Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

802.1X 또는 MAC RADIUS 지원

EX 시리즈 스위치는 포트 방화벽 필터를 제공합니다. 포트 방화벽 필터는 단일 EX 시리즈 스위치로 구성되지만, 엔터프라이즈 전반에서 작동하려면 여러 스위치에서 구성해야 합니다. 여러 스위치에서 동일한 포트 방화벽 필터를 구성할 필요성을 줄이기 위해 기본 서버 속성을 사용하여 RADIUS 중앙에 필터를 RADIUS 수 있습니다. 장비가 802.1X를 통해 성공적으로 인증된 후에 조건이 적용됩니다. 자세한 내용은 이 주제를 참조하십시오.

예를 들면 다음과 같습니다. EX 시리즈 스위치에서 RADIUS 서버 속성을 사용하여 802.1X 인증 서플리컨트에 방화벽 필터를 적용합니다.

엔터프라이즈의 EX 시리즈 스위치에 RADIUS 서버 속성과 포트 방화벽 필터를 사용하여 여러 서플리컨트(최종 디바이스)에 대한 용어를 중앙에서 적용할 수 있습니다. 장비가 802.1X를 통해 성공적으로 인증된 후에 조건이 적용됩니다. 802.1X 인증을 사용해 최종 디바이스를 인증한 후 방화벽 필터 구성이 수정되면, 방화벽 필터 변경이 적용될 수 있는 기존 802.1X 인증 세션이 종료되고 다시 설정되어야 합니다.

EX 시리즈 스위치는 포트 방화벽 필터를 제공합니다. 포트 방화벽 필터는 단일 EX 시리즈 스위치로 구성되지만, 엔터프라이즈 전반에서 작동하려면 여러 스위치에서 구성해야 합니다. 여러 스위치에서 동일한 포트 방화벽 필터를 구성할 필요성을 줄이기 위해 기본 서버 속성을 사용하여 RADIUS 중앙에 필터를 RADIUS 수 있습니다.

다음 예에서는 FreeRADIUS를 사용하여 포트 방화벽 필터를 RADIUS 있습니다. 서버 구성에 대한 자세한 내용은 서버 구성에 포함된 설명서를 참조하십시오. RADIUS.

다음 예제에서는 용어가 있는 포트 방화벽 필터를 구성하고, 서플리컨트에 대한 패킷을 계산하는 카운터를 생성하고, 필터를 RADIUS 서버의 사용자 프로파일에 필터를 적용하고, 카운터를 표시하여 구성을 검증하는 방법을 설명합니다.

요구 사항

이 예에서는 다음과 같은 소프트웨어 및 하드웨어 구성 요소를 활용합니다.

주:

이 예는 스위치와 QFX5100 적용합니다.

  • Junos OS EX 시리즈 스위치용 릴리스 9.3 이상

  • 인증자 포트 액세스 엔티티(PAE)의 역할을 하는 하나의 EX 시리즈 스위치. 인증자 PAE의 포트는 서플리컨트와 서플리컨트로의 모든 트래픽을 차단하고 인증될 때까지 제어 게이트를 형성합니다.

  • 1대의 RADIUS 인증 서버. 인증 서버는 백END 데이터베이스로 실행하며 네트워크에 연결할 수 있는 권한을 가지는 호스트(서플리컨트)에 대한 자격 증명 정보를 포함합니다.

서버를 스위치에 연결하기 전에 다음을 반드시 확인하십시오.

개요 및 토폴로지

인터페이스의 802.1X 구성이 서플리컨트(supplicant) 모드로 설정되면 필터를 RADIUS 스위치에 중앙 집중식으로 추가하여 EX 시리즈 스위치의 Junos OS CLI 스위치에서 구성된 단일 포트 방화벽 필터를 모든 수의 엔드 디바이스(서플리컨트)에 적용할 multiple 수 있습니다. 단일 필터만 인터페이스에 적용할 수 있습니다. 그러나 필터는 별도의 엔드 디바이스에 대한 여러 용어를 포함할 수 있습니다.

방화벽 필터에 대한 자세한 내용은 EX 시리즈 스위치용 방화벽 필터 개요 또는 방화벽 필터 개요(QFX 시리즈)를 참조하십시오.

RADIUS 802.1X를 사용하여 인증을 완료한 후 엔드 디바이스가 연결된 포트에 서버 속성이 적용됩니다. 스위치는 최종 디바이스를 인증하기 위해 최종 장치의 증명을 RADIUS 전달합니다. RADIUS 서버는 RADIUS 서버의 서플리건트의 사용자 프로파일에 있는 서플리건에 대한 사전 구성된 정보와 RADIUS 일치합니다. 일치되는 경우 RADIUS 서버가 스위치에 엔드 디바이스에 대한 인터페이스를 열게 지시합니다. 그런 다음 트래픽은 LAN에서 최종 디바이스로 흐르게 됩니다. 포트 방화벽 필터에서 구성된 추가 명령은 RADIUS 서버 속성을 사용하여 최종 장치의 사용자 프로필에 추가되어 엔드 디바이스가 부여하는 액세스를 더욱 정의합니다. 포트 방화벽 필터에서 구성된 필터링 조건은 802.1X 인증이 완료되면 엔드 디바이스가 연결된 포트에 적용됩니다.

주:

802.1X를 사용하여 최종 디바이스가 성공적으로 인증된 후에 포트 방화벽 필터를 수정하는 경우 방화벽 필터 구성 변경이 효과적이면 802.1X 인증 세션을 종료하고 다시 설정해야 합니다.

토폴로지

그림 1 이 예에서 사용된 토폴로지가 표시됩니다. RADIUS ge-0/0/10의 EX4200 스위치에 연결되어 있습니다. 인터페이스 ge-0/0/2에서 2개의 엔드 장치(서플리컨트)가 LAN에 액세스하고 있습니다. 서플리전트 1에는 MAC 주소 00:50:8b:6f:60:3a가 있습니다. 서플리전트 2에는 MAC 주소 00:50:8b:6f:60:3b가 있습니다.

주:

이 그림은 또한 스위치와 QFX5100 수 있습니다.

그림 1: 방화벽 필터 및 RADIUS 서버 속성 구성을 위한 토폴로지방화벽 필터 및 RADIUS 서버 속성 구성을 위한 토폴로지

표 1 이 토폴로지의 구성 요소를 설명하고 있습니다.

표 1: 방화벽 필터 및 RADIUS 서버 속성 토폴로지의 구성 요소
속성 설정

스위치 하드웨어

EX4200 액세스 스위치, 24기가비트 이더넷 포트: 비만 포트 16개 PoE 포트 8개 PoE.

1개 RADIUS 서버

포트의 스위치에 연결된 주소가 있는 10.0.0.100 백end 데이터베이스 ge-0/0/10

인터페이스의 스위치에 연결된 802.1X 서플리컨트 ge-0/0/2

  • Supplicant 1 MAC 주소가 00:50:8b:6f:60:3a 있습니다.

  • Supplicant 2 MAC 주소가 00:50:8b:6f:60:3b 있습니다.

네트워크 서버에 적용될 포트 방화벽 필터를 RADIUS 필터

filter1

카운터

counter1 Supplicant 1에서 패킷을 계산하고 counter2 Supplicant 2의 패킷을 카운트합니다.

Policer

policer p1

네트워크 서버의 RADIUS 프로파일

  • Supplicant 1에는 사용자 프로필이 supplicant1 있습니다.

  • Supplicant 2에는 사용자 프로필이 supplicant2 있습니다.

이 예에서는 으로 명명된 포트 방화벽 필터를 filter1 구성합니다. 필터에는 최종 장치의 MAC 주소를 기반으로 최종 장치에 적용될 용어가 포함되어 있습니다. 필터를 구성할 때 카운터 및 counter1 를 구성할 수 counter2 있습니다. 각 엔드 디바이스의 패킷이 계산되어 구성이 올바르게 작동하고 있는지 확인하는 데 도움이 됩니다. Policer는 에 대한 값과 매개 변수를 기반으로 트래픽 속도 p1exceedingdiscard 제한. 그런 다음 RADIUS 서버 속성이 RADIUS 서버 상에서 사용 가능한지 확인하고 해당 RADIUS 필터를 적용합니다. 마지막으로, 2개의 카운터에 대한 출력을 표시하여 구성을 검증합니다.

포트 방화벽 필터 및 카운터 구성

절차

CLI 빠른 구성

Supplicant 1 및 Supplicant 2에 대한 용어로 포트 방화벽 필터를 신속하게 구성하고 각 서플리전트에 대한 병렬 카운터를 생성하고, 다음 명령을 복사하여 스위치 터미널 창에 붙여넣기:

단계별 절차

스위치에서 포트 방화벽 필터 및 카운터를 구성하기 위해 다음을 실행합니다.

  1. 포트 방화벽 필터(여기, 각 엔드 디바이스의 MAC 주소에 따라 각 엔드 디바이스에 대한 filter1 조건)를 구성합니다.

  2. Policer 정의 설정:

  3. 각 엔드 디바이스의 패킷을 카운트하는 2개의 카운터와 트래픽 속도 제한을 위한 Policer를 생성합니다.

결과

구성의 결과를 표시합니다.

서버의 Supplicant 사용자 프로파일에 포트 RADIUS 적용

절차

단계별 절차

RADIUS 서버 속성이 RADIUS 필터를 사용자 프로파일에 Filter-ID 적용하려면 다음을 실행합니다.

  1. 서버 상에 RADIUS 표시하고 해당 속성이 dictionary.rfc2865Filter-ID 디디어에 포함되어 있는지 검증합니다.

  2. DICTIONARY 파일을 닫습니다.

  3. 필터를 적용하려는 최종 디바이스의 로컬 사용자 프로필을 표시합니다(여기서 사용자 프로파일은 supplicant1 호출되어 supplicant2 있습니다.

    출력은 다음을 보여줍니다.

  4. 각 프로파일에 라인을 추가하여 두 사용자 프로파일에 필터를 적용한 Filter-Id = “filter1” 다음,

    라인을 파일에 붙여넣은 후 파일은 다음과 같이 나타날 수 있습니다.

확인

필터가 서플리컨트에 적용된지 검증

목적

인터페이스 ge-0/0/2에서 최종 디바이스가 인증된 후, 필터가 스위치에서 구성되고 두 서플리컨트에 대한 결과를 포함하는지 검증합니다.

실행
의미

명령의 show dot1x firewall 출력은 및 counter1 를 표시하며 counter2 에서 User_1 수 있으며 사용자 counter1 2의 패킷은 를 사용하여 counter2 계산됩니다. 출력은 양 카운터에 대해 증분하는 패킷을 표시합니다. 필터는 두 엔드 디바이스 모두에 적용되었습니다.

예를 들면 다음과 같습니다. 802.1X 또는 MAC 인증 지원 인터페이스의 여러 서플리컨트에 방화벽 필터를 RADIUS 적용

EX 시리즈 스위치에서 802.1X 또는 MAC RADIUS 인증을 지원 인터페이스에 적용하는 방화벽 필터는 스위치에서 스위치로 전송되는 사용자당 정책과 RADIUS 수 있습니다. 이 스위치는 내부 로직을 사용하여 인터페이스 방화벽 필터를 RADIUS 서버의 사용자 정책과 동적으로 결합하고 인터페이스에서 인증된 여러 사용자 또는 비방위 호스트 각각에 대해 개별화된 정책을 생성합니다.

다음 예제에서는 802.1X 기반 인터페이스에서 여러 서플리컨트에 대해 동적 방화벽 필터를 어떻게 생성하는지 설명합니다(이 예에서와 동일한 원칙은 MAC RADIUS 인증에 사용 가능한 인터페이스에 적용됩니다.

요구 사항

이 예에서는 다음과 같은 하드웨어 및 소프트웨어 구성 요소를 활용합니다.

  • Junos OS EX 시리즈 스위치용 릴리스 9.5 이상

  • 1대의 EX 시리즈 스위치

  • 1대의 RADIUS 인증 서버. 인증 서버는 백END 데이터베이스로 실행하며 네트워크에 연결할 수 있는 권한을 가지는 호스트(서플리컨트)에 대한 자격 증명 정보를 포함합니다.

여러 서플리컨트와 함께 사용할 수 있는 인터페이스에 방화벽 필터를 적용하기 전에 다음을 사용하는지 확인하십시오.

개요 및 토폴로지

토폴로지

인터페이스의 802.1X 구성이 여러 서플리던트 모드로 설정되는 경우, 이 시스템은 인증 동안 인터페이스 방화벽 필터와 인증 동안 RADIUS 스위치에서 스위치로 전송되는 사용자 정책을 동적으로 결합하고 각 사용자에게 별도의 용어를 만듭니다. 인터페이스에서 인증된 각 사용자에 대해 별도의 용어가 있기 때문에 이 예에서와 같이 카운터를 사용하여 동일한 인터페이스에서 인증된 개별 사용자의 활동을 볼 수 있습니다.

인터페이스에서 새로운 사용자(또는 비통신 호스트)가 인증된 경우, 시스템은 인터페이스와 연관된 방화벽 필터에 용어를 추가하고 각 사용자에 대한 용어(정책)는 사용자의 MAC 주소와 연결됩니다. 각 사용자에 대한 용어는 RADIUS 인터페이스에 구성된 필터에 설정된 사용자별 필터를 기반으로 합니다. 예를 들어, 에 표시된 바와 같이 사용자1이 EX 시리즈 스위치에 의해 인증된 경우 시스템은 방화벽 그림 2 필터를 dynamic-filter-example 생성합니다. User2가 인증된 경우 방화벽 필터에 또 다른 용어가 추가됩니다.

그림 2: 개념 모델: 각 신규 사용자를 위해 업데이트된 동적 필터개념 모델: 각 신규 사용자를 위해 업데이트된 동적 필터

이는 내부 프로세스의 개념적 모델입니다. 동적 필터에 액세스하거나 볼 수 없습니다.

주:

사용자(또는 비통신 호스트)가 인증된 후 인터페이스의 방화벽 필터가 수정되는 경우, 사용자가 재인식되지 않는 한 변경된 내용이 동적 필터에 반영되지 않습니다.

다음 예제에서 서브넷에 위치한 파일 서버의 인터페이스에서 인증된 각 엔드포인트가 요청을 카운트하도록 방화벽 필터를 구성하고 트래픽 속도 제한을 위해 Policer 정의를 설정합니다. 이 예에서는 네트워크 토폴로지가 ge-0/0/2192.0.2.16/28그림 3 표시되어 있습니다.

그림 3: 802.1X 지원 인터페이스의 다중 서플리컨트 파일 서버 연결802.1X 지원 인터페이스의 다중 서플리컨트 파일 서버 연결

구성

802.1X 지원 인터페이스에서 여러 서플리컨트에 대한 방화벽 필터를 구성하는 방법:

여러 서플리컨트가 있는 인터페이스에서 방화벽 필터 구성

CLI 빠른 구성

802.1X 지원 인터페이스의 여러 서플리컨트에 대한 방화벽 필터를 신속하게 구성하기 위해 다음 명령을 복사하여 스위치 터미널 창에 붙여넣기:

단계별 절차

여러 서플리컨트에 사용할 수 있는 인터페이스에서 방화벽 필터를 구성하기 위해:

  1. 다중 ge-0/0/2 서플리전트 모드 인증을 위한 인터페이스 구성:

  2. Policer 정의 설정:

  3. 방화벽 필터를 구성하여 각 사용자로부터 패킷을 카운트하고 트래픽 속도 제한을 하는 Policer를 구성합니다. 새 사용자가 여러 서플리전트 인터페이스에서 인증되면 이 필터 용어는 사용자를 위해 동적으로 생성된 용어에 포함됩니다.

결과

구성의 결과를 확인:

확인

구성이 올바르게 작동하고 있는지 확인하려면 다음 작업을 수행합니다.

다중 서플리컨트가 있는 인터페이스에서 방화벽 필터 검증

목적

여러 서플리컨트가 있는 인터페이스에서 방화벽 필터가 작동하고 있는지 검증합니다.

실행
  1. 인터페이스에서 인증된 한 사용자가 결과를 검사합니다. 이 경우 사용자는 다음에 대한 인증을 통해 ge-0/0/2 인증됩니다.

  2. 두 번째 사용자인 User2가 동일한 인터페이스에서 인증된 경우 필터에 인터페이스에서 인증된 두 사용자에 대한 결과가 포함되어 있는지 확인할 ge-0/0/2 수 있습니다.

의미

명령 출력에 의해 표시되는 결과는 각 새 사용자의 인증을 통해 생성된 동적 show dot1x firewall 필터를 반영합니다. User1은 지정된 대상 주소에 위치한 파일 서버에 100회 액세스한 반면, User2는 동일한 파일 서버에 400회 액세스했습니다.

예를 들면 다음과 같습니다. ELS 지원을 통해 EX 시리즈 스위치에서 802.1X 또는 MAC RADIUS 지원 인터페이스의 여러 서플리컨트에 방화벽 필터 적용

주:

이 예는 JUNOS OS ELS(Enhanced Layer 2 Software) 구성 스타일과 함께 EX 시리즈 스위치의 스위치를 사용하는 예제입니다. 스위치에서 ELS를 지원하지 않는 소프트웨어를 실행하는 경우 다음을 예로 들 수 있습니다. 802.1X 또는 MAC 인증을 위해 지원되는 인터페이스의 여러 서플리컨트에 방화벽 필터를 RADIUS. ELS 세부 정보는 Enhanced Layer 2 Software CLI.

EX 시리즈 스위치에서 802.1X 또는 MAC RADIUS 인증을 지원 인터페이스에 적용하는 방화벽 필터는 스위치에서 스위치로 전송되는 사용자당 정책과 RADIUS 수 있습니다. 이 스위치는 내부 로직을 사용하여 인터페이스 방화벽 필터를 RADIUS 서버의 사용자 정책과 동적으로 결합하고 인터페이스에서 인증된 여러 사용자 또는 비방위 호스트 각각에 대해 개별화된 정책을 생성합니다.

다음 예제에서는 802.1X 기반 인터페이스에서 여러 서플리컨트에 대해 동적 방화벽 필터를 어떻게 생성하는지 설명합니다(이 예에서와 동일한 원칙은 MAC RADIUS 인증에 사용 가능한 인터페이스에 적용됩니다.

요구 사항

이 예에서는 다음과 같은 소프트웨어 및 하드웨어 구성 요소를 활용합니다.

주:

이 예는 스위치와 QFX5100 적용합니다.

  • Junos OS EX 시리즈 스위치용 릴리즈 13.2 이상

  • ELS를 지원하는 1대의 EX 시리즈 스위치

  • 1대의 RADIUS 인증 서버. 인증 서버는 백END 데이터베이스로 실행하며 네트워크에 연결할 수 있는 권한을 가지는 호스트(서플리컨트)에 대한 자격 증명 정보를 포함합니다.

여러 서플리컨트와 함께 사용할 수 있는 인터페이스에 방화벽 필터를 적용하기 전에 다음을 사용하는지 확인하십시오.

개요 및 토폴로지

토폴로지

인터페이스의 802.1X 구성이 여러 서플리던트 모드로 설정되는 경우, 시스템은 인증 동안 인터페이스 방화벽 필터와 인증 동안 RADIUS 스위치에서 스위치로 전송되는 사용자 정책을 동적으로 결합하고 각 사용자에게 별도의 용어를 만듭니다. 인터페이스에서 인증된 각 사용자에 대해 별도의 용어가 있기 때문에 이 예에서와 같이 카운터를 사용하여 동일한 인터페이스에서 인증된 개별 사용자의 활동을 볼 수 있습니다.

인터페이스에서 새로운 사용자(또는 비통신 호스트)가 인증된 경우, 시스템은 인터페이스와 연관된 방화벽 필터에 용어를 추가하고 각 사용자에 대한 용어(정책)는 사용자의 MAC 주소와 연결됩니다. 각 사용자에 대한 용어는 RADIUS 인터페이스에 구성된 필터에 설정된 사용자별 필터를 기반으로 합니다. 예를 들어, 사용자 1이 EX 시리즈 스위치에 의해 인증된 경우 시스템은 방화벽 필터에 용어를 그림 4dynamic-filter-example 추가합니다. User 2가 인증된 경우 방화벽 필터에 또 다른 용어가 추가됩니다.

주:

이 그림은 또한 스위치와 QFX5100 수 있습니다.

그림 4: 개념 모델: 각 신규 사용자를 위해 업데이트된 동적 필터개념 모델: 각 신규 사용자를 위해 업데이트된 동적 필터

이는 내부 프로세스의 개념적 모델입니다. 동적 필터에 액세스하거나 볼 수 없습니다.

주:

사용자(또는 비통신 호스트)가 인증된 후 인터페이스의 방화벽 필터가 수정되는 경우, 사용자가 재인식되지 않는 한 변경된 내용이 동적 필터에 반영되지 않습니다.

다음 예제에서 방화벽 필터를 구성하여 인터페이스 ge-0/0/2에서 인증된 각 엔드포인트가 서브넷 192.0.2.16/28에 위치한 파일 서버로 요청을 카운트하고 트래픽 속도 제한을 위해 Policer 정의를 설정할 수 있습니다. 그림 5 이 예에서는 네트워크 토폴로지가 표시됩니다.

그림 5: 802.1X 지원 인터페이스의 다중 서플리컨트 파일 서버 연결802.1X 지원 인터페이스의 다중 서플리컨트 파일 서버 연결

구성

여러 서플리컨트가 있는 인터페이스에서 방화벽 필터 구성

CLI 빠른 구성

802.1X 지원 인터페이스의 여러 서플리컨트에 대한 방화벽 필터를 신속하게 구성하기 위해 다음 명령을 복사하여 스위치 터미널 창에 붙여넣기:

단계별 절차

여러 서플리컨트에 사용할 수 있는 인터페이스에서 방화벽 필터를 구성하기 위해:

  1. Policer 정의 설정:

  2. 방화벽 필터를 구성하여 각 사용자로부터 패킷을 카운트하고 트래픽 속도 제한을 하는 Policer를 구성합니다. 새 사용자가 여러 서플리전트 인터페이스에서 인증되면 이 필터 용어는 사용자를 위해 동적으로 생성된 용어에 포함됩니다.

결과

구성의 결과를 확인:

확인

다중 서플리컨트가 있는 인터페이스에서 방화벽 필터 검증

목적

여러 서플리컨트가 있는 인터페이스에서 방화벽 필터가 작동하고 있는지 검증합니다.

실행
  1. 인터페이스에서 인증된 한 사용자가 결과를 검사합니다. 이 경우, User 1은 ge-0/0/2에 대해 인증됩니다.

  2. 두 번째 사용자인 User 2가 동일한 인터페이스인 ge-0/0/2에서 인증된 경우 필터에 인터페이스에서 인증된 두 사용자에 대한 결과가 포함되어 있는지 확인할 수 있습니다.

의미

명령 출력에 의해 표시되는 결과는 각 새 사용자의 인증을 통해 생성된 동적 show dot1x firewall 필터를 반영합니다. User 1은 지정된 대상 주소 시간의 파일 서버에 액세스한 반면, User 2는 동일한 파일 서버 타임에 100400 액세스했습니다.