Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

RADSEC(RADIUS over TLS)

802.1X 또는 MAC RADIUS 인증을 사용하려면 연결할 각 RADIUS 서버에 대한 연결을 스위치에서 지정해야 합니다. TLS를 통한 RADIUS는 TLS(Transport Secure Layer) 프로토콜을 사용하여 RADIUS 요청의 안전한 통신을 제공하도록 설계되었습니다. RADSEC라고도 하는 TLS를 통한 RADIUS는 일반 RADIUS 트래픽을 TLS를 통해 연결된 원격 RADIUS 서버로 리디렉션합니다. RADSec은 RADIUS 인증, 권한 부여 및 회계 데이터를 신뢰할 수 없는 네트워크 전반으로 안전하게 전달할 수 있도록 지원합니다.

RADSEC는 TCP(Transmission Control Protocol)와 함께 TLS를 사용합니다. 이 전송 프로필은 원래 RADIUS 전송에 사용되었던 UDP(User Datagram Protocol)보다 강력한 보안을 제공합니다. UDP를 통한 RADIUS는 공격에 취약한 MD5 알고리즘을 사용하여 공유 암호 암호를 암호화합니다. RADSEC는 암호화된 TLS 터널에서 RADIUS 패킷 페이로드를 교환하여 MD5에 대한 공격 위험을 완화합니다.

주:

TCP 프로토콜의 제한으로 인해 RADSEC는 비행 중 255개 이상의 RADIUS 메시지를 가질 수 없습니다.

RADSEC 대상 구성

RADSEC 서버는 RADSEC 대상 객체로 표시됩니다. RADSEC를 구성하려면 RADSEC 서버를 대상으로 정의하고 해당 대상으로 RADIUS 트래픽을 직접 지정해야 합니다.

계층 수준에서 명령문을 [edit access] 사용하여 radsec RADSEC 서버를 대상으로 정의합니다. RADSEC 목적지는 고유한 숫자 ID로 식별됩니다. 동일한 RADSEC 서버를 가리키는 서로 다른 매개 변수를 사용하여 여러 RADSEC 대상을 구성할 수 있습니다.

표준 RADIUS 서버에서 RADSEC 서버로 트래픽을 리디렉션하려면 RADIUS 서버를 RADSEC 대상과 연결하십시오. 예를 들어, RADIUS 서버 10.1.1.1 는 RADSEC 대상 10:

또한 RADIUS 서버를 액세스 프로파일 내 RADSEC 대상과 연결할 수도 있습니다. 예를 들어 프로필 acc_profile 의 RADIUS 서버 10.2.2.2 는 RADSEC 대상10:

주:

두 개 이상의 RADIUS 서버를 동일한 RADSEC 대상으로 리디렉션할 수 있습니다.

RADSEC를 구성하려면 다음을 수행합니다.

  1. 고유 ID 및 IP 주소로 RADSEC 대상을 구성합니다.
  2. RADSEC 서버의 포트를 구성합니다. 포트가 구성되지 않으면 기본 RADSEC 포트 2083이 사용됩니다.
  3. RADIUS 서버에서 RADSEC 대상으로 트래픽 리디렉션:

TLS 연결 매개변수 구성

TLS 연결은 RADIUS 메시지 교환을 위한 암호화, 인증 및 데이터 무결성을 제공합니다. TLS는 인증서 및 프라이빗-퍼블릭 키 교환 쌍을 사용하여 RADSEC 클라이언트와 서버 간의 데이터 전송을 보호합니다. RADSEC 대상은 Junos PKI 인프라스트럭처에서 동적으로 취득한 로컬 인증서를 사용합니다.

RADSEC를 사용하려면 로컬 인증서의 이름을 지정해야 합니다. CA(Local Certificate and Certificate Authority)의 구성에 대한 자세한 내용은 디지털 인증서 구성을 참조하십시오.

  1. TLS 통신에 사용할 로컬 인증서의 이름을 지정합니다.
  2. RADSEC 서버의 인증된 이름을 구성합니다.
  3. (선택사항) TLS 연결 타임아웃을 구성합니다(기본값은 5초).

예를 들면 다음과 같습니다. 간단한 RADSEC 구성

다음은 RADIUS 서버 1개와 RADSEC 대상 1개인 간단한 RADSEC 구성입니다. RADIUS 트래픽은 RADIUS 서버 10.1.1.1에서 RADSEC 목적지 10으로 리디렉션됩니다.

인증서 모니터링

로컬 인증서 취득의 상태 및 통계에 대한 정보를 보려면 다음을 수행합니다. show network-access radsec local-certificate.

RADSEC 목적지 모니터링

RADSEC 목적지에 대한 통계를 보려면 다음을 수행합니다. show network-access radsec statistics.

RADSEC 대상의 상태를 보려면 다음을 수행합니다. show network-access radsec state.