interface (802.1X)

802.1x 인증을 위해 인터페이스 이름 목록 또는 모든 인터페이스를 구성합니다.

지정된 인터페이스 또는 모든 인터페이스에서 802.1X 인증을 비활성화합니다.

• 기본: 802.1X 인증은 모든 인터페이스에서 비활성화됩니다.

(MX 시리즈만 해당) 인터페이스에 802.1X 서플리컨트가 연결되어 있지 않을 때 인터페이스가 이동되는 브리지 도메인 태그 식별자 또는 게스트 브리지 도메인 이름을 지정합니다. 지정된 브리지 도메인은 디바이스에 이미 존재해야 합니다.

(EX, QFX 및 SRX 시리즈 전용) 인터페이스에 802.1X 서플리컨트가 연결되지 않을 때 인터페이스가 이동되는 VLAN 태그 식별자 또는 게스트 VLAN의 이름을 지정합니다. 지정된 VLAN은 디바이스에 이미 존재해야 합니다. 게스트 VLAN은 기업 고객에게 일반적으로 인터넷에만 제한된 액세스를 제공하기 위해 802.1X 인증을 사용하는 디바이스에서 구성할 수 있습니다. 게스트 VLAN은 잘못된 자격 증명을 전송하는 요청자에 사용되지 않습니다. 이러한 서플리컨트는 서버 거부 VLAN으로 대신 전달됩니다.

CoA(Change of Authorization) 요청에 포함된 포트 바운스 명령을 무시합니다. CoA 요청은 이미 진행 중인 인증 사용자 세션을 동적으로 수정하는 데 사용되는 RADIUS 메시지입니다. CoA 요청은 인증, 권한 부여 및 계정(AAA) 서버에서 디바이스로 전송되며 일반적으로 디바이스 프로파일링을 기반으로 호스트의 VLAN을 변경하는 데 사용됩니다. 프린터와 같은 종단 디바이스에는 VLAN 변경을 감지하는 메커니즘이 없으므로 새 VLAN에서 DHCP 주소에 대한 리스를 갱신하지 않습니다. 포트 바운스 명령은 인증된 포트에서 링크 플랩을 발생시켜 종단 디바이스가 DHCP 재 협상을 시작하도록 하는 데 사용됩니다.

• 기본: 포트 바운스 명령은 기본적으로 지원됩니다. 문을 구성 ignore-port-bounce 하지 않으면, 디바이스는 링크를 플래핑하여 포트 바운스 명령에 응답하여 최종 디바이스에 대한 DHCP 협상을 다시 시작합니다.

인증 세션의 시간 아웃 전에 EAPoL 요청 패킷이 신청자에게 재전송되는 최대 횟수를 지정합니다.

• 범위: 1~10

• 기본: 2

재인증을 비활성화하거나 802.1X 인증 세션의 시간이 만료되고 클라이언트가 인증을 다시 재시도해야 하는 초 수를 구성합니다.

• 범위: 1~65,535초

• 기본: 클라이언트가 다시 인증을 시도할 때까지 3600초 동안 재인증이 활성화됩니다.

태그가 지정된 MAC 주소 RADIUS 인증을 허용하지 않습니다.

인증을 다시 재시도하기 전에 신청자가 실패한 인증 시도 이후 인터페이스가 대기 상태로 유지되는 시간(초)을 지정합니다.

• 범위: 0~65,535초

• 기본: 60초

인증되지 않은 호스트를 중앙 웹 인증(CWA) 서버로 리디렉션하는 URL을 지정합니다. CWA 서버는 사용자가 사용자 이름과 암호를 입력할 수 있는 웹 포털을 제공합니다. CWA 서버에서 이러한 자격 증명을 검증하면 사용자는 인증되고 네트워크에 액세스할 수 있습니다.

중앙 웹 인증을 위한 리디렉션 URL은 AAA 서버 또는 스위치의 로컬에서 중앙에서 구성할 수 있습니다. redirect-url 문을 사용하여 호스트를 스위치에 연결하는 인터페이스에서 로컬로 리디렉션 URL을 구성합니다.

리디렉션 URL과 동적 방화벽 필터가 모두 존재해야만 중앙 웹 인증 프로세스가 트리거됩니다. 중앙 웹 인증을 위한 리디렉션 URL 및 동적 방화벽 필터 구성에 대한 자세한 내용은 중앙 웹 인증 구성을 참조하십시오.

• 구문: 리디렉션 URL은 HTTP 또는 HTTPS 프로토콜을 사용해야 하며 IP 주소 또는 웹 사이트 이름을 포함해야 합니다. 다음은 유효한 리디렉션 URL 형식의 예입니다.

  • http://www.example.com

  • https://www.example.com

  • http://10.10.10.10

  • https://10.10.10.10

  • http://www.example.com/login.html

  • https://www.example.com/login.html

  • http://10.10.10.10/login.html

  • https://10.10.10.10/login.html

• 기본: 비활성화. 리디렉션 URL은 기본적으로 중앙 웹 인증에 대해 활성화되지 않습니다.

EAP 요청을 신청자에게 다시 보내도록 인증 서버를 구성합니다. 이는 응답하지 않는 요청자 때문에 인증 세션의 시간 초과를 방지하는 데 도움이 될 수 있습니다. 재시도 횟수는 구성된 값을 기반으로 합니다.

• 범위: 1~10개 재시도

• 기본: 재시도 2개

초기 실패 후 디바이스가 포트 인증을 시도하는 횟수를 지정합니다. 제한이 초과되면 포트는 동일한 계층 수준에서 구성된 옵션으로 quiet-period 지정된 초 수에 대해 인증을 재시도하기 위해 기다립니다.

• 범위: 1~10개 재시도

• 기본: 재시도 3개

RADIUS 인증 서버를 사용할 수 없는 경우 디바이스에 연결된 종단 디바이스를 지원하는 방법을 지정합니다. 이미 구성되고 사용 중인 RADIUS 서버에 액세스할 수 없게 되면 재인증 중에 서버 장애 복구가 가장 자주 트리거됩니다. 그러나 서버 장애 대체는 신청자가 RADIUS 서버를 통해 인증을 처음 시도하면 트리거될 수도 있습니다.

인증 서버를 사용할 수 없는 경우 디바이스가 최종 디바이스에 적용되는 작업을 지정해야 합니다. 디바이스는 요청자에 대한 액세스를 수락하거나 거부하거나 RADIUS 시간 초과가 발생하기 전에 서플리컨트에게 이미 부여된 액세스를 유지할 수 있습니다. 서플리컨트를 특정 VLAN 또는 브리지 도메인으로 이동하도록 스위치를 구성할 수도 있습니다. VLAN 또는 브리지 도메인은 디바이스에 이미 구성되어야 합니다.

• 값: bridge-domain—(MX 시리즈만) 인터페이스의 신청자를 이 이름 또는 숫자 식별자가 지정한 브리지 도메인으로 이동합니다. 이 작업은 인터페이스에 연결하는 첫 번째 신청자인 경우에만 허용됩니다. 인증된 신청자가 이미 연결되어 있는 경우, 신청자는 브리지 도메인으로 이동되지 않고 인증되지 않습니다. 브리지 도메인은 디바이스에서 이미 구성되어야 합니다.

  deny-요청자 인증에 실패하도록 강제 적용합니다. 인터페이스를 통해 트래픽이 흐르지 않습니다.

  permit- 신청자 인증이 성공하도록 강제 적용합니다. 트래픽은 마치 RADIUS 서버에 의해 성공적으로 인증된 것처럼 인터페이스를 통해 흐릅니다.

  use-cache- 신청자 인증이 이전에 성공적으로 인증된 경우에만 성공하도록 강요합니다. 이 조치는 이미 인증된 신청자가 영향을 받지 않도록 합니다.

  vlan-name—(EX, QFX 또는 SRX 시리즈만 해당) 인터페이스의 신청자를 이 이름 또는 숫자 식별자가 지정한 VLAN으로 이동합니다. 이 작업은 인터페이스에 연결하는 첫 번째 신청자인 경우에만 허용됩니다. 인증된 신청자가 이미 연결되어 있는 경우, 신청자는 VLAN으로 이동되지 않고 인증되지 않습니다. VLAN은 디바이스에서 이미 구성되어야 합니다.

• 기본: RADIUS 인증 서버를 사용할 수 없게 되면 종단 디바이스가 인증되지 않고 네트워크에 대한 액세스가 거부됩니다.

(EX, QFX 시리즈 전용) RADIUS 인증 서버를 사용할 수 없는 경우 VoIP 클라이언트가 음성 트래픽을 지원하는 방법을 지정합니다. 이미 구성되고 사용 중인 RADIUS 서버에 액세스할 수 없게 되면 재인증 중에 서버 장애 복구가 가장 자주 트리거됩니다. 그러나 RADIUS 서버를 통해 인증하려는 VoIP 클라이언트의 초기 시도에 의해 서버 장애 복구가 트리거될 수도 있습니다.

인증 서버를 사용할 수 없는 경우 스위치가 VoIP 클라이언트에 적용되는 작업을 지정해야 합니다. 스위치는 VoIP 클라이언트에 대한 액세스를 수락하거나 거부하거나 RADIUS 시간 초과가 발생하기 전에 클라이언트에 이미 부여된 액세스를 유지할 수 있습니다. 또한 VoIP 클라이언트를 특정 VLAN으로 이동하도록 스위치를 구성할 수도 있습니다. VLAN은 이미 스위치에 구성되어야 합니다.

명령 server-fail-voip 문은 클라이언트가 전송한 VoIP 태그 트래픽에 따라 다릅니다. VoIP 클라이언트는 여전히 생성한 server-fail 태그 없는 트래픽에 대해 명령문을 구성해야 합니다. 따라서 문을 구성할 server-fail-voip 때 문도 구성 server-fail 해야 합니다.

• 값: deny-VoIP 클라이언트 인증에 실패하도록 강제 적용합니다. 인터페이스를 통해 트래픽이 흐르지 않습니다.

  permit-VoIP 클라이언트 인증이 성공하도록 강제 적용합니다. 트래픽은 마치 RADIUS 서버에 의해 성공적으로 인증된 것처럼 인터페이스를 통해 흐릅니다.

  use-cache-VoIP 클라이언트 인증이 이전에 성공적으로 인증된 경우에만 성공하도록 강제 적용합니다. 이 작업은 이미 인증된 클라이언트가 영향을 받지 않도록 합니다.

  vlan-name-인터페이스의 VoIP 클라이언트를 이 이름 또는 숫자 식별자가 지정한 VLAN으로 이동합니다. 이 작업은 인터페이스에 연결하는 첫 번째 VoIP 클라이언트인 경우에만 허용됩니다. 인증된 VoIP 클라이언트가 이미 연결되어 있는 경우, VoIP 클라이언트는 VLAN으로 이동되지 않고 인증되지 않습니다. VLAN은 이미 스위치에 구성되어야 합니다.

• 기본: RADIUS 인증 서버를 사용할 수 없게 되면 음성 트래픽 전송으로 인증을 시작하는 VoIP 클라이언트가 인증되지 않고 음성 트래픽이 누락됩니다.

시간이 초과되고 server-fail 작업을 호출하기 전에 서플리컨트의 응답을 인증 서버로 릴레이할 때 포트가 응답을 대기할 시간을 지정합니다.

• 범위: 1~60초

• 기본: 30초

클라이언트 인증에 사용되는 MAC 기반 방법을 지정합니다.

• 값: 다음 중 하나를 지정합니다.

  • single - 인증자 포트에 연결하는 첫 번째 클라이언트만 인증합니다. 첫 번째 이후 인증자 포트에 연결하는 다른 모든 클라이언트는 추가 인증 없이 포트에 무료로 액세스할 수 있습니다. 첫 번째 인증 클라이언트가 로그아웃하면 클라이언트가 다시 인증될 때까지 다른 모든 신청자가 잠깁니다.

  • single-secure — 인증자 포트에 연결할 하나의 클라이언트만 인증합니다. 호스트가 스위치에 직접 연결되어 있어야 합니다.

  • multiple - 하나의 인증자 포트에서 여러 클라이언트를 개별적으로 인증합니다. 포트당 클라이언트 수를 구성할 수 있습니다. 또한 포트 보안 설정을 통해 포트에 연결할 수 있는 최대 디바이스 수를 구성하는 경우, 구성된 값의 하위는 포트당 허용되는 최대 클라이언트 수를 결정하는 데 사용됩니다.

• 기본: 단일

요청을 다시 보내기 전에 인증 서버에서 신청자에게 요청을 릴레이할 때 포트가 응답을 대기하는 시간(초)을 지정합니다.

• 범위: 1~60초

• 기본: 30초

초기 EAPoL PDU를 신청자에게 재전송하기 전에 포트가 대기하는 시간(초)을 지정합니다.

• 범위: 1~65,535초

• 기본: 30초