이 페이지에서
802.1X 인증
포트 기반 네트워크 액세스 제어를 위한 IEEE 802.1X 표준이며 무단 사용자 액세스로부터 이더넷 LAN을 보호합니다. 요청자의 자격 증명이 제시되고 인증 서버(RADIUS 서버)와 일치할 때까지 인터페이스에서 요청자(클라이언트) 측으로의 모든 트래픽을 차단합니다. 신청자가 인증되면 스위치가 액세스를 차단하는 것을 멈추고 신청자 측 인터페이스가 열립니다. 자세한 정보를 보려면 이 주제를 읽어보십시오.
스위치용 802.1X 개요
802.1X 인증 작동 방식
802.1X 인증은 인증 요청자의 자격 증명이 제시되고 인증 서버(RADIUS 서버)에서 일치할 때까지 포트에서 인증 요청자(종단 디바이스)의 수신 트래픽을 차단하기 위해 인증자 포트 액세스 엔터티(스위치)를 사용하여 실행됩니다. 인증되면 스위치가 트래픽 차단을 중단하고 인증 요청자에 대한 포트를 개방합니다.
종단 디바이스는 single supplicant 모드, single-secure supplicant 모드 또는 multiple supplicant 모드에서 지원됩니다.
-
single supplicant—첫 번째 종단 디바이스만 인증합니다. 나중에 포트에 연결하는 다른 모든 종단 디바이스는 추가 인증 없이 모든 권한이 허용되며, 첫 번째 종단 디바이스의 인증 시 효과적으로 피기백합니다.
-
single-secure supplicant—하나의 종단 디바이스만 포트에 연결할 수 있습니다. 첫 번째 디바이스가 로그아웃할 때까지 다른 종단 디바이스가 연결할 수 없습니다.
-
multiple supplicant—여러 개의 종단 디바이스를 포트에 연결할 수 있습니다. 각각의 종단 디바이스는 개별적으로 인증됩니다.
네트워크 액세스는 VLAN 및 방화벽 필터를 사용하여 추가로 정의할 수 있습니다. 두 가지 모두 종단 디바이스 그룹을 분리하고 필요한 LAN 영역으로 일치시키는 필터 역할을 합니다. 예를 들어, 다음에 따라 다양한 범주의 인증 실패를 처리하도록 VLAN을 구성할 수 있습니다.
-
종단 디바이스의 802.1X 지원 여부.
-
호스트가 연결된 스위치 인터페이스에서 MAC RADIUS 인증 구성 여부.
-
RADIUS 인증 서버를 사용할 수 없는지, 또는 RADIUS access-reject 메시지를 전송하는지 여부. RADIUS 서버 장애 복구 구성(CLI 절차)을 참조하십시오.
802.1X 기능 개요
다음 802.1X 기능은 주니퍼 네트웍스 이더넷 스위치에서 지원됩니다.
-
Guest VLAN—호스트가 연결된 스위치 인터페이스에서 MAC RADIUS 인증이 구성되지 않으면 802.1X가 활성화되지 않은 비응답 종단 디바이스의 경우 LAN(일반적으로 인터넷에만)에 제한된 액세스를 제공합니다. 또한 guest VLAN은 게스트 사용자에게 LAN에 대한 제한된 액세스를 제공하는 데 사용될 수 있습니다. 일반적으로 guest VLAN은 인터넷과 다른 게스트의 종단 디바이스에 대해서만 액세스를 제공합니다.
-
Server-reject VLAN—802.1X가 활성화되었지만 잘못된 자격 증명을 전송한 응답형 종단 디바이스의 경우 LAN(일반적으로 인터넷에만)에 대한 제한된 액세스를 제공합니다. server-reject VLAN을 사용하여 인증된 종단 디바이스가 IP 전화인 경우, 음성 트래픽은 허용되지 않습니다.
-
Server-fail VLAN—RADIUS 서버 시간 제한 중인 802.1X 종단 디바이스의 경우 LAN(일반적으로 인터넷에만)에 대한 제한된 액세스를 제공합니다.
-
동적 VLAN—인증 후 종단 디바이스가 동적으로 VLAN의 구성원이 되도록 활성화합니다.
-
프라이빗 VLAN—프라이빗 VLAN(PVLAN)의 구성원인 인터페이스에서 802.1X 인증 구성을 활성화합니다.
-
사용자 세션에 대한 동적 변경—스위치 관리자가 이미 인증된 세션을 종료할 수 있도록 활성화합니다. 이 기능은 RFC 3576에 정의된 RADIUS Disconnect Message 지원을 기반으로 합니다.
-
VoIP VLAN—IP 전화를 지원합니다. IP 전화에서 음성 VLAN의 구현은 공급업체에 따라 다릅니다. 전화기에 802.1X가 활성화되어 있는 경우, 다른 인증 요청자처럼 인증됩니다. 전화기가 802.1X를 지원하지 않지만 데이터 포트에 연결된 다른 802.1X 호환 디바이스가 있는 경우, 해당 디바이스가 인증되면 전화기에서 VoIP 트래픽이 오고 갈 수 있습니다(인터페이스가 single-secure supplicant 모드가 아닌 single supplicant 모드에서 구성된 경우).
주:프라이빗 VLAN(PVLAN) 인터페이스에서 VoIP VLAN 구성은 지원되지 않습니다.
-
RADIUS 어카운팅—RADIUS 어카운팅 서버에 어카운팅 정보를 전송합니다. 어카운팅 정보는 가입자가 로그인하거나 로그아웃할 때마다, 그리고 가입자가 구독을 활성화하거나 비활성화할 때마다 서버로 전송됩니다.
-
802.1X에 대한 RADIUS 서버 속성—
Juniper-Switching-Filter은(는) 802.1X 인증 프로세스 중에 인증 요청자의 액세스를 추가로 정의하기 위해 RADIUS 서버에 구성할 수 있는 벤더 고유 속성(VSA)입니다. 인증 서버 중앙에서 속성을 구성하면 인증 요청자가 LAN에 연결할 수 있는 LAN의 모든 스위치에서 방화벽 필터의 형태로 이러한 속성을 구성할 필요가 없습니다. 이 기능은 RLI 4583, AAA RADIUS BRAS VSA 지원을 기반으로 합니다.
802.1X가 활성화되지 않은 디바이스를 인증하기 위해 다음과 같은 기능이 지원됩니다.
-
정적 MAC 바이패스—802.1X가 활성화되지 않은 디바이스(예: 프린터)를 인증하기 위해 바이패스 메커니즘을 제공합니다. 정적 MAC 바이패스는 802.1X 인증을 우회하여 이러한 디바이스를 802.1X 지원 포트에 연결합니다.
-
MAC RADIUS 인증—802.1X가 활성화되지 않는 호스트가 LAN에 액세스할 수 있는 수단을 제공합니다. MAC-RADIUS는 클라이언트의 MAC 주소를 사용자 이름과 암호로 사용하여 클라이언트 디바이스의 인증 요청자 기능을 시뮬레이션합니다.
트렁크 포트의 802.1X 인증
Junos OS 릴리스 18.3R1부터 트렁크 인터페이스에서 802.1X 인증을 구성할 수 있어 NAS(네트워크 액세스 디바이스)가 AP(액세스 포인트)나 연결된 다른 레이어 2 디바이스를 인증할 수 있습니다. 네트워크 액세스 서버(NAS)에 연결된 AP 또는 스위치는 여러 개의 VLAN을 지원하므로 트렁크 포트에 연결해야 합니다. 트렁크 인터페이스에서 802.1X 인증을 활성화하면 공격자가 AP 연결을 중단시키고 노트북에 연결하여 구성된 모든 VLAN의 네트워크에 자유롭게 액세스할 수 있는 보안 위협으로부터 NAS를 보호합니다.
트렁크 인터페이스에서 802.1X 인증을 구성할 때 다음과 같은 주의 사항을 참조하십시오.
-
트렁크 인터페이스에서는 single 맟 single-secure supplicant 모드만 지원됩니다.
-
트렁크 인터페이스에서 802.1X 인증을 로컬로 구성해야 합니다.
set protocol dot1x interface all명령을 사용하여 802.1X 인증을 전역으로 구성하는 경우 트렁크 인터페이스에 구성이 적용되지 않습니다. -
동적 VLAN은 트렁크 인터페이스에서 지원되지 않습니다.
-
Guest VLAN 및 server-reject VLAN은 트렁크 인터페이스에서 지원되지 않습니다.
-
VoIP 클라이언트에 대한 서버 장애 복구는 트렁크 인터페이스에서 지원되지 않습니다(
server-fail-voip). -
캡티브 포털을 사용한 트렁크 포트의 인증은 지원되지 않습니다.
-
트렁크 포트 인증은 집계된 인터페이스에서 지원되지 않습니다.
-
프라이빗 VLAN(PVLAN)의 구성원인 인터페이스의 802.1X 인증 구성은 트렁크 포트에서 지원되지 않습니다.
레이어 3 인터페이스의 802.1X 인증
Junos OS 릴리스 20.2R1부터 레이어 3 인터페이스에서 802.1X 인증을 구성할 수 있습니다. 레이어 3 인터페이스에서 802.1X 인증을 구성할 때 다음과 같은 주의 사항을 참조하십시오.
-
EAP 가능 클라이언트만 지원됩니다.
-
single supplicant 모드만 지원됩니다.
-
레이어 3 인터페이스에서 802.1X 인증을 로컬로 구성해야 합니다.
set protocol dot1x interface all명령을 사용하여 802.1X 인증을 전역으로 구성하는 경우, 레이어 3 인터페이스에 구성이 적용되지 않습니다. -
레이어 3 인터페이스에 대한 지원에는 IRB 또는 하위 인터페이스가 포함되지 않습니다.
-
Guest VLAN, server-reject VLAN, server-fail VLAN은 지원되지 않습니다.
-
VoIP 클라이언트에 대한 서버 장애 복구는 지원되지 않습니다(
server-fail-voip). -
레이어 3 인터페이스에서 인증된 클라이언트에 대한 RADIUS access-accept 또는 COA 메시지의 일부로, 인증 서버에서 허용되는 속성은 다음과 같습니다.
-
User-Name
-
Session-Timeout
-
Calling-Station-ID
-
Acct-Session-ID
-
NAS-Port-Id
-
Port-Bounce
-
레이어 2 인터페이스의 802.1X 인증
Junos OS Evolved 릴리스 22.3R1부터 레이어 2 인터페이스에서 802.1X 인증을 구성할 수 있습니다. 레이어 2 인터페이스의 802.1X 인증 시 다음에 주의하십시오.
-
다음 기능이 지원되지 않습니다.
-
Guest VLAN, server-reject VLAN, server-fail VLAN
-
VoIP 클라이언트에 대한 서버 장애 복구(server-fail-voip)
-
동적 VLAN
-
캡티브 포털 및 CWA(Central Web Authentication)를 사용한 레이어 2 인터페이스 인증
-
-
레이어 2 인터페이스에서 인증된 클라이언트에 대한 RADIUS access-accept 또는 COA 메시지의 인증 서버에서 지원되지 않는 속성:
-
Ip-Mac-Session-Binding
-
Juniper-CWA-Redirect
-
Juniper-Switching-Filter
-
Filter-Id
-
Tunnel-Medium-Type
-
Juniper-VoIP-VLAN
-
Egress-VLAN-Name
-
Egress-VLAN-ID
-
Tunnel-Type
-
Tunnel-Private-Group-Id
-
-
IRB가 브리지 도메인에 있는 경우, 802.1x 지원 포트는 사용자가 인증되지 않은 경우에도 single-secure 및 multiple supplicant 모드에 대해 라우팅된 트래픽이 손실되지 않습니다. 레이어 2 인터페이스의 802.1x 지원 포트는 single supplicant 모드 구성에 대해서만 라우팅된 트래픽이 손실됩니다.
참조
802.1X 인터페이스 설정 구성(CLI 절차)
IEEE 802.1X 인증은 신청자의 자격 증명이 제시되고 authentication server(RADIUS 서버)에서 일치할 때까지 인터페이스에서 신청자(클라이언트)와 주고 받은 모든 트래픽을 차단하여 무단 사용자 액세스로부터 이더넷 LAN을 보호하는 네트워크 에지 보안을 제공합니다. 신청자가 인증되면 스위치가 액세스를 차단하는 것을 멈추고 신청자 측 인터페이스가 열립니다.
802.1X 제외 목록을 지정하여 인증을 우회하고 LAN에 자동으로 연결할 수 있는 신청자를 지정할 수 있습니다. 802.1X 및 MAC RADIUS 인증의 정적 MAC 바이패스 구성(CLI 절차)을 참조하십시오.
Q-in-Q 터널링에 사용된 인터페이스에서 802.1X 사용자 인증을 구성할 수 없습니다.
시작하기 전에 인증 서버로 사용할 RADIUS 서버를 지정하십시오. 스위치에서 RADIUS 서버 연결 지정(CLI 절차)를 참조하십시오.
인터페이스에서 802.1X 구성 방법:
이 설정은 스위치가 인터페이스를 HELD 상태로 전환할 때까지 시도하는 횟수를 지정합니다.
참조
인증된 사용자 세션에 대한 RADIUS 시작 변경 사항 이해
클라이언트/서버 RADIUS 모델에 기반한 인증 서비스를 사용할 때, 요청은 일반적으로 클라이언트에 의해 시작되고 RADIUS 서버로 전송됩니다. 이미 진행 중인 인증된 사용자 세션을 동적으로 수정하기 위해 서버에서 요청을 시작하여 클라이언트로 전송하는 경우가 있습니다. 메시지를 수신하고 처리하는 클라이언트는 네트워크 액세스 서버 또는 NAS 역할을 하는 스위치입니다. 서버는 스위치에 세션 종료를 요청하는 연결 끊기 메시지 또는 세션 권한 부여 특성 수정을 요청하는 CoA(Change of Authorization) 메시지를 보낼 수 있습니다.
스위치는 UPD 포트 3799에서 요청되지 않은 RADIUS 요청을 수신하고 신뢰할 수 있는 소스의 요청만 수락합니다. Disconnect 또는 CoA 요청을 전송할 수 있는 권한은 스위치와 RADIUS 서버에서 구성해야 하는 소스 주소 및 해당 공유 암호에 따라 결정됩니다. 스위치에 소스 주소 및 공유 암호를 구성하는 방법에 대한 자세한 내용은 을(를) 참조하십시오. 예: 802.1X용 RADIUS 서버를 EX 시리즈 스위치에 연결합니다.
메시지 연결 해제
RADIUS 서버는 사용자 세션을 종료하고 관련된 모든 세션 컨텍스트를 삭제하기 위해 스위치에 연결 해제 요청 메시지를 보냅니다. 스위치는 요청이 성공한 경우 즉, 연결된 모든 세션 컨텍스트가 삭제되고 사용자 세션이 더 이상 연결되지 않는 경우 Disconnect-ACK 메시지로 Disconnect-Request 패킷에 응답합니다. 요청이 실패한 경우, 즉 인증자가 세션의 연결을 끊고 모든 연결을 취소할 수 없는 경우 Disconnect-NAK 패킷으로 응답합니다. 세션 컨텍스트를 편집합니다.
Disconnect-Request 메시지에서 RADIUS 특성은 스위치(NAS)와 사용자 세션을 고유하게 식별하는 데 사용됩니다. 메시지에 포함된 NAS 식별 특성과 세션 식별 특성의 조합은 요청이 성공하려면 적어도 하나의 세션과 일치해야 합니다. 그렇지 않으면 스위치가 Disconnect-NAK 메시지로 응답합니다. Disconnect-Request 메시지는 NAS 및 세션 식별 특성만 포함할 수 있습니다. 다른 특성이 포함된 경우 스위치는 Disconnect-NAK 메시지로 응답합니다.
인증 메시지 변경
CoA(Change of Authorization) 메시지에는 권한 부여 수준을 변경하기 위해 사용자 세션에 대한 권한 부여 특성을 동적으로 수정하기 위한 정보가 포함되어 있습니다. 이는 MAC RADIUS 인증을 사용하여 엔드포인트를 먼저 인증한 다음 장치 유형에 따라 프로파일링하는 2단계 인증 프로세스의 일부로 발생합니다. CoA 메시지는 일반적으로 데이터 필터 또는 VLAN을 변경하여 디바이스에 적합한 시행 정책을 적용하는 데 사용됩니다.
인증 변경이 성공하면 스위치가 CoA-ACK 메시지로 CoA 메시지에 응답하고, 변경이 성공하지 못하면 CoA-NAK 메시지로 응답합니다. CoA-Request 메시지에 지정된 하나 이상의 권한 부여 변경을 수행할 수 없는 경우 스위치는 CoA-NAK 메시지로 응답합니다.
CoA-Request 메시지에서 RADIUS 속성은 스위치(NAS 역할)와 사용자 세션을 고유하게 식별하는 데 사용됩니다. 메시지에 포함된 NAS 식별 특성과 세션 식별 특성의 조합은 요청이 성공하려면 적어도 하나의 세션의 식별 특성과 일치해야 합니다. 그렇지 않으면 스위치가 CoA-NAK 메시지로 응답합니다.
CoA-Request 패킷에는 요청이 수락될 경우 수정되는 세션 인증 속성도 포함됩니다. 지원되는 세션 권한 부여 특성은 아래에 나열되어 있습니다. CoA 메시지는 이러한 속성의 일부 또는 전부를 포함할 수 있습니다. 특성이 CoA-Request 메시지의 일부로 포함되지 않은 경우, NAS는 해당 특성의 값이 변경되지 않은 상태로 유지된다고 가정합니다.
Filter-ID
Tunnel-Private-Group-ID
Juniper-Switching-Filter
Juniper-VoIP-VLAN
Session-Timeout
CoA 요청 포트 바운스
인증된 호스트의 VLAN을 변경하는 데 CoA 메시지가 사용되는 경우 프린터와 같은 엔드 디바이스에는 VLAN 변경을 감지하는 메커니즘이 없으므로 새 VLAN의 DHCP 주소에 대한 리스를 갱신하지 않습니다. Junos OS 릴리스 17.3부터는 포트 바운스 기능을 사용하여 인증된 포트에 링크 플랩을 발생시켜 엔드 디바이스가 DHCP 재협상을 시작하도록 할 수 있습니다.
포트를 바운스하는 명령은 Juniper Networks VSA(Vendor-Specific Attribute)를 사용하여 RADIUS 서버에서 전송됩니다. RADIUS 서버로부터 CoA 메시지에 다음 VSA attribute-value 쌍이 수신되면 포트가 바운스됩니다.
Juniper-AV-Pair = “Port-Bounce”
포트 바운스 기능을 사용하려면 RADIUS 서버의 Junos 사전 파일(juniper.dct)을 Juniper-AV-Pair VSA로 업데이트해야 합니다. 사전 파일을 찾고 다음 텍스트를 파일에 추가합니다.
ATTRIBUTE Juniper-AV-Pair Juniper-VSA(52, string) r
VSA 추가에 대한 자세한 내용은 FreeRADIUS 설명서를 참조하십시오.
[edit protocols dot1x authenticator interface interface-name] 계층 수준에서 ignore-port-bounce문을 구성하여 기능을 비활성화할 수 있습니다.
Error-Cause 코드
연결 끊기 또는 CoA 작업이 성공하지 못한 경우, NAS가 서버로 보내는 응답 메시지에 오류 원인 속성(RADIUS 속성 101)을 포함하여 문제의 원인에 대한 세부 정보를 제공할 수 있습니다. 탐지된 오류가 지원되는 오류 원인 특성 값 중 하나에 매핑되지 않으면 라우터는 오류 원인 특성 없이 메시지를 보냅니다. NAS에서 전송되는 응답 메시지에 포함될 수 있는 오류 원인 코드에 대한 설명은 표 1을(를) 참조하십시오.
코드 |
가치 |
설명 |
|---|---|---|
201 |
잔여 세션 컨텍스트가 제거됨 |
하나 이상의 사용자 세션이 더 이상 활성화되지 않지만 나머지 세션 컨텍스트가 발견되어 성공적으로 제거된 경우 연결 끊기 요청 메시지에 대한 응답으로 전송됩니다. 이 코드는 Disconnect-ACK 메시지 내에서만 전송됩니다. |
401 |
지원되지 않는 속성 |
요청에 지원되지 않는 특성(예: 타사 특성)이 포함되어 있습니다. |
402 |
누락 속성 |
요청에 중요 특성(예: 세션 식별 특성)이 없습니다. |
403 |
네트워크 액세스 서버(NAS) 식별 불일치 |
요청에 요청을 수신하는 네트워크 액세스 서버(NAS)의 ID와 일치하지 않는 하나 이상의 네트워크 액세스 서버(NAS) 식별 속성이 포함되어 있습니다. |
404 |
잘못된 요청 |
요청의 다른 일부 측면(예: 하나 이상의 속성 형식이 올바르지 않은 경우)이 잘못되었습니다. |
405 |
지원되지 않는 서비스 |
요청에 포함된 Service-Type 속성에 잘못된 값 또는 지원되지 않는 값이 포함되어 있습니다. |
406 |
지원되지 않는 확장 |
요청을 수신하는 엔티티(NAS 또는 RADIUS 프록시)가 RADIUS 시작 요청을 지원하지 않습니다. |
407 |
잘못된 속성 값 |
요청에 지원되지 않는 값의 속성이 있습니다. |
501 |
관리상 금지됨 |
네트워크 액세스 서버(NAS)는 지정된 세션에 대한 Disconnect-Request 또는 CoA-Request 메시지를 허용하지 않도록 구성되어 있습니다. |
503 |
세션 컨텍스트를 찾을 수 없음 |
요청에서 식별된 세션 컨텍스트가 네트워크 액세스 서버(NAS)에 없습니다. |
504 |
세션 컨텍스트를 제거할 수 없음 |
요청에서 속성으로 식별된 가입자가 지원되지 않는 구성 요소에 의해 소유됩니다. 이 코드는 Disconnect-NAK 메시지 내에서만 전송됩니다. |
506 |
리소스를 사용할 수 없음 |
사용 가능한 네트워크 액세스 서버(NAS) 리소스(예: 메모리)가 부족하여 요청을 수락할 수 없습니다. |
507 |
요청 시작됨 |
CoA-Request 메시지에는 값이 Authorize Only인 Service-Type 특성이 포함되어 있습니다. |
508 |
다중 세션 선택이 지원되지 않음 |
요청에 포함된 세션 식별 특성이 여러 세션과 일치하지만 네트워크 액세스 서버(NAS)는 여러 세션에 적용되는 요청을 지원하지 않습니다. |
RADIUS 서버 속성을 사용한 802.1X 요청자 필터링
포트 방화벽 필터(레이어 2 방화벽 필터)를 사용해 RADIUS 서버를 구성하는 두 가지 방법이 있습니다.
하나 이상의 필터 용어를 Juniper-Switching-Filter 속성에 포함시킵니다. Juniper-Switching-Filter 속성은 RADIUS 서버의 Juniper 사전에서 속성 ID 번호 48번 아래에 나열된 VSA(Vendor-Specific Attribute)입니다. 이 VSA를 사용하여 802.1X 인증 사용자를 위한 단순 필터 조건을 구성했습니다. 모든 구성이 RADIUS 서버에 있으므로 스위치에서 구성할 필요가 없습니다.
각 스위치에 로컬 방화벽 필터를 구성하고 해당 방화벽 필터를 RADIUS 서버를 통해 인증된 사용자에게 적용합니다. 더 복잡한 필터를 위해 이 방법을 사용합니다. 방화벽 필터는 반드시 각 스위치마다 구성되어야 합니다.
주:802.1X 인증을 사용하여 사용자가 인증된 후 방화벽 필터 구성을 수정하는 경우 변경된 방화벽 필터 구성을 적용하려면 설정된 802.1X 인증 세션을 종료하고 다시 설정해야 합니다.
이 주제에는 다음 작업이 포함됩니다.
RADIUS 서버에서 방화벽 필터 구성
RADIUS 서버의 Juniper 사전에 있는 Juniper-Switching-Filter 속성을 사용하여 단순 필터 조건을 구성할 수 있습니다. 이러한 필터는 새로운 사용자가 성공적으로 인증될 때마다 스위치로 전송됩니다. 필터는 각 개별 스위치에서 아무것도 구성할 필요 없이 해당 RADIUS 서버를 통해 사용자를 인증하는 모든 EX 시리즈 스위치 생성되고 적용됩니다.
이 절차는 Juniper-Switching-Filter VSA 구성을 위한 FreeRADIUS 소프트웨어 사용에 대해 설명합니다. 서버 구성에 대한 자세한 정보는 서버에 포함된 AAA(authentication, authorization, and accounting) 문서를 참조하십시오.
Juniper-Switching-Filter 속성을 구성하기 위해 RADIUS 서버에 대한 CLI를 사용해 하나 이상의 필터 용어를 입력합니다. 각 필터 용어는 해당 행동이 포함된 일치 조건으로 구성됩니다. 다음과 구문을 사용해 따옴표(" ")로 묶인 필터 용어를 입력합니다.
Juniper-Switching-Filter = “match <destination-mac mac-address> <source-vlan vlan-name> <source-dot1q-tag tag> <destination-ip ip-address> <ip-protocol protocol-id> <source-port port> <destination-port port> action (allow | deny) <forwarding-class class-of-service> <loss-priority (low | medium | high)>”
하나 이상의 일치 조건을 필터 용어에 포함할 수 있습니다. 필터 용어에 여러 조건이 지정된 경우 패킷이 필터 용어와 일치하려면 조건이 모두 충족되어야 합니다. 예를 들어, 다음 필터 용어를 사용하려면 패킷이 대상 IP 주소와 대상 MAC 주소 모두 일치해야 용어 기준을 충족할 수 있습니다.
Juniper-Switching-Filter = “match destination-ip 10.10.10.8 destination-mac 00:00:00:01:02:03 action allow”
여러 필터 용어는 쉼표로 구분해야 합니다. 예를 들면 다음과 같습니다.
Juniper-Switching-Filter = “match destination-mac 00:00:00:01:02:03 action allow, match destination-port 80 destination-mac 00:aa:bb:cc:dd:ee action allow”
일치 조건 및 행동의 정의는 Juniper-Switching-Filter VSA 일치 조건 및 행동을 참조하십시오.
EX9200 스위치 및 EX9200을 통합 디바이스로 사용하는 Junos Fusion Enterprise에서는 모든 IP 패킷에 대해 동적 방화벽 필터가 엄격히 적용됩니다. 필터가 특정 대상 IP 주소만 허용하도록 구성된 경우 다른 IP 주소를 대상 IP로 하는 패킷은 필터 규칙에 따라 삭제됩니다. 여기에는 DHCP, IGMP 및 ARP 패킷과 같은 모든 IP 프로토콜 패킷이 포함됩니다.
RADIUS 서버에서 일치 조건을 구성하기 위해 다음을 수행합니다.
RADIUS 서버에서 로컬로 구성된 방화벽 필터 적용
RADIUS 서버에서 사용자 정책 중앙에 포트 방화벽 필터(레이어 2 방화벽 필터)를 적용할 수 있습니다. 그러면 RADIUS 서버가 인증을 요청하는 각 사용자에게 적용할 방화벽 필터를 지정할 수 있어 여러 스위치에 동일한 방화벽 필터를 구성할 필요가 줄어듭니다. 방화벽 필터에 많은 조건이 포함되어 있거나 다른 스위치의 동일한 필터에 대해 다른 조건을 사용하려는 경우 이 방법을 사용합니다. 방화벽 필터는 반드시 각 스위치마다 구성되어야 합니다.
방화벽 필터에 대한 자세한 내용은 EX 시리즈 스위치 개요에 대한 방화벽 필터를 참조하십시오.
RADIUS 서버에서 포트 방화벽 필터를 중앙에 적용하기 위해 다음을 수행합니다.
포트 방화벽 필터도 인터페이스에 대해 로컬로 구성된 경우 로컬로 구성된 포트 방화벽 필터와 충돌하면 VSA를 사용해 구성된 방화벽 필터가 우선시 됩니다. 충돌이 없다면 이들은 병합됩니다.
예: 802.1X용 RADIUS 서버를 EX 시리즈 스위치에 연결
802.1X는 포트 기반 네트워크 액세스 제어(PNAC)를 위한 IEEE 표준입니다. 802.1X를 사용하여 네트워크 액세스를 제어합니다. 사용자 데이터베이스에 대해 확인된 자격 증명을 제공하는 사용자 및 디바이스만 네트워크에 액세스할 수 있습니다. RADIUS 서버를 802.1X 인증 및 MAC RADIUS 인증을 위한 사용자 데이터베이스로 사용할 수 있습니다.
다음 예에서는 RADIUS 서버를 EX 시리즈 스위치에 연결하고 802.1X용으로 구성하는 방법을 설명합니다.
요구 사항
이 예에서 사용되는 소프트웨어 및 하드웨어 구성 요소는 다음과 같습니다:
EX 시리즈 스위치용 Junos OS 릴리즈 9.0 이상
인증자 포트 액세스 엔티티(PAE) 역할을 하는 EX 시리즈 스위치 1개. 인증자 PAE의 포트는 신청자가 인증될 때까지 모든 트래픽을 차단하는 제어 게이트를 형성합니다.
802.1X를 지원하는 단일 RADIUS 인증 서버. 인증 서버는 백엔드 데이터베이스 역할을 하며, 네트워크에 연결할 수 있는 권한이 있는 호스트(서플리컨트)에 대한 크리덴셜 정보를 포함합니다.
서버를 스위치에 연결하기 전에 다음을 확인하십시오.
스위치에서 기본 브리징 및 VLAN 구성을 수행했습니다. 스위치에 대한 기본 브리징 및 VLAN 설정을 설명하는 문서를 참조하십시오. ELS(Enhanced Layer 2 Software) 구성 스타일을 지원하는 스위치를 사용하는 경우 의 예: ELS를 지원하는 EX 시리즈 스위치를 위한 기본 브리징 및 VLAN 설정을 참조하십시오. 다른 모든 스위치의 경우 예: EX 시리즈 스위치를 위한 기본 브리징 및 VLAN 설정.
주:ELS에 대한 자세한 내용은 Enhanced Layer 2 소프트웨어 CLI 사용을 참조하십시오.
RADIUS 인증 서버에 구성된 사용자.
개요 및 토폴로지
EX 시리즈 스위치는 인증자 PAE 역할을 합니다. 요청자(클라이언트)가 서버에 의해 인증될 때까지 모든 트래픽을 차단하고 제어 게이트 역할을 합니다. 다른 모든 사용자 및 디바이스에 대한 액세스가 거부됩니다.
그림 1은(는) 표 2에 나열된 디바이스에 연결된 단일 EX4200 스위치를 보여줍니다.
| 속성 | 설정 |
|---|---|
스위치 하드웨어 |
EX4200 액세스 스위치, 기가비트 이더넷 포트 24개: 8개의 PoE 포트(ge-0/0/0~ge-0/0/7) 및 16개의 비-PoE 포트(ge-0/0/8~ge-0/0/23) |
VLAN 명칭 |
기본값 |
단일 RADIUS 서버 |
10.0.0.100 주소의 백엔드 데이터베이스가 포트의 ge-0/0/10 스위치에 연결됩니다. |
이 예에서는 RADIUS 서버를 연결하여 EX4200 스위치의 포트 ge-0/0/10에 액세스합니다. 스위치는 인증자 역할을 하며 요청자의 자격 증명을 RADIUS 서버의 사용자 데이터베이스로 전달합니다. 서버의 주소를 지정하고 암호를 구성하여 EX4200과 RADIUS 서버 간의 연결을 구성해야 합니다. 이 정보는 스위치의 액세스 프로필에 구성됩니다.
AAA(Authentication, Authorization, and Accounting) 서비스에 대한 자세한 내용은 Junos OS 시스템 기본 구성 가이드 를 참조하십시오.
구성
절차
CLI 빠른 구성
RADIUS 서버를 스위치에 신속하게 연결하려면 다음 명령을 복사하여 스위치 터미널 창에 붙여넣으십시오.
[edit] set access radius-server 10.0.0.100 secret juniper set access radius-server 10.0.0.200 secret juniper set access profile profile1 authentication-order radius set access profile profile1 radius authentication-server [10.0.0.100 10.0.0.200]
단계별 절차
RADIUS 서버를 스위치에 연결하려면,
서버의 주소를 정의하고 암호를 구성합니다. 스위치의 암호는 서버의 암호와 일치해야 합니다.
[edit] user@switch# set access radius-server 10.0.0.100 secret juniper user@switch# set access radius-server 10.0.0.200 secret juniper
인증 순서를 구성하여 radius을(를) 첫 번째 인증 방법으로 설정합니다.
[edit] user@switch# set access profile profile1 authentication-order radius
요청자를 인증하기 위해 순차적으로 시도할 서버 IP 주소 목록을 구성합니다.
[edit] user@switch# set access profile profile1 radius authentication-server [10.0.0.100 10.0.0.200]
결과
구성의 결과를 표시합니다.
user@switch> show configuration access
radius-server {
10.0.0.100
port 1812;
secret "$ABC123"; ## SECRET-DATA
}
}
profile profile1{
authentication-order radius;
radius {
authentication-server 10.0.0.100 10.0.0.200;
}
}
}
검증
구성이 제대로 작동하는지 확인하려면 다음의 작업을 수행하십시오:
스위치와 RADIUS 서버가 제대로 연결되어 있는지 확인
목적
RADIUS 서버가 지정된 포트의 스위치에 연결되어 있는지 확인합니다.
작업
RADIUS 서버를 호출하여 스위치와 서버 간의 연결을 확인합니다.
user@switch> ping 10.0.0.100
PING 10.0.0.100 (10.0.0.100): 56 data bytes
64 bytes from 10.93.15.218: icmp_seq=0 ttl=64 time=9.734 ms
64 bytes from 10.93.15.218: icmp_seq=1 ttl=64 time=0.228 ms의미
ICMP 에코 요청 패킷은 IP 네트워크를 통해 서버에 연결할 수 있는지 테스트하기 위해 스위치에서 10.0.0.100의 대상 서버로 전송됩니다. 서버에서 ICMP 에코 응답을 반환하여 스위치와 서버가 연결되어 있는지 확인하고 있습니다.
RADIUS 속성 기반 동적 필터 이해
RADIUS 서버 속성을 사용해 RADIUS 인증 서버에서 포트 방화벽 필터를 구현할 수 있습니다. 이러한 필터는 해당 서버를 통해 인증 요청을 하는 요청자에 동적으로 적용될 수 있습니다. RADIUS 서버 속성은 스위치 접속 관련 요청자가 성공적으로 인증될 경우 인증 서버에서 스위치로 보낸 Access-Accept 메시지에 캡슐화된 일반 텍스트 필드입니다. 인증자 역할을 하는 스위치는 RADIUS 속성에서 정보를 사용하여 관련 필터를 요청자에 적용합니다. 동적 필터는 동일한 스위치에서 여러 포트에 적용되거나 또는 동일한 인증 서버에서 사용하는 여러 스위치에 적용될 수 있어 네트워크에 대한 중앙 액세스 제어를 제공합니다.
공급 업체 특정 속성(VSA)으로도 알려진 주니퍼 네트웍스 전용 RADIUS 속성인 Juniper-Switching-Filter 속성을 사용해 RADIUS 서버에서 방화벽 필터를 직접 정의할 수 있습니다. VSA는 RFC 2138, 사용자 서비스에서 원격 인증 다이얼(RADIUS)에 설명되어 있습니다. Jununiper-Switching-Filter VSA는 RADIUS 서버에서 Juniper 사전에 있는 속성 ID 번호 48에 나열되어 있으며, 공급 업체 ID는 주니퍼 네트웍스 ID 번호 2636에 설정됩니다. 이 속성을 사용하여 해당 서버를 통해 요청자를 인증하는 모든 스위치에 적용되는 인증 서버에서 필터를 정의합니다. 이 방법은 여러 스위치에서 동일한 필터를 구성할 필요가 없게 해줍니다.
또는 RADIUS 속성 ID 번호 11인 필터 ID 속성을 사용하여 동일한 스위치의 여러 포트에 포트 방화벽 필터를 적용할 수 있습니다. 필터 ID 속성을 사용하려면 스위치에서 필터를 먼저 구성하고 RADIUS 서버의 사용자 정책에 필터 이름을 필터 ID 속성의 값으로 추가합니다. 해당 정책 중 하나에서 정의 된 요청자가 RADIUS 서버에서 인증되면 요청자에 대해 인증된 스위치 포트에 필터가 적용됩니다. 방화벽 필터가 복잡한 조건을 가질 경우 또는 다른 스위치에서 동일한 필터에 대해 다른 조건을 사용하고 싶을 때 이 방법을 사용합니다. 필터 ID 속성에 명명된 필터는 [edit firewall family ethernet-switching filter] 계층 수준의 스위치에서 반드시 로컬로 구성되어야 합니다.
VSA는 802.1X 단일 요청자 구성 및 여러 요청자 구성에서만 지원됩니다.
참조
RADIUS 속성을 사용한 동적 VLAN 할당 이해
VLAN은 RADIUS 서버에 의해 802.1X 인증을 요청하는 신청자에게 해당 서버를 통해 동적으로 할당될 수 있습니다. RADIUS 서버 속성을 사용하여 RADIUS 서버에서 VLAN을 구성합니다. 이러한 속성은 스위치에 연결된 신청자가 인증을 요청할 때 인증 서버에서 스위치로 전송되는 메시지에 캡슐화된 일반 텍스트 필드입니다. 인증자 역할을 하는 스위치는 RADIUS 속성의 정보를 사용하여 VLAN을 신청자에게 할당합니다. 인증 결과에 따라, 하나의 VLAN에서 인증을 시작한 신청자는 다른 VLAN에 할당될 수 있습니다.
인증에 성공하려면 VLAN ID 또는 VLAN 이름이 802.1X 인증자 역할을 하는 스위치에 구성되어 있고, 인증 중에 RADIUS 서버에서 보낸 VLAN ID 또는 VLAN 이름과 일치해야 합니다. 둘 다 존재하지 않으면 종단 디바이스는 인증되지 않습니다. guest VLAN을 설정하면 인증되지 않은 종단 디바이스가 자동으로 guest VLAN으로 이동합니다.
RFC 2868, 터널 프로토콜 지원을 위한 RADIUS 속성에 설명된 동적 VLAN 할당에 사용되는 RADIUS 서버 속성.
Tunnel-Type—RADIUS 속성 유형 64로 정의됩니다. 값은
VLAN으로 설정되어야 합니다.Tunnel-Medium-Type—RADIUS 속성 유형 65로 정의됩니다. 값은
IEEE-802으로 설정되어야 합니다.Tunnel-Private-Group-ID—RADIUS 속성 유형 81로 정의됩니다. 값은 VLAN ID 또는 VLAN 이름으로 설정해야 합니다.
RADIUS 서버에서 동적 VLAN을 구성하는 방법에 대한 자세한 내용은 해당 RADIUS 서버 설명서를 참조하십시오.
참조
스위치에서 802.1X에 대한 게스트 VLAN 이해하기
게스트 VLAN는 기업 고객에게 일반적으로 인터넷에 대한 제한된 액세스를 제공하기 위해 802.1X 인증을 사용하는 스위치에서 구성할 수 있습니다. 게스트 VLAN는 다음과 같은 경우에 폴백으로 사용됩니다.
요청자는 802.1X가 활성화되어 있지 않으며 EAP 메시지에 응답하지 않습니다.
MAC RADIUS 인증이 요청자가 연결된 스위치 인터페이스에 구성되지 않았습니다.
캡티브 포털이 요청자가 연결된 스위치 인터페이스에 구성되지 않았습니다.
게스트 VLAN는 부적절한 자격 증명을 전송하는 요청자에 사용되지 않습니다. 이러한 요청자는 대신 서버 거부 VLAN으로 전달됩니다.
802.1X가 활성화되지 않은 최종 디바이스의 경우, 게스트 VLAN은 서버에 대한 제한된 액세스를 허용하며 802.1X 활성화되지 않은 최종 디바이스가 요청자 소프트웨어를 다운로드하고 다시 인증을 시도할 수 있습니다.
참조
예: EX 시리즈 스위치에서 RADIUS 서버를 사용할 수 없는 경우 802.1X 인증 옵션 구성
서버 장애 대체 기능을 사용하면 RADIUS 인증 서버를 사용할 수 없게 된 경우에 스위치에 연결된 802.1X 서플리컨트를 지원하는 방법을 지정할 수 있습니다.
802.1X를 사용하여 네트워크 액세스를 제어합니다. 사용자 데이터베이스에 대해 검증된 자격 증명을 제공하는 사용자 및 장치(서플리컨트)만 네트워크에 액세스할 수 있습니다. RADIUS 서버를 사용자 데이터베이스로 사용합니다.
이 예에서는 RADIUS 서버 시간 초과 시 서플리컨트를 VLAN으로 이동하도록 인터페이스를 구성하는 방법을 설명합니다.
요구 사항
이 예에서 사용되는 소프트웨어 및 하드웨어 구성 요소는 다음과 같습니다:
이 예는 QFX5100 스위치에도 적용됩니다.
EX 시리즈 스위치용 Junos OS 릴리즈 9.3 이상
인증자 포트 액세스 엔티티(PAE) 역할을 하는 EX 시리즈 스위치 1개. 인증자 PAE의 포트는 신청자가 인증될 때까지 모든 트래픽을 차단하는 제어 게이트를 형성합니다.
802.1X를 지원하는 단일 RADIUS 인증 서버. 인증 서버는 백엔드 데이터베이스 역할을 하며, 네트워크에 연결할 수 있는 권한이 있는 호스트(서플리컨트)에 대한 크리덴셜 정보를 포함합니다.
서버를 스위치에 연결하기 전에 다음을 확인하십시오.
스위치에서 기본 브리징 및 VLAN 구성을 수행했습니다. 스위치에 대한 기본 브리징 및 VLAN 설정을 설명하는 문서를 참조하십시오. ELS(Enhanced Layer 2 Software) 구성 스타일을 지원하는 스위치를 사용하는 경우 의 예: ELS 또는 을(를) 지원하는 EX 시리즈 스위치를 위한 기본 브리징 및 VLAN 설정의 예: 스위치에서 기본 브리징 및 VLAN 설정. 다른 모든 스위치는 예를 참조하십시오. EX 시리즈 스위치를 위한 기본 브리징 및 VLAN 설정.
주:ELS에 대한 자세한 내용은 Enhanced Layer 2 소프트웨어 CLI 사용을 참조하십시오.
스위치와 RADIUS 서버 간의 연결을 설정합니다. 예: 802.1X용 RADIUS 서버를 EX 시리즈 스위치에 연결합니다.
인증 서버에 구성된 사용자.
개요 및 토폴로지
서플리컨트가 로그인하여 LAN에 액세스하려고 시도할 때 연결할 수 있는 인증 RADIUS 서버가 없으면 RADIUS 서버 시간 초과가 발생합니다. 서버 장애 대체를 사용하여 LAN 액세스를 시도하는 서플리컨트에 대한 대체 옵션을 구성합니다. 서플리컨트에 대한 액세스를 수락 또는 거부하거나 RADIUS 서버 시간 초과 전에 서플리컨트에게 이미 부여된 액세스 권한을 유지하도록 스위치를 구성할 수 있습니다. 또한 RADIUS 시간 초과가 발생한 경우, 서플리컨트를 특정 VLAN으로 이동하도록 스위치를 구성할 수 있습니다.
그림 2은(는) 이 예에 사용된 토폴로지를 보여줍니다. RADIUS 서버는 액세스 포트 ge-0/0/10의 EX4200 스위치에 연결됩니다. 스위치는 PAE(인증자 포트 액세스 엔터티) 역할을 하며, 서플리컨트의 자격 증명을 RADIUS 서버의 사용자 데이터베이스로 전달합니다. 스위치는 서플리컨트가 인증 서버에 의해 인증될 때까지 모든 트래픽을 차단하고 제어 게이트 역할을 합니다. 서플리컨트는 인터페이스 ge-0/0/1을 통해 스위치에 연결됩니다.
해당 수치는 QFX5100 스위치에도 적용됩니다.
표 3은(는) 해당 토폴로지의 구성 요소를 설명합니다.
| 속성 | 설정 |
|---|---|
스위치 하드웨어 |
EX4200 액세스 스위치, 기가비트 이더넷 포트 24개: 16개의 비 PoE 포트 및 8개의 PoE 포트. |
VLAN 이름 |
default VLAN vlan-sf VLAN |
서플리컨트 |
서플리컨트가 인터페이스 ge-0/0/1에서 액세스를 시도함 |
단일 RADIUS 서버 |
포트 ge-0/0/10의 스위치에 연결된 10.0.0.100 주소의 백엔드 데이터베이스 |
이 예에서는 RADIUS 시간 초과 동안 LAN에 대한 액세스를 시도하는 서플리컨트를 다른 VLAN으로 이동하도록 인터페이스 ge-0/0/1을 구성합니다. RADIUS 시간 초과는 RADIUS 서버에서 스위치로 정보를 전달하고 서플리컨트의 인증을 허용하는 EAP 메시지의 정상적인 교환을 방지합니다. 기본 VLAN은 인터페이스 ge-0/0/1에서 구성됩니다. RADIUS 시간 초과가 발생하면 인터페이스의 서플리컨트가 기본 VLAN에서 vlan-sf라는 VLAN으로 이동됩니다.
토폴로지
구성
절차
CLI 빠른 구성
스위치에서 서버 장애 대체를 신속하게 구성하려면 다음 명령을 복사하여 스위치 터미널 창에 붙여 넣으십시오.
[edit protocols dot1x authenticator] set interface ge-0/0/1 server-fail vlan-name vlan-sf
단계별 절차
RADIUS 시간 초과가 발생할 때 서플리컨트를 특정 VLAN으로 전환하도록 인터페이스를 구성하려면(여기서 VLAN은 vlan-sf임) 다음을 수행하십시오:
서플리컨트가 전환되는 VLAN을 정의합니다.
[edit protocols dot1x authenticator] user@switch# set interface ge-0/0/1 server-fail vlan-name vlan-sf
결과
구성의 결과를 표시합니다.
user@switch> show configuration
interfaces {
ge-0/0/1 {
unit 0 {
family ethernet-switching {
vlan {
members default;
}
}
}
}
protocols {
dot1x {
authenticator {
interface {
ge-0/0/1.0 {
server-fail vlan-name vlan-sf;
}
}
}
}
}
}
검증
구성이 제대로 작동하는지 확인하려면 다음의 작업을 수행하십시오:
RADIUS 시간 초과 동안 서플리컨트가 대체 VLAN으로 이동되었는지 확인
목적
RADIUS 시간 초과 동안 인터페이스가 서플리컨트를 대체 VLAN으로 이동하는지 확인합니다.
ELS를 지원하는 EX 시리즈용 Junos OS를 실행하는 스위치에서는 show vlans 명령의 출력에는 추가 정보가 포함됩니다. 스위치에서 ELS를 지원하는 소프트웨어를 실행하는 경우에는 VLAN 보기를 참조하십시오. ELS에 대한 자세한 내용은 Enhanced Layer 2 소프트웨어 CLI 사용을 참조하십시오.
작업
스위치에 구성된 VLAN을 표시합니다. 인터페이스 ge-0/0/1.0은(는) default VLAN의 일부입니다.
user@switch> show vlans
Name Tag Interfaces
default
ge-0/0/0.0, ge-0/0/1.0*, ge-0/0/5.0*, ge-0/0/10.0,
ge-0/0/12.0*, ge-0/0/14.0*, ge-0/0/15.0, ge-0/0/20.0
v2 77
None
vlan—sf 50
None
mgmt
me0.0*
인터페이스 ge-0/0/1.0에서 인증된 서플리컨트를 보려면 스위치에 802.1X 프로토콜 정보를 표시합니다.
user@switch> show dot1x interface brief 802.1X Information: Interface Role State MAC address User ge-0/0/1.0 Authenticator Authenticated 00:00:00:00:00:01 abc ge-0/0/10.0 Authenticator Initialize ge-0/0/14.0 Authenticator Connecting ge-0/0/15.0 Authenticator Initialize ge-0/0/20.0 Authenticator Initialize
RADIUS 서버 시간 초과가 발생합니다. 이더넷 스위칭 테이블을 표시하여 이전에 default VLAN을 통해 LAN에 액세스했던 MAC 주소 00:00:00:00:00:01을(를) 가진 서플리컨트가 이제 이름이 vlan-sf인 VLAN에서 학습되고 있음을 보여줍니다.
user@switch> show ethernet-switching table Ethernet-switching table: 3 entries, 1 learned VLAN MAC address Type Age Interfaces v1 * Flood - All-members vlan—sf 00:00:00:00:00:01 Learn 1:07 ge-0/0/1.0 default * Flood - All-members
802.1X 프로토콜 정보를 표시하여 인터페이스 ge-0/0/1.0이(가) 연결 중이고 서플리컨트에 대한 LAN 액세스를 열 것임을 보여줍니다.
user@switch> show dot1x interface brief
802.1X Information:
Interface Role State MAC address User
ge-0/0/1.0 Authenticator Connecting
ge-0/0/10.0 Authenticator Initialize
ge-0/0/14.0 Authenticator Connecting
ge-0/0/15.0 Authenticator Initialize
ge-0/0/20.0 Authenticator Initialize
의미
show vlans 명령은 인터페이스 ge-0/0/1.0을(를) default VLAN의 일부로 표시합니다. show dot1x interface brief 명령은 서플리컨트(abc)가 인터페이스 ge-0/0/1.0에서 인증되었고 MAC 주소가 00:00:00:00:00:01임을 나타냅니다. RADIUS 서버 시간 초과가 발생하고 스위치가 인증 서버에 연결될 수 없습니다. show-ethernet-switching table 명령은 MAC 주소 00:00:00:00:00:01이(가) VLAN vlan-sf에서 학습되었음을 보여줍니다. 서플리컨트가 default VLAN에서 vlan-sf VLAN으로 이동되었습니다. 서플리컨트는 그런 다음 vlan-sf(이)라는 VLAN을 통해 LAN에 연결됩니다.
예: EAP-TTLS 인증 및 Odyssey 액세스 클라이언트를 위한 EX 시리즈 스위치의 폴백 옵션 구성
802.1X 사용자 인증의 경우, EX 시리즈 스위치는 EAP-TTLS(Extensible Authentication Protocol–Tunneled TLS)를 사용하여 OAC(Odyssey Access Client) 지원자를 인증하는 RADIUS 인증 서버를 지원합니다. OAC 네트워킹 소프트웨어는 엔드포인트 컴퓨터(데스크톱, 랩톱 또는 메모장 컴퓨터 및 지원되는 무선 장치)에서 실행되며, 유선 및 무선 네트워크 모두에 대해 보안 액세스를 제공합니다.
본 예에서는 잘못된 로그인 자격 증명을 입력한 OAC 사용자에 대한 폴백 지원을 제공하기 위해 스위치에서 802.1X 사용 인터페이스를 구성하는 방법을 설명합니다.
요구 사항
이 예에서 사용되는 소프트웨어 및 하드웨어 구성 요소는 다음과 같습니다:
이 예는 QFX5100 스위치에도 적용됩니다.
EX 시리즈 스위치용 Junos OS 릴리스 11.2 이상
인증자 포트 액세스 엔티티(PAE) 역할을 하는 EX 시리즈 스위치 1개. 인증자 PAE의 포트는 신청자가 인증될 때까지 모든 트래픽을 차단하는 제어 게이트를 형성합니다.
802.1X를 지원하는 단일 RADIUS 인증 서버. 인증 서버는 백엔드 데이터베이스 역할을 하며, 네트워크에 연결할 수 있는 권한이 있는 호스트(서플리컨트)에 대한 크리덴셜 정보를 포함합니다.
서플리컨트 역할을 하는 하나의 OAC 엔드 디바이스.
대체 옵션 구성을 시작하기 전에 다음을 확인하십시오.
스위치와 RADIUS 서버 간의 연결을 설정합니다. 예: 802.1X용 RADIUS 서버를 EX 시리즈 스위치에 연결합니다.
서버에 EAP-TTLS를 구성했습니다. RADIUS 서버 설명서를 참조하십시오.
RADIUS 서버에 구성된 사용자. RADIUS 서버 설명서를 참조하십시오.
개요 및 토폴로지
OAC는 엔드포인트 컴퓨터(데스크탑, 랩톱 또는 메모장) 및 지원되는 무선 장치에서 실행되는 네트워킹 소프트웨어입니다. OAC는 보안 무선 LAN 액세스에 필요한 EAP를 완벽하게 지원합니다.
이 토폴로지에서 OAC는 802.1X 지원 스위치 및 RADIUS 서버와 함께 배포됩니다. 스위치는 네트워크 보안 아키텍처에서 적용 지점으로 기능합니다. 해당 토폴로지:
인증된 사용자만 연결할 수 있도록 합니다.
로그인 자격 증명의 개인 정보를 유지합니다.
무선 링크를 통해 데이터 프라이버시를 유지합니다.
이 예에는 잘못된 로그인 자격 증명을 입력한 사용자의 우발적인 잠금을 방지하는 스위치의 서버 거부 VLAN 구성이 포함됩니다. 이러한 사용자에게는 제한된 LAN 액세스가 제공됩니다.
그러나 이러한 폴백 구성은 OAC 신청자와 RADIUS 서버가 EAP-TTLS를 사용한다는 사실로 인해 복잡합니다. EAP-TTLS는 인증 프로세스를 완료하기 위해 서버와 최종 디바이스 사이에 보안 암호화 터널을 생성합니다. 사용자가 잘못된 로그인 자격 증명을 입력하면 RADIUS 서버는 해당 터널을 통해 EAP 실패 메시지를 클라이언트에 직접 보냅니다. EAP 실패 메시지는 클라이언트가 인증 절차를 다시 시작하도록 하는데, 이때 스위치의 802.1X 인증 프로세스가 서버 거부 VLAN을 사용하여 스위치와 설정된 세션을 해제합니다. 다음을 구성하여 계속해서 교정 연결을 활성화할 수 있습니다.
eapol-block - 서버 거부 VLAN에 속하도록 구성된 802.1X 인터페이스에서 EAPoL 블록 타이머를 활성화합니다. 차단 타이머는 인증 포트 액세스 엔티티가 클라이언트의 EAP 시작 메시지를 무시하고 인증 절차를 다시 시작하도록 합니다.
주:EAPoL 블록 타이머는 802.1X 인터페이스에서 구성된 허용된 재시도 횟수(retries 옵션 사용)가 소진된 후에만 트리거됩니다. 초기 실패 후 스위치가 포트 인증을 시도하는 횟수를 지정하도록 retries을(를) 구성할 수 있습니다. 기본값은 3회 재시도입니다.
block-interval - EAPoL 블록 타이머가 EAP 시작 메시지를 계속 무시할 시간을 구성합니다. 차단 간격을 구성하지 않으면 EAPoL 차단 타이머는 기본적으로 120초로 설정됩니다.
802.1X 인터페이스가 클라이언트의 EAP 시작 메시지를 무시하면 스위치는 서버 거부 VLAN을 통해 설정된 기존 교정 세션이 열린 상태로 유지되도록 허용합니다.
이러한 구성 옵션은 단일, 단일 보안 및 다중 서플리컨트 인증 모드에 적용됩니다. 이 예에서 802.1X 인터페이스는 단일 서플리컨트 모드로 구성됩니다.
그림 3은(는) OAC 엔드 디바이스를 RADIUS 서버에 연결하는 EX 시리즈 스위치를 보여주며, 네트워크 엔티티를 연결하는 데 사용되는 프로토콜을 나타냅니다.
해당 수치는 QFX5100 스위치에도 적용됩니다.
토폴로지
표 4은(는) 이 OAC 구축의 구성 요소를 설명합니다.
| 속성 | 설정 |
|---|---|
스위치 하드웨어 |
EX 시리즈 스위치 |
VLAN |
default server-reject-vlan: VLAN 이름은 remedial이고 VLAN ID는 700입니다. |
802.1X 인터페이스 |
ge-0/0/8 |
OAC 서플리컨트 |
EAP-TTLS |
하나의 RADIUS 인증 서버 |
EAP-TTLS |
구성
절차
CLI 빠른 구성
EAP-TTLS 및 OAC 서플리컨트에 대한 폴백 옵션을 빠르게 구성하려면 다음 명령을 복사하여 스위치 터미널 창에 붙여넣으십시오.
[edit] set vlans remedial vlan-id 700 set protocols dot1x authenticator interface ge-0/0/8 retries 4 set protocols dot1x authenticator interface ge-0/0/8 server-reject-vlan remedial set protocols dot1x authenticator interface ge-0/0/8 server-reject-vlan eapol-block set protocols dot1x authenticator interface ge-0/0/8 server-reject-vlan block-interval 130
단계별 절차
EAP-TTLS 및 OAC 서플리컨트에 대한 폴백 옵션을 구성하려면:
본 예에서 스위치에는 하나의 서버 거부 VLAN만 있습니다. 따라서 구성은 server-reject-vlan 바로 뒤에 eapol-block와(과) block-interval을(를) 지정합니다. 그러나 스위치에 여러 VLAN을 구성한 경우 수정 중인 VLAN을 나타내기 위해 server-reject-vlan 바로 뒤에 VLAN 이름 또는 VLAN ID를 포함해야 합니다.
잘못된 로그인 자격 증명을 입력한 사용자에게 제한된 LAN 액세스를 제공하도록 서버 거부 VLAN으로 작동할 VLAN을 구성합니다.
[edit] user@switch# set vlans remedial vlan-id 700
잘못된 로그인이 server-reject VLAN으로 전달되기 전에 클라이언트가 사용자 이름과 암호를 묻는 메시지를 표시할 횟수를 구성합니다.
[edit protocols dot1x authenticator interface ge-0/0/8] user@switch# set retries 4
잘못된 로그인에 대한 대비책으로 서버 거부 VLAN을 사용하도록 802.1X 인증자 인터페이스를 구성합니다.
[edit protocols dot1x authenticator interface ge-0/0/8] user@switch# set server-reject-vlan remedial
서버 거부 VLAN에 속하도록 구성된 802.1X 인터페이스에서 EAPoL 블록 타이머를 활성화합니다.
[edit protocols dot1x authenticator interface ge-0/0/8] user@switch# set server-reject-vlan eapol-block
EAPoL 블록이 유효하게 유지되는 시간을 구성합니다.
[edit protocols dot1x authenticator interface ge-0/0/8] user@switch# set server-reject-vlan block-interval 130
결과
구성 결과를 확인합니다:
user@switch> show configuration
protocols {
dot1x {
authenticator {
interface {
ge-0/0/8.0 {
supplicant single;
retries 4;
server-reject-vlan remedial block-interval 130 eapol-block;
}
검증
구성 및 폴백 옵션이 올바르게 작동하는지 확인하려면 다음 작업을 수행하십시오.
802.1X 인터페이스 구성 확인
목적
802.1X 인터페이스가 원하는 옵션으로 구성되었는지 확인합니다.
작업
user@switch> show dot1x interface ge-0/0/8.0 detail
ge-0/0/8.0
Role: Authenticator
Administrative state: Auto
Supplicant mode: Single
Number of retries: 4
Quiet period: 60 seconds
Transmit period: 30 seconds
Mac Radius: Disabled
Mac Radius Restrict: Disabled
Reauthentication: Enabled
Configured Reauthentication interval: 120 seconds
Supplicant timeout: 30 seconds
Server timeout: 30 seconds
Maximum EAPoL requests: 2
Guest VLAN member: guest
Number of connected supplicants: 1
Supplicant: tem, 2A:92:E6:F2:00:00
Operational state: Authenticated
Backend Authentication state: Idle
Authentication method: Radius
Authenticated VLAN: remedial
Session Reauth interval: 120 seconds
Reauthentication due in 68 seconds
의미
show dot1x ge-0/0/8 detail 명령 출력은 ge-0/0/8 인터페이스가 Authenticated 상태이고 remedial VLAN을 사용하고 있음을 보여줍니다.
802.1X 인증 모니터링
목적
이 주제는 J-Web 애플리케이션 패키지에만 적용됩니다.
모니터링 기능을 사용하여 인증된 사용자와 인증에 실패한 사용자의 세부 정보를 표시합니다.
작업
J-Web 인터페이스에 인증 세부 정보를 표시하려면 Monitoring> Security> 802.1X을(를) 선택해야 합니다.
CLI에 인증 세부 정보를 표시하려면 다음 명령을 입력해야 합니다.
show dot1x interface detail | display xmlshow dot1x interface detail <interface> | display xmlshow dot1x auth-failed-users
의미
표시된 세부 정보는 다음과 같습니다.
인증된 사용자 목록.
연결된 사용자의 수.
인증에 실패한 사용자 목록.
세부 정보를 표시해야 하는 인터페이스를 지정할 수도 있습니다.
참조
802.1X 인증 확인
목적
802.1X 인증용으로 구성된 인터페이스가 있는 스위치의 인터페이스에서 신청자가 인증되고 있는지 확인하고 사용 중인 인증 방법을 표시합니다.
작업
802.1X용으로 구성된 인터페이스에 대한 상세 정보를 표시합니다(여기에서 인터페이스가 ge-0/0/16임).
user@switch> show dot1x interface ge-0/0/16.0 detail
ge-0/0/16.0
Role: Authenticator
Administrative state: Auto
Supplicant mode: Single
Number of retries: 3
Quiet period: 60 seconds
Transmit period: 30 seconds
Mac Radius: Enabled
Mac Radius Strict: Disabled
Reauthentication: Enabled Reauthentication interval: 40 seconds
Supplicant timeout: 30 seconds
Server timeout: 30 seconds
Maximum EAPOL requests: 1
Guest VLAN member: <not configured>
Number of connected supplicants: 1
Supplicant: user5, 00:30:48:8C:66:BD
Operational state: Authenticated
Authentication method: Radius
Authenticated VLAN: v200
Reauthentication due in 17 seconds의미
show dot1x interface detail 명령의 샘플 출력은 Number of connected supplicants이(가) 1임을 보여줍니다. 인증되어 현재 LAN에 연결된 신청자는 RADIUS 서버에서 user5로 알려져 있으며 MAC 주소는 00:30:48:8C:66:BD입니다. 신청자는 출력에서 에 표시된 대로, Radius RADIUS 인증이라는 802.1X 인증 방법을 통해 인증되었습니다. RADIUS 인증이 사용되면 신청자가 RADIUS 서버에서 구성되고, RADIUS 서버는 이를 스위치에 전달하며, 스위치가 신청자가 연결된 인터페이스에서 LAN 액세스를 엽니다. 또한 샘플 출력은 신청자가 VLAN v200에 연결되어 있음을 보여줍니다.
RADIUS 인증 외에 EX 시리즈 스위치에서 지원되는 다른 802.1X 인증 방법은 다음과 같습니다.
Guest VLAN—비응답 호스트에는 Guest-VLAN 액세스 권한이 부여됩니다.
MAC Radius—비응답 호스트는 해당 MAC 주소를 기반으로 인증됩니다. MAC 주소는 RADIUS 서버에서 허용되는 것으로 구성되고, RADIUS 서버는 MAC 주소가 허용된 주소임을 스위치에 알리며, 스위치는 연결된 인터페이스에 있는 비응답 호스트에 LAN 액세스 권한을 부여합니다.
Server-fail deny—RADIUS 서버의 시간이 초과하면, 모든 신청자는 LAN에 대한 액세스가 거부되어 신청자의 트래픽이 인터페이스를 통해 트래버스하지 못합니다. 이는 기본 설정입니다.
Server-fail permit—RADIUS 서버를 사용할 수 없을 때, 신청자가 RADIUS 서버에서 성공적으로 인증된 것처럼 신청자는 여전히 LAN에 액세스할 수 있습니다.
Server-fail use-cache—재인증 중에 RADIUS 서버의 시간이 초과하면 이전에 인증된 신청자에게는 LAN 액세스 권한이 부여되지만 새로운 신청자는 LAN 액세스가 거부됩니다.
Server-fail VLAN—요청자를 재인증하기 위해 RADIUS 서버를 사용할 수 없는 경우 신청자는 지정된 VLAN으로 이동하도록 구성됩니다. (VLAN이 스위치에 이미 존재해야 합니다.)
참조
EX 시리즈 스위치에서 최종 디바이스의 인증 문제해결
문제
설명
삭제 dot1x 인터페이스 명령을 실행하여 학습한 모든 MAC 주소를 삭제한 이후에는 정적 MAC 주소를 사용하여 구성된 최종 디바이스가 스위치와의 연결을 잃게 됩니다.
MAC 주소를 삭제하기 전에:
user@switch# run show ethernet-switching table Ethernet-switching table: 3 entries, 1 learned, 0 persistent entries VLAN MAC address Type Age Interfaces vlan100 * Flood - All-members default * Flood - All-members default 00:a0:d4:00:03:00 Learn 0 ge-3/0/16.0 user@switch> show dot1x authentication-bypassed-users MAC address Interface VLAN 00:a0:d4:00:03:00 ge-3/0/16.0 configured/default
MAC 주소를 삭제하려면:
user@switch> clear dot1x interface
MAC 주소를 삭제한 후:
user@switch> show ethernet-switching table Ethernet-switching table: 2 entries, 0 learned, 0 persistent entries VLAN MAC address Type Age Interfaces vlan100 * Flood - All-members default * Flood - All-members user@switch> show dot1x authentication-bypassed-users
인증 바이패스 목록에 최종 장치가 없다는 점에 유의하십시오.
원인
정적 MAC 주소는 인터페이스에서 학습한 다른 MAC 주소와 동일하게 처리됩니다. 삭제 dot1x 인터페이스 명령이 실행되면 인터페이스에서 정적 MAC 바이패스 목록(배제 목록이라고도 함)을 포함하여 학습한 모든 MAC 주소가 삭제됩니다.
솔루션
인증 바이패스를 위해 구성된 정적 MAC 주소가 있는 인터페이스에 대해 삭제 dot1x 인터페이스 명령을 실행하면 정적 MAC 바이패스 목록에 정적 MAC 주소를 다시 추가해야 합니다.