인증 세션 시간 초과
여러 가지 인증을 사용하여 스위치를 통해 네트워크에 대한 액세스를 제어할 수 있습니다. Junos OS 스위치는 네트워크 연결이 필요한 디바이스에 대한 인증 방법으로 802.1X, MAC RADIUS 및 캡티브 포털을 지원합니다. 자세한 정보를 보려면 이 주제를 읽어보십시오.
인증 세션 시간 초과 이해
인증된 각 MAC 주소에 대한 VLAN 및 관련 인터페이스를 포함한 인증 세션에 대한 정보는 인증 세션 테이블에 저장됩니다. 인증 세션 테이블은 이더넷 스위칭 테이블(MAC 테이블이라고도 함)에 연결됩니다. 스위치는 MAC 주소에서 트래픽을 탐지할 때마다 이더넷 스위칭 테이블에서 해당 네트워크 노드에 대한 타임스탬프를 업데이트합니다. 스위치의 타이머는 주기적으로 타임스탬프를 확인하고 그 값이 사용자 구성 mac-table-aging-time
값을 초과하면 MAC 주소가 이더넷 스위칭 테이블에서 제거됩니다. MAC 주소가 이더넷 스위칭 테이블에서 노후화되면 해당 MAC 주소에 대한 항목도 인증 세션 테이블에서 제거되어 세션이 종료됩니다.
MAC 주소 에이징으로 인해 인증 세션이 종료되면 호스트는 인증을 다시 시도해야 합니다. 재인증으로 인한 다운타임을 제한하려면 다음과 같은 방법으로 인증 세션의 타임아웃을 제어할 수 있습니다.
802.1X 및 MAC RADIUS 인증 세션의 경우, 명령문을 사용하여 이더넷 스위칭 테이블에서 인증 세션 테이블을 분리합니다
no-mac-table-binding
. 이 설정은 연결된 MAC 주소가 이더넷 스위칭 테이블에서 만료될 때 인증 세션이 종료되지 않도록 합니다.캡티브 포털(captive portal) 인증 세션의 경우, 문을 사용하여 연결 유지 타이머를
user-keepalive
구성합니다. 이 옵션을 구성하면 연결된 MAC 주소가 이더넷 스위칭 테이블에서 노후화되면 keep-alive 타이머가 시작됩니다. 연결 유지 타임아웃 기간 내에 트래픽이 수신되면 타이머가 삭제됩니다. 연결 유지 타임아웃 기간 내에 트래픽이 없으면 세션이 삭제됩니다.
MAC 에이징 타이머가 만료되기 전에 세션을 종료하도록 인증 세션에 대한 타임아웃 값을 지정할 수도 있습니다. 세션 시간이 초과되면 호스트는 인증을 다시 시도해야 합니다.
802.1X 및 MAC RADIUS 인증 세션의 경우, 시간 초과 전 세션 기간은 문의 값에
reauthentication
따라 달라집니다. 세션 시간이 초과되기 전에 MAC 에이징 타이머가 만료되고no-mac-table-binding
문이 구성되지 않은 경우 세션이 종료되고 호스트는 다시 인증해야 합니다.캡티브 포털(captive portal) 인증 세션의 경우, 세션 기간은 문에 대해
session-expiry
구성된 값에 따라 달라집니다. 세션 시간이 초과되기 전에 MAC 에이징 타이머가 만료되고user-keepalive
문이 구성되지 않은 경우 세션이 종료되고 호스트는 다시 인증해야 합니다.
인증 서버가 클라이언트에 인증 세션 시간 초과를 전송하면 문 또는 문을 사용하여 reauthentication
로컬에서 구성된 값보다 우선합니다 session-expiry
. 세션 시간 초과 값은 RADIUS Access-Accept 메시지의 속성으로 서버에서 클라이언트로 전송됩니다. 인증 세션 시간 초과를 전송하도록 인증 서버를 구성하는 방법에 대한 자세한 내용은 서버 설명서를 참조하십시오.
참조
인증 세션 타임아웃 제어(CLI 절차)
인증 세션이 만료되면 호스트가 인증을 다시 시도해야 하므로 가동 중지 시간이 발생할 수 있습니다. 인증 세션의 시간 초과 기간을 제어하여 이 다운타임을 제한할 수 있습니다.
인증된 호스트와 연결된 MAC 주소가 이더넷 스위칭 테이블에서 노후화되면 인증 세션이 종료될 수 있습니다. 이더넷 스위칭 테이블에서 MAC 주소가 지워지면 해당 호스트에 대한 인증 세션이 종료되고 호스트는 인증을 다시 시도해야 합니다.
MAC 주소가 이더넷 스위칭 테이블에서 오래되었을 때 인증 세션이 종료되지 않도록 하려면:
MAC 에이징 타이머가 만료되기 전에 인증 세션을 종료하도록 인증 세션에 대한 타임아웃 값을 구성할 수도 있습니다.
인증 세션에 대한 세션 시간 초과를 구성해도 MAC 에이징 타이머가 만료된 후 세션이 연장되지 않습니다. MAC 에이징으로 no-mac-table-binding
인한 세션 시간 초과를 방지하려면 802.1X 및 MAC RADIUS 인증을 위한 문 또는 user-keepalive
캡티브 포털 인증을 위한 문을 구성해야 합니다.
802.1X 및 MAC RADIUS 인증 세션의 reauthentication
경우 문을 사용하여 시간 제한 값을 구성합니다.
단일 인터페이스에서 시간 초과 값을 구성하려면 다음을 수행합니다.
[edit] user@switch# set protocols dot1x authenticator interface interface-name reauthentication seconds;
모든 인터페이스에서 시간 초과 값을 구성하려면 다음을 수행합니다.
[edit] user@switch# set protocols dot1x authenticator interface all reauthentication seconds;
캡티브 포털(captive portal) 인증 세션의 session-expiry
경우, 명령문을 사용하여 타임아웃 값을 구성합니다.
단일 인터페이스에서 시간 초과 값을 구성하려면 다음을 수행합니다.
[edit] user@switch# set services captive-portal interface interface-name session-expiry minutes;
모든 인터페이스에서 시간 초과 값을 구성하려면 다음을 수행합니다.
[edit] user@switch# set services captive-portal interface all session-expiry minutes;
인증 서버가 클라이언트에 인증 세션 시간 초과를 전송하면 문 또는 문을 사용하여 reauthentication
구성된 값보다 우선합니다 session-expiry
. 세션 시간 초과 값은 RADIUS Access-Accept 메시지의 속성으로 서버에서 클라이언트로 전송됩니다.
참조
IP-MAC 주소 바인딩 기반 인증 세션 유지
MAC RADIUS 인증은 802.1X 인증이 활성화되지 않은 호스트가 LAN에 액세스할 수 있도록 허용하는 데 자주 사용됩니다. 프린터와 같은 최종 디바이스는 네트워크에서 그다지 활성화되지 않습니다. 비활성으로 인해 최종 디바이스와 연결된 MAC 주소가 노후화되면, 이더넷 스위칭 테이블에서 MAC 주소가 지워지고 인증 세션이 종료됩니다. 즉, 필요할 때 다른 장치가 최종 장치에 연결할 수 없습니다.
사용 기간이 만료된 MAC 주소가 DHCP, DHCPv6 또는 SLAAC 스누핑 테이블의 IP 주소와 연결된 경우 해당 MAC-IP 주소 바인딩은 테이블에서 지워집니다. 이로 인해 DHCP 클라이언트가 임대를 갱신하려고 할 때 트래픽이 손실될 수 있습니다.
MAC 주소가 오래되었을 때 인증 세션을 종료하기 전에 DHCP, DHCPv6 또는 SLAAC 스누핑 테이블에서 IP-MAC 주소 바인딩을 확인하도록 스위칭 디바이스를 구성할 수 있습니다. 최종 디바이스의 MAC 주소가 IP 주소에 바인딩된 경우 이더넷 스위칭 테이블에 유지되고 인증 세션이 활성 상태로 유지됩니다.
이 기능은 CLI를 사용하여 모든 인증된 세션에 대해 전역적으로 구성하거나 RADIUS 속성을 사용하여 세션별로 구성할 수 있습니다.
이점
이 기능은 다음 이점을 제공합니다:
MAC 주소가 오래되더라도 네트워크의 다른 디바이스가 최종 디바이스에 연결할 수 있도록 합니다.
엔드 디바이스가 DHCP 임대를 갱신하려고 할 때 트래픽이 손실되지 않도록 합니다.
CLI 구성
이 기능을 구성하기 전에 다음을 수행합니다.
디바이스에서 DHCP 스누핑, DHCPv6 스누핑 또는 SLAAC 스누핑을 활성화해야 합니다.
no-mac-table-binding
CLI 문을 구성해야 합니다. 이렇게 하면 이더넷 스위칭 테이블에서 인증 세션 테이블의 연결이 끊어지므로 MAC 주소가 오래되면 인증 세션이 다음 재인증까지 연장됩니다.[edit] user@switch# set protocols dot1x authenticator no-mac-table-binding;
인증된 모든 세션에 대해 이 기능을 전역으로 구성하려면:
ip-mac-session-binding
[edit] user@switch# set protocols dot1x authenticator ip-mac-session-binding;
이(가) 구성되지 않는 한 no-mac-table-binding
구성을 커밋 ip-mac-session-binding
할 수 없습니다.
RADIUS 서버 속성
RADIUS 서버 속성을 사용하여 특정 인증 세션에 대해 이 기능을 구성할 수 있습니다. RADIUS 서버 속성은 스위치에 연결된 신청자가 성공적으로 인증될 때 인증 서버에서 스위칭 디바이스로 전송되는 Access-Accept 메시지에 캡슐화된 일반 텍스트 필드입니다.
IP-MAC 주소 바인딩을 기반으로 인증 세션을 유지하려면 RADIUS 서버에서 다음 속성-값 쌍을 모두 구성합니다.
Juniper-AV-Pair = "ip-mac-session-binding"
Juniper-AV-Pair = "Mac-Binding-Reauth 없음"
Juniper-AV-Pair 속성은 주니퍼 네트웍스의 벤더별 속성(VSA)입니다. Juniper 사전이 RADIUS 서버에 로드되고 Juniper-AV-Pair VSA(ID# 52)를 포함하는지 확인합니다.
사전에 속성을 추가해야 하는 경우 RADIUS 서버에서 사전 파일(juniper.dct)을 찾아 파일에 다음 텍스트를 추가합니다.
ATTRIBUTE Juniper-AV-Pair Juniper-VSA(52, string) r
RADIUS 서버 구성에 대한 자세한 내용은 서버에 포함된 AAA 설명서를 참조하십시오.
검증
운영 모드 명령을 show dot1x interface interface-name detail
실행하여 구성을 검증하고 및 No Mac Session Binding
출력 필드가 기능이 활성화되었음을 나타내는지 확인합니다Ip Mac Session Binding
.
user@switch> show dot1x interface ge-0/0/16.0 detail ge-0/0/16.0 Role: Authenticator Administrative state: Auto Supplicant mode: Multiple Number of retries: 3 Quiet period: 60 seconds Transmit period: 5 seconds Mac Radius: Enabled Mac Radius Restrict: Disabled Mac Radius Authentication Protocol: EAP-MD5 Reauthentication: Disabled Configured Reauthentication interval: 3600 seconds Supplicant timeout: 30 seconds Server timeout: 30 seconds Maximum EAPOL requests: 2 Guest VLAN member: <not configured> No Mac Session Binding: Enabled Ip Mac Session Binding: Enabled Number of connected supplicants: 1 Supplicant: abc, 00:00:5E:00:53:00 Operational state: Authenticated Backend Authentication state: Idle Authentication method: Mac Radius Authenticated VLAN: v100 Session Reauth interval: 3600 seconds Reauthentication due in 0 seconds Ip Mac Session Binding: Enabled No Mac Binding Reauth: Enabled Eapol-Block: Not In Effect
MAC RADIUS로 인증된 클라이언트는 인증된 상태를 유지해야 하며, 이더넷 스위칭 테이블의 MAC 주소 항목도 MAC 타이머 만료 후에도 유지되어야 합니다.