의 자격 증명이 제시되고 NAC 서버에서 일치할 때까지 스위치(인증자)는 최종 디바이스(신청자)와 주고받는 모든 트래픽을 차단합니다. NAC 서버는 일반적으로 RADIUS 서버 또는 RADIUS 서버 역할을 하는 정책 관리자입니다. 신청자가 인증되면 스위치가 신청자에게 포트를 개방합니다.

인증 프로세스의 일부로, RADIUS 서버는 스위치에 VLAN 할당을 제공하는 IETF 정의 속성을 반환할 수 있습니다. 엔드포인트 액세스 정책에 따라 다른 RADIUS 속성을 스위치에 다시 전달하도록 정책 관리자를 구성할 수 있습니다. 스위치는 수신하는 RADIUS 속성에 따라 포트에 할당된 VLAN을 동적으로 변경합니다.

송신-VLAN 속성

액세스 포트와 트렁크 포트를 모두 무색 포트로 지원하려면 RADIUS 속성이 이 포트에 대한 VLAN의 프레임을 태그가 지정된 형식으로 표시할지 또는 태그가 지정되지 않은 형식으로 표시할지를 나타내야 합니다. VLAN을 동적으로 할당하고 프레임 형식을 지정하는 데 지원되는 속성은 다음과 같습니다.

  • Egress-VLAN-ID

  • Egress-VLAN-Name

Egress-VLAN-ID 또는 Egress-VLAN-Name 속성은 두 부분으로 구성됩니다. 첫 번째 부분은 이 포트에 대한 VLAN의 프레임을 태그가 지정된 형식으로 표시할지 또는 태그가 지정되지 않은 형식으로 표시할지를 나타내고, 두 번째 부분은 VLAN 이름입니다.

Egress-VLAN-ID의 경우:

  • 0x31 = 태그됨

  • 0x32 = 태그 없음

예를 들어, 다음과 같은 RADIUS 프로파일에는 태그가 지정된 VLAN 하나와 태그가 지정되지 않은 VLAN 하나가 포함되어 있습니다.

Egress-VLAN-Name의 경우:

  • 1 = 태그됨

  • 2 = 태그 없음

아래 예에서 VLAN 1vlan-2는 태그가 지정되고 VLAN 2vlan-3은 태그가 지정되지 않습니다.

주:

Egress-VLAN-ID 또는 Egress-VLAN-Name이 있는 프로필에 Tunnel-Type 및 Tunnel-Medium-Type 속성을 포함해야 합니다.

스위치가 "Egress-VLAN-ID"와 함께 VLAN 할당을 수신하면 VLAN이 시스템에 이미 있는지 확인합니다. 그렇지 않은 경우 동적 VLAN을 생성합니다. Egress-VLAN-Name을 사용하는 경우 VLAN이 이미 시스템에 있어야 합니다.

요청자 모드 속성

RADIUS 속성을 사용하여 802.1X 인증에 대한 신청자 모드를 변경할 수도 있습니다. 주니퍼 네트웍스 VSA(Vendor-Specific Attribute)를 사용하여 신청자 모드를 단일 또는 단일 보안으로 설정할 수 있습니다.

  • Juniper-AV-Pair = Supplicant-Mode-Single

  • Juniper-AV-Pair = Supplicant-Mode-Single-Secure

NAC 서버에서 이러한 특성을 수신하면 세션이 인증된 후 구성된 신청자 모드가 VSA 값과 일치하도록 변경됩니다. 세션이 종료되면 요청자 모드는 NAC 서버로부터 VSA를 수신하기 전에 시스템에 구성된 모드로 되돌아갑니다.