Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

예: MX 시리즈 라우터에서 802.1X 또는 MAC RADIUS 인증이 활성화된 인터페이스의 여러 요청자에 방화벽 필터 적용

Junos OS 릴리스 14.2부터 MX 시리즈 라우터에서 802.1X 또는 MAC RADIUS 인증을 위해 활성화된 인터페이스에 적용하는 방화벽 필터는 RADIUS 서버에서 스위치로 전송되는 사용자별 정책과 동적으로 결합됩니다. 스위치는 내부 로직을 사용하여 인터페이스 방화벽 필터를 RADIUS 서버의 사용자 정책과 동적으로 결합하고 인터페이스에서 인증된 여러 사용자 또는 비응답 호스트 각각에 대해 개별화된 정책을 생성합니다.

이 예에서는 802.1X 지원 인터페이스에서 여러 요청자에 대해 동적 방화벽 필터를 생성하는 방법을 설명합니다(이 예에 표시된 것과 동일한 원칙이 MAC RADIUS 인증에 활성화된 인터페이스에 적용됨).

요구 사항

이 예에서 사용되는 하드웨어 및 소프트웨어 구성 요소는 다음과 같습니다.

  • MX 시리즈 라우터용 Junos OS 릴리스 14.2 이상

  • MX 시리즈 라우터 1개

  • RADIUS 인증 서버 1개. 인증 서버는 백엔드 데이터베이스 역할을 하며, 네트워크에 연결할 수 있는 권한이 있는 호스트(서플리컨트)에 대한 크리덴셜 정보를 포함합니다.

여러 요청자와 함께 사용하기 위해 인터페이스에 방화벽 필터를 적용하기 전에 다음을 확인하십시오.

  • 라우터와 RADIUS 서버 간의 연결을 설정합니다.

  • 라우터에서 802.1X 인증을 구성했으며, 인터페이스에 ge-0/0/2 대한 인증 모드를 로 설정했습니다 multiple.

  • RADIUS 인증 서버에 구성된 사용자.

개요 및 토폴로지

토폴로지

인터페이스의 802.1X 구성이 Multiple Supplicant 모드로 설정된 경우, 시스템은 인터페이스 방화벽 필터를 인증 중에 RADIUS 서버에서 라우터로 전송된 사용자 정책과 동적으로 결합하고 각 사용자에 대해 별도의 용어를 생성합니다. 인터페이스에서 인증된 각 사용자마다 별도의 용어가 있으므로 이 예와 같이 카운터를 사용하여 동일한 인터페이스에서 인증된 개별 사용자의 활동을 볼 수 있습니다.

새로운 사용자(또는 비응답 호스트)가 인터페이스에서 인증되면, 시스템은 인터페이스와 연관된 방화벽 필터에 용어를 추가하고, 각 사용자에 대한 용어(정책)는 사용자의 MAC 주소와 연관됩니다. 각 사용자에 대한 용어는 RADIUS 서버에 설정된 사용자별 필터와 인터페이스에 구성된 필터를 기반으로 합니다. 예를 들어, 에서 볼 수 그림 1있듯이 User1이 MX 시리즈 라우터에 의해 인증되면 시스템은 방화벽 필터를 dynamic-filter-example생성합니다. User2가 인증되면 방화벽 필터에 다른 용어가 추가되는 식입니다.

그림 1: 개념적 모델: 각 새 사용자에 대해 업데이트되는 동적 필터개념적 모델: 각 새 사용자에 대해 업데이트되는 동적 필터

이는 내부 프로세스의 개념적 모델로, 동적 필터에 액세스하거나 동적 필터를 볼 수 없습니다.

주:

사용자(또는 비응답 호스트)가 인증된 후 인터페이스의 방화벽 필터가 수정되면 사용자가 재인증되지 않는 한 수정 사항이 동적 필터에 반영되지 않습니다.

이 예에서는 방화벽 필터를 구성하여 서브넷192.0.2.16/28에 위치한 파일 서버에 대해 인터페이스에서 ge-0/0/2 인증된 각 엔드포인트의 요청을 계산하고, 트래픽 속도를 제한하도록 폴리서 정의를 설정합니다. 그림 2 은(는) 이 예제의 네트워크 토폴로지를 보여줍니다.

그림 2: 파일 서버에 연결하는 802.1X 지원 인터페이스의 여러 요청자파일 서버에 연결하는 802.1X 지원 인터페이스의 여러 요청자

구성

802.1X 지원 인터페이스에서 여러 서플리컨트에 대한 방화벽 필터 구성:

여러 서플리컨트가 있는 인터페이스에서 방화벽 필터 구성

CLI 빠른 구성

802.1X 지원 인터페이스에서 여러 서플리컨트에 대한 방화벽 필터를 빠르게 구성하려면 다음 명령을 복사하여 라우터 터미널 창에 붙여넣습니다.

단계별 절차

여러 서플리컨트에 대해 활성화된 인터페이스에서 방화벽 필터를 구성하려면:

  1. 다중 서플리컨트 모드 인증을 위한 인터페이스 ge-0/0/2 구성:

  2. 폴리서 정의 설정:

  3. 각 사용자의 패킷을 계산하도록 방화벽 필터를 구성하고 트래픽 속도를 제한하는 폴리서를 구성합니다. 각각의 새 사용자가 다중 신청자 인터페이스에서 인증되면 이 필터 용어는 사용자에 대해 동적으로 생성된 용어에 포함됩니다.

결과

구성 결과를 확인합니다:

검증

구성이 제대로 작동하는지 확인하려면 다음의 작업을 수행하십시오:

여러 요청자가 있는 인터페이스에서 방화벽 필터 확인

목적

방화벽 필터가 여러 서플리컨트가 있는 인터페이스에서 작동하는지 확인합니다.

작업

  1. 인터페이스에서 인증된 한 명의 사용자로 결과를 확인합니다. 이 경우 사용자는 다음에서 인증됩니다.ge-0/0/2

  2. 두 번째 사용자인 User2가 동일한 인터페이스에서 ge-0/0/2인증되면 인터페이스에서 인증된 두 사용자 모두에 대한 결과가 필터에 포함되는지 확인할 수 있습니다.

의미

명령 출력에 show dot1x firewall 의해 표시되는 결과는 각 신규 사용자의 인증으로 생성된 동적 필터를 반영합니다. User1은 지정된 대상 주소에 있는 파일 서버에 100번 액세스했고 User2는 동일한 파일 서버에 400번 액세스했습니다.

변경 내역 표

기능 지원은 사용 중인 플랫폼과 릴리스에 따라 결정됩니다. Feature Explorer 를 사용하여 플랫폼에서 기능이 지원되는지 확인하세요.

릴리스
설명
14.2
Junos OS 릴리스 14.2부터 MX 시리즈 라우터에서 802.1X 또는 MAC RADIUS 인증을 위해 활성화된 인터페이스에 적용하는 방화벽 필터는 RADIUS 서버에서 스위치로 전송되는 사용자별 정책과 동적으로 결합됩니다.