예를 들면 다음과 같습니다. EX 시리즈 스위치에서 기업 방문자에게 인터넷 액세스를 제공하기 위해 컨퍼런스 룸에서 802.1X 설정
EX 시리즈 스위치의 802.1X는 RADIUS 데이터베이스에 자격 증명이 없는 사용자에게 LAN 액세스를 제공합니다. 게스트라고 하는 이러한 사용자는 인증되며 일반적으로 인터넷에 액세스할 수 있습니다.
이 예에서는 게스트 VLAN을 생성하고 이에 대한 802.1X 인증을 구성하는 방법을 설명합니다.
요구 사항
이 예에서는 다음과 같은 소프트웨어 및 하드웨어 구성 요소를 사용합니다.
이 예는 QFX5100 스위치에도 적용됩니다.
Junos OS EX 시리즈 스위치용 릴리스 9.0 이상
포트 액세스 엔터티(PAE) 역할을 하는 EX 시리즈 스위치 1개. 인증자 PAE의 인터페이스는 신청자가 인증될 때까지 모든 트래픽을 차단하는 제어 게이트를 형성합니다.
802.1X를 지원하는 RADIUS 인증 서버 1개. 인증 서버는 백엔드 데이터베이스 역할을 하며 네트워크에 연결할 수 있는 권한이 있는 호스트(서플리컨트)에 대한 자격 정보를 포함합니다.
guest VLAN 인증을 구성하기 전에 다음을 확인하십시오.
초기 스위치 구성을 수행했습니다. EX 시리즈 스위치 연결 및 구성(CLI 절차)을 참조하십시오.
스위치에서 기본 브리징 및 VLAN 구성을 수행했습니다. 스위치에 대한 기본 브리징 및 VLAN 설정을 설명하는 문서를 참조하십시오. ELS(Enhanced Layer 2 Software) 구성 스타일을 지원하는 스위치를 사용하는 경우 예: ELS를 지원하는 EX 시리즈 스위치를 위한 기본 브리징 및 VLAN 설정 또는 예: 스위치에서 기본 브리징 및 VLAN 설정 다른 모든 스위치의 경우 예: EX 시리즈 스위치를 위한 기본 브리징 및 VLAN 설정.
주:ELS에 대한 자세한 내용은 다음을 참조하십시오. 향상된 레이어 2 소프트웨어 CLI 사용
개요 및 토폴로지
IEEE 802.1X 포트 기반 네트워크 액세스 제어(PNAC)의 일부로 게스트 VLAN에 대한 인증을 구성하여 VLAN 인증 그룹에 속하지 않는 서플리컨트에게 제한된 네트워크 액세스를 제공할 수 있습니다. 일반적으로 게스트 VLAN 액세스는 기업 사이트 방문자에게 인터넷 액세스를 제공하는 데 사용됩니다. 그러나 게스트 VLAN 기능을 사용하여 기업 LAN에서 802.1X 인증에 실패하는 서플리컨트에게 제한된 리소스의 VLAN에 대한 액세스를 제공할 수도 있습니다.
이 수치는 QFX5100 스위치에도 적용됩니다.
토폴로지
그림 1 은(는) 인터페이스 ge-0/0/1의 스위치에 연결된 회의실을 보여줍니다.
| 속성 | 설정 |
|---|---|
스위치 하드웨어 |
EX4200 스위치, 기가비트 이더넷 인터페이스 24개: 8개의 PoE 인터페이스(ge-0/0/0 ~ ge-0/0/7) 및 16개의 비 PoE 인터페이스(ge-0/0/8 ~ ge-0/0/23) |
VLAN 이름 및 태그 ID |
sales태그 100support태그 200 guest-vlan태그 300 |
단일 RADIUS 서버 |
인터페이스를 통해 스위치에 연결된 백엔드 데이터베이스 ge-0/0/10 |
이 예에서 액세스 인터페이스 ge-0/0/1 는 회의실에서 LAN 연결을 제공합니다. 기업 VLAN에 의해 인증되지 않은 회의실 방문자에게 LAN 연결을 제공하도록 이 액세스 인터페이스를 구성합니다.
802.1X 인증을 포함하는 Guest VLAN 구성
절차
CLI 빠른 구성
802.1X 인증을 통해 guest VLAN을 신속하게 구성하려면 다음 명령을 복사하여 스위치 터미널 창에 붙여 넣습니다.
[edit] set vlans guest-vlan vlan-id 300 set protocols dot1x authenticator interface all guest-vlan guest-vlan
단계별 절차
EX 시리즈 스위치에서 802.1X 인증을 포함하는 guest VLAN을 구성하려면 다음을 수행합니다.
guest VLAN에 대한 VLAN ID를 구성합니다.
[edit] user@switch# set vlans guest-vlan vlan-id 300
프로토콜에 따라 dot1x guest VLAN을 구성합니다.
[edit] user@switch# set protocols dot1x authenticator interface all guest-vlan guest-vlan
결과
구성 결과를 확인합니다.
user@switch> show configuration
protocols {
dot1x {
authenticator {
interface {
all {
guest-vlan {
guest-vlan;
}
}
}
}
}
}
vlans {
guest-vlan {
vlan-id 300;
}
}
확인
구성이 제대로 작동하는지 확인하려면 다음 작업을 수행하십시오.
Guest VLAN이 구성되었는지 확인
목적
guest VLAN이 생성되었고 인터페이스가 인증에 실패하고 guest VLAN으로 이동되었는지 확인합니다.
ELS를 지원하는 EX 시리즈용 Junos OS 실행되는 스위치에서 명령의 출력 show vlans 에는 추가 정보가 포함됩니다. 스위치에서 ELS를 지원하는 소프트웨어를 실행하는 경우 vlan 표시를 참조하십시오. ELS에 대한 자세한 내용은 Enhanced Layer 2 소프트웨어 CLI 사용을 참조하십시오.
실행
운영 모드 명령을 실행합니다.
user@switch> show vlans
Name Tag Interfaces
default
ge-0/0/3.0*
dynamic 40
None
guest 30
None
guest—vlan 300
ge-0/0/1.0*
vlan_dyn
None
user@switch> show dot1x interface ge-0/0/1.0 detail
ge-0/0/1.0
Role: Authenticator
Administrative state: Auto
Supplicant mode: Single
Number of retries: 3
Quiet period: 60 seconds
Transmit period: 30 seconds
Mac Radius: Enabled
Mac Radius Restrict: Disabled
Reauthentication: Enabled
Configured Reauthentication interval: 3600 seconds
Supplicant timeout: 30 seconds
Server timeout: 30 seconds
Maximum EAPOL requests: 2
Guest VLAN member: guest-vlan
Number of connected supplicants: 1
Supplicant: user1, 00:00:00:00:13:23
Operational state: Authenticated
Authentication method: Guest VLAN
Authenticated VLAN: guest-vlan
Dynamic Filter: match source-dot1q-tag 10 action deny
Session Reauth interval: 60 seconds
Reauthentication due in 50 seconds
의미
명령의 show vlans 출력은 VLAN 및 VLAN ID 의 이름을 (으)로 표시 guest-vlan 합니다 300.
명령의 출력은 이 인터페이스의 show dot1x interface ge-0/0/1.0 detail 신청자가 802.1X 인증에 실패하고 을(를) 통해 통과guest-vlan되었음을 나타내는 필드를 표시합니다Guest VLAN membership.