Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

802.1X 인증

IEEE(Institute of Electrical and Electronics Engineers) 기반 네트워크 액세스 제어를 위한 802.1X 표준을 지원하며 승인되지 않은 사용자 액세스로부터 Ethernet LANS를 보호합니다. 인터페이스에서 서플리던트의 자격 증명이 표시되어 인증 서버(RADIUS 서버)에서 제공될 때까지 인터페이스의 서플리던트(클라이언트)와 서플리안트(RADIUS) 트래픽을 차단합니다. 서플리던트가 인증된 경우, 스위치는 액세스를 차단하고 서플리안트에 대한 인터페이스를 엽습니다. 자세한 내용은 이 주제를 읽어 보시죠.

스위치용 802.1X 개요

802.1X 인증의 작동 방식

802.1X 인증은 인증자 포트 액세스 엔티티(스위치)를 사용하여 서플리던트의 자격 증명이 제공되어 인증 서버(RADIUS 서버)에서 일치할 때까지 포트에서 서플리던트(최종 장치)에서 ingress 트래픽을 차단하여 작동합니다. 인증을 마치면 스위치는 트래픽 차단을 중단하고 서플리던트에 포트를 엽습니다.

단말 장치는 단일 서플리전트 모드, 단일 보안 서플리전트 모드 또는 여러 서플리전트 모드에서 인증됩니다.

  • 단일 서플리던트—첫 번째 단말 장치만 인증합니다. 나중에 포트에 연결하는 다른 모든 엔드 디바이스는 추가 인증 없이 전체 액세스가 허용됩니다. 이들은 첫 번째 엔드 디바이스 인증에 효과적으로 포그리백합니다.

  • 단일 보안 서플리전트—단일 엔드 디바이스만 포트에 연결할 수 있도록 합니다. 첫 번째 디바이스가 로그아웃될 때까지 다른 엔드 디바이스는 연결할 수 없습니다.

  • 다중 서플리던트—여러 엔드 디바이스를 포트에 연결할 수 있습니다. 각 엔드 디바이스가 개별적으로 인증됩니다.

VLAN 및 방화벽 필터를 사용하면 네트워크 액세스를 더욱 정의할 수 있습니다. 이 두 가지 모두 필터 역할을 하여 엔드 디바이스 그룹을 필요한 LAN 영역과 구분하고 일치할 수 있습니다. 예를 들어, 다음과 같은 상황에 따라 다양한 범주의 인증 장애를 처리하도록 VLA를 구성할 수 있습니다.

802.1X 기능 개요

다음 802.1 주니퍼 네트웍스 이더넷 스위치X 기능은

  • 게스트 VLAN—MAC RADIUS 인증이 호스트가 연결된 스위치 인터페이스에서 구성되지 않을 때 802.1X를 지원하지 않는 비방호식 단말 장치에 대해 일반적으로 인터넷에만 LAN에 대한 액세스가 제한됩니다. 또한 게스트 VLAN을 사용하여 게스트 사용자에 대한 LAN에 대한 제한된 액세스를 제공할 수 있습니다. 일반적으로 게스트 VLAN은 인터넷과 다른 게스트의 단말 장치에만 액세스합니다.

  • 서버 거부 VLAN—802.1X를 지원하지만 잘못된 자격 증명을 전송한 응답 엔드 디바이스를 위해 일반적으로 인터넷에만 LAN에 대한 액세스를 제한합니다. 서버 거부 VLAN을 사용하여 인증된 최종 디바이스가 IP 전화인 경우 음성 트래픽은 허용되지 않습니다.

  • 서버 장애(Server-fail) VLAN—서버 타임아웃이 진행되는 동안 802.1X 엔드 디바이스에 대해 일반적으로 인터넷에만 LAN에 대한 RADIUS 제공합니다.

  • 동적 VLAN—인증 후 최종 디바이스가 동적으로 VLAN의 구성원이 될 수 있습니다.

  • 프라이빗 VLAN—PVLAN(Private VLAN)의 구성원인 인터페이스에서 802.1X 인증을 구성할 수 있습니다.

  • 사용자 세션에 대한 동적 변경—스위치 관리자가 이미 인증된 세션을 종료할 수 있도록 합니다. 이 기능은 RFC 3576에서 정의된 RADIUS 메시지 분리(Disconnect Message)의 지원을 기반으로 합니다.

  • VoIP VLAN—IP 전화기 지원. IP 전화상에서 음성 VLAN을 구현하는 것은 벤더에 따라 다를 수 있습니다. 전화가 802.1X를 지원하고 있는 경우, 다른 서플리안트(supplicant)로 인증됩니다. 전화가 802.1X를 지원하지 않지만, 데이터 포트에 연결된 다른 802.1X 호환 장치가 있는 경우 해당 디바이스가 인증된 후, VoIP 트래픽이 전화로 전송될 수 있습니다(인터페이스가 단일 서플리던트 모드가 아닌 단일 서플리던트 모드로 구성되는 경우).

    주:

    PVLAN(Private VLAN) 인터페이스에서 VoIP VLAN 구성은 지원되지 않습니다.

  • RADIUS 어드버타이어링—어드버타이어링 RADIUS 전송합니다. 가입자가 로그인하거나 로그아웃할 때마다 가입자가 구독을 활성화하거나 비활성화할 때마다 어 회계 정보가 서버에 전송됩니다.

  • RADIUS 서버 속성—802.1X를 위한 서버 속성—802.1X 인증 프로세스 동안 서플리안트의 액세스를 추가로 정의하기 위해 RADIUS 서버에서 구성할 수 있는 VSA(벤더별 Juniper-Switching-Filter 속성)입니다. 인증 서버에서 속성을 중앙에서 구성하면 서플리런트가 LAN에 연결할 수 있는 LAN의 모든 스위치에서 방화벽 필터의 형태로 이와 같은 속성을 구성할 필요가 없습니다. 이 기능은 RLI 4583, AAA 및 BRAS VSA RADIUS 기반입니다.

802.1X를 지원하지 않는 장비에 대한 인증을 위해 다음 기능이 지원됩니다.

  • 정적 MAC 우회—802.1X를 지원하지 않는 장치(프린터 등)를 인증하기 위한 우회 메커니즘을 제공합니다. 정적 MAC 우회는 802.1X 인증을 우회하여 이러한 디바이스를 802.1X 지원 포트에 연결합니다.

  • MAC RADIUS 인증—802.1X를 지원하지 않는 호스트가 LAN에 액세스할 수 있도록 허용하는 방법을 제공합니다. MAC-RADIUS 사용자 이름 및 암호로 클라이언트의 MAC 주소를 사용하여 클라이언트 장치의 서플리던트 기능을 시뮬레이션합니다.

802.1X 트렁크 포트 인증

Junos OS Release 18.3R1 시작하여 트렁크 인터페이스에서 802.1X 인증을 구성할 수 있습니다. 그러면 네트워크 액세스 장치(네트워크 액세스 서버(NAS))가 액세스 포인트(AP) 또는 다른 연결된 Layer 2 디바이스를 인증할 수 있습니다. AP 스위치 또는 네트워크 액세스 서버(NAS) 여러 VLA를 지원하기 때문에 트렁크 포트에 연결해야 합니다. 트렁크 인터페이스에서 802.1X 인증을 활성화하면 공격자가 AP 연결을 끊고 랩톱을 연결하여 구성된 모든 VLA에 대해 네트워크에 무료로 액세스할 수 있는 보안 침해로부터 네트워크 액세스 서버(NAS) 보호합니다.

트렁크 인터페이스에서 802.1X 인증을 구성할 때 다음 경고를 참고하십시오.

  • 단일 및 단일 보안 서플리전트 모드만 트렁크 인터페이스에서 지원됩니다.

  • 트렁크 인터페이스에서 로컬로 802.1X 인증을 구성해야 합니다. 이 명령을 사용하여 전 세계적으로 802.1X 인증을 구성하는 경우 구성은 set protocol dot1x interface all 트렁크 인터페이스에 적용되지 않습니다.

  • 동적 VLANS는 트렁크 인터페이스에서 지원되지 않습니다.

  • 게스트 VLAN 및 서버 거부 VLAN은 트렁크 인터페이스에서 지원되지 않습니다.

  • VoIP 클라이언트에 대한 서버 장애 복귀는 트렁크 인터페이스()에서 지원되지 server-fail-voip 않습니다.

  • 트렁크 포트의 인증은 캡티드 포털을 사용하여 지원되지 않습니다.

  • 트렁크 포트의 인증은 통합된 인터페이스에서 지원되지 않습니다.

  • PVLA(Private VLANs)의 멤버인 인터페이스에서 802.1X 인증 구성은 트렁크 포트에서 지원되지 않습니다.

레이어 3 인터페이스에서 802.1X 인증

릴리스 Junos OS 릴리스 20.2R1 레이어 3 인터페이스에서 802.1X 인증을 구성할 수 있습니다. 레이어 3 인터페이스에서 802.1X 인증을 구성할 때 다음 경고를 참고하십시오.

  • EAP 지원 클라이언트만 지원됩니다.

  • 단일 서플리전트 모드만 지원됩니다.

  • 레이어 3 인터페이스에서 로컬로 802.1X 인증을 구성해야 합니다. 이 명령을 사용하여 전 세계적으로 802.1X 인증을 구성하는 경우 구성은 레이어 3 인터페이스에 set protocol dot1x interface all 적용되지 않습니다.

  • 레이어 3 인터페이스 지원에는 IRB 또는 하위 인터페이스가 포함되어 있지 않습니다.

  • 게스트 VLAN, 서버 거부 VLAN 및 서버 장애(server-fail) VLAN은 지원되지 않습니다.

  • VoIP 클라이언트에 대한 서버 장애 복귀는 지원되지 않습니다( server-fail-voip ).

  • Layer 3 인터페이스에서 인증된 클라이언트에 대한 RADIUS 액세스 허용 또는 COA 메시지의 일부로 인증 서버에서만 다음 속성만 허용됩니다.

    • 사용자 이름

    • 세션 타임아웃

    • Calling-Station-ID

    • 세션 ID(Acct-Session-ID)

    • 네트워크 액세스 서버(NAS) 포트 ID

    • 포트 바운스

802.1X 인터페이스 설정 구성(CLI 절차)

IEEE(Institute of Electrical and Electronics Engineers) 802.1X 인증은 인증 서버(RADIUS 서버)에서 인증 서버(RADIUS)에서 제공될 때까지 인터페이스에서 서플리던트(클라이언트)를 오고오는 모든 트래픽을 차단하여 승인되지 않은 사용자 액세스로부터 이더넷 LA를 보호합니다. 서플리던트가 인증된 후, 스위치는 액세스를 차단하고 서플리안트에 대한 인터페이스를 엽니 다.

주:
  • 인증을 우회하고 LAN에 자동으로 연결할 수 있는 서플리컨트(supplicants)를 지정하도록 802.1X 제외 목록을 지정할 수도 있습니다. 802.1X 및 MAC RADIUS(정적 MAC우회)를 CLI 참조.

  • Q-in-Q 터널링을 위해 활성화된 인터페이스에서 802.1X 사용자 인증을 구성할 수 없습니다.

시작하기 전에 인증 RADIUS 서버 또는 서버를 지정합니다. 스위치(RADIUS 프로시저)의서버 CLI 지정을 참조합니다.

인터페이스에서 802.1X를 구성하는 경우:

  1. 서플리컨트 모드(첫 번째 서플리컨트 인증), (하나의 서플리컨트만 인증) 또는 (여러 서플리컨트 singlesingle-securemultiple 인증)로 구성합니다.
    주:

    다수의 서플리던트 모드는 트렁크 인터페이스에서 지원되지 않습니다.

  2. 재인식 기능을 활성화하고 재인식 간격을 지정합니다.
  3. 서플리던트에서 응답하기 위한 인터페이스 타임아웃 값을 구성합니다.
  4. 인증 요청을 RADIUS 인터페이스에 대한 타임아웃을 구성합니다.
  5. 인터페이스가 서플리던트에 최초 EAPOL PDUS를 재전전하기 전에 얼마나 오래 기다려야 하는지 몇 초 만에 구성합니다.
  6. 인증 세션이 타임 아웃되기 전에 EAPOL 요청 패킷이 신청자에 다시 전송되는 최대 횟수를 구성합니다.
  7. 초기 장애 이후 스위치가 포트 인증을 시도하는 횟수를 구성합니다. 이 포트는 인증 시도가 끝된 조용한 기간 동안 대기 상태로 남아 있습니다.
  8. 서버가 실패하지 않을 수 있도록 거부를 server-fail 설정합니다.
주:

이 설정은 스위치가 해당 인터페이스를 HELD 상태로 설정하기 전에 시도 횟수를 지정합니다.

인증 RADIUS 세션의 시작 변경에 대한 이해

클라이언트/서버 기반의 인증 서비스를 사용하는 RADIUS 일반적으로 요청은 클라이언트에 의해 시작되어 RADIUS 서버로 전송됩니다. 이미 진행 중 인증된 사용자 세션을 동적으로 수정하기 위해 서버에서 요청을 시작하여 클라이언트로 전송할 수 있는 인스턴스가 있습니다. 메시지를 수신하고 처리하는 클라이언트는 스위치로, 이는 네트워크 액세스 서버 또는 네트워크 액세스 서버(NAS). 서버는 세션 종료를 요청하는 단절 메시지 또는 세션 권한 부여 속성을 수정하도록 요청하는 CoA(Change of Authorization) 메시지를 보낼 수 있습니다.

스위치는 UPD 포트 3799에서 원치 않는 RADIUS 요청을 수신하고 신뢰할 수 있는 소스에서만 요청을 수신합니다. 연결 해제 또는 CoA 요청 전송 권한은 스위치와 네트워크 서버에서 구성해야 하는 소스 주소와 해당 공유 보안에 따라 RADIUS 결정됩니다. 스위치에서 소스 주소 및 공유 보안의 구성에 대한 자세한 내용은 다음을 참조하십시오. 802.1X를 EX 시리즈 스위치에 RADIUS 서버 연결

메시지 분리

RADIUS 서버는 사용자 세션을 종료하고 모든 관련 세션 컨텍스트를 폐기하기 위해 Switch에 Disconnect-Request 메시지를 전송합니다. 스위치는 요청이 성공하는 경우, 즉, 모든 관련 세션 컨텍스트가 폐기되고 사용자 세션이 더 이상 연결되지 않은 경우, 또는 요청에 실패한 경우, 인증자는 세션의 연결을 끊고 관련 세션 컨텍스트를 폐기할 수 없습니다.

연결 해제 요청 메시지에서 RADIUS 속성은 스위치(네트워크 액세스 서버(NAS)) 및 사용자 세션을 고유하게 식별하는 데 사용됩니다. 메시지에 네트워크 액세스 서버(NAS) 식별 속성 및 세션 식별 속성의 조합은 요청이 성공하려면 세션이 하나 이상 일치해야 합니다. 그렇지 않으면 스위치가 Disconnect-NAK 메시지로 응답합니다. 끊기-요청 메시지에는 세션 식별 속성과 네트워크 액세스 서버(NAS) 메시지만 포함될 수 있습니다. 다른 속성이 포함된 경우 스위치는 Disconnect-NAK 메시지로 응답합니다.

권한 부여 메시지 변경

CoA(Change of Authorization) 메시지에는 사용자 세션에 대한 인증 속성을 동적으로 수정하여 인증 수준을 변경하기 위한 정보가 포함되어 있습니다. 이는 2단계 인증 프로세스의 일부로 진행되는 것으로, MAC RADIUS 인증을 통해 엔드포인트가 먼저 인증된 후 디바이스 유형에 따라 프로파일을 작성합니다. CoA 메시지는 일반적으로 데이터 필터 또는 VLAN을 변경하여 장비에 적합한 적용 정책을 적용하는 데 사용됩니다.

스위치는 인증 변경에 성공한 경우 CoA-ACK 메시지와 함께 CoA 메시지에 응답하거나 변경에 실패할 경우 CoA-NAK 메시지를 제공합니다. CoA-Request 메시지에 지정된 하나 이상의 인증 변경을 수행하지 못하면 스위치가 CoA-NAK 메시지로 응답합니다.

CoA-Request 메시지에서 RADIUS 속성은 스위치(스위치의 역할을 네트워크 액세스 서버(NAS) 세션)를 고유하게 식별하는 데 사용됩니다. 메시지에 네트워크 액세스 서버(NAS) 식별 속성과 세션 식별 속성의 조합은 요청이 성공하려면 최소 한 개의 세션의 ID 속성을 일치해야 합니다. 그렇지 않으면 스위치가 CoA-NAK 메시지로 응답합니다.

CoA-Request 패킷에는 요청이 수락되면 수정될 세션 권한 부여 속성도 포함됩니다. 지원되는 세션 권한 부여 속성은 아래에 나와 있습니다. CoA 메시지는 이러한 속성을 모두 포함할 수 있습니다. 모든 속성이 CoA-Request 메시지의 일부로 포함되지 않는 경우 네트워크 액세스 서버(NAS) 속성의 가치가 변경되지 않는 것으로 가정합니다.

  • 필터 ID

  • 터널-프라이빗 그룹 ID

  • Juniper-스위칭 필터

  • Juniper-VoIP-VLAN

  • 세션 타임아웃

CoA 요청 포트 바운스

인증된 호스트의 VLAN을 변경하는 데 CoA 메시지가 사용되는 경우 프린터와 같은 최종 디바이스는 VLAN 변경을 탐지할 수 있는 메커니즘이 없습니다. 따라서 새 VLAN에서 DHCP 주소에 대한 리스를 갱신하지 않습니다. Junos OS Release 17.3에서부터는 포트 바운스 기능을 사용하여 인증된 포트에 링크 플랩을 발생시 정부지원하여 단말 장치가 DHCP 재협상을 시작하게 할 수 있습니다.

포트 바운스 명령은 VSA(RADIUS 벤더별 속성)주니퍼 네트웍스 서버로부터 전송됩니다. 다음 VSA 속성-값 쌍이 해당 서버의 CoA 메시지에서 수신된 경우 RADIUS 바운스됩니다.

  • Juniper-AV-Pair = "포트 바운스"

포트 바운스 기능을 활성화하려면 RADIUS-AV-Pair VSA를 사용하여 RADIUS Junos juniper.dct dictionary 파일(Juniper)을 업데이트해야 합니다. DICTIONARY 파일을 찾아 파일에 다음 텍스트를 추가합니다.

VSA 추가에 대한 자세한 내용은 FreeRADIUS 설명서를 참조하십시오.

[ ] 계층 수준에서 명령문을 구성하여 기능을 ignore-port-bounceedit protocols dot1x authenticator interface interface-name 비활성화할 수 있습니다.

오류 원인 코드

연결이 끊어지거나 CoA가 실패하면 문제의 원인에 대한 상세 정보를 제공하기 위해 네트워크 액세스 서버(NAS) 오류 원인 속성(RADIUS 속성 101)을 서버로 보낸 응답 메시지에 포함될 수 있습니다. 탐지된 오류가 지원되는 Error-Cause 속성 값 중 하나에 매핑되지 않는 경우 라우터는 오류 원인 속성 없이 메시지를 전송합니다. 에서 전송되는 응답 메시지에 포함될 수 있는 오류 원인 코드의 표 1 설명을 네트워크 액세스 서버(NAS).

표 1: 오류 원인 코드(RADIUS 속성 101)

코드

가치

설명

201

잔분 세션 컨텍스트 제거

하나 이상의 사용자 세션이 더 이상 활성화되지 않지만, 잔분의 세션 컨텍스트가 발견되어 제거된 경우, Disconnect-Request 메시지에 응답하여 전송됩니다. 이 코드는 Disconnect-ACK 메시지 내에서만 전송됩니다.

401

비지원 속성

요청에는 지원되지 않는 속성(예: 타사 속성)이 포함되어 있습니다.

402

누락된 속성

중요한 속성(예: 세션 식별 속성)이 요청에서 누락된 것입니다.

403

네트워크 액세스 서버(NAS) 식별 불일치

요청에는 요청을 수신하는 네트워크 액세스 서버(NAS) ID와 일치하지 않는 하나 이상의 네트워크 액세스 서버(NAS) 속성이 포함되어 있습니다.

404

잘못된 요청

요청의 또 다른 측면은 잘못되었습니다. 예를 들어 하나 이상의 속성이 올드포이즈되지 않은 경우를 들 수 있습니다.

405

무지원 서비스

요청에 포함된 Service-Type 속성에는 유효하지 또는 유효하지 않은 값이 포함되어 있습니다.

406

무지원 확장

요청을 수신하는 엔티티(네트워크 액세스 서버(NAS) 또는 RADIUS 프록시)는 RADIUS 요청을 지원하지 않습니다.

407

잘못된 속성 값

요청에는 사용되지 않는 값을 포함하는 속성이 포함되어 있습니다.

501

관리 금지

이 네트워크 액세스 서버(NAS) 연결 해제 또는 CoA-Request 메시지의 수신을 금지하도록 구성됩니다.

503

세션 컨텍스트를 찾을 수 없습니다.

요청에 식별된 세션 컨텍스트는 해당 요청에 네트워크 액세스 서버(NAS).

504

세션 컨텍스트를 이동 불가능

요청의 속성으로 식별되는 가입자는 지원되지 않는 구성 요소에 의해 소유됩니다. 이 코드는 Disconnect-NAK 메시지 내에서만 전송됩니다.

506

리소스 사용 불가

가용 리소스(예: 메모리)의 부족으로 네트워크 액세스 서버(NAS) 수 없습니다.

507

요청 시작

CoA-Request 메시지에는 Authorize Only 값을 포함하는 Service-Type 속성이 포함됩니다.

508

지원되지 않는 다양한 세션 선택

요청에 포함된 세션 식별 속성은 여러 세션과 일치하지만 네트워크 액세스 서버(NAS) 세션에 적용되는 요청을 지원하지 않습니다.

서버 속성을 사용하여 802.1X 서플리컨트 RADIUS 서플리컨트

포트 방화벽 필터(layer 2 RADIUS 서버)를 구성하는 두 가지 방법이 있습니다.

  • Juniper-Filter 속성에 하나 이상의 필터 용어를 포함합니다. Juniper-Switching-Filter 속성은 스위칭 서버의 Juniper 에 속성 ID 번호 48에 나열된 벤더 RADIUS 속성입니다. 이 VSA를 사용하여 802.1X 인증 사용자를 위한 간단한 필터 조건을 구성합니다. 스위치에서 구성할 필요가 없습니다. 모든 구성은 RADIUS 있습니다.

  • 각 스위치에서 로컬 방화벽 필터를 구성하고 해당 방화벽 필터를 RADIUS 적용합니다. 보다 복잡한 필터를 위해 이 메소드를 사용합니다. 각 스위치에서 방화벽 필터를 구성해야 합니다.

    주:

    사용자가 802.1X 인증을 사용해 인증을 한 후 방화벽 필터 구성이 수정되는 경우, 방화벽 필터 구성 변경이 적용될 수 있도록 설정된 802.1X 인증 세션이 종료되고 다시 설정되어야 합니다.

이 주제에는 다음 작업이 포함됩니다.

네트워크 서버에서 방화벽 필터 RADIUS 구성

Juniper-Switching-Filter 속성을 사용하여 단순한 필터 조건을 Juniper RADIUS 수 있습니다. 새 사용자가 인증을 거치면 이러한 필터는 스위치로 전송됩니다. 필터는 각 개별 스위치에 대해 구성할 필요 없이 RADIUS 해당 서버 전까지 사용자를 인증하는 모든 EX 시리즈 스위치에 적용됩니다.

주:

이 절차에서는 FreeRADIUS 소프트웨어를 사용하여 Juniper-Switching-Filter VSA를 구성합니다. 서버 구성에 대한 구체적인 정보는 서버에 포함된 AAA 설명서를 참조하십시오.

Juniper-Switching-Filter 속성을 구성하기 위해 CLI 필터 용어를 RADIUS 입력합니다. 각 필터 용어는 해당 조치와 일치하는 조건으로 구성됩니다. 다음과 같은 구문을 사용하여 견적 마크(" ")에 동봉된 필터 용어를 입력합니다.

두 개 이상의 일치 조건은 필터 용어에 포함될 수 있습니다. 필터 용어에 여러 조건이 지정된 경우, 패킷이 필터 용어와 일치하기 위해 모든 조건을 충족해야 합니다. 예를 들어, 다음 필터 용어는 용어 기준을 충족하기 위해 대상 IP 주소와 대상 MAC 주소를 모두 충족하는 패킷을 요구합니다.

예를 들어 다음과 같은 여러 필터 용어를 콤마로 분리해야 합니다.

매치 조건 및 작업의 정의는 Juniper-Switching-Filter VSA 일치 조건 및 조치를 참조하십시오.

주:

스위치 EX9200 스위치에서 Junos Fusion Enterprise EX9200 모든 IP 패킷에 대해 동적 방화벽 필터가 엄격하게 적용됩니다. 필터가 특정 대상 IP 주소만 허용하도록 구성되면 필터 규칙에 따라 대상 IP가 다른 IP 주소를 있는 패킷이 삭제됩니다. 여기에는 DHCP, IGMP 및 ARP 패킷과 같은 모든 IP 프로토콜 패킷이 포함됩니다.

네트워크 서버에서 일치 조건을 RADIUS:

  1. Juniper 에지가 RADIUS 필터링 속성(속성 ID 48)이 포함되어 있는지 Juniper-Switching-Filter 검증합니다.
  2. 일치 조건 및 조치를 입력합니다. 몇 가지 예를 들면 다음과 같습니다.
    • 802.1Q 태그(여기, 802.1Q 태그는됨)를 기준으로 인증을 거부하는 10 경우:

      각 관련 사용자에 대해 다음 속성을 Juniper-Switching-Filter 추가합니다.

    • 대상 IP 주소를 기준으로 액세스를 거부하는 경우:

      각 관련 사용자에 대해 다음 속성을 Juniper-Switching-Filter 추가합니다.

    • 대상 MAC 주소 및 IP 프로토콜을 기반으로 PLP(Packet Loss high Priority)를 설정하는 경우:

      각 관련 사용자에 대해 다음 속성을 Juniper-Switching-Filter 추가합니다.

      주:

      옵션을 적용하려면 스위치와 지정된 패킷 손실 우선 순위에서 포링 forwarding-class 클래스를 구성해야 합니다. 스위치에서 구성되지 않은 경우 이 옵션은 무시됩니다. 포우링 클래스와 패킷 손실 우선 순위를 모두 지정해야 합니다.

  3. 구성을 활성화하기 위해 RADIUS 프로세스를 중단하고 재시작합니다.

네트워크 서버에서 로컬 구성된 방화벽 필터를 RADIUS 적용

포트 방화벽 필터(Layer 2 방화벽 필터)를 사용자 정책에 RADIUS 있습니다. 그러면 RADIUS 인증을 요청하는 각 사용자에게 적용될 방화벽 필터를 지정하여 여러 스위치에서 동일한 방화벽 필터를 구성할 필요성을 줄일 수 있습니다. 방화벽 필터에 많은 조건이 포함되거나 스위치마다 동일한 필터에 대해 서로 다른 조건을 사용하고자 하는 경우 이 방법을 사용합니다. 각 스위치에서 방화벽 필터를 구성해야 합니다.

방화벽 필터에 대한 자세한 내용은 EX 시리즈 스위치용 방화벽 필터 개요 를 참조하십시오.

포트 방화벽 필터를 중앙에서 RADIUS:

주:

포트 방화벽 필터가 인터페이스를 위해 로컬로 구성되는 경우, VSAS를 사용하여 구성된 방화벽 필터가 로컬로 구성된 포트 방화벽 필터와 충돌하는 경우 우선적으로 구성됩니다. 충돌이 없는 경우 병합됩니다.

  1. 로컬 스위치에서 방화벽 필터를 생성합니다. 포트 방화벽 필터 구성에 대한 자세한 CLI 방화벽 필터(CLI Procedure)를 참조하십시오.
  2. RADIUS 필터를 적용하려는 최종 장비의 로컬 사용자 프로필을 표시하려면 파일을 users 오픈합니다.

  3. 필터 이름을 속성 값으로 추가하여 필터를 각 사용자 프로파일에 적용합니다.

    예를 들어, 아래의 필터 이름을 포함하는 supplicant1 Filter-ID 속성이 filter1 있습니다.

    주:

    여러 필터는 단일 인터페이스에서 지원되지 않습니다. 그러나 각 사용자에 대한 정책을 지원하는 단일 필터를 구성하여 동일한 인터페이스의 스위치에 연결된 여러 사용자를 위한 여러 필터를 지원할 수 있습니다.

  4. 구성을 활성화하기 위해 RADIUS 프로세스를 중단하고 재시작합니다.

예를 들면 다음과 같습니다. 802.1X를 EX RADIUS 서버 연결

802.1X는 PNAC(포트 기반 IEEE(Institute of Electrical and Electronics Engineers) 제어)를 위한 표준입니다. 802.1X를 사용하여 네트워크 액세스를 제어합니다. 사용자 데이터베이스에 대해 검증된 증명을 제공하는 사용자 및 장치만 네트워크에 대한 액세스를 허용합니다. 802.1X RADIUS 인증을 위한 사용자 데이터베이스로는 물론, MAC RADIUS 사용할 수 있습니다.

다음 예제에서는 RADIUS 서버를 EX 시리즈 스위치에 연결하고 802.1X에 맞게 구성하는 방법을 설명하고 있습니다.

요구 사항

이 예에서는 다음과 같은 소프트웨어 및 하드웨어 구성 요소를 활용합니다.

  • Junos OS EX Series 스위치용 릴리즈 9.0 이상

  • 인증자 포트 액세스 엔티티(PAE)의 역할을 하는 하나의 EX 시리즈 스위치. 인증자 PAE의 포트는 서플리컨트와 서플리컨트로의 모든 트래픽을 차단하고 인증될 때까지 제어 게이트를 형성합니다.

  • 802.1X를 RADIUS 1대의 인증 서버. 인증 서버는 백END 데이터베이스로 실행하며 네트워크에 연결할 수 있는 권한을 가지는 호스트(서플리컨트)에 대한 자격 증명 정보를 포함합니다.

서버를 스위치에 연결하기 전에 다음을 반드시 확인하십시오.

개요 및 토폴로지

EX 시리즈 스위치는 인증자 PAE의 역할을 합니다. 모든 트래픽을 차단하고 서플리컨트(클라이언트)가 서버에 의해 인증될 때까지 제어 게이트의 역할을 합니다. 다른 모든 사용자 및 디바이스는 액세스가 거부됩니다.

그림 1 에 EX4200 디바이스에 연결된 스위치 중 하나를 표 2 보여줍니다.

그림 1: 구성을 위한 토폴로지구성을 위한 토폴로지
표 2: 토폴로지의 구성 요소
속성 설정

스위치 하드웨어

EX4200 액세스 스위치, 24기가비트 이더넷 포트: 8개 PoE 포트(ge-0/0/0/7을 통한 ge-0/0/7) 및 비-PoE 포트 16개(ge-0/0/0/23을 통한 ge-0/0/23)

VLAN 이름

기본

1개 RADIUS 서버

포트의 스위치에 연결된 주소가 있는 10.0.0.100 백end 데이터베이스 ge-0/0/10

이 예에서는 RADIUS 스위치에서 RADIUS 서버와 연결하여 포트 ge-0/0/10에 EX4200 있습니다. 스위치는 인증자 역할을 하여 서플리던트에서 인증 정보를 서버의 사용자 RADIUS 전달합니다. 서버 주소를 지정하고 암호 EX4200 RADIUS 서버 간의 연결을 구성해야 합니다. 이 정보는 스위치의 액세스 프로파일에 구성되어 있습니다.

주:

AAA(Authentication, Authorization, and Accounting) 서비스에 대한 자세한 내용은 Junos OS System Basics Configuration Guide를 참조하십시오.

구성

절차

CLI 빠른 구성

스위치에 RADIUS 서버를 빠르게 연결하기 위해 다음 명령을 복사하여 스위치 터미널 창에 붙여넣기:

단계별 절차

스위치에 RADIUS 서버를 연결하기:

  1. 서버 주소를 정의하고 암호 암호를 구성합니다. 스위치의 암호는 서버의 암호와 일치해야 합니다.

  2. 첫 번째 인증 방법을 사용하여 인증 radius 순서를 구성합니다.

  3. 서플리전트(Supplicant)를 인증하기 위해 순서대로 시도할 서버 IP 주소 목록을 구성합니다.

결과

구성의 결과를 표시합니다.

확인

구성이 올바르게 작동하고 있는지 확인하려면 다음 작업을 수행합니다.

스위치 및 RADIUS 서버가 올바르게 연결되어 있는지 확인

목적

해당 RADIUS 서버가 지정된 포트의 스위치에 연결되어 있는지 확인

실행

Ping the RADIUS 서버는 스위치와 서버 간의 연결을 검증합니다.

의미

ICMP 에코 요청 패킷은 10.0.0.100에 스위치에서 대상 서버로 전송되어 서버가 IP 네트워크를 통해 도달할 수 있는지 여부를 테스트합니다. ICMP 에코 응답은 서버에서 반환되고 스위치와 서버가 연결되어 있는지 검증합니다.

속성에 기반한 동적 필터 RADIUS 이해

서버 속성을 사용하여 RADIUS 인증 서버에 포트 방화벽 필터를 구현할 RADIUS 수 있습니다. 이들 필터는 해당 서버를 통해 인증을 요청하는 서플리컨트에 동적으로 적용할 수 있습니다. RADIUS 서버 속성은 스위치에 연결된 서플리케이터가 성공적으로 인증되면 인증 서버에서 스위치로 전송되는 Access-Accept 메시지에 캡슐화되어 있는 투명 텍스트 필드입니다. 인증자 역할을 하는 스위치는 RADIUS 속성의 정보를 사용하여 관련 필터를 신청자에 적용합니다. 동적 필터는 동일한 스위치의 여러 포트 또는 동일한 인증 서버를 사용하는 여러 스위치에 적용되어 네트워크에 대한 중앙 액세스 제어를 제공합니다.

VSA(Vendor-Specific RADIUS Attribute)Juniper 속성인 Juniper-Switching-Filter 속성을 주니퍼 네트웍스 직접 방화벽 필터를 정의할 수 있습니다. RADIUS VSAS는 RFC 2138, 원격 인증 사용자 서비스(RADIUS)에 설명되어 있습니다. Juniper-Switching-Filter VSA는 RADIUS 서버의 Juniper Dictionary의 속성 ID 번호 48에 나열되어 벤더 ID는 주니퍼 네트웍스 ID 번호 2636으로 설정됩니다. 이 속성을 사용하여 인증 서버의 필터를 정의할 수 있습니다. 인증 서버는 해당 서버를 통해 서플리컨트(supplicants)를 인증하는 모든 스위치에 적용됩니다. 이 방법을 사용하면 여러 스위치에서 동일한 필터를 구성할 필요가 없습니다.

또는 속성 ID 번호 11인 Filter-ID 속성을 사용하여 동일한 스위치의 여러 포트에 포트 방화벽 필터를 RADIUS 수 있습니다. Filter-ID 속성을 사용하려면 먼저 스위치에서 필터를 구성한 다음 필터 id 속성의 값으로 RADIUS 서버의 사용자 정책에 필터 이름을 추가해야 합니다. 이러한 정책 중 하나에 정의된 서플리전트가 RADIUS 서버가 인증하면 필터는 서플리던트에 대해 인증된 스위치 포트에 적용됩니다. 방화벽 필터에 복잡한 조건이 있을 때나 스위치마다 동일한 필터에 대해 서로 다른 조건을 사용하려는 경우 이 방법을 사용합니다. 필터-ID 속성에 명명된 필터는 [ ] 계층 수준에서 스위치에서 edit firewall family ethernet-switching filter 로컬로 구성되어야 합니다.

VSAS는 802.1X 단일 서플리관 구성 및 다중 서플리안트 구성에서만 지원됩니다.

동적 VLAN 할당 이해 RADIUS 속성을 사용하여

해당 서버를 통해 802.1X 인증을 요청하는 서플리컨트에게 RADIUS VLA를 동적으로 할당할 수 있습니다. 서버 속성을 RADIUS 서버 RADIUS 서플리케이터가 스위치에 연결해 인증을 요청하면 인증 서버와 스위치로 전송된 메시지에 캡슐화되는 투명 텍스트 필드를 사용하여 RADIUS VLAN을 구성합니다. 인증자 역할을 하는 스위치는 RADIUS 속성의 정보를 사용하여 서플리던트에 VLAN을 할당합니다. 인증 결과에 따라 한 VLAN에서 인증을 시작한 서플리던트가 다른 VLAN에 할당될 수 있습니다.

성공적인 인증을 위해서는 802.1X 인증자 역할을 하는 스위치에서 VLAN ID 또는 VLAN 이름을 구성하고 인증 중에 RADIUS 서버가 전송한 VLAN ID 또는 VLAN 이름과 일치해야 합니다. 둘 중 하나도 없는 경우 최종 디바이스는 인증되지 않습니다. 게스트 VLAN이 설정되면, 사용자확인되지 않은 최종 디바이스가 자동으로 게스트 VLAN으로 이동됩니다.

RFC 2868에서 설명하는 동적 VLAN 할당에 사용되는 RADIUS 서버 속성, 터널 프로토콜 지원을 위한 RADIUS 속성

  • 터널 유형—RADIUS 유형 64로 정의됩니다. 가치를 으로 설정해야 VLAN 합니다.

  • 터널 중형 유형—RADIUS 유형 65로 정의됩니다. 가치를 으로 설정해야 IEEE-802 합니다.

  • Tunnel-Private-Group-ID—RADIUS 유형 81로 정의됩니다. 값은 VLAN ID 또는 VLAN 이름으로 설정해야 합니다.

매니지드 서버에서 동적 VLA를 구성하는 RADIUS 대한 자세한 내용은 RADIUS 참조하십시오.

스위치에서 802.1X에 대한 게스트 VLA 이해

게스트 VLA는 802.1X 인증을 사용하는 스위치에서 구성하여 기업 게스트에 대해 일반적으로 인터넷에만 액세스 권한을 부여할 수 있습니다. 게스트 VLAN은

  • 서플리던트는 802.1X를 지원하지 않을 뿐만 아니라 EAP 메시지에 응답하지 않습니다.

  • MAC RADIUS 인증은 서플리던트가 연결된 스위치 인터페이스에서 구성되지 않은 것입니다.

  • 캡티드 포털은 서플리던트가 연결된 스위치 인터페이스에서 구성되지 않은 상태입니다.

잘못된 자격 증명을 전송하는 서플리컨트에는 게스트 VLAN이 사용되지 않습니다. 이들 서플리컨트는 서버 거부 VLAN으로 연결됩니다.

802.1X를 지원하지 않는 최종 장치의 경우, 게스트 VLAN은 비 802.1X 지원 엔드 디바이스가 서플리런트 소프트웨어를 다운로드하고 다시 인증을 시도할 수 있는 서버에 대한 제한된 액세스를 허용할 수 있습니다.

예를 들면 다음과 같습니다. EX 시리즈 스위치에 RADIUS 없는 경우 802.1X 인증 옵션 구성

서버 장애 폴백을 사용하면 인증 서버를 사용할 수 없게 되는 경우 스위치에 연결된 802.1X 서플리컨트가 RADIUS 수 있습니다.

802.1X를 사용하여 네트워크 액세스를 제어합니다. 사용자 데이터베이스에 대해 검증된 자격 증명을 제공하는 사용자 및 장치(서플리컨트)만 네트워크에 대한 액세스를 허용합니다. 사용자 데이터베이스로 RADIUS 서버를 사용합니다.

다음 예제에서는 서버 타임아웃 시 서플리런트(supplicant)를 VLAN으로 이동하기 위한 인터페이스를 RADIUS 방법을 설명합니다.

요구 사항

이 예에서는 다음과 같은 소프트웨어 및 하드웨어 구성 요소를 활용합니다.

주:

이 예는 스위치와 QFX5100 적용합니다.

  • Junos OS EX 시리즈 스위치용 릴리스 9.3 이상

  • 인증자 포트 액세스 엔티티(PAE)의 역할을 하는 하나의 EX 시리즈 스위치. 인증자 PAE의 포트는 서플리컨트와 서플리컨트로의 모든 트래픽을 차단하고 인증될 때까지 제어 게이트를 형성합니다.

  • 802.1X를 RADIUS 1대의 인증 서버. 인증 서버는 백END 데이터베이스로 실행하며 네트워크에 연결할 수 있는 권한을 가지는 호스트(서플리컨트)에 대한 자격 증명 정보를 포함합니다.

서버를 스위치에 연결하기 전에 다음을 반드시 확인하십시오.

개요 및 토폴로지

서버 RADIUS 로그인하고 LAN 액세스를 시도할 때 RADIUS 서버가 액세스할 수 없는 경우 서버 타임아웃이 발생합니다. 서버 장애 대체를 사용하여 LAN 액세스를 시도하는 서플리컨트에 대한 대체 옵션을 구성할 수 있습니다. 서버 타임아웃에 앞서 서플리컨트에 대한 액세스를 허용 또는 거부하거나 서플리컨트에 이미 부여된 액세스를 유지하도록 스위치를 RADIUS 수 있습니다. 또한, 타임아웃이 발생하면 서플리컨트(supplicants)를 특정 VLAN으로 이동하도록 스위치를 RADIUS 수 있습니다.

그림 2 이 예에서 사용된 토폴로지가 표시됩니다. RADIUS 서버는 액세스 포트의 EX4200 스위치에 ge-0/0/10 연결됩니다. 스위치는 PAE(Authenticator Port Access Entity)의 역할을 하여 서플리던트에서 인증 정보를 서버의 사용자 데이터베이스로 RADIUS. 스위치는 모든 트래픽을 차단하고 서플리컨트가 인증 서버에 의해 인증될 때까지 제어 게이트의 역할을 합니다. 인터페이스 ge-0/0/1을 통해 서플리던트가 스위치에 연결됩니다.

주:

이 그림은 또한 스위치와 QFX5100 수 있습니다.

그림 2: 802.1X 옵션 구성을 위한 토폴로지802.1X 옵션 구성을 위한 토폴로지

표 3 이 토폴로지의 구성 요소를 설명하고 있습니다.

표 3: 토폴로지의 구성 요소
속성 설정

스위치 하드웨어

EX4200 액세스 스위치, 24기가비트 이더넷 포트: 비만 포트 16개 PoE 포트 8개 PoE.

VLAN 이름

default VLAN

vlan-sf VLAN

요청자

인터페이스에서 액세스를 시도하는 서플리전트 ge-0/0/1

1개 RADIUS 서버

포트의 스위치에 연결된 주소가 있는 10.0.0.100 백end 데이터베이스 ge-0/0/10

다음 예제에서 인터페이스 ge-0/0/1을 구성하여 타임아웃이 진행되는 동안 LAN에 대한 액세스를 시도하는 서플리전트(supplicant)RADIUS VLAN으로 이동합니다. RADIUS 타임아웃은 네트워크 서버에서 스위치로 정보를 전달하는 EAP RADIUS 정상적인 교환을 방지하고 서플리안트의 인증을 허용합니다. 기본 VLAN은 인터페이스 ge-0/0/1에서 구성됩니다. RADIUS 타임아웃이 발생하면 인터페이스의 서플리컨트가 기본 VLAN에서 vlan-sf라는 VLAN으로 이동됩니다.

토폴로지

구성

절차

CLI 빠른 구성

스위치에서 서버 장애 변경을 신속하게 구성하기 위해 다음 명령을 복사하여 스위치 터미널 창에 붙여넣기:

단계별 절차

시간 제한이 발생하면 서플리컨트(supplicants)를 특정 VLAN으로 RADIUS 인터페이스를 구성합니다(여기서 VLAN은 다음과 vlan-sf 같습니다).

  1. 서플리컨트가 전환되는 VLAN을 정의합니다.

결과

구성의 결과를 표시합니다.

확인

구성이 올바르게 작동하고 있는지 확인하려면 다음 작업을 수행합니다.

시간 제한 시간 동안 서플리컨트가 대체 VLAN으로 RADIUS 검증

목적

타임아웃이 진행되는 동안 인터페이스가 서플리컨트(supplicants)를 대체 VLAN으로 RADIUS 있는지 검증합니다.

주:

ELS를 지원하는 EX Junos OS 실행되는 스위치의 경우 명령어 출력에 추가 show vlans 정보가 포함되어 있습니다. 스위치가 ELS를 지원하는 소프트웨어를 실행하면 vlan을 표시하십시오. ELS에 대한 자세한 내용은 Enhanced Layer 2 Software CLI

실행

스위치에서 구성된 VLA를 표시합니다. 인터페이스는 ge-0/0/1.0default VLAN의 구성입니다.

스위치에 802.1X 프로토콜 정보를 표시해 인터페이스에서 인증된 서플리컨트(supplicants)를 볼 수 ge-0/0/1.0 있습니다.

RADIUS 타임아웃이 발생합니다. 이더넷 스위칭 테이블을 표시하여 VLAN을 통해 00:00:00:00:00:01 LAN에 액세스했던 MAC 주소가 있는 서플리던트가 defaultvlan-sf

802.1X 프로토콜 정보를 표시해 인터페이스가 연결 중이고 서플리컨트에 대한 LAN 액세스가 ge-0/0/1.0 열려는 표시:

의미

show vlans명령어는 인터페이스를 ge-0/0/1.0 VLAN의 구성원으로 default 표시합니다. 이 명령은 인터페이스에서 서플리케이터()가 인증을 마비하고 show dot1x interface brief MAC 주소를 가지고 있는 것으로 abcge-0/0/1.0 나타 내포됩니다. 00:00:00:00:00:01 RADIUS 타임아웃이 발생하면 인증 서버에 스위치에 도달할 수 없습니다. show-ethernet-switching table명령어는 VLAN에서 MAC 주소가 학습된 00:00:00:00:00:01 것을 vlan-sf 보여줍니다. 서플리던트가 default VLAN에서 vlan-sf VLAN으로 이동됐습니다. 그런 다음 서플리런트는 이라는 VLAN을 통해 LAN에 vlan-sf 연결됩니다.

예를 들면 다음과 같습니다. EAP-TTLS 인증 및 Odyssey Access Clients를 위한 EX 시리즈 스위치의 폴백 옵션 구성

802.1X 사용자 인증을 위해 EX 시리즈 스위치는 EAP-TTLS(Extensible Authentication Protocol–Tunneled TLS)를 사용하여 OAC(Odyssey Access Client) 서플리컨트(supplicants)를 사용하는 RADIUS 인증 서버를 지원합니다. OAC 네트워킹 소프트웨어는 단말 장치 컴퓨터(데스크톱, 노트북 또는 노트패드 컴퓨터 및 지원 무선 장치)에서 실행되는 제품으로, 유선 및 무선 네트워크에 대한 안전한 액세스를 제공합니다.

다음 예제에서는 올바르지 않은 로그인 인증 정보를 입력한 OAC 사용자에게 폴백 지원을 제공하기 위해 스위치에서 802.1X 기반 인터페이스를 구성하는 방법을 설명합니다.

요구 사항

이 예에서는 다음과 같은 소프트웨어 및 하드웨어 구성 요소를 활용합니다.

주:

이 예는 스위치와 QFX5100 적용합니다.

  • Junos OS EX 시리즈 스위치용 릴리즈 11.2 이상

  • 인증자 포트 액세스 엔티티(PAE)의 역할을 하는 하나의 EX 시리즈 스위치. 인증자 PAE의 포트는 서플리컨트와 서플리컨트로의 모든 트래픽을 차단하고 인증될 때까지 제어 게이트를 형성합니다.

  • 802.1X를 RADIUS 1대의 인증 서버. 인증 서버는 백END 데이터베이스로 실행하며 네트워크에 연결할 수 있는 권한을 가지는 호스트(서플리컨트)에 대한 자격 증명 정보를 포함합니다.

  • 서플리콘의 역할을 하는 하나의 OAC 엔드 디바이스.

폴백 옵션을 구성하기 전에 다음을 확보하십시오.

개요 및 토폴로지

OAC는 엔드포인트 컴퓨터(데스크톱, 노트북 또는 노트패드) 및 지원 무선 장치상에서 실행되는 네트워킹 소프트웨어입니다. OAC는 안전한 보안 액세스가 필요한 EAP를 무선 LAN 제공합니다.

이 토폴로지에서 OAC는 802.1X 지원 스위치와 RADIUS 구축됩니다. 스위치는 네트워크 보안 아키텍처의 적용 지점의 기능을 합니다. 이 토폴로지:

  • 인증된 사용자만이 연결할 수 있도록 보장합니다.

  • 로그인 자격 증명의 개인 정보를 보호합니다.

  • 무선 링크에서 데이터 프라이버시를 유지할 수 있습니다.

이 예에는 스위치에서 서버 거부 VLAN의 구성이 포함되어 있습니다. 이 는 부정확한 로그인 인증 정보를 입력한 사용자에 대한 우연한 잠금을 방지하는 데 사용할 수 있습니다. 이러한 사용자에게는 제한된 LAN 액세스가 제공될 수 있습니다.

그러나 이러한 폴백 구성은 OAC 서플리콘 및 RADIUS 서버가 EAP-TTLS를 사용하고 있는 것이기 때문에 매우 복잡합니다. EAP-TTLS는 서버와 최종 장치 간에 안전한 암호화 터널을 생성하여 인증 프로세스를 완료합니다. 사용자가 잘못된 로그인 인증 정보를 입력하면 RADIUS 서버가 이 터널을 통해 EAP 장애 메시지를 클라이언트로 직접 전송합니다. EAP 장애 메시지는 클라이언트가 인증 절차를 다시 시작하도록 하여 스위치의 802.1X 인증 프로세스가 서버 거부 VLAN을 사용하여 스위치에 설정한 세션을 종료합니다. 다음을 구성하여 개선 연결을 계속할 수 있습니다.

  • eapol-block—서버 거부 VLAN에 속하도록 구성된 802.1X 인터페이스에서 EAPoL 차단 타임러를 활성화합니다. 차단 시간(block timer)은 인증 포트 액세스 엔티티가 클라이언트의 EAP 시작 메시지를 무시하여 인증 절차를 재시작하려고 시도합니다.

    주:

    EAPoL 차단 타임러는 802.1X 인터페이스에서 구성된 허용 재시트(옵션 사용)가 소진된 후에만 retries 트리거됩니다. 스위치가 최초 장애 이후 포트 인증을 시도한 횟수를 지정하도록 retries 구성할 수 있습니다. 기본 재시도는 3개입니다.

  • block-interval—EAPoL 차단 시간(block timer)이 EAP 시작 메시지를 계속 무시하도록 원하는 시간(time)을 구성합니다. 차단 간격을 구성하지 않는 경우 EAPoL 차단 타임(block timer)은 기본값을 120초로 설정합니다.

802.1X 인터페이스가 클라이언트의 EAP 시작 메시지를 무시하면, 스위치는 서버 거부 VLAN을 통해 확립된 기존 수정 세션이 열린 상태로 유지될 수 있습니다.

이러한 구성 옵션은 단일 보안 및 여러 서플리안트 인증 모드에 적용됩니다. 이 예에서 802.1X 인터페이스는 단일 서플리던트 모드로 구성됩니다.

그림 3 은 OAC 엔드 디바이스를 RADIUS 네트워크 엔티티를 연결하는 데 사용되는 프로토콜을 나타냅니다.

주:

이 그림은 또한 스위치와 QFX5100 수 있습니다.

그림 3: EAP-TTLS 인증을 RADIUS 서버에 OAC를 연결하는 EX 시리즈 스위치EAP-TTLS 인증을 RADIUS 서버에 OAC를 연결하는 EX 시리즈 스위치

토폴로지

표 4 이 OAC 구축의 구성 요소를 설명합니다.

표 4: OAC 구축의 구성 요소
속성 설정

스위치 하드웨어

EX 시리즈 스위치

VLAN

default

server-reject-vlan: VLAN 이름 및 remedial VLAN ID는 700

802.1X 인터페이스

ge-0/0/8

OAC 서플리콘트

EAP-TTLS

1 RADIUS 인증 서버

EAP-TTLS

구성

절차

CLI 빠른 구성

EAP-TTLS 및 OAC 서플리컨트에 대한 폴백 옵션을 신속하게 구성하기 위해 다음 명령을 복사하여 스위치 터미널 창에 붙여넣기:

단계별 절차

EAP-TTLS 및 OAC 서플리컨트에 대한 폴백 옵션을 구성하는 경우:

팁:

이 예에서는 스위치가 서버 거부 VLAN 하나만 있습니다. 따라서 구성은 을 직접 eapol-blockblock-intervalserver-reject-vlan 지정합니다. 그러나 스위치에서 여러 VLAN을 구성한 경우 어떤 VLAN이 수정되고 있는지 표시하기 직후에 VLAN 이름 또는 VLAN ID를 포함해야 server-reject-vlan 합니다.

  1. 올바르지 않은 로그인 인증 정보를 입력한 사용자에게 제한된 LAN 액세스를 제공하기 위해 서버 거부 VLAN으로 기능하는 VLAN을 구성합니다.

  2. 잘못된 로그인이 서버 거부 VLAN으로 연결되기 전에 사용자 이름과 암호에 대해 클라이언트가 묻는 횟수를 구성합니다.

  3. 서버 거부 VLAN을 잘못된 로그인에 대한 폴백으로 사용하도록 802.1X 인증자 인터페이스를 구성합니다.

  4. 서버 거부 VLAN에 속하도록 구성된 802.1X 인터페이스에서 EAPoL 블록 타임러를 활성화합니다.

  5. EAPoL 블록이 효과를 유지하도록 시간 구성:

결과

구성의 결과를 확인:

확인

구성 및 폴백 옵션이 올바르게 작동하고 있는지 확인하려면 다음 작업을 수행하십시오.

802.1X 인터페이스 구성 확인

목적

원하는 옵션으로 802.1X 인터페이스가 구성된지 확인

실행
의미

명령 출력은 인터페이스가 현재 상태고 show dot1x ge-0/0/8 detail VLAN을 사용하고 있는 ge-0/0/8Authenticated 것으로 remedial 표시됩니다.

802.1X 인증 모니터링

목적

주:

이 주제는 J-Web Application 패키지에만 적용됩니다.

J-Web 애플리케이션 패키지 Release 14.1X53-A2는 스위치에서 802.1X 인증을 EX4600 없습니다.

모니터링 기능을 사용하여 인증에 실패한 인증된 사용자와 사용자의 세부 정보를 표시합니다.

실행

J-Web 인터페이스에 인증 세부 정보를 표시하려면 을 > MonitoringSecurity802.1X >.

인증 정보를 표시하기 위해 CLI 명령을 입력합니다.

  • show dot1x interface detail | display xml

  • show dot1x interface detail <interface> | display xml

  • show dot1x auth-failed-users

의미

표시된 세부 사항은 다음과 같습니다.

  • 인증된 사용자 목록.

  • 연결된 사용자 수입니다.

  • 인증에 실패한 사용자 목록

세부 정보가 표시되어야 하는 인터페이스를 지정할 수도 있습니다.

802.1X 인증 검증

목적

802.1X 인증으로 구성된 인터페이스가 있는 스위치의 인터페이스에서 서플리컨트가 인증되고 있는지 확인하고 사용 중 인증 방법을 표시합니다.

실행

802.1X를 위해 구성된 인터페이스에 대한 자세한 정보를 표시합니다(여기서 인터페이스는 ge-0/0/16입니다).

의미

명령의 샘플 show dot1x interface detail 출력은 Number of connected supplicants 1을 보여줍니다. 인증되고 이제 LAN에 연결되는 서플리런트는 RADIUS 서버로 알려져 있으며 user5 MAC 주소를 품고 00:30:48:8C:66:BD 있습니다. 서플리던트는 출력에 표시된와 같은 RADIUS 인증이라고 하는 802.1X 인증 방법을 통해 Radius 인증했습니다. RADIUS 인증이 사용되는 경우, 서플리런트가 RADIUS 서버가 RADIUS 서버가 이를 스위치에 전달하고 스위치가 서플리런트가 연결된 인터페이스에서 LAN 액세스 권한을 엽습니다. 샘플 출력은 서플리던트가 VLAN에 연결되어 있는지도 v200 보여줍니다.

EX 시리즈 스위치에서 지원되는 기타 802.1X 인증 방법은 RADIUS 있습니다.

  • 게스트 VLAN—비대조 호스트에 게스트-VLAN 액세스가 부여됩니다.

  • MAC Radius—비대조직 호스트가 MAC 주소를 기반으로 인증됩니다. MAC 주소는 RADIUS 서버에서 허용되는 것으로 구성되고 RADIUS 서버는 MAC 주소가 허용된 주소인 스위치에 대해, 스위치가 연결된 인터페이스의 비대칭 호스트에 대한 LAN 액세스를 허용합니다.

  • 서버 장애 거부—RADIUS 서버 타임아웃 시 모든 서플리컨트가 LAN에 대한 액세스를 거부하여 서플리컨트가 인터페이스를 통과하지 못하게 합니다. 이는 기본 설정입니다.

  • 서버 장애 허용—RADIUS 서버를 사용할 수 없는 경우 신청서가 RADIUS 서버에 대한 인증을 완료한 경우에도 LAN에 대한 액세스를 허용합니다.

  • 서버 장애 사용 캐시—RADIUS 동안 RADIUS 승인된 신청자에 대한 LAN 액세스가 허용되지만, 새로운 서플리컨트는 LAN 액세스가 거부됩니다.

  • 서버 장애(server-fail) VLAN—서버가 서플리던트에 재인식할 수 없는 경우 서플리런트(supplicant)RADIUS 지정된 VLAN으로 이동하도록 구성됩니다. (VLAN은 스위치에 이미 존재해야 합니다.)

EX 시리즈 스위치의 엔드 디바이스 인증 문제 해결

문제

설명

정적 MAC 주소를 사용하여 구성된 엔드 디바이스는 clear dot1x 인터페이스 명령이 실행된 후 학습된 모든 MAC 주소를 지우기 위해 스위치에 연결되지 않습니다.

MAC 주소를 지우기 전에:

MAC 주소를 지우기 위해:

MAC 주소를 지운 후:

인증 우회 목록에는 단말 장치가 없습니다.

원인

정적 MAC 주소는 인터페이스에서 학습된 다른 MAC 주소와 동일하게 처리됩니다. clear dot1x 인터페이스 명령이 실행하면 정적 MAC 우회 목록(제외 목록)을 포함하여 인터페이스에서 학습된 모든 MAC 주소를 지우게 됩니다.

솔루션

인증 우회를 위해 구성된 정적 MAC 주소가 있는 인터페이스에 대해 clear dot1x 인터페이스 명령을 실행하면 정적 MAC 우회 목록에 정적 MAC 주소를 다시 추가합니다.

출시 내역 표
릴리스
설명
20.2R1
릴리스 Junos OS 릴리스 20.2R1 레이어 3 인터페이스에서 802.1X 인증을 구성할 수 있습니다.
18.4R1
Junos OS Release 18.3R1 시작하여 트렁크 인터페이스에서 802.1X 인증을 구성할 수 있습니다. 그러면 네트워크 액세스 장치(네트워크 액세스 서버(NAS))가 액세스 포인트(AP) 또는 다른 연결된 Layer 2 디바이스를 인증할 수 있습니다.
17.3R1
Junos OS Release 17.3에서부터는 포트 바운스 기능을 사용하여 인증된 포트에 링크 플랩을 발생시 정부지원하여 단말 장치가 DHCP 재협상을 시작하게 할 수 있습니다.
14.1X53-A2
J-Web 애플리케이션 패키지 Release 14.1X53-A2는 스위치에서 802.1X 인증을 EX4600 없습니다.