Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

interface (802.1X)

Syntax

Hierarchy Level

Description

모든 인터페이스 또는 특정 인터페이스에 대해 포트 기반 네트워크 액세스 제어를 위해 IEEE(Institute of Electrical and Electronics Engineers) 802.1X 인증을 구성합니다.

Options

(모든 | [ 인터페이스 이름])

802.1x 인증을 위해 인터페이스 이름 목록 또는 모든 인터페이스를 구성합니다.

비활성화

지정된 인터페이스 또는 모든 인터페이스에서 802.1X 인증을 비활성화합니다.

  • 기본: 802.1X 인증은 모든 인터페이스에서 비활성화됩니다.

게스트 브리지 도메인 게스트 브리지 도메인

(MX 시리즈만 해당) 인터페이스에 802.1X 서플리컨트가 연결되지 않은 경우, 브리지 도메인 태그 식별자 또는 인터페이스가 이동되는 게스트 브리지 도메인의 이름을 지정합니다. 지정된 브리지 도메인은 디바이스에 이미 존재해야 합니다.

guest-vlan(vlan-id |vlan 이름

(EX, QFX 및 SRX 시리즈만 해당) 802.1X 서플리컨트가 인터페이스에 연결되지 않은 경우, VLAN 태그 식별자 또는 인터페이스가 이동되는 게스트 VLAN의 이름을 지정합니다. 지정된 VLAN은 디바이스에 이미 존재해야 합니다. 게스트 VLA는 802.1X 인증을 사용하는 장치에 구성하여 기업 게스트에 대해 일반적으로 인터넷에만 액세스 권한을 부여할 수 있습니다. 잘못된 자격 증명을 전송하는 서플리컨트에는 게스트 VLAN이 사용되지 않습니다. 이들 서플리컨트는 서버 거부 VLAN으로 연결됩니다.

무시 포트 바운스

CoA(Change of Authorization) 요청에 포함된 포트 바운스 명령을 무시합니다. CoA 요청은 RADIUS 인증된 사용자 세션을 동적으로 수정하는 데 사용되는 모든 메시지입니다. CoA 요청은 AAA(Authentication, Authorization, Accounting) 서버에서 장비로 전송하며 일반적으로 디바이스 프로파일링을 기반으로 호스트에 대한 VLAN을 변경하는 데 사용됩니다. 프린터와 같은 엔드 디바이스는 VLAN 변경을 감지하는 메커니즘을 지원하지 못하기 때문에 새 VLAN에서 DHCP 주소에 대한 리스를 갱신하지 않습니다. 포트 바운스 명령은 인증된 포트에 링크 플랩을 발생시 정부지원하여 단말 장치가 DHCP 재협상을 시작하게 하는 데 사용됩니다.

  • 기본: 포트 바운스 명령은 기본적으로 지원됩니다. 명령문을 구성하지 않은 경우, 디바이스는 최종 장치에 대한 DHCP 협상을 다시 시작하는 링크를 플래핑하여 포트 바운스 명령에 ignore-port-bounce 응답합니다.

최대 요청

인증 세션이 타임아웃되기 전에 EAPoL 요청 패킷이 신청자에 다시 전송되는 최대 횟수를 지정합니다.

  • 범위: 1 ~10

  • 기본: 2

재인식이 없는 | 재인식 초

재인증을 비활성화하거나 802.1X 인증 세션 타임 아웃 전에 수 초를 구성하고 클라이언트는 인증을 재조정해야 합니다.

주:

인증 서버가 클라이언트에 인증 세션 타임 아웃을 보내는 경우, 이는 명령문을 사용하여 로컬로 구성된 값에 대한 우선 reauthentication 순위를산합니다. 세션 타임아웃 값은 서버에서 클라이언트로 액세스-수용(Access-Accept) RADIUS 전송됩니다.

  • 범위: 1~65,535초

  • 기본: 클라이언트가 다시 인증을 시도할 때까지 3600초 동안 재인식이 가능합니다.

태그 지정하지(no-tagged-mac) 인증

인증을 위해 태그된 MAC 주소는 RADIUS 허용되지 않습니다.

정해진

인증 재시작 전에 서플리던트가 인증 시도에 실패한 후 인터페이스가 대기 상태로 남아 있는 초 수를 지정합니다.

  • 범위: 0 ~65,535초

  • 기본: 60초

리디렉션 url 리디렉션-url

인증되지 않은 호스트를 중앙 웹 인증(CWA) 서버로 리디렉션하는 URL을 지정합니다. CWA 서버는 사용자가 사용자 이름과 암호를 입력할 수 있는 웹 포털을 제공합니다. CWA 서버에서 이러한 자격 증명이 검증된 경우 사용자는 인증을 통해 네트워크에 대한 액세스가 허용됩니다.

중앙 웹 인증을 위한 리디렉션 URL은 AAA 서버상에서 또는 스위치에서 로컬로 구성할 수 있습니다. 명령문을 사용하여 호스트를 스위치에 연결하는 인터페이스에서 로컬로 리디렉션 redirect-url URL을 구성합니다.

재지정 URL과 동적 방화벽 필터가 모두 중앙 웹 인증 프로세스에 표시되어야 합니다. 중앙 웹 인증을 위한 리디렉션 URL 및 동적 방화벽 필터 구성에 대한 자세한 내용은 중앙 웹 인증 구성 을 참조하십시오.

주:

동적 방화벽 필터가 특수 필터-ID 속성을 JNPR_RSVD_FILTER_CWA 경우 CWA 리디렉션 URL은 예를 들어 AAA 서버의 IP 주소를 포함해야 https://10.10.10.10 합니다.

  • 구문: 리디렉션 URL은 HTTP 또는 HTTPS 프로토콜을 사용해야하며 IP 주소 또는 웹 사이트 이름을 포함해야 합니다. 다음은 유효한 리디렉션 URL 형식의 예입니다.

    • http://www.example.com

    • https://www.example.com

    • http://10.10.10.10

    • https://10.10.10.10

    • http://www.example.com/login.html

    • https://www.example.com/login.html

    • http://10.10.10.10/login.html

    • https://10.10.10.10/login.html

  • 기본: 비활성화. 기본적으로 중앙 웹 인증을 위해 리디렉션 URL을 활성화할 수 없습니다.

요청 재시도

신청자에 대한 EAP 요청을 전송하는 재시도하도록 인증 서버를 구성합니다. 이를 통해 응답하지 않은 서플리언트로 인해 인증 세션의 타임아웃을 방지할 수 있습니다. 재시도의 수는 구성된 값을 기반으로 합니다.

  • 범위: 1~10회 재시도

  • 기본: 재시도 2개

재시도 번호

초기 장애 이후 디바이스가 포트 인증을 시도하는 횟수를 지정합니다. 제한을 초과하면 포트는 동일한 계층 수준에서 구성된 옵션을 사용하여 지정된 초 수에 대한 인증 재시청을 quiet-period 기다립니다.

  • 범위: 1~10회 재시도

  • 기본: 재시도 3개

서버 장애(브리지 도메인 브리지 도메인 | 거부) | 사용 | 캐시 | vlan 이름)

인증 서버를 사용할 수 없게 되는 경우 장비에 연결된 RADIUS 디바이스를 어떻게 지원하는지 지정합니다. 서버 장애 폴백은 이미 구성 및 사용 중 서버가 RADIUS 재인식 동안 가장 자주 트리거됩니다. 그러나 서버 장애 폴백은 서플리던트의 최초 인증 시도가 RADIUS 수 있습니다.

인증 서버를 사용할 수 없는 경우 장치가 최종 장치에 적용되는 작업을 지정해야 합니다. 디바이스는 서플리컨트에 대한 액세스를 허용 또는 거부하거나 타임아웃이 발생하기 전에 신청자에 대한 액세스 권한을 RADIUS 수 있습니다. 또한 스위치를 구성하여 서플리컨트를 특정 VLAN 또는 브리지 도메인으로 이동할 수도 있습니다. VLAN 또는 브리지 도메인은 디바이스에서 이미 구성되어야 합니다.

주:

server-fail 명령문은 특히 데이터 트래픽을 위한 것입니다. VoIP 태그 트래픽의 경우 server-fail-voip 명령문을 사용하여 동일한 인터페이스에 VLAN 및 server-fail VLAN이 구성될 server-fail-voip 수 있습니다.

  • 값: bridge-domain—(MX Series만 해당) 인터페이스에서 이 이름 또는 숫자 식별자에 의해 지정된 브리지 도메인으로 서플리던트 이동. 이 작업은 인터페이스에 처음 연결하는 서플리전트인 경우만 허용됩니다. 인증된 서플리던트가 이미 연결되면 서플리던트는 브리지 도메인으로 이동되지 않습니다. 인증되지 않습니다. 브리지 도메인은 디바이스에서 이미 구성되어야 합니다.

    deny—서플리전트 인증에 실패하도록 강제합니다. 트래픽은 인터페이스를 통과하지 않습니다.

    permit—서플리던트 인증이 성공하도록 강제합니다. 트래픽은 해당 서버가 성공적으로 인증한 것만큼 인터페이스를 통해 RADIUS 것입니다.

    use-cache—서플리씨터(supplicant) 인증이 이전에 인증된 경우만 성공하도록 강제합니다. 이 조치는 이미 인증된 서플리컨트가 영향을 받지 않도록 보장합니다.

    vlan-name—(EX, QFX 또는 SRX 시리즈만 해당) 이 이름 또는 숫자 식별자가 지정한 VLAN으로 인터페이스에서 서플리던트 이동. 이 작업은 인터페이스에 첫 번째 서플리던트가 연결되는 경우만 허용됩니다. 인증된 서플리던트가 이미 연결되면 서플리던트는 VLAN으로 이동되지 않습니다. 인증되지 않습니다. VLAN은 디바이스에서 이미 구성되어야 합니다.

  • 기본: 인증 RADIUS 사용할 수 없게 되는 경우, 최종 디바이스가 인증되지 않은 후 네트워크에 대한 액세스가 거부됩니다.

서버 장애가 발생하면 서버 장애가 | 허용(| 캐시 | vlan 이름)

(EX, QFX 시리즈만 해당) 인증 서버를 사용할 수 없는 경우 음성 트래픽을 전송하는 VoIP RADIUS 방법을 지정합니다. 서버 장애 폴백은 이미 구성 및 사용 중 서버가 RADIUS 재인식 동안 가장 자주 트리거됩니다. 그러나 VoIP 클라이언트가 최초 인증 시도를 통해 RADIUS 장애 복귀가 RADIUS 있습니다.

인증 서버를 사용할 수 없는 경우 스위치가 VoIP 클라이언트에 적용되는 작업을 지정해야 합니다. 스위치는 VoIP 클라이언트에 대한 액세스를 허용 또는 거부하거나 RADIUS 타임아웃이 발생하기 전에 클라이언트에 부여된 액세스를 유지할 수 있습니다. 또한 스위치를 구성하여 VoIP 클라이언트를 특정 VLAN으로 이동할 수도 있습니다. 스위치에서 VLAN을 이미 구성해야 합니다.

명령문은 클라이언트가 전송하는 server-fail-voip VoIP 태그 트래픽에 대해 정의됩니다. VoIP 클라이언트는 여전히 생성되는 태그가 지정되지 않은 트래픽에 대해 명령문을 server-fail 구성해야 합니다. 따라서 명령문을 구성할 server-fail-voip 때 명령문도 구성해야 server-fail 합니다.

주:

성공적으로 커밋하기 위해 구성되어야 하는 옵션 server-fail denyserver-fail-voip 이외에는 선택권이 있어야 합니다.

  • 값: deny—VoIP 클라이언트 인증에 장애가 발생하도록 강제합니다. 트래픽은 인터페이스를 통과하지 않습니다.

    permit—VoIP 클라이언트 인증을 성공으로 이행해야 합니다. 트래픽은 해당 서버가 성공적으로 인증한 것만큼 인터페이스를 통해 RADIUS 것입니다.

    use-cache—VoIP 클라이언트 인증이 이전에 성공적으로 인증된 경우만 VoIP 클라이언트 인증이 성공하도록 강제합니다. 이 작업은 이미 인증된 클라이언트가 영향을 받지 않도록 보장합니다.

    vlan-name—인터페이스에서 이 이름 또는 숫자 식별자에 의해 지정된 VLAN으로 VoIP 클라이언트를 이동합니다. 이 작업은 인터페이스에 최초로 VoIP 클라이언트가 연결되는 경우만 허용됩니다. 인증된 VoIP 클라이언트가 이미 연결되면 VoIP 클라이언트가 VLAN으로 이동되지 않을 뿐만 아니라 인증되지 않습니다. 스위치에서 VLAN을 이미 구성해야 합니다.

  • 기본: 인증 RADIUS 사용할 수 없게 되는 경우, 음성 트래픽을 전송하여 인증을 시작하는 VoIP 클라이언트가 인증되지 않고 음성 트래픽이 드롭됩니다.

서버 타임아웃

타이밍 아웃 및 서버 장애 조치 호출에 앞서 서플리던트에서 인증 서버로 응답을 중계할 때 포트가 응답을 기다릴 시간을 지정합니다.

  • 범위: 1~60초

  • 기본: 30초

서플리전트(단일 | 단일 보안 | 다중)

클라이언트 인증에 사용되는 MAC 기반 메소드를 지정합니다.

  • 값: 다음 중 하나를 지정합니다.

    • single—인증자 포트에 연결하는 첫 번째 클라이언트만 인증합니다. 첫 번째 이후에 인증자 포트에 연결하는 다른 모든 클라이언트는 추가 인증 없이 포트에 무료로 액세스할 수 있습니다. 첫 번째 인증 클라이언트가 로그아웃될 경우 다른 서플리컨트는 클라이언트가 다시 인증될 때까지 잠금됩니다.

    • 단일 보안—단일 클라이언트만 인증하여 인증자 포트에 연결합니다. 호스트를 스위치에 직접 연결해야 합니다.

    • multiple—하나의 인증자 포트에서 개별적으로 여러 클라이언트를 인증합니다. 포트당 클라이언트 수를 구성할 수 있습니다. 또한 포트 보안 설정을 통해 포트에 연결할 수 있는 최대 디바이스 수를 구성하는 경우, 구성된 값의 하단은 포트당 허용되는 클라이언트의 최대 개수를 결정하는 데 사용됩니다.

  • 기본: 단일

서플리전트 타임아웃

요청을 재전송하기 전에 인증 서버에서 신청자에 요청을 중계할 때 포트가 응답을 대기하는 초 수를 지정합니다.

  • 범위: 1~60초

  • 기본: 30초

전송 기간

처음 EAPoL PDUS를 서플리던트에 재전전하기 전에 포트가 대기하는 초 수를 지정합니다.

  • 범위: 1~65,535초

  • 기본: 30초

남은 진술은 별도로 설명됩니다. CLI Explorer의 명령문을 검색하거나 세부 정보를 위해 Syntax 섹션의 linked statement을 클릭합니다.

Required Privilege Level

라우팅—구성에서 이 진술을 볼 수 있습니다.라우팅 제어—이 명령문을 구성에 추가하려면

Release Information

2009년 9.Junos OS 버전에서 발표된 명령문

server-reject-vlan EX 시리즈 스위치를 위한 Junos OS Release 9.3에서 출시되었습니다.

eapol-block 릴리스 11.Junos OS 출시되었습니다.

authentication-order 릴리스는 redirect-url Junos OS 릴리스 15.1R3.

server-fail-voip EX 및 QFX 시리즈 스위치를 위한 Junos OS 14.1X53-D40 및 15.1R4 릴리스에서 발표되었습니다.

ignore-port-bounce 릴리스는 Junos OS 릴리스 17.3R1.

multi-domain 릴리스는 Junos OS 릴리스 18.3R1.