이 페이지에서
802.1X 인증
포트 기반 네트워크 액세스 제어를 위한 IEEE 802.1X 표준이며 무단 사용자 액세스로부터 이더넷 LAN을 보호합니다. 요청자의 자격 증명이 제시되고 인증 서버(RADIUS 서버)와 일치할 때까지 인터페이스에서 요청자(클라이언트) 측으로의 모든 트래픽을 차단합니다. 신청자가 인증되면 스위치가 액세스를 차단하는 것을 멈추고 신청자 측 인터페이스가 열립니다. 자세한 정보를 보려면 이 주제를 읽어보십시오.
스위치용 802.1X 개요
- 802.1X 인증 작동 방식
- 802.1X 기능 개요
- 트렁크 포트의 802.1X 인증
- 레이어 3 인터페이스의 802.1X 인증
- Junos OS Evolved 소프트웨어에서 802.1X 지원
802.1X 인증 작동 방식
802.1X 인증은 인증 요청자의 자격 증명이 제시되고 인증 서버(RADIUS 서버)에서 일치할 때까지 포트에서 인증 요청자(종단 디바이스)의 수신 트래픽을 차단하기 위해 인증자 포트 액세스 엔터티(스위치)를 사용하여 실행됩니다. 인증되면 스위치가 트래픽 차단을 중단하고 인증 요청자에 대한 포트를 개방합니다.
종단 디바이스는 single supplicant 모드, single-secure supplicant 모드 또는 multiple supplicant 모드에서 지원됩니다.
-
single supplicant—첫 번째 종단 디바이스만 인증합니다. 나중에 포트에 연결하는 다른 모든 종단 디바이스는 추가 인증 없이 모든 권한이 허용되며, 첫 번째 종단 디바이스의 인증 시 효과적으로 피기백합니다.
-
single-secure supplicant—하나의 종단 디바이스만 포트에 연결할 수 있습니다. 첫 번째 디바이스가 로그아웃할 때까지 다른 종단 디바이스가 연결할 수 없습니다.
-
multiple supplicant—여러 개의 종단 디바이스를 포트에 연결할 수 있습니다. 각각의 종단 디바이스는 개별적으로 인증됩니다.
네트워크 액세스는 VLAN 및 방화벽 필터를 사용하여 추가로 정의할 수 있습니다. 두 가지 모두 종단 디바이스 그룹을 분리하고 필요한 LAN 영역으로 일치시키는 필터 역할을 합니다. 예를 들어, 다음에 따라 다양한 범주의 인증 실패를 처리하도록 VLAN을 구성할 수 있습니다.
-
종단 디바이스의 802.1X 지원 여부.
-
호스트가 연결된 스위치 인터페이스에서 MAC RADIUS 인증 구성 여부.
-
RADIUS 인증 서버를 사용할 수 없는지, 또는 RADIUS access-reject 메시지를 전송하는지 여부. RADIUS 서버 장애 복구 구성(CLI 절차)을 참조하십시오.
802.1X 기능 개요
다음 802.1X 기능은 주니퍼 네트웍스 이더넷 스위치에서 지원됩니다.
-
Guest VLAN—호스트가 연결된 스위치 인터페이스에서 MAC RADIUS 인증이 구성되지 않으면 802.1X가 활성화되지 않은 비응답 종단 디바이스의 경우 LAN(일반적으로 인터넷에만)에 제한된 액세스를 제공합니다. 또한 guest VLAN은 게스트 사용자에게 LAN에 대한 제한된 액세스를 제공하는 데 사용될 수 있습니다. 일반적으로 guest VLAN은 인터넷과 다른 게스트의 종단 디바이스에 대해서만 액세스를 제공합니다.
-
Server-reject VLAN—802.1X가 활성화되었지만 잘못된 자격 증명을 전송한 응답형 종단 디바이스의 경우 LAN(일반적으로 인터넷에만)에 대한 제한된 액세스를 제공합니다. server-reject VLAN을 사용하여 인증된 종단 디바이스가 IP 전화인 경우, 음성 트래픽은 허용되지 않습니다.
-
Server-fail VLAN—RADIUS 서버 시간 제한 중인 802.1X 종단 디바이스의 경우 LAN(일반적으로 인터넷에만)에 대한 제한된 액세스를 제공합니다.
-
동적 VLAN—인증 후 종단 디바이스가 동적으로 VLAN의 구성원이 되도록 활성화합니다.
-
프라이빗 VLAN—프라이빗 VLAN(PVLAN)의 구성원인 인터페이스에서 802.1X 인증 구성을 활성화합니다.
-
사용자 세션에 대한 동적 변경—스위치 관리자가 이미 인증된 세션을 종료할 수 있도록 활성화합니다. 이 기능은 RFC 3576에 정의된 RADIUS Disconnect Message 지원을 기반으로 합니다.
-
VoIP VLAN—IP 전화를 지원합니다. IP 전화에서 음성 VLAN의 구현은 공급업체에 따라 다릅니다. 전화기에 802.1X가 활성화되어 있는 경우, 다른 인증 요청자처럼 인증됩니다. 전화기가 802.1X를 지원하지 않지만 데이터 포트에 연결된 다른 802.1X 호환 디바이스가 있는 경우, 해당 디바이스가 인증되면 전화기에서 VoIP 트래픽이 오고 갈 수 있습니다(인터페이스가 single-secure supplicant 모드가 아닌 single supplicant 모드에서 구성된 경우).
주:프라이빗 VLAN(PVLAN) 인터페이스에서 VoIP VLAN 구성은 지원되지 않습니다.
-
RADIUS 어카운팅—RADIUS 어카운팅 서버에 어카운팅 정보를 전송합니다. 어카운팅 정보는 가입자가 로그인하거나 로그아웃할 때마다, 그리고 가입자가 구독을 활성화하거나 비활성화할 때마다 서버로 전송됩니다.
-
802.1X에 대한 RADIUS 서버 속성—
Juniper-Switching-Filter
은(는) 802.1X 인증 프로세스 중에 인증 요청자의 액세스를 추가로 정의하기 위해 RADIUS 서버에 구성할 수 있는 벤더 고유 속성(VSA)입니다. 인증 서버 중앙에서 속성을 구성하면 인증 요청자가 LAN에 연결할 수 있는 LAN의 모든 스위치에서 방화벽 필터의 형태로 이러한 속성을 구성할 필요가 없습니다.Juniper-Switching-Filter
은(는) RFC4849의 속성 92에서 참조하는 NAS-필터링 -규칙과 같습니다. -
Microsoft Challenge 핸드셰이크 인증 프로토콜 버전 2(MS-CHAPv2)—802.1X EAP 가능 클라이언트의 경우 MS-CHAPv2 인증을 활성화합니다.
-
Mist Access Assurance를 사용하는 GBP가 포함된 마이크로 및 매크로 세그먼테이션 - 그룹 기반 정책(GBP)을 사용하여 VXLAN(가상 확장형 LAN) 아키텍처에서 마이크로세그먼테이션 및 매크로세그먼테이션을 적용할 수 있습니다. GBP는 기본 VXLAN 기술을 활용하여 위치에 구애받지 않는 엔드포인트 액세스 제어를 제공합니다. GBP를 사용하면 엔터프라이즈 네트워크 도메인 전체에 일관된 보안 정책을 구현할 수 있습니다. 따라서 모든 스위치에 많은 수의 방화벽 필터를 구성하지 않고 네트워크 구성을 단순화할 수 있습니다. Juniper Mist 클라우드의 네트워크 액세스 제어(NAC)는 RADIUS 트랜잭션 중에 GBP 태그를 동적으로 인식합니다. RADIUS 802.1X 인증을 통해 네트워크 운영자는 사용자 또는 디바이스를 자동으로 인증하고 권한을 주어 네트워크에 연결할 수 있습니다. Juniper Mist Access Assurance는 사용자 및 디바이스 ID를 사용하여 네트워크가 각 사용자에게 할당하는 역할과 네트워크 세그먼트를 결정합니다. 네트워크는 VLAN 또는 GBP를 사용하여 사용자를 네트워크 세그먼트로 그룹화합니다. 그런 다음 Juniper Mist Access Assurance는 각 세그먼트와 연동된 네트워크 정책을 적용합니다.
당사는 현재 EX4100, EX4400 및 EX4650 가상 섀시에서 이를 지원합니다.
자세한 내용은 다음을 참조하세요. Example: Micro and Macro Segmentation using Group Based Policy in a VXLAN
802.1X가 활성화되지 않은 디바이스를 인증하기 위해 다음과 같은 기능이 지원됩니다.
-
정적 MAC 바이패스—802.1X가 활성화되지 않은 디바이스(예: 프린터)를 인증하기 위해 바이패스 메커니즘을 제공합니다. 정적 MAC 바이패스는 802.1X 인증을 우회하여 이러한 디바이스를 802.1X 지원 포트에 연결합니다.
-
MAC RADIUS 인증—802.1X가 활성화되지 않는 호스트가 LAN에 액세스할 수 있는 수단을 제공합니다. MAC-RADIUS는 클라이언트의 MAC 주소를 사용자 이름과 암호로 사용하여 클라이언트 디바이스의 인증 요청자 기능을 시뮬레이션합니다.
트렁크 포트의 802.1X 인증
Junos OS 릴리스 18.3R1부터 트렁크 인터페이스에서 802.1X 인증을 구성할 수 있어 NAS(네트워크 액세스 디바이스)가 AP(액세스 포인트)나 연결된 다른 레이어 2 디바이스를 인증할 수 있습니다. 네트워크 액세스 서버(NAS)에 연결된 AP 또는 스위치는 여러 개의 VLAN을 지원하므로 트렁크 포트에 연결해야 합니다. 트렁크 인터페이스에서 802.1X 인증을 활성화하면 공격자가 AP 연결을 중단시키고 노트북에 연결하여 구성된 모든 VLAN의 네트워크에 자유롭게 액세스할 수 있는 보안 위협으로부터 NAS를 보호합니다.
트렁크 인터페이스에서 802.1X 인증을 구성할 때 다음과 같은 주의 사항을 참조하십시오.
-
트렁크 인터페이스에서는 single 맟 single-secure supplicant 모드만 지원됩니다.
-
트렁크 인터페이스에서 802.1X 인증을 로컬로 구성해야 합니다.
set protocol dot1x interface all
명령을 사용하여 802.1X 인증을 전역으로 구성하는 경우 트렁크 인터페이스에 구성이 적용되지 않습니다. -
동적 VLAN은 트렁크 인터페이스에서 지원되지 않습니다.
-
Guest VLAN 및 server-reject VLAN은 트렁크 인터페이스에서 지원되지 않습니다.
-
VoIP 클라이언트에 대한 서버 장애 복구는 트렁크 인터페이스에서 지원되지 않습니다(
server-fail-voip
). -
캡티브 포털을 사용한 트렁크 포트의 인증은 지원되지 않습니다.
-
트렁크 포트 인증은 집계된 인터페이스에서 지원되지 않습니다.
-
프라이빗 VLAN(PVLAN)의 구성원인 인터페이스의 802.1X 인증 구성은 트렁크 포트에서 지원되지 않습니다.
레이어 3 인터페이스의 802.1X 인증
Junos OS 릴리스 20.2R1부터 레이어 3 인터페이스에서 802.1X 인증을 구성할 수 있습니다. 레이어 3 인터페이스에서 802.1X 인증을 구성할 때 다음과 같은 주의 사항을 참조하십시오.
-
EAP 가능 클라이언트만 지원됩니다.
-
single supplicant 모드만 지원됩니다.
-
레이어 3 인터페이스에서 802.1X 인증을 로컬로 구성해야 합니다.
set protocol dot1x interface all
명령을 사용하여 802.1X 인증을 전역으로 구성하는 경우, 레이어 3 인터페이스에 구성이 적용되지 않습니다. -
레이어 3 인터페이스에 대한 지원에는 IRB 또는 하위 인터페이스가 포함되지 않습니다.
-
Guest VLAN, server-reject VLAN, server-fail VLAN은 지원되지 않습니다.
-
VoIP 클라이언트에 대한 서버 장애 복구는 지원되지 않습니다(
server-fail-voip
). -
레이어 3 인터페이스에서 인증된 클라이언트에 대한 RADIUS access-accept 또는 COA 메시지의 일부로, 인증 서버에서 허용되는 속성은 다음과 같습니다.
-
User-Name
-
Session-Timeout
-
Calling-Station-ID
-
Acct-Session-ID
-
NAS-Port-Id
-
Port-Bounce
-
Junos OS Evolved 소프트웨어에서 802.1X 지원
Junos OS Evolved 릴리스 22.3R1부터 레이어 2 인터페이스에서 802.1X 인증을 구성할 수 있습니다. 레이어 2 인터페이스의 802.1X 인증 시 다음에 주의하십시오.
-
다음 기능이 지원되지 않습니다.
-
Guest VLAN, server-reject VLAN, server-fail VLAN
-
VoIP 클라이언트에 대한 서버 장애 복구(server-fail-voip)
-
동적 VLAN
-
캡티브 포털 및 CWA(Central Web Authentication)를 사용한 레이어 2 인터페이스 인증
-
-
레이어 2 인터페이스에서 인증된 클라이언트에 대한 RADIUS access-accept 또는 COA 메시지의 인증 서버에서 지원되지 않는 속성:
-
Ip-Mac-Session-Binding
-
Juniper-CWA-Redirect
-
Juniper-Switching-Filter
-
Filter-Id
-
Tunnel-Medium-Type
-
Juniper-VoIP-VLAN
-
Egress-VLAN-Name
-
Egress-VLAN-ID
-
Tunnel-Type
-
Tunnel-Private-Group-Id
-
-
IRB가 브리지 도메인에 있는 경우, 802.1x 지원 포트는 사용자가 인증되지 않은 경우에도 single-secure 및 multiple supplicant 모드에 대해 라우팅된 트래픽이 손실되지 않습니다. 레이어 2 인터페이스의 802.1x 지원 포트는 single supplicant 모드 구성에 대해서만 라우팅된 트래픽이 손실됩니다.
참조
802.1X 인터페이스 설정 구성(CLI 절차)
IEEE 802.1X 인증은 신청자의 자격 증명이 제시되고 authentication server(RADIUS 서버)에서 일치할 때까지 인터페이스에서 신청자(클라이언트)와 주고 받은 모든 트래픽을 차단하여 무단 사용자 액세스로부터 이더넷 LAN을 보호하는 네트워크 에지 보안을 제공합니다. 신청자가 인증되면 스위치가 액세스를 차단하는 것을 멈추고 신청자 측 인터페이스가 열립니다.
802.1X 제외 목록을 지정하여 인증을 우회하고 LAN에 자동으로 연결할 수 있는 신청자를 지정할 수 있습니다. 802.1X 및 MAC RADIUS 인증의 정적 MAC 바이패스 구성(CLI 절차)을 참조하십시오.
Q-in-Q 터널링에 사용된 인터페이스에서 802.1X 사용자 인증을 구성할 수 없습니다.
시작하기 전에 인증 서버로 사용할 RADIUS 서버를 지정하십시오. 스위치에서 RADIUS 서버 연결 지정(CLI 절차)를 참조하십시오.
인터페이스에서 802.1X 구성 방법:
RADIUS 인증 서버의 사용 또는 액세스가 불가능한 경우, 서버 장애 복구가 트리거됩니다. 기본적으로 서플리컨트 인증을 강제로 장애 설정하는 server-fail
아래에 deny
옵션이 구성됩니다. 그러나 서버에 시간 초과가 발생할 때 인증을 기다리는 최종 디바이스에 수행할 조치로 구성할 수 있는 여러 다른 옵션이 있습니다.
보다 자세한 내용은 인터페이스(802.1X)에서 확인할 수 있습니다.
이 설정은 스위치가 인터페이스를 HELD 상태로 전환할 때까지 시도하는 횟수를 지정합니다.
참조
인증된 사용자 세션에 대한 RADIUS 시작 변경 사항 이해
클라이언트/서버 RADIUS 모델에 기반한 인증 서비스를 사용할 때, 요청은 일반적으로 클라이언트에 의해 시작되고 RADIUS 서버로 전송됩니다. 이미 진행 중인 인증된 사용자 세션을 동적으로 수정하기 위해 서버에서 요청을 시작하여 클라이언트로 전송하는 경우가 있습니다. 메시지를 수신하고 처리하는 클라이언트는 네트워크 액세스 서버 또는 NAS 역할을 하는 스위치입니다. 서버는 스위치에 세션 종료를 요청하는 연결 끊기 메시지 또는 세션 권한 부여 특성 수정을 요청하는 CoA(Change of Authorization) 메시지를 보낼 수 있습니다.
스위치는 UPD 포트 3799에서 요청되지 않은 RADIUS 요청을 수신하고 신뢰할 수 있는 소스의 요청만 수락합니다. Disconnect 또는 CoA 요청을 전송할 수 있는 권한은 스위치와 RADIUS 서버에서 구성해야 하는 소스 주소 및 해당 공유 암호에 따라 결정됩니다. 스위치에 소스 주소 및 공유 암호를 구성하는 방법에 대한 자세한 내용은 을(를) 참조하십시오. 예: 802.1X용 RADIUS 서버를 EX 시리즈 스위치에 연결합니다.
메시지 연결 해제
RADIUS 서버는 사용자 세션을 종료하고 관련된 모든 세션 컨텍스트를 삭제하기 위해 스위치에 연결 해제 요청 메시지를 보냅니다. 스위치는 요청이 성공한 경우 즉, 연결된 모든 세션 컨텍스트가 삭제되고 사용자 세션이 더 이상 연결되지 않는 경우 Disconnect-ACK 메시지로 Disconnect-Request 패킷에 응답합니다. 요청이 실패한 경우, 즉 인증자가 세션의 연결을 끊고 모든 연결을 취소할 수 없는 경우 Disconnect-NAK 패킷으로 응답합니다. 세션 컨텍스트를 편집합니다.
Disconnect-Request 메시지에서 RADIUS 특성은 스위치(NAS)와 사용자 세션을 고유하게 식별하는 데 사용됩니다. 메시지에 포함된 NAS 식별 특성과 세션 식별 특성의 조합은 요청이 성공하려면 적어도 하나의 세션과 일치해야 합니다. 그렇지 않으면 스위치가 Disconnect-NAK 메시지로 응답합니다. Disconnect-Request 메시지는 NAS 및 세션 식별 특성만 포함할 수 있습니다. 다른 특성이 포함된 경우 스위치는 Disconnect-NAK 메시지로 응답합니다.
인증 메시지 변경
CoA(Change of Authorization) 메시지에는 권한 부여 수준을 변경하기 위해 사용자 세션에 대한 권한 부여 특성을 동적으로 수정하기 위한 정보가 포함되어 있습니다. 이는 MAC RADIUS 인증을 사용하여 엔드포인트를 먼저 인증한 다음 장치 유형에 따라 프로파일링하는 2단계 인증 프로세스의 일부로 발생합니다. CoA 메시지는 일반적으로 데이터 필터 또는 VLAN을 변경하여 디바이스에 적합한 시행 정책을 적용하는 데 사용됩니다.
인증 변경이 성공하면 스위치가 CoA-ACK 메시지로 CoA 메시지에 응답하고, 변경이 성공하지 못하면 CoA-NAK 메시지로 응답합니다. CoA-Request 메시지에 지정된 하나 이상의 권한 부여 변경을 수행할 수 없는 경우 스위치는 CoA-NAK 메시지로 응답합니다.
CoA-Request 메시지에서 RADIUS 속성은 스위치(NAS 역할)와 사용자 세션을 고유하게 식별하는 데 사용됩니다. 메시지에 포함된 NAS 식별 특성과 세션 식별 특성의 조합은 요청이 성공하려면 적어도 하나의 세션의 식별 특성과 일치해야 합니다. 그렇지 않으면 스위치가 CoA-NAK 메시지로 응답합니다.
CoA-Request 패킷에는 요청이 수락될 경우 수정되는 세션 인증 속성도 포함됩니다. 지원되는 세션 권한 부여 특성은 아래에 나열되어 있습니다. CoA 메시지는 이러한 속성의 일부 또는 전부를 포함할 수 있습니다. 특성이 CoA-Request 메시지의 일부로 포함되지 않은 경우, NAS는 해당 특성의 값이 변경되지 않은 상태로 유지된다고 가정합니다.
Filter-ID
Tunnel-Private-Group-ID
Juniper-Switching-Filter
Juniper-VoIP-VLAN
Session-Timeout
CoA 요청 포트 바운스
인증된 호스트의 VLAN을 변경하는 데 CoA 메시지가 사용되는 경우 프린터와 같은 엔드 디바이스에는 VLAN 변경을 감지하는 메커니즘이 없으므로 새 VLAN의 DHCP 주소에 대한 리스를 갱신하지 않습니다. Junos OS 릴리스 17.3부터는 포트 바운스 기능을 사용하여 인증된 포트에 링크 플랩을 발생시켜 엔드 디바이스가 DHCP 재협상을 시작하도록 할 수 있습니다.
포트를 바운스하는 명령은 Juniper Networks VSA(Vendor-Specific Attribute)를 사용하여 RADIUS 서버에서 전송됩니다. RADIUS 서버로부터 CoA 메시지에 다음 VSA attribute-value 쌍이 수신되면 포트가 바운스됩니다.
Juniper-AV-Pair = “Port-Bounce”
포트 바운스 기능을 사용하려면 RADIUS 서버의 Junos 사전 파일(juniper.dct)을 Juniper-AV-Pair VSA로 업데이트해야 합니다. 사전 파일을 찾고 다음 텍스트를 파일에 추가합니다.
ATTRIBUTE Juniper-AV-Pair Juniper-VSA(52, string) r
VSA 추가에 대한 자세한 내용은 FreeRADIUS 설명서를 참조하십시오.
[edit protocols dot1x authenticator interface interface-name
] 계층 수준에서 ignore-port-bounce
문을 구성하여 기능을 비활성화할 수 있습니다.
Error-Cause 코드
연결 끊기 또는 CoA 작업이 성공하지 못한 경우, NAS가 서버로 보내는 응답 메시지에 오류 원인 속성(RADIUS 속성 101)을 포함하여 문제의 원인에 대한 세부 정보를 제공할 수 있습니다. 탐지된 오류가 지원되는 오류 원인 특성 값 중 하나에 매핑되지 않으면 라우터는 오류 원인 특성 없이 메시지를 보냅니다. NAS에서 전송되는 응답 메시지에 포함될 수 있는 오류 원인 코드에 대한 설명은 표 1을(를) 참조하십시오.
코드 |
가치 |
설명 |
---|---|---|
201 |
잔여 세션 컨텍스트가 제거됨 |
하나 이상의 사용자 세션이 더 이상 활성화되지 않지만 나머지 세션 컨텍스트가 발견되어 성공적으로 제거된 경우 연결 끊기 요청 메시지에 대한 응답으로 전송됩니다. 이 코드는 Disconnect-ACK 메시지 내에서만 전송됩니다. |
401 |
지원되지 않는 속성 |
요청에 지원되지 않는 특성(예: 타사 특성)이 포함되어 있습니다. |
402 |
누락 속성 |
요청에 중요 특성(예: 세션 식별 특성)이 없습니다. |
403 |
네트워크 액세스 서버(NAS) 식별 불일치 |
요청에 요청을 수신하는 네트워크 액세스 서버(NAS)의 ID와 일치하지 않는 하나 이상의 네트워크 액세스 서버(NAS) 식별 속성이 포함되어 있습니다. |
404 |
잘못된 요청 |
요청의 다른 일부 측면(예: 하나 이상의 속성 형식이 올바르지 않은 경우)이 잘못되었습니다. |
405 |
지원되지 않는 서비스 |
요청에 포함된 Service-Type 속성에 잘못된 값 또는 지원되지 않는 값이 포함되어 있습니다. |
406 |
지원되지 않는 확장 |
요청을 수신하는 엔티티(NAS 또는 RADIUS 프록시)가 RADIUS 시작 요청을 지원하지 않습니다. |
407 |
잘못된 속성 값 |
요청에 지원되지 않는 값의 속성이 있습니다. |
501 |
관리상 금지됨 |
네트워크 액세스 서버(NAS)는 지정된 세션에 대한 Disconnect-Request 또는 CoA-Request 메시지를 허용하지 않도록 구성되어 있습니다. |
503 |
세션 컨텍스트를 찾을 수 없음 |
요청에서 식별된 세션 컨텍스트가 네트워크 액세스 서버(NAS)에 없습니다. |
504 |
세션 컨텍스트를 제거할 수 없음 |
요청에서 속성으로 식별된 가입자가 지원되지 않는 구성 요소에 의해 소유됩니다. 이 코드는 Disconnect-NAK 메시지 내에서만 전송됩니다. |
506 |
리소스를 사용할 수 없음 |
사용 가능한 네트워크 액세스 서버(NAS) 리소스(예: 메모리)가 부족하여 요청을 수락할 수 없습니다. |
507 |
요청 시작됨 |
CoA-Request 메시지에는 값이 Authorize Only인 Service-Type 특성이 포함되어 있습니다. |
508 |
다중 세션 선택이 지원되지 않음 |
요청에 포함된 세션 식별 특성이 여러 세션과 일치하지만 네트워크 액세스 서버(NAS)는 여러 세션에 적용되는 요청을 지원하지 않습니다. |
RADIUS 서버 속성을 사용한 802.1X 요청자 필터링
포트 방화벽 필터(레이어 2 방화벽 필터)를 사용해 RADIUS 서버를 구성하는 두 가지 방법이 있습니다.
-
하나 이상의 필터 용어를 Juniper-Switching-Filter 속성에 포함시킵니다. Juniper-Switching-Filter 속성은 RADIUS 서버의 Juniper 사전에서 속성 ID 번호 48번 아래에 나열된 VSA(Vendor-Specific Attribute)입니다. 이 VSA를 사용하여 802.1X 인증 사용자를 위한 단순 필터 조건을 구성했습니다. 모든 구성이 RADIUS 서버에 있으므로 스위치에서 구성할 필요가 없습니다.
-
각 스위치에 로컬 방화벽 필터를 구성하고 해당 방화벽 필터를 RADIUS 서버를 통해 인증된 사용자에게 적용합니다. 더 복잡한 필터를 위해 이 방법을 사용합니다. 방화벽 필터는 반드시 각 스위치마다 구성되어야 합니다.
주:802.1X 인증을 사용하여 사용자가 인증된 후 방화벽 필터 구성을 수정하는 경우 변경된 방화벽 필터 구성을 적용하려면 설정된 802.1X 인증 세션을 종료하고 다시 설정해야 합니다.
이 주제에는 다음 작업이 포함됩니다.
RADIUS 서버에서 방화벽 필터 구성
Junos OS Evolved 릴리스 22.4R1부터는 일치 조건을 다시 반복할 필요 없이 한 줄 안에 여러 개의 원본 및 대상 포트(또는 포트 범위)를 구성할 수 있습니다. 이 기능 덕분에 VSA 길이가 짧아지고 RADIUS 응답 패킷의 크기가 줄어듭니다.
switching-filter는 이더넷 유형, IP, 원본 태그, 원본 포트 및 대상 포트에 대한 값 목록을 제공할 수 있게 해줍니다.
Juniper-Switching-Filter = match dst-port [ 80 25 443 ] src-port [5060 1025-2000] action allow
Juniper-Switching-Filter = match dst-port 500 source-tag [ 100, 200 ] action allow
Juniper-Switching-Filter = match src-port 9090 ip-proto [ 25 17] action allow
Juniper-Switching-Filter = match ether-type [ 3000-4000 8000 ] action allow
RADIUS 서버의 Juniper 사전에 있는 Juniper-Switching-Filter 속성을 사용하여 단순 필터 조건을 구성할 수 있습니다. 이러한 필터는 새로운 사용자가 성공적으로 인증될 때마다 스위치로 전송됩니다. 필터는 각 개별 스위치에서 아무것도 구성할 필요 없이 해당 RADIUS 서버를 통해 사용자를 인증하는 모든 EX 시리즈 스위치 생성되고 적용됩니다.
이 절차는 Juniper-Switching-Filter VSA 구성을 위한 FreeRADIUS 소프트웨어 사용에 대해 설명합니다. 서버 구성에 대한 자세한 정보는 서버에 포함된 AAA(authentication, authorization, and accounting) 문서를 참조하십시오.
Juniper-Switching-Filter 속성을 구성하기 위해 RADIUS 서버에 대한 CLI를 사용해 하나 이상의 필터 용어를 입력합니다. 각 필터 용어는 해당 행동이 포함된 일치 조건으로 구성됩니다. 다음과 구문을 사용해 따옴표(" ")로 묶인 필터 용어를 입력합니다.
Juniper-Switching-Filter = “match <destination-mac mac-address> <source-vlan vlan-name> <source-dot1q-tag tag> <destination-ip ip-address> <ip-protocol protocol-id> <source-port port> <destination-port port> action (allow | deny) <loss-priority (low | medium | high)>”
하나 이상의 일치 조건을 필터 용어에 포함할 수 있습니다. 필터 용어에 여러 조건이 지정된 경우 패킷이 필터 용어와 일치하려면 조건이 모두 충족되어야 합니다. 예를 들어, 다음 필터 용어를 사용하려면 패킷이 대상 IP 주소와 대상 MAC 주소 모두 일치해야 용어 기준을 충족할 수 있습니다.
Juniper-Switching-Filter = “match destination-ip 10.10.10.8 destination-mac 00:00:00:01:02:03 action allow”
여러 필터 용어는 쉼표로 구분해야 합니다. 예를 들면 다음과 같습니다.
Juniper-Switching-Filter = “match destination-mac 00:00:00:01:02:03 action allow, match destination-port 80 destination-mac 00:aa:bb:cc:dd:ee action allow”
일치 조건 및 행동의 정의는 Juniper-Switching-Filter VSA 일치 조건 및 행동을 참조하십시오.
EX9200 스위치 및 EX9200을 통합 디바이스로 사용하는 Junos Fusion Enterprise에서는 모든 IP 패킷에 대해 동적 방화벽 필터가 엄격히 적용됩니다. 필터가 특정 대상 IP 주소만 허용하도록 구성된 경우 다른 IP 주소를 대상 IP로 하는 패킷은 필터 규칙에 따라 삭제됩니다. 여기에는 DHCP, IGMP 및 ARP 패킷과 같은 모든 IP 프로토콜 패킷이 포함됩니다.
RADIUS 서버에서 일치 조건을 구성하기 위해 다음을 수행합니다.
RADIUS 서버에서 로컬로 구성된 방화벽 필터 적용
RADIUS 서버에서 사용자 정책 중앙에 포트 방화벽 필터(레이어 2 방화벽 필터)를 적용할 수 있습니다. 그러면 RADIUS 서버가 인증을 요청하는 각 사용자에게 적용할 방화벽 필터를 지정할 수 있어 여러 스위치에 동일한 방화벽 필터를 구성할 필요가 줄어듭니다. 방화벽 필터에 많은 조건이 포함되어 있거나 다른 스위치의 동일한 필터에 대해 다른 조건을 사용하려는 경우 이 방법을 사용합니다. 방화벽 필터는 반드시 각 스위치마다 구성되어야 합니다.
방화벽 필터에 대한 자세한 내용은 EX 시리즈 스위치 개요에 대한 방화벽 필터를 참조하십시오.
RADIUS 서버에서 포트 방화벽 필터를 중앙에 적용하기 위해 다음을 수행합니다.
포트 방화벽 필터도 인터페이스에 대해 로컬로 구성된 경우 로컬로 구성된 포트 방화벽 필터와 충돌하면 VSA를 사용해 구성된 방화벽 필터가 우선시 됩니다. 충돌이 없다면 이들은 병합됩니다.
예: 802.1X용 RADIUS 서버를 EX 시리즈 스위치에 연결
802.1X는 포트 기반 네트워크 액세스 제어(PNAC)를 위한 IEEE 표준입니다. 802.1X를 사용하여 네트워크 액세스를 제어합니다. 사용자 데이터베이스에 대해 확인된 자격 증명을 제공하는 사용자 및 디바이스만 네트워크에 액세스할 수 있습니다. RADIUS 서버를 802.1X 인증 및 MAC RADIUS 인증을 위한 사용자 데이터베이스로 사용할 수 있습니다.
다음 예에서는 RADIUS 서버를 EX 시리즈 스위치에 연결하고 802.1X용으로 구성하는 방법을 설명합니다.
요구 사항
이 예에서 사용되는 소프트웨어 및 하드웨어 구성 요소는 다음과 같습니다:
EX 시리즈 스위치용 Junos OS 릴리즈 9.0 이상
인증자 포트 액세스 엔티티(PAE) 역할을 하는 EX 시리즈 스위치 1개. 인증자 PAE의 포트는 신청자가 인증될 때까지 모든 트래픽을 차단하는 제어 게이트를 형성합니다.
802.1X를 지원하는 단일 RADIUS 인증 서버. 인증 서버는 백엔드 데이터베이스 역할을 하며, 네트워크에 연결할 수 있는 권한이 있는 호스트(서플리컨트)에 대한 크리덴셜 정보를 포함합니다.
서버를 스위치에 연결하기 전에 다음을 확인하십시오.
스위치에서 기본 브리징 및 VLAN 구성을 수행했습니다. 스위치에 대한 기본 브리징 및 VLAN 설정을 설명하는 문서를 참조하십시오. ELS(Enhanced Layer 2 Software) 구성 스타일을 지원하는 스위치를 사용하는 경우 의 예: ELS를 지원하는 EX 시리즈 스위치를 위한 기본 브리징 및 VLAN 설정을 참조하십시오. 다른 모든 스위치의 경우 예: EX 시리즈 스위치를 위한 기본 브리징 및 VLAN 설정.
주:ELS에 대한 자세한 내용은 Enhanced Layer 2 소프트웨어 CLI 사용을 참조하십시오.
RADIUS 인증 서버에 구성된 사용자.
개요 및 토폴로지
EX 시리즈 스위치는 인증자 PAE 역할을 합니다. 요청자(클라이언트)가 서버에 의해 인증될 때까지 모든 트래픽을 차단하고 제어 게이트 역할을 합니다. 다른 모든 사용자 및 디바이스에 대한 액세스가 거부됩니다.
그림 1은(는) 표 2에 나열된 디바이스에 연결된 단일 EX4200 스위치를 보여줍니다.
속성 | 설정 |
---|---|
스위치 하드웨어 |
EX4200 액세스 스위치, 기가비트 이더넷 포트 24개: 8개의 PoE 포트(ge-0/0/0~ge-0/0/7) 및 16개의 비-PoE 포트(ge-0/0/8~ge-0/0/23) |
VLAN 명칭 |
기본값 |
단일 RADIUS 서버 |
10.0.0.100 주소의 백엔드 데이터베이스가 포트의 ge-0/0/10 스위치에 연결됩니다. |
이 예에서는 RADIUS 서버를 연결하여 EX4200 스위치의 포트 ge-0/0/10에 액세스합니다. 스위치는 인증자 역할을 하며 요청자의 자격 증명을 RADIUS 서버의 사용자 데이터베이스로 전달합니다. 서버의 주소를 지정하고 암호를 구성하여 EX4200과 RADIUS 서버 간의 연결을 구성해야 합니다. 이 정보는 스위치의 액세스 프로필에 구성됩니다.
AAA(Authentication, Authorization, and Accounting) 서비스에 대한 자세한 내용은 Junos OS 시스템 기본 구성 가이드 를 참조하십시오.
구성
절차
CLI 빠른 구성
RADIUS 서버를 스위치에 신속하게 연결하려면 다음 명령을 복사하여 스위치 터미널 창에 붙여넣으십시오.
[edit] set access radius-server 10.0.0.100 secret juniper set access radius-server 10.0.0.200 secret juniper set access profile profile1 authentication-order radius set access profile profile1 radius authentication-server [10.0.0.100 10.0.0.200]
단계별 절차
RADIUS 서버를 스위치에 연결하려면,
서버의 주소를 정의하고 암호를 구성합니다. 스위치의 암호는 서버의 암호와 일치해야 합니다.
[edit] user@switch# set access radius-server 10.0.0.100 secret juniper user@switch# set access radius-server 10.0.0.200 secret juniper
인증 순서를 구성하여 radius을(를) 첫 번째 인증 방법으로 설정합니다.
[edit] user@switch# set access profile profile1 authentication-order radius
요청자를 인증하기 위해 순차적으로 시도할 서버 IP 주소 목록을 구성합니다.
[edit] user@switch# set access profile profile1 radius authentication-server [10.0.0.100 10.0.0.200]
결과
구성의 결과를 표시합니다.
user@switch> show configuration access radius-server { 10.0.0.100 port 1812; secret "$ABC123"; ## SECRET-DATA } } profile profile1{ authentication-order radius; radius { authentication-server 10.0.0.100 10.0.0.200; } } }
검증
구성이 제대로 작동하는지 확인하려면 다음의 작업을 수행하십시오:
스위치와 RADIUS 서버가 제대로 연결되어 있는지 확인
목적
RADIUS 서버가 지정된 포트의 스위치에 연결되어 있는지 확인합니다.
작업
RADIUS 서버를 호출하여 스위치와 서버 간의 연결을 확인합니다.
user@switch> ping 10.0.0.100
PING 10.0.0.100 (10.0.0.100): 56 data bytes
64 bytes from 10.93.15.218: icmp_seq=0 ttl=64 time=9.734 ms
64 bytes from 10.93.15.218: icmp_seq=1 ttl=64 time=0.228 ms
의미
ICMP 에코 요청 패킷은 IP 네트워크를 통해 서버에 연결할 수 있는지 테스트하기 위해 스위치에서 10.0.0.100의 대상 서버로 전송됩니다. 서버에서 ICMP 에코 응답을 반환하여 스위치와 서버가 연결되어 있는지 확인하고 있습니다.
RADIUS 속성 기반 동적 필터 이해
RADIUS 서버 속성을 사용해 RADIUS 인증 서버에서 포트 방화벽 필터를 구현할 수 있습니다. 이러한 필터는 해당 서버를 통해 인증 요청을 하는 요청자에 동적으로 적용될 수 있습니다. RADIUS 서버 속성은 스위치 접속 관련 요청자가 성공적으로 인증될 경우 인증 서버에서 스위치로 보낸 Access-Accept 메시지에 캡슐화된 일반 텍스트 필드입니다. 인증자 역할을 하는 스위치는 RADIUS 속성에서 정보를 사용하여 관련 필터를 요청자에 적용합니다. 동적 필터는 동일한 스위치에서 여러 포트에 적용되거나 또는 동일한 인증 서버에서 사용하는 여러 스위치에 적용될 수 있어 네트워크에 대한 중앙 액세스 제어를 제공합니다.
공급 업체 특정 속성(VSA)으로도 알려진 주니퍼 네트웍스 전용 RADIUS 속성인 Juniper-Switching-Filter 속성을 사용해 RADIUS 서버에서 방화벽 필터를 직접 정의할 수 있습니다. VSA는 RFC 2138, 사용자 서비스에서 원격 인증 다이얼(RADIUS)에 설명되어 있습니다. Jununiper-Switching-Filter VSA는 RADIUS 서버에서 Juniper 사전에 있는 속성 ID 번호 48에 나열되어 있으며, 공급 업체 ID는 주니퍼 네트웍스 ID 번호 2636에 설정됩니다. 이 속성을 사용하여 해당 서버를 통해 요청자를 인증하는 모든 스위치에 적용되는 인증 서버에서 필터를 정의합니다. 이 방법은 여러 스위치에서 동일한 필터를 구성할 필요가 없게 해줍니다.
또는 RADIUS 속성 ID 번호 11인 필터 ID 속성을 사용하여 동일한 스위치의 여러 포트에 포트 방화벽 필터를 적용할 수 있습니다. 필터 ID 속성을 사용하려면 스위치에서 필터를 먼저 구성하고 RADIUS 서버의 사용자 정책에 필터 이름을 필터 ID 속성의 값으로 추가합니다. 해당 정책 중 하나에서 정의 된 요청자가 RADIUS 서버에서 인증되면 요청자에 대해 인증된 스위치 포트에 필터가 적용됩니다. 방화벽 필터가 복잡한 조건을 가질 경우 또는 다른 스위치에서 동일한 필터에 대해 다른 조건을 사용하고 싶을 때 이 방법을 사용합니다. 필터 ID 속성에 명명된 필터는 [edit firewall family ethernet-switching filter
] 계층 수준의 스위치에서 반드시 로컬로 구성되어야 합니다.
VSA는 802.1X 단일 요청자 구성 및 여러 요청자 구성에서만 지원됩니다.
참조
RADIUS 속성을 사용한 동적 VLAN 할당 이해
VLAN은 RADIUS 서버에 의해 802.1X 인증을 요청하는 신청자에게 해당 서버를 통해 동적으로 할당될 수 있습니다. RADIUS 서버 속성을 사용하여 RADIUS 서버에서 VLAN을 구성합니다. 이러한 속성은 스위치에 연결된 신청자가 인증을 요청할 때 인증 서버에서 스위치로 전송되는 메시지에 캡슐화된 일반 텍스트 필드입니다. 인증자 역할을 하는 스위치는 RADIUS 속성의 정보를 사용하여 VLAN을 신청자에게 할당합니다. 인증 결과에 따라, 하나의 VLAN에서 인증을 시작한 신청자는 다른 VLAN에 할당될 수 있습니다.
인증에 성공하려면 VLAN ID 또는 VLAN 이름이 802.1X 인증자 역할을 하는 스위치에 구성되어 있고, 인증 중에 RADIUS 서버에서 보낸 VLAN ID 또는 VLAN 이름과 일치해야 합니다. 둘 다 존재하지 않으면 종단 디바이스는 인증되지 않습니다. guest VLAN을 설정하면 인증되지 않은 종단 디바이스가 자동으로 guest VLAN으로 이동합니다.
RFC 2868, 터널 프로토콜 지원을 위한 RADIUS 속성에 설명된 동적 VLAN 할당에 사용되는 RADIUS 서버 속성.
Tunnel-Type—RADIUS 속성 유형 64로 정의됩니다. 값은
VLAN
으로 설정되어야 합니다.Tunnel-Medium-Type—RADIUS 속성 유형 65로 정의됩니다. 값은
IEEE-802
으로 설정되어야 합니다.Tunnel-Private-Group-ID—RADIUS 속성 유형 81로 정의됩니다. 값은 VLAN ID 또는 VLAN 이름으로 설정해야 합니다.
RADIUS 서버에서 동적 VLAN을 구성하는 방법에 대한 자세한 내용은 해당 RADIUS 서버 설명서를 참조하십시오.
참조
EX 시리즈 스위치에서 VLAN 그룹 구성
VLAN 그룹 기능을 사용하면 VLAN 간에 클라이언트를 분산할 수 있습니다. 이 기능을 활성화하면 단일 무선 LAN(WLAN)을 단일 VLAN 또는 여러 VLAN에 정렬할 수 있습니다. VLAN 그룹을 구성하면 클라이언트가 구성된 VLAN 중 하나에 할당됩니다. 이 기능은 VLAN 그룹의 VLAN에서 사용자의 동적 로드 밸런싱을 지원합니다. 이 기능은 라운드 로빈 알고리즘을 따라 VLAN 그룹에서 사용 가능한 다음 VLAN에 사용자를 할당합니다.
동적 VLAN 로드 밸런싱의 경우 속성에 일반 VLAN ID 또는 VLAN 이름 Tunnel-Private-Group-ID
대신 VLAN 그룹 이름을 추가합니다(RFC 2868에서 RADIUS 속성 유형 81로 정의됨). 그런 다음 신청자가 RADIUS 서버를 통해 802.1X 인증을 요청할 때 RADIUS 응답으로 이 정보를 보냅니다. 스위치가 VLAN 그룹 이름을 수신하면 스위치는 라운드 로빈 알고리즘을 사용하여 해당 그룹의 VLAN 중 하나에 엔드포인트를 할당합니다. VLAN 그룹을 사용하면 사전 구성된 목록에서 VLAN을 할당할 수 있으므로 관리자가 네트워크를 로드 밸런싱할 필요가 줄어듭니다.
VLAN 그룹을 구성할 때 다음 사항에 유의하십시오.
-
최대 4096개의 VLAN 그룹을 구성할 수 있습니다.
-
VLAN을 클라이언트에 할당하기 전에 먼저 VLAN을 생성해야 합니다. 스위치에 존재하지 않는 모든 VLAN은 할당 중에 무시됩니다.
-
VLAN 이름은 VLAN 그룹 이름과 동일할 수 없습니다.
-
VoIP VLAN은 vlan-group의 일부가 아니어야 합니다. VoIP VLAN이 있는 경우 무시됩니다.
-
VLAN을 삭제하면 해당 VLAN과 연관된 모든 802.1X 인증 세션이 종료됩니다.
-
해당 VLAN 그룹의 VLAN에 이미 할당된 클라이언트를 중단시키지 않고 VLAN 그룹을 삭제할 수 있습니다.
-
해당 VLAN에 이미 할당된 클라이언트를 중단시키지 않고 VLAN 그룹에서 VLAN을 제거할 수 있습니다. 그러나 다음과 같은 경우 클라이언트가 중단될 수 있습니다.
-
클라이언트 세션이 만료됩니다.
-
재인증 또는 역할 변경은 CoA(Change of Authorization) 요청을 사용하여 수행됩니다.
-
EX 시리즈 스위치에서 VLAN 그룹을 구성하려면:
참조
스위치에서 802.1X에 대한 게스트 VLAN 이해하기
게스트 VLAN는 기업 고객에게 일반적으로 인터넷에 대한 제한된 액세스를 제공하기 위해 802.1X 인증을 사용하는 스위치에서 구성할 수 있습니다. 게스트 VLAN는 다음과 같은 경우에 폴백으로 사용됩니다.
요청자는 802.1X가 활성화되어 있지 않으며 EAP 메시지에 응답하지 않습니다.
MAC RADIUS 인증이 요청자가 연결된 스위치 인터페이스에 구성되지 않았습니다.
캡티브 포털이 요청자가 연결된 스위치 인터페이스에 구성되지 않았습니다.
게스트 VLAN는 부적절한 자격 증명을 전송하는 요청자에 사용되지 않습니다. 이러한 요청자는 대신 서버 거부 VLAN으로 전달됩니다.
802.1X가 활성화되지 않은 최종 디바이스의 경우, 게스트 VLAN은 서버에 대한 제한된 액세스를 허용하며 802.1X 활성화되지 않은 최종 디바이스가 요청자 소프트웨어를 다운로드하고 다시 인증을 시도할 수 있습니다.
참조
예: EAP-TTLS 인증 및 Odyssey 액세스 클라이언트를 위한 EX 시리즈 스위치의 폴백 옵션 구성
802.1X 사용자 인증의 경우, EX 시리즈 스위치는 EAP-TTLS(Extensible Authentication Protocol–Tunneled TLS)를 사용하여 OAC(Odyssey Access Client) 지원자를 인증하는 RADIUS 인증 서버를 지원합니다. OAC 네트워킹 소프트웨어는 엔드포인트 컴퓨터(데스크톱, 랩톱 또는 메모장 컴퓨터 및 지원되는 무선 장치)에서 실행되며, 유선 및 무선 네트워크 모두에 대해 보안 액세스를 제공합니다.
본 예에서는 잘못된 로그인 자격 증명을 입력한 OAC 사용자에 대한 폴백 지원을 제공하기 위해 스위치에서 802.1X 사용 인터페이스를 구성하는 방법을 설명합니다.
요구 사항
이 예에서 사용되는 소프트웨어 및 하드웨어 구성 요소는 다음과 같습니다:
이 예는 QFX5100 스위치에도 적용됩니다.
EX 시리즈 스위치용 Junos OS 릴리스 11.2 이상
인증자 포트 액세스 엔티티(PAE) 역할을 하는 EX 시리즈 스위치 1개. 인증자 PAE의 포트는 신청자가 인증될 때까지 모든 트래픽을 차단하는 제어 게이트를 형성합니다.
802.1X를 지원하는 단일 RADIUS 인증 서버. 인증 서버는 백엔드 데이터베이스 역할을 하며, 네트워크에 연결할 수 있는 권한이 있는 호스트(서플리컨트)에 대한 크리덴셜 정보를 포함합니다.
서플리컨트 역할을 하는 하나의 OAC 엔드 디바이스.
대체 옵션 구성을 시작하기 전에 다음을 확인하십시오.
스위치와 RADIUS 서버 간의 연결을 설정합니다. 예: 802.1X용 RADIUS 서버를 EX 시리즈 스위치에 연결합니다.
서버에 EAP-TTLS를 구성했습니다. RADIUS 서버 설명서를 참조하십시오.
RADIUS 서버에 구성된 사용자. RADIUS 서버 설명서를 참조하십시오.
개요 및 토폴로지
OAC는 엔드포인트 컴퓨터(데스크탑, 랩톱 또는 메모장) 및 지원되는 무선 장치에서 실행되는 네트워킹 소프트웨어입니다. OAC는 보안 무선 LAN 액세스에 필요한 EAP를 완벽하게 지원합니다.
이 토폴로지에서 OAC는 802.1X 지원 스위치 및 RADIUS 서버와 함께 배포됩니다. 스위치는 네트워크 보안 아키텍처에서 적용 지점으로 기능합니다. 해당 토폴로지:
인증된 사용자만 연결할 수 있도록 합니다.
로그인 자격 증명의 개인 정보를 유지합니다.
무선 링크를 통해 데이터 프라이버시를 유지합니다.
이 예에는 잘못된 로그인 자격 증명을 입력한 사용자의 우발적인 잠금을 방지하는 스위치의 서버 거부 VLAN 구성이 포함됩니다. 이러한 사용자에게는 제한된 LAN 액세스가 제공됩니다.
그러나 이러한 폴백 구성은 OAC 신청자와 RADIUS 서버가 EAP-TTLS를 사용한다는 사실로 인해 복잡합니다. EAP-TTLS는 인증 프로세스를 완료하기 위해 서버와 최종 디바이스 사이에 보안 암호화 터널을 생성합니다. 사용자가 잘못된 로그인 자격 증명을 입력하면 RADIUS 서버는 해당 터널을 통해 EAP 실패 메시지를 클라이언트에 직접 보냅니다. EAP 실패 메시지는 클라이언트가 인증 절차를 다시 시작하도록 하는데, 이때 스위치의 802.1X 인증 프로세스가 서버 거부 VLAN을 사용하여 스위치와 설정된 세션을 해제합니다. 다음을 구성하여 계속해서 교정 연결을 활성화할 수 있습니다.
eapol-block - 서버 거부 VLAN에 속하도록 구성된 802.1X 인터페이스에서 EAPoL 블록 타이머를 활성화합니다. 차단 타이머는 인증 포트 액세스 엔티티가 클라이언트의 EAP 시작 메시지를 무시하고 인증 절차를 다시 시작하도록 합니다.
주:EAPoL 블록 타이머는 802.1X 인터페이스에서 구성된 허용된 재시도 횟수(retries 옵션 사용)가 소진된 후에만 트리거됩니다. 초기 실패 후 스위치가 포트 인증을 시도하는 횟수를 지정하도록 retries을(를) 구성할 수 있습니다. 기본값은 3회 재시도입니다.
block-interval - EAPoL 블록 타이머가 EAP 시작 메시지를 계속 무시할 시간을 구성합니다. 차단 간격을 구성하지 않으면 EAPoL 차단 타이머는 기본적으로 120초로 설정됩니다.
802.1X 인터페이스가 클라이언트의 EAP 시작 메시지를 무시하면 스위치는 서버 거부 VLAN을 통해 설정된 기존 교정 세션이 열린 상태로 유지되도록 허용합니다.
이러한 구성 옵션은 단일, 단일 보안 및 다중 서플리컨트 인증 모드에 적용됩니다. 이 예에서 802.1X 인터페이스는 단일 서플리컨트 모드로 구성됩니다.
그림 3은(는) OAC 엔드 디바이스를 RADIUS 서버에 연결하는 EX 시리즈 스위치를 보여주며, 네트워크 엔티티를 연결하는 데 사용되는 프로토콜을 나타냅니다.
해당 수치는 QFX5100 스위치에도 적용됩니다.
토폴로지
표 4은(는) 이 OAC 구축의 구성 요소를 설명합니다.
속성 | 설정 |
---|---|
스위치 하드웨어 |
EX 시리즈 스위치 |
VLAN |
default server-reject-vlan: VLAN 이름은 remedial이고 VLAN ID는 700입니다. |
802.1X 인터페이스 |
ge-0/0/8 |
OAC 서플리컨트 |
EAP-TTLS |
하나의 RADIUS 인증 서버 |
EAP-TTLS |
구성
절차
CLI 빠른 구성
EAP-TTLS 및 OAC 서플리컨트에 대한 폴백 옵션을 빠르게 구성하려면 다음 명령을 복사하여 스위치 터미널 창에 붙여넣으십시오.
[edit] set vlans remedial vlan-id 700 set protocols dot1x authenticator interface ge-0/0/8 retries 4 set protocols dot1x authenticator interface ge-0/0/8 server-reject-vlan remedial set protocols dot1x authenticator interface ge-0/0/8 server-reject-vlan eapol-block set protocols dot1x authenticator interface ge-0/0/8 server-reject-vlan block-interval 130
단계별 절차
EAP-TTLS 및 OAC 서플리컨트에 대한 폴백 옵션을 구성하려면:
본 예에서 스위치에는 하나의 서버 거부 VLAN만 있습니다. 따라서 구성은 server-reject-vlan 바로 뒤에 eapol-block와(과) block-interval을(를) 지정합니다. 그러나 스위치에 여러 VLAN을 구성한 경우 수정 중인 VLAN을 나타내기 위해 server-reject-vlan 바로 뒤에 VLAN 이름 또는 VLAN ID를 포함해야 합니다.
잘못된 로그인 자격 증명을 입력한 사용자에게 제한된 LAN 액세스를 제공하도록 서버 거부 VLAN으로 작동할 VLAN을 구성합니다.
[edit] user@switch# set vlans remedial vlan-id 700
잘못된 로그인이 server-reject VLAN으로 전달되기 전에 클라이언트가 사용자 이름과 암호를 묻는 메시지를 표시할 횟수를 구성합니다.
[edit protocols dot1x authenticator interface ge-0/0/8] user@switch# set retries 4
잘못된 로그인에 대한 대비책으로 서버 거부 VLAN을 사용하도록 802.1X 인증자 인터페이스를 구성합니다.
[edit protocols dot1x authenticator interface ge-0/0/8] user@switch# set server-reject-vlan remedial
서버 거부 VLAN에 속하도록 구성된 802.1X 인터페이스에서 EAPoL 블록 타이머를 활성화합니다.
[edit protocols dot1x authenticator interface ge-0/0/8] user@switch# set server-reject-vlan eapol-block
EAPoL 블록이 유효하게 유지되는 시간을 구성합니다.
[edit protocols dot1x authenticator interface ge-0/0/8] user@switch# set server-reject-vlan block-interval 130
결과
구성 결과를 확인합니다:
user@switch> show configuration protocols { dot1x { authenticator { interface { ge-0/0/8.0 { supplicant single; retries 4; server-reject-vlan remedial block-interval 130 eapol-block; }
검증
구성 및 폴백 옵션이 올바르게 작동하는지 확인하려면 다음 작업을 수행하십시오.
802.1X 인터페이스 구성 확인
목적
802.1X 인터페이스가 원하는 옵션으로 구성되었는지 확인합니다.
작업
user@switch> show dot1x interface ge-0/0/8.0 detail ge-0/0/8.0 Role: Authenticator Administrative state: Auto Supplicant mode: Single Number of retries: 4 Quiet period: 60 seconds Transmit period: 30 seconds Mac Radius: Disabled Mac Radius Restrict: Disabled Reauthentication: Enabled Configured Reauthentication interval: 120 seconds Supplicant timeout: 30 seconds Server timeout: 30 seconds Maximum EAPoL requests: 2 Guest VLAN member: guest Number of connected supplicants: 1 Supplicant: tem, 2A:92:E6:F2:00:00 Operational state: Authenticated Backend Authentication state: Idle Authentication method: Radius Authenticated VLAN: remedial Session Reauth interval: 120 seconds Reauthentication due in 68 seconds
의미
show dot1x ge-0/0/8 detail
명령 출력은 ge-0/0/8 인터페이스가 Authenticated 상태이고 remedial VLAN을 사용하고 있음을 보여줍니다.
802.1X 인증 모니터링
목적
이 주제는 J-Web 애플리케이션 패키지에만 적용됩니다.
모니터링 기능을 사용하여 인증된 사용자와 인증에 실패한 사용자의 세부 정보를 표시합니다.
작업
J-Web 인터페이스에 인증 세부 정보를 표시하려면 Monitoring> Security> 802.1X을(를) 선택해야 합니다.
CLI에 인증 세부 정보를 표시하려면 다음 명령을 입력해야 합니다.
show dot1x interface detail | display xml
show dot1x interface detail <interface> | display xml
show dot1x auth-failed-users
의미
표시된 세부 정보는 다음과 같습니다.
인증된 사용자 목록.
연결된 사용자의 수.
인증에 실패한 사용자 목록.
세부 정보를 표시해야 하는 인터페이스를 지정할 수도 있습니다.
참조
802.1X 인증 확인
목적
802.1X 인증용으로 구성된 인터페이스가 있는 스위치의 인터페이스에서 신청자가 인증되고 있는지 확인하고 사용 중인 인증 방법을 표시합니다.
작업
802.1X용으로 구성된 인터페이스에 대한 상세 정보를 표시합니다(여기에서 인터페이스가 ge-0/0/16임).
user@switch> show dot1x interface ge-0/0/16.0 detail ge-0/0/16.0 Role: Authenticator Administrative state: Auto Supplicant mode: Single Number of retries: 3 Quiet period: 60 seconds Transmit period: 30 seconds Mac Radius: Enabled Mac Radius Strict: Disabled Reauthentication: Enabled Reauthentication interval: 40 seconds Supplicant timeout: 30 seconds Server timeout: 30 seconds Maximum EAPOL requests: 1 Guest VLAN member: <not configured> Number of connected supplicants: 1 Supplicant: user5, 00:30:48:8C:66:BD Operational state: Authenticated Authentication method: Radius Authenticated VLAN: v200 Reauthentication due in 17 seconds
의미
show dot1x interface detail
명령의 샘플 출력은 Number of connected supplicants
이(가) 1임을 보여줍니다. 인증되어 현재 LAN에 연결된 신청자는 RADIUS 서버에서 user5로 알려져 있으며 MAC 주소는 00:30:48:8C:66:BD입니다. 신청자는 출력에서 에 표시된 대로, Radius
RADIUS 인증이라는 802.1X 인증 방법을 통해 인증되었습니다. RADIUS 인증이 사용되면 신청자가 RADIUS 서버에서 구성되고, RADIUS 서버는 이를 스위치에 전달하며, 스위치가 신청자가 연결된 인터페이스에서 LAN 액세스를 엽니다. 또한 샘플 출력은 신청자가 VLAN v200에 연결되어 있음을 보여줍니다.
RADIUS 인증 외에 EX 시리즈 스위치에서 지원되는 다른 802.1X 인증 방법은 다음과 같습니다.
Guest VLAN—비응답 호스트에는 Guest-VLAN 액세스 권한이 부여됩니다.
MAC Radius—비응답 호스트는 해당 MAC 주소를 기반으로 인증됩니다. MAC 주소는 RADIUS 서버에서 허용되는 것으로 구성되고, RADIUS 서버는 MAC 주소가 허용된 주소임을 스위치에 알리며, 스위치는 연결된 인터페이스에 있는 비응답 호스트에 LAN 액세스 권한을 부여합니다.
Server-fail deny—RADIUS 서버의 시간이 초과하면, 모든 신청자는 LAN에 대한 액세스가 거부되어 신청자의 트래픽이 인터페이스를 통해 트래버스하지 못합니다. 이는 기본 설정입니다.
Server-fail permit—RADIUS 서버를 사용할 수 없을 때, 신청자가 RADIUS 서버에서 성공적으로 인증된 것처럼 신청자는 여전히 LAN에 액세스할 수 있습니다.
Server-fail use-cache—재인증 중에 RADIUS 서버의 시간이 초과하면 이전에 인증된 신청자에게는 LAN 액세스 권한이 부여되지만 새로운 신청자는 LAN 액세스가 거부됩니다.
Server-fail VLAN—요청자를 재인증하기 위해 RADIUS 서버를 사용할 수 없는 경우 신청자는 지정된 VLAN으로 이동하도록 구성됩니다. (VLAN이 스위치에 이미 존재해야 합니다.)
참조
EX 시리즈 스위치에서 최종 디바이스의 인증 문제해결
문제
설명
삭제 dot1x 인터페이스 명령을 실행하여 학습한 모든 MAC 주소를 삭제한 이후에는 정적 MAC 주소를 사용하여 구성된 최종 디바이스가 스위치와의 연결을 잃게 됩니다.
MAC 주소를 삭제하기 전에:
user@switch# run show ethernet-switching table Ethernet-switching table: 3 entries, 1 learned, 0 persistent entries VLAN MAC address Type Age Interfaces vlan100 * Flood - All-members default * Flood - All-members default 00:a0:d4:00:03:00 Learn 0 ge-3/0/16.0 user@switch> show dot1x authentication-bypassed-users MAC address Interface VLAN 00:a0:d4:00:03:00 ge-3/0/16.0 configured/default
MAC 주소를 삭제하려면:
user@switch> clear dot1x interface
MAC 주소를 삭제한 후:
user@switch> show ethernet-switching table Ethernet-switching table: 2 entries, 0 learned, 0 persistent entries VLAN MAC address Type Age Interfaces vlan100 * Flood - All-members default * Flood - All-members user@switch> show dot1x authentication-bypassed-users
인증 바이패스 목록에 최종 장치가 없다는 점에 유의하십시오.
원인
정적 MAC 주소는 인터페이스에서 학습한 다른 MAC 주소와 동일하게 처리됩니다. 삭제 dot1x 인터페이스 명령이 실행되면 인터페이스에서 정적 MAC 바이패스 목록(배제 목록이라고도 함)을 포함하여 학습한 모든 MAC 주소가 삭제됩니다.
솔루션
인증 바이패스를 위해 구성된 정적 MAC 주소가 있는 인터페이스에 대해 삭제 dot1x 인터페이스 명령을 실행하면 정적 MAC 바이패스 목록에 정적 MAC 주소를 다시 추가해야 합니다.
참조
802.1X가 지원하는 RADIUS 속성 및 주니퍼 네트웍스 벤더별 속성(VSA)
인증자(네트워크 액세스 서버), 요청자(클라이언트) 및 인증 서버는 모두 802.1X 인증(RADIUS-서버)에 관여합니다. RADIUS 프로토콜은 네트워크 액세스 서버(NAS)와 RADIUS-서버 간의 통신을 위한 요청/응답 메커니즘으로 사용됩니다. 요청과 응답 모두에 0개 이상의 유형 길이 값(TLV/속성)이 들어 있습니다.
802.1X(클라이언트)가 활성화된 표준 세트의 정의된 기능과 벤더별 속성을 이용해 각 요청자의 액세스를 제한할 수 있습니다. RADIUS 클래스 속성의 최대 크기가 253바이트이기 때문에 더 긴 값을 지원하기 위해 특정 속성이 두 번 이상 사용될 수도 있습니다.
RADIUS 표준 속성 및 VSA를 사용할 때의 이점
가입자 인증, 권한 부여 및 어카운팅을 위해 외부 RADIUS 서버와 연결하기 위해서는 RADIUS 표준 속성이 필요합니다.
VSA는 가입자 관리 및 서비스 지원에 필요한 여러 유용한 기능을 구현할 수 있게 해주며, 공개 표준 속성이 제공하는 수준 이상으로 RADIUS 서버의 기능을 확장해 줍니다.
802.1X가 지원하는 RADIUS 속성 및 VSA 목록
형식 | 속성 | 정의 |
---|---|---|
1 |
User-Name |
RFC 2865 |
6 |
서비스 유형 |
RFC 2865 |
11 |
Filter-Id |
RFC 2865 |
24개 |
주 |
RFC 2865 |
25 |
클래스 |
RFC 2865 |
26 |
Vendor-Specific |
RFC 2865 |
27 |
Session-Timeout |
RFC 2865 |
56 |
Egress-VLANID |
RFC 4675 |
57 |
Egress-VLAN-Name |
RFC 4675 |
61 |
NAS 포트 유형 |
RFC 2865 |
64 |
Tunnel-Type |
RFC 2868 |
65 |
Tunnel-Medium-Type |
RFC 2868 |
81 |
Tunnel-Private-Group-ID |
RFC 2868 |
85 |
Acct-Interim-Interval |
RFC 2869 |
102 |
EAP-Key-Name |
RFC 4072 |
벤더 ID | 번호 | 주니퍼 VSA | Microsoft VSA | Cisco VSA |
---|---|---|---|---|
2636 | 48 | Juniper-Switching-Filter | ||
49 | Juniper-VoIP-VLAN | |||
50 | Juniper-CWA-Redirect-URL | |||
52 | Juniper-AV-Pair = Port-Bounce |
|||
Juniper-AV-Pair = Juniper Ip-Mac-Session-Binding |
||||
Juniper-AV-Pair = No-Mac-Binding-Reauth |
||||
Juniper-AV-Pair = Supplicant-Mode-Single |
||||
Juniper-AV-Pair = Supplicant-Mode-Single-Secure |
||||
Juniper-AV-Pair = Retain-Mac-Aged-Session |
||||
53 |
Juniper-Event-Type |
|||
54 | Juniper-Sub-Event-Type | |||
55 | Juniper-Generic-Message | |||
311 | 16 | MS-MPPE-Send-Key | ||
17 | MS-MPPE-Recv-Key | |||
9 | 1 |
Cisco-AVPair = "subscriber:command=bounce-host-port" |
||
Cisco-AVPair = "subscriber:command=reauthenticate" |
||||
Cisco-AVPair = "subscriber:reauthenticate-type=rerun" |
||||
"subscriber:reauthenticate-type=last" | ||||
"url-redirect" |
802.1X가 지원하는 RADIUS 속성
User-Name:
확인해야 할 사용자의 이름을 이 속성이 표시합니다. 사용 가능한 경우, 이 속성을 보내는 데 Access-Request 패킷을 사용해야 합니다. 이 속성에 대한 RADIUS 유형은 1입니다.
Filter-Id:
RADIUS 서버에서는 사용자 정책에 방화벽 필터가 적용될 수 있습니다. 그러면 인증 요청을 제출하는 각 사용자에게 적용할 방화벽 필터를 지정하는 데 RADIUS 서버를 활용할 수 있습니다. 각 스위치는 방화벽 필터를 사용하여 구성해야 합니다.
You must set up firewall filter on the local switch in order to apply filter centrally from the RADIUS server.[root@freeradius]# cd /usr/local/pool/raddb vi users
관련된 각 사용자에 대한 필터를 추가합니다.
Filter-Id = Filter1
State:
디바이스와 RADIUS 서버 사이에서 상태 정보는 String 속성을 사용하여 보관할 수 있습니다. 이 속성에 대한 RADIUS 유형은 24입니다.
Egress-VLANID:
이 포트에 대해 허용되는 IEEE 802 송신 VLANID는 Egress-VLANID 속성으로 표시됩니다. 이 속성은 또한 VLANID를 알려줄 뿐만 아니라 이 VLANID가 태그가 지정된 또는 지정되지 않은 프레임에 대해 허용되는지 여부도 명시해 줍니다. 이 Egress-VLANID 속성은 RFC 4675에서 정의됩니다.
Access-Request, Access-Accept 또는 CoA-Request 패킷의 Egress-VLANID 속성에는 여러 값이 포함될 수 있습니다. Access-Challenge, Access-Reject, Disconnect-Request, Disconnect-ACK, Disconnect-NAK, CoA-ACK 또는 CoA-NAK의 경우 이런 특성을 포함할 수 없습니다. 모든 속성은 제공된 VLAN을 포트의 허용된 송신 VLAN 목록에 추가합니다.
VLAN의 프레임에 태그가 지정되었거나(0x31) 태그가 지정되지 않은(0x32) 경우, 길이가 8비트인 태그 표시 필드가 이를 나타내 줍니다. VLANID는 12비트 길이이며 VLAN VID 값을 포함합니다.
Egress-VLAN-ID의 경우:
0x31 = tagged 0x32 = untagged
예를 들어, 다음과 같은 RADIUS 프로파일에는 태그가 지정된 VLAN 하나와 태그가 지정되지 않은 VLAN 하나가 포함되어 있습니다.
001094001177 Cleartext-Password := "001094001177" Tunnel-Type = VLAN, Tunnel-Medium-Type = IEEE-802, Egress-VLANID += 0x3100033, Egress-VLANID += 0x3200034,
Egress-VLAN-Name:
Egress-VLAN-Name은 이 포트에 대해 허용된 VLAN을 나타냅니다. 그러나 Egress-VLANID 속성과 비슷하게, 정의되거나 알려진 VLAN-ID 대신 VLAN 이름을 사용하여 시스템 내의 VLAN을 식별합니다. RFC 4675에는 Egress-VLAN-Name 속성에 대한 정의가 들어 있습니다.
VLAN 이름은 두 개 부분으로 구성된 Egress-VLAN-Name 속성의 두 번째 부분으로, 이 포트에 대한 VLAN의 프레임을 태그가 지정된 형식으로 표시할지 또는 태그가 지정되지 않은 형식으로 표시할지를 지정합니다.
Egress-VLAN-Name의 경우: 1 = 태그 지정됨 및 2 = 태그 지정되지 않음
The example below shows that VLAN 1vlan-2 is tagged, while VLAN 2vlan-3 is not.001094001144 Cleartext-Password := "001094001144" Tunnel-Type = VLAN, Tunnel-Medium-Type = IEEE-802, Egress-VLAN-Name += 1vlan-2, Egress-VLAN-Name += 2vlan-3,
Tunnel-Type:
이 속성은 현재 사용 중인 터널링 프로토콜(터널 개시자의 경우) 또는 사용될 터널링 프로토콜(터널 종료자의 경우)을 명시합니다. RFC 2868은 Tunnel-Type 속성을 알려줍니다. 이 속성에 대한 RADIUS 유형은 64입니다.
Tunnel-Private-Group-Id:
세션에 대한 VLAN ID 또는 이름은 Tunnel-Medium-Type 속성이 표시해 줍니다. 디바이스는 Tunnel-Private-Group-ID 속성에 대해 제공된 값을 RADIUS로부터 가져온 후 수신한 문자열이 VLAN 이름인지 또는 ID인지 확인하고 해당 디바이스가 VLAN으로 설정되었는지 확인합니다.
VLAN이 구성된 경우에는 클라이언트 포트가 해당 VLAN에 추가됩니다. 그렇지 않으면 VLAN 유효성 검사 실패로 인해 클라이언트가 허용되지 않고 보류 상태로 유지됩니다.
RFC 2868에 따라 이 속성에 대한 RADIUS 유형은 81입니다.
[root@freeradius]# cat /usr/local/etc/raddb/users supplicant1 Auth-Type := EAP, User-Password == "supplicant1" Tunnel-Type = VLAN, Tunnel-Medium-Type = IEEE-802, Tunnel-Private-Group-Id = "1005",
Acct-Interim-Interval:
Acct-Interim-Interval 속성의 값은 특정 세션에 대한 중간 업데이트의 각 전송 간에 소요되는 시간 간격을 초 단위로 나타냅니다. 마지막 어카운팅 업데이트 메시지 이후에 경과된 초 단위 시간이 이 속성의 값입니다.
관리자가 RADIUS 클라이언트에서 로컬로 최소 값을 설정할 수도 있지만, 이 값은 Access-Accept 패킷에서 감지된 모든 Acct-Interim-Interval 값보다 항상 우선합니다. 이 속성에 대한 RADIUS 유형은 85입니다.
주니퍼 네트웍스 VSA
Juniper-Switching-Filter:
RADIUS 서버의 Juniper 사전에 있는 Juniper-Switching-Filter 속성을 사용하면 명확한 필터 조건을 지정할 수 있습니다. 필터 조건을 지정하고 나면, 새로운 사용자가 성공적으로 인증될 때마다 이러한 필터가 스위치로 전달됩니다.
사용자 인증에 RADIUS 서버를 사용하는 스위치는 어떠한 스위치별 구성도 필요 없이 필터를 자동으로 구성하여 적용합니다. Juniper-Switching-Filter 속성을 구성하려면 RADIUS 서버에 한 개 이상의 일치 조건, 작업 및 사용자 연결을 입력해야 합니다.
더 긴 switching-filters의 경우, 일치 조건이 최대 20개이고 총 크기가 최대 4,000자까지 가능한 Juniper-switching-filter 속성의 여러 인스턴스를 사용하면 됩니다. 모든 RADIUS 속성의 최대 길이는 253자이기 때문에 "Juniper-switching-filter" 속성의 각 줄도 253자 미만이어야 합니다.
spirent123 Auth-Type := EAP, User-Password := "spirent123" Juniper-Switching-Filter = "match src-tag dst-port [ 80 25 443 ] src-port [5060 1025-2000] action allow ", Juniper-Switching-Filter += "match src-port 500 dst-port 600 src-tag [ 100, 200 ] action allow ", Juniper-Switching-Filter += "match ip-proto src-port 9090 ip-proto [ 25 17] action allow ", Juniper-Switching-Filter += "match src-port 100-120 200-220 300-320 src-tag ip-proto 26 18 action allow ", Juniper-Switching-Filter += "match ether-type [ 3000-4000 8000 ] ip-proto 240 action allow "
다음과 같은 필터 일치 조건이 지원됩니다.
· destination-mac / dst-mac · destination-port / dst-port · destination-ip / dst · ip-protocol / ip-proto · source-port / src-port · source-dot1q-tag / src-tag · ether-type
- Allow · Deny · GBP · Trap to CPU · Loss-Priority
i) Juniper 사전이 RADIUS 서버에 로드되었는지와 필터링 속성 Juniper-Switching-Filter, 속성 ID 48을 포함하고 있는지 확인합니다.
[root@freeradius]# cat /usr/local/share/freeradius/dictionary.juniper # dictionary.juniper # $ # VENDOR Juniper 2636 BEGIN-VENDOR Juniper ATTRIBUTE Juniper-Local-User-Name 1 string ATTRIBUTE Juniper-Allow-Commands 2 string ATTRIBUTE Juniper-Deny-Commands 3 string ATTRIBUTE Juniper-Allow-Configuration 4 string ATTRIBUTE Juniper-Deny-Configuration 5 string ATTRIBUTE Juniper-Switching-Filter 48 string ATTRIBUTE Juniper-VoIP-Vlan 49 string ATTRIBUTE Juniper-CWA-Redirect 50 string ATTRIBUTE Juniper-AV-Pair 52 string END-VENDOR Juniper
ii) 일치 조건 및 작업을 입력합니다.
[root@freeradius]# cd /usr/local/etc/raddb vi users
관련된 각 사용자에 대해 Juniper-Switching-Filter 속성을 추가합니다. 대상 MAC 주소를 기반으로 액세스를 거부 또는 허용하려면 다음을 사용하십시오.
Juniper-Switching-Filter = "Match Destination mac 00:00:00:01:02:03 Action allow",
또는
Juniper-Switching-Filter = "Match Destination-mac 00:00:00:01:02:03 Action deny",
대상 IP 주소를 기반으로 액세스를 거부 또는 허용하려면 다음을 사용하십시오.
Juniper-Switching-Filter = "match destination-ip 192.168.1.0/31 action deny"
또는
Juniper-Switching-Filter = "match destination-ip 192.168.1.0/31 action allow"
여러 일치 조건과 작업이 있는 복수의 필터를 보내려면 다음을 사용하십시오.
spirent123 Auth-Type := EAP, User-Password := "spirent123" Juniper-Switching-Filter += "Match Ip-protocol 1 Destination-port 53 Action allow,", Juniper-Switching-Filter += "Match ip-proto [ 17, 25 ] dst-port 53 Action allow,", Juniper-Switching-Filter += "Match Ip-protocol 2 src-port 67 Action allow,", Juniper-Switching-Filter += "match ether-type [ 3000-4000 8000] action deny,", Juniper-Switching-Filter += "Match destination-port 23 Action allow,", Juniper-Switching-Filter += "Match Ip-protocol 6 Destination-port 80 Action trap,",
또는
Juniper-Switching-Filter = "Match Ip-protocol 6 Destination-port 53 Action allow , Match Ip-protocol [ 17 25] Destination-port 53 Action allow , Match Ether-type [2054-2070] Action deny, Match Ip-protocol 6 Destination-port 443 Action trap"
대상 MAC 주소와 IP 프로토콜을 기반으로 패킷 손실 우선순위(PLP)를 높음으로 설정하려면 다음을 사용하십시오.
Juniper-Switching-Filter = "match destination-mac 00:04:0f:fd:ac:fe, ip-protocol 2, action loss-priority high"
Juniper-VoIP-Vlan:
이 VOIP vlan은 access-accept 메시지 또는 COA 요청 메시지의 VSA Juniper-VoIP-Vlan을 사용하여 RADIUS 서버에서 가져옵니다. 이 속성은 번호가 49입니다.
Juniper-VoIP-Vlan = "voip_vlan"
VoIP를 사용하면 IP 전화를 스위치에 연결하고 802.1X와 호환되는 IP 전화에 대해 IEEE 802.1X 인증을 설정할 수 있습니다.
802.1X 인증 덕분에 이더넷 LAN은 불법 사용자 액세스로부터 안전하게 보호됩니다. VoIP라고 알려진 프로토콜은 패킷 교환 네트워크를 통해 음성을 전송하는 데 사용됩니다. 음성 통화를 전송하기 위해 VoIP는 아날로그 전화선이 아니라 네트워크 연결을 사용합니다. VoIP를 802.1X와 함께 사용할 경우, LLDP-MED(Link Layer Discovery Protocol-Media Endpoint Discovery)가 전화에 서비스 등급(CoS) 매개 변수를 제공하는 동안 RADIUS 서버는 전화의 ID를 확인합니다.
Juniper-CWA-Redirect:
Juniper RADIUS 사전에서 속성 번호 50인 Juniper-CWA-Redirect VSA를 사용하면 리디렉션 URL을 AAA 서버에서 중앙 집중식으로 구성할 수 있습니다. AAA 서버가 동적 방화벽 필터와 URL을 모두 동일한 RADIUS Access-Accept 메시지의 스위치로 전달합니다. 백업 인증 메커니즘으로서, CWA(Central Web Authentication)는 호스트의 웹 브라우저를 중앙 웹 인증 서버로 리디렉션합니다. 사용자는 이 CWA 서버의 웹 인터페이스에서 사용자 이름과 비밀번호를 입력할 수 있습니다. CWA 서버가 자격 증명을 수락하면 해당 사용자는 인증되어 네트워크에 액세스할 수 있습니다.
호스트가 MAC RADIUS 인증에 실패하면 CWA(Central Web Authentication)가 사용됩니다. 인증자 역할을 하는 스위치는 동적 방화벽 필터와 CWA(Central Web Authentication)를 위한 리디렉션 URL이 들어있는 AAA 서버로부터 RADIUS Access-Accept 메시지를 수신합니다.
CWA(Central Web Authentication) 절차가 활성화되기 위해서는 리디렉션 URL과 동적 방화벽 필터가 모두 있어야 합니다. CWA(Central Web Authentication)에 Juniper-Switching-Filter VSA를 사용하려면 AAA 서버에서 필터 조건을 직접 구성해야 합니다. 이 필터에는 CWA 서버의 대상 IP 주소와 허용(allow) 작업을 일치시키는 조건이 포함되어야 합니다.
예:
001122334455 Auth-Type := EAP, Cleartext-Password :="001122334455" Session-Timeout = "300", Juniper-CWA-Redirect-URL = "https://10.10.10.10", Juniper-Switching-Filter = "Match Destination-ip 10.10.10.10 Action allow, Match ip-protocol 17 Action allow, Match Destination-mac 00:01:02:33:44:55 Action deny"
리디렉션 URL의 경우, 스위치가 DNS 쿼리를 해결하지 않습니다. CWA 서버의 대상 IP 주소를 활성화하려면 Juniper-Switching-Filter 속성을 구성해야 합니다.
Juniper-AV-Pair:
Juniper-AV-Pair 속성은 주니퍼 네트웍스의 벤더별 속성(VSA)입니다. 가입자 관리와 서비스 지원에 필요한 여러 중요한 기능을 제공하기 위해 RADIUS 서버의 기능을 공개 표준 속성이 제공하는 수준 이상으로 향상하는 데 이 속성을 사용합니다.
i) Port-Bounce:
CoA 바운스 호스트 포트 명령을 사용하면 세션이 종료되고 포트가 바운스됩니다(링크 다운 이벤트를 시작한 다음 링크 업 이벤트 실행). 이 요청은 아래와 같은 VSA가 포함된 일반적인 CoA-Request 메시지를 통해 RADIUS 서버가 보냅니다.
Juniper-AV-Pair = "Port-Bounce".
이 명령은 세션 중심적이므로 "세션 식별" 섹션에 나와 있는 세션 식별 속성 중 하나 이상이 필요합니다. 세션을 찾을 수 없는 경우, 디바이스가 오류 코드 속성 "Session Context Not Found"가 포함된 CoA-NAK 메시지를 보냅니다.
디바이스는 4초 동안 호스팅 포트를 종료했다가 다시 활성화한(포트 바운스) 다음 세션이 검색되면 CoA-ACK를 반환합니다.
ii) Ip-Mac-Session-Binding:
이 속성은 디바이스의 MAC 주소가 오래되어 다시 학습되어야 할 때 해당 디바이스에 대한 인증 세션이 종료되지 않도록 하는 데 사용됩니다. 이 속성-값은 access-accept 또는 COA 요청 메시지의 Juniper AV Pair VSA로부터 수신합니다.
IP-MAC 주소 바인딩을 기반으로 인증 세션을 유지하기 위해 다음과 같은 속성-값 쌍을 모두 사용하여 RADIUS 서버를 구성해야 합니다.
Juniper-AV-Pair = "IP-Mac-Session-Binding Juniper-AV-Pair = "No-Mac-Binding-Reauth"
iii) No-Mac-Binding-reauth:
이 속성은 디바이스의 MAC 주소가 오래되어 기한이 지났을 때 클라이언트 재인증을 차단하고 인증 세션이 종료되지 않도록 하는 데 사용됩니다. 이 속성 값은 access-accept 또는 COA 요청 메시지의 Juniper AV Pair VSA가 보내줍니다.
Juniper-AV-Pair = "No-Mac-Binding-Reauth" Detailed information is provided in the document: Retain the Authentication Session Using IP-MAC Bindings
iv) Supplicant-Mode-Single:
The device switches from the current set mode to single in response to receiving this attribute-value from a VSA Juniper-AV-Pair on an access-accept or COA request message.Juniper-AV-Pair = "Supplicant-Mode-Single"
v) Supplicant-Mode-Single-Secure:
access-accept 또는 COA 요청 메시지의 Juniper-AV-Pair VSA로부터 이 속성-값을 수신하면 디바이스는 현재 설정 모드에서 single-secure로 전환됩니다.
Juniper-AV-Pair = "Supplicant-Mode-Single-Secure"
vi) Retain-Mac-Aged-Session:
If this attribute-value is received from a VSA Juniper-AV-Pair on an access-accept message for an 802.11X client, the client stays active even if the mac has aged out, and the mac is re-learned.Juniper-AV-Pair = "Retain-Mac-Aged-Session"
MS-MPPE-Send-Key & MS-MPPE-Recv-Key:
These are the MACSEC CAK generation keys together with the EAP key name that are utilised in dynamic CAK scenarios.Cisco-AVPair:
Cisco Systems, IANA private enterprise number 9, uses a single VSA, Cisco-AVPair (26-1). Based on the values it has, this VSA transmits various pieces of information. In some subscriber access networks with a BNG connected to a RADIUS server and a Cisco BroadHop application that serves as the Policy Control and Charging Rules Function (PCRF) server for provisioning services using RADIUS change of authorization (CoA) messages, you can use this VSA in RADIUS messages to activate and deactivate services.BNG가 RADIUS 메시지를 전달하면 어카운팅, CoA 또는 인증 응답의 어떠한 속성도 변경할 수 없습니다.
i) Cisco-AVPair = "subscriber:command=bounce-host-port"
세션이 종료되고 CoA 바운스 호스트 포트 명령을 통해 포트가 바운스됩니다(링크 다운 이벤트를 시작한 다음 링크 업 이벤트 실행). 이 요청은 아래와 같은 VSA를 포함하는 일반적인 CoA-Request 메시지를 통해 AAA 서버가 보냅니다.
Cisco:Avpair=“subscriber:command=bounce-host-port”
이 명령은 세션 중심적이므로 "세션 식별" 섹션에 나와 있는 세션 식별 속성 중 하나 이상이 필요합니다. 세션을 찾을 수 없는 경우, 디바이스가 오류 코드 속성 "Session Context Not Found"가 포함된 CoA-NAK 메시지를 보냅니다. 디바이스는 4초 동안 호스팅 포트를 종료했다가 다시 활성화한(포트 바운스) 다음 세션이 검색되면 CoA-ACK를 반환합니다.
ii) Cisco-AVPair Reauthenticate command
세션 인증을 시작하기 위해 AAA 서버는 다음과 같은 VSA를 포함하는 표준 CoA-Request 메시지를 보냅니다.
Cisco:Avpair=“subscriber:command=reauthenticate” Cisco:Avpair=“subscriber:reauthenticate-type=<last | rerun>”
reauthenticate-type
은 CoA 재인증 요청이 세션에서 마지막으로 성공한 인증 방법을 사용하는지 또는 인증 프로세스가 완전히 재실행인지 여부를 정의합니다.
재인증을 실행시키려면 "subscriber:command=reauthenticate"
이 반드시 있어야 합니다. "subscriber:reauthenticate-type"이 제공되지 않으면 해당 세션에서 이전에 성공적으로 사용된 인증 방법을 반복하는 것인 기본 작업입니다. 이 방법이 재인증에 성공하면 이전의 모든 인증 데이터는 새로 재인증된 이 인증 데이터로 교체됩니다.
"subscriber:command=reauthenticate"도 존재할 때만 "subscriber:reauthenticate-type"이 유효합니다. VSA가 다른 CoA 명령에 포함되어 있으면 이 VSA는 무시됩니다.
변경 내역 표
기능 지원은 사용 중인 플랫폼과 릴리스에 따라 결정됩니다. Feature Explorer 를 사용하여 플랫폼에서 기능이 지원되는지 확인하세요.