Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
이 페이지에서
 

802.1X 또는 MAC RADIUS 인증을 위해 활성화된 인터페이스

EX 시리즈 스위치는 포트 방화벽 필터를 지원합니다. 포트 방화벽 필터는 단일 EX 시리즈 스위치에 구성되지만 엔터프라이즈 전반에서 작동하려면 여러 스위치에서 구성해야 합니다. 여러 스위치에서 동일한 포트 방화벽 필터를 구성할 필요성을 줄이기 위해 대신 RADIUS 서버 속성을 사용하여 RADIUS 서버에 필터를 중앙에 적용할 수 있습니다. 용어는 디바이스가 802.1X를 통해 성공적으로 인증된 후 적용됩니다. 자세한 내용은 이 주제를 읽어보십시오.

예를 들면 다음과 같습니다. EX 시리즈 스위치에서 RADIUS 서버 속성을 사용하여 802.1X 인증 요청자에 방화벽 필터 적용

RADIUS 서버 속성과 포트 방화벽 필터를 사용하여 엔터프라이즈 EX 시리즈 스위치에 연결된 여러 요청자(최종 디바이스)에 용어를 중앙에서 적용할 수 있습니다. 용어는 디바이스가 802.1X를 통해 성공적으로 인증된 후 적용됩니다. 802.1X 인증을 사용하여 최종 디바이스가 인증된 후 방화벽 필터 구성을 수정한 경우, 방화벽 필터 변경을 적용하려면 설정된 802.1X 인증 세션을 종료하고 다시 설정해야 합니다.

EX 시리즈 스위치는 포트 방화벽 필터를 지원합니다. 포트 방화벽 필터는 단일 EX 시리즈 스위치에 구성되지만 엔터프라이즈 전반에서 작동하려면 여러 스위치에서 구성해야 합니다. 여러 스위치에서 동일한 포트 방화벽 필터를 구성할 필요성을 줄이기 위해 대신 RADIUS 서버 속성을 사용하여 RADIUS 서버에 필터를 중앙에 적용할 수 있습니다.

다음 예는 FreeRADIUS를 사용하여 RADIUS 서버에 포트 방화벽 필터를 적용합니다. 서버 구성에 대한 자세한 내용은 RADIUS 서버에 포함된 문서를 참조하십시오.

이 예에서는 용어로 포트 방화벽 필터를 구성하고, 신청자의 패킷을 계산하기 위한 카운터를 생성하고, RADIUS 서버의 사용자 프로필에 필터를 적용하고, 카운터를 표시하여 구성을 확인하는 방법을 설명합니다.

요구 사항

이 예에서는 다음과 같은 소프트웨어 및 하드웨어 구성 요소를 사용합니다.

주:

이 예는 QFX5100 스위치에도 적용됩니다.

  • Junos OS EX 시리즈 스위치용 릴리스 9.3 이상

  • 인증자 포트 액세스 엔터티(PAE) 역할을 하는 EX 시리즈 스위치 1개. 인증자 PAE의 포트는 신청자가 인증될 때까지 모든 트래픽을 차단하는 제어 게이트를 형성합니다.

  • 인증 서버 한 RADIUS. 인증 서버는 백엔드 데이터베이스 역할을 하며 네트워크에 연결할 수 있는 권한이 있는 호스트(서플리컨트)에 대한 자격 정보를 포함합니다.

서버를 스위치에 연결하기 전에 다음을 확인하십시오.

개요 및 토폴로지

인터페이스의 802.1X 구성이 서플리컨트 모드로 multiple 설정된 경우, EX 시리즈 스위치의 Junos OS CLI를 통해 구성된 단일 포트 방화벽 필터를 RADIUS 서버에 중앙에 필터를 추가하여 종단 디바이스(서플리컨트)에 적용할 수 있습니다. 단일 필터만 인터페이스에 적용할 수 있습니다. 그러나 필터는 별도의 종단 디바이스에 대한 여러 용어를 포함할 수 있습니다.

방화벽 필터에 대한 자세한 내용은 EX 시리즈 스위치 개요 또는 방화벽 필터개요(QFX 시리즈)에 대한 방화벽 필터를 참조하십시오.

RADIUS 서버 속성은 디바이스가 802.1X를 사용하여 성공적으로 인증된 후 종단 디바이스가 연결된 포트에 적용됩니다. 종단 디바이스를 인증하려면 스위치가 종단 디바이스의 자격 증명을 RADIUS 서버로 전달합니다. RADIUS 서버는 RADIUS 서버의 요청자의 사용자 프로필에 있는 신청자에 대한 사전 구성된 정보와 자격 증명을 일치합니다. 일치가 발견되면 RADIUS 서버는 스위치에 종단 디바이스에 대한 인터페이스를 열도록 지시합니다. 트래픽은 LAN에서 엔드 디바이스로 그리고 그 다음으로 흐릅니다. 포트 방화벽 필터에서 구성되고 RADIUS 서버 속성을 사용하여 최종 디바이스의 사용자 프로필에 추가된 추가 지침은 최종 디바이스가 부여된 액세스를 추가로 정의합니다. 포트 방화벽 필터에서 구성된 필터링 용어는 802.1X 인증이 완료된 후 종단 디바이스가 연결된 포트에 적용됩니다.

주:

802.1X를 사용하여 최종 디바이스가 성공적으로 인증된 후 포트 방화벽 필터를 수정하는 경우, 방화벽 필터 구성 변경이 효과적이려면 802.1X 인증 세션을 종료하고 다시 설정해야 합니다.

토폴로지

그림 1 은(는) 이 예에 사용된 토폴로지 를 보여줍니다. RADIUS 서버는 액세스 포트 ge-0/0/10의 EX4200 스위치에 연결되어 있습니다. 2개의 종단 디바이스(서플리컨트)가 인터페이스 ge-0/0/2에서 LAN에 액세스하고 있습니다. 신청자 1은 MAC 주소 00:50:8b:6f:60:3a를 입니다. 신청자 2는 MAC 주소 00:50:8b:6f:60:3b를 가지고 있습니다.

주:

이 수치는 QFX5100 스위치에도 적용됩니다.

그림 1: 방화벽 필터 및 RADIUS 서버 속성 구성을 위한 토폴로지방화벽 필터 및 RADIUS 서버 속성 구성을 위한 토폴로지

표 1 은(는) 이 토폴로지의 구성 요소를 설명합니다.

표 1: 방화벽 필터 및 RADIUS 서버 속성 토폴로지의 구성 요소
속성 설정

스위치 하드웨어

EX4200 액세스 스위치, 기가비트 이더넷 포트 24개: 16개 비 PoE 포트 및 8개 PoE 포트.

단일 RADIUS 서버

주소 10.0.0.100 가 있는 백엔드 데이터베이스가 포트 ge-0/0/10의 스위치에 연결됩니다.

인터페이스의 스위치에 연결된 802.1X 서플리컨트 ge-0/0/2

  • Supplicant 1 을(를) 00:50:8b:6f:60:3aMAC 주소.

  • Supplicant 2 을(를) 00:50:8b:6f:60:3bMAC 주소.

RADIUS 서버에 적용할 포트 방화벽 필터

filter1

카운터

counter1 요청자 1에서 패킷을 카운트하고 counter2 Supplicant 2에서 패킷을 계산합니다.

폴리서

policer p1

RADIUS 서버의 사용자 프로필

  • 요청자 1은 사용자 프로필을 supplicant1가지고 있습니다.

  • 요청자 2에는 사용자 프로필 supplicant2이 있습니다.

이 예에서 라는 포트 방화벽 필터 filter1를 구성합니다. 필터에는 종단 디바이스의 MAC 주소를 기반으로 최종 디바이스에 적용될 용어가 포함되어 있습니다. 필터를 구성할 때 카운터 및 counter2을(를) 구성합니다counter1. 각 종단 디바이스의 패킷이 계산되어 구성이 작동하는지 확인하는 데 도움이 됩니다. 폴리서가 p1discard 매개 변수 값 exceeding 에 따라 트래픽 속도를 제한합니다. 그런 다음 RADIUS 서버 속성이 RADIUS 서버에서 사용할 수 있는지 확인하고 RADIUS 서버의 각 종단 디바이스의 사용자 프로필에 필터를 적용합니다. 마지막으로, 두 카운터에 대한 출력을 표시하여 구성을 확인합니다.

포트 방화벽 필터 및 카운터 구성

절차

CLI 빠른 구성

Supplicant 1 및 Supplicant 2의 용어로 포트 방화벽 필터를 빠르게 구성하고 각 신청자에 대한 병렬 카운터를 생성하려면 다음 명령을 복사하여 스위치 터미널 창에 붙여 넣으십시오.

단계별 절차

스위치에서 포트 방화벽 필터 및 카운터를 구성하려면 다음을 수행합니다.

  1. 각 종단 디바이스의 MAC 주소 기반으로 각 엔드 디바이스에 대해 용어로 포트 방화벽 필터(여기서 filter1는)를 구성합니다.

  2. 폴리서 정의 설정:

  3. 각 엔드 디바이스에 대한 패킷을 계산할 카운터 두 개와 트래픽 속도를 제한하는 폴리서 를 생성합니다.

결과

구성 결과를 표시합니다.

RADIUS 서버의 요청자 사용자 프로필에 포트 방화벽 필터 적용

절차

단계별 절차

RADIUS 서버 속성 Filter-ID 이 RADIUS 서버에 있는지 확인하고 사용자 프로필에 필터를 적용하기 위해 다음을 수행합니다.

  1. RADIUS 서버에 사전 dictionary.rfc2865 을 표시하고 속성 Filter-ID 이 사전에 있는지 확인합니다.

  2. 사전 파일을 닫습니다.

  3. 필터를 적용하려는 종단 디바이스의 로컬 사용자 프로필을 표시합니다(여기에서 사용자 프로필은 및 라고 함 supplicant1supplicant2).

    출력은 다음을 보여줍니다.

  4. 각 프로필에 줄을 Filter-Id = “filter1” 추가하여 두 사용자 프로필에 필터를 적용한 다음 파일을 닫습니다.

    선을 파일에 붙여 넣은 후 파일은 다음과 같이 보입니다.

확인

요청자에 필터가 적용되었는지 확인

목적

인터페이스 ge-0/0/2에서 종단 디바이스가 인증된 후, 스위치에서 필터가 구성되었고 두 신청자 모두에 대한 결과가 포함되어 있는지 확인합니다.

실행
의미

명령의 출력은 및 counter2을(를show dot1x firewall) 표시합니다counter1. User_1 패킷은 을(를) 사용하여 counter1계산되며, User 2의 패킷은 을(를) 사용하여 counter2계산됩니다. 출력은 두 카운터 모두에 대한 증분 패킷을 표시합니다. 필터가 두 종단 디바이스 모두에 적용되었습니다.

참조

예를 들면 다음과 같습니다. 802.1X 또는 MAC RADIUS 인증을 위해 활성화된 인터페이스의 여러 요청자에 방화벽 필터 적용

EX 시리즈 스위치에서 802.1X 또는 MAC RADIUS 인증을 위해 활성화된 인터페이스에 적용하는 방화벽 필터는 RADIUS 서버에서 스위치로 전송되는 사용자별 정책과 동적으로 결합됩니다. 스위치는 내부 로직을 사용하여 인터페이스 방화벽 필터를 RADIUS 서버의 사용자 정책과 동적으로 결합하고 인터페이스에서 인증된 여러 사용자 또는 비응답 호스트 각각에 대해 개별화된 정책을 만듭니다.

이 예는 802.1X 지원 인터페이스에서 여러 서플리컨트를 위한 동적 방화벽 필터가 어떻게 생성되는지 설명합니다(이 예에 표시된 동일한 원칙은 MAC RADIUS 인증을 위해 활성화된 인터페이스에 적용됨).

요구 사항

이 예는 다음과 같은 하드웨어 및 소프트웨어 구성 요소를 사용합니다.

  • Junos OS EX 시리즈 스위치용 릴리스 9.5 이상

  • EX 시리즈 스위치 1개

  • 인증 서버 한 RADIUS. 인증 서버는 백엔드 데이터베이스 역할을 하며 네트워크에 연결할 수 있는 권한이 있는 호스트(서플리컨트)에 대한 자격 정보를 포함합니다.

여러 서플리컨트와 함께 사용하기 위해 인터페이스에 방화벽 필터를 적용하기 전에 다음을 확인하십시오.

개요 및 토폴로지

토폴로지

인터페이스의 802.1X 구성이 여러 요청자 모드로 설정된 경우 시스템은 인증 중에 RADIUS 서버에서 스위치로 전송된 사용자 정책과 인터페이스 방화벽 필터를 동적으로 결합하고 각 사용자에 대해 별도의 용어를 만듭니다. 인터페이스에 인증된 각 사용자에 대해 별도의 용어가 있기 때문에 이 예에 표시된 대로 카운터를 사용하여 동일한 인터페이스에서 인증된 개별 사용자의 활동을 볼 수 있습니다.

인터페이스에서 새로운 사용자(또는 비응답 호스트)가 인증되면 시스템은 인터페이스와 연결된 방화벽 필터에 용어를 추가하고 각 사용자의 용어(정책)는 사용자의 MAC 주소 연결됩니다. 각 사용자의 용어는 RADIUS 서버에 설정된 사용자별 필터와 인터페이스에 구성된 필터를 기반으로 합니다. 예를 들어, 에 그림 2표시된 바와 같이 User1이 EX 시리즈 스위치에 의해 인증되면 시스템은 방화벽 필터 dynamic-filter-example를 생성합니다. User2가 인증되면 방화벽 필터 등에서 다른 용어가 추가됩니다.

그림 2: 개념 모델: 각 신규 사용자에 대해 업데이트된 동적 필터개념 모델: 각 신규 사용자에 대해 업데이트된 동적 필터

이것은 내부 프로세스의 개념 모델입니다. 동적 필터에 액세스하거나 볼 수 없습니다.

주:

인터페이스의 방화벽 필터가 사용자(또는 비응답 호스트)가 인증된 후에 수정되면 사용자가 재인증되지 않는 한 수정 사항이 동적 필터에 반영되지 않습니다.

이 예에서는 서브넷192.0.2.16/28에 위치한 파일 서버에 대한 인터페이스 ge-0/0/2 에서 인증된 각 엔드포인트의 요청을 카운트하기 위한 방화벽 필터를 구성하고 트래픽을 제한하도록 폴리서 정의를 설정합니다. 그림 3 은(는) 이 예의 네트워크 토폴로지를 보여줍니다.

그림 3: 파일 서버에 연결하는 802.1X 지원 인터페이스의 여러 요청자파일 서버에 연결하는 802.1X 지원 인터페이스의 여러 요청자

구성

802.1X 지원 인터페이스에서 여러 서플리컨트를 위한 방화벽 필터 구성 방법:

여러 요청자를 가진 인터페이스에서 방화벽 필터 구성

CLI 빠른 구성

802.1X 지원 인터페이스에서 여러 요청자에 대한 방화벽 필터를 신속하게 구성하려면 다음 명령을 복사하여 스위치 터미널 창에 붙여 넣습니다.

단계별 절차

여러 서플리컨트를 위해 활성화된 인터페이스에서 방화벽 필터를 구성하려면 다음을 수행합니다.

  1. 다중 신청자 모드 인증을 위한 인터페이스 ge-0/0/2 를 구성합니다.

  2. 폴리서 정의 설정:

  3. 각 사용자와 트래픽 속도를 제한하는 폴리서의 패킷을 계산하도록 방화벽 필터를 구성합니다. 각 새 사용자가 다중 신청자 인터페이스에서 인증되면, 이 필터 용어는 사용자를 위해 동적으로 생성된 용어에 포함됩니다.

결과

구성 결과를 확인합니다.

확인

구성이 제대로 작동하는지 확인하려면 다음 작업을 수행하십시오.

여러 요청자를 가진 인터페이스에서 방화벽 필터 확인

목적

방화벽 필터가 여러 개의 서플리컨트를 가진 인터페이스에서 작동하는지 확인합니다.

실행

  1. 인터페이스에서 인증된 사용자 한 을(를) 통해 결과를 확인합니다. 이 경우 사용자는 다음 에서 인증됩니다.ge-0/0/2

  2. 두 번째 사용자인 User2가 동일한 인터페이스에서 인증되면, ge-0/0/2필터가 인터페이스에서 인증된 두 사용자 모두에 대한 결과를 포함하는지 확인할 수 있습니다.

의미

명령 출력에 show dot1x firewall 의해 표시된 결과는 각 새 사용자의 인증으로 생성된 동적 필터를 반영합니다. User1은 지정된 대상 주소에 있는 파일 서버에 100번 액세스했고 User2는 동일한 파일 서버에 400번 액세스했습니다.

참조

예를 들면 다음과 같습니다. ELS가 지원되는 EX 시리즈 스위치에서 802.1X 또는 MAC RADIUS 인증을 위해 활성화된 인터페이스의 여러 요청자에 방화벽 필터 적용

주:

이 예에서는 Enhanced Layer 2 Software(ELS) 구성 스타일을 지원하는 EX 시리즈 스위치용 Junos OS 사용합니다. 스위치에서 ELS 를 지원하지 않는 소프트웨어를 실행하는 경우 예: 802.1X 또는 MAC RADIUS 인증을 위해 활성화된 인터페이스의 여러 요청자에 방화벽 필터를 적용합니다. ELS에 대한 자세한 내용은 Enhanced Layer 2 소프트웨어 CLI 사용을 참조하십시오.

EX 시리즈 스위치에서 802.1X 또는 MAC RADIUS 인증을 위해 활성화된 인터페이스에 적용하는 방화벽 필터는 RADIUS 서버에서 스위치로 전송되는 사용자별 정책과 동적으로 결합됩니다. 스위치는 내부 로직을 사용하여 인터페이스 방화벽 필터를 RADIUS 서버의 사용자 정책과 동적으로 결합하고 인터페이스에서 인증된 여러 사용자 또는 비응답 호스트 각각에 대해 개별화된 정책을 만듭니다.

이 예는 802.1X 지원 인터페이스에서 여러 서플리컨트를 위한 동적 방화벽 필터가 어떻게 생성되는지 설명합니다(이 예에 표시된 동일한 원칙은 MAC RADIUS 인증을 위해 활성화된 인터페이스에 적용됨).

요구 사항

이 예에서는 다음과 같은 소프트웨어 및 하드웨어 구성 요소를 사용합니다.

주:

이 예는 QFX5100 스위치에도 적용됩니다.

  • Junos OS EX 시리즈 스위치용 릴리스 13.2 이상

  • ELS를 지원하는 EX 시리즈 스위치 1개

  • 인증 서버 한 RADIUS. 인증 서버는 백엔드 데이터베이스 역할을 하며 네트워크에 연결할 수 있는 권한이 있는 호스트(서플리컨트)에 대한 자격 정보를 포함합니다.

여러 서플리컨트와 함께 사용하기 위해 인터페이스에 방화벽 필터를 적용하기 전에 다음을 확인하십시오.

개요 및 토폴로지

토폴로지

인터페이스의 802.1X 구성이 여러 요청자 모드로 설정된 경우 시스템은 인증 중에 RADIUS 서버에서 스위치로 전송된 사용자 정책과 인터페이스 방화벽 필터를 동적으로 결합하고 각 사용자에 대해 별도의 용어를 만듭니다. 인터페이스에 인증된 각 사용자에 대해 별도의 용어가 있기 때문에 이 예에 표시된 대로 카운터를 사용하여 동일한 인터페이스에서 인증된 개별 사용자의 활동을 볼 수 있습니다.

인터페이스에서 새로운 사용자(또는 비응답 호스트)가 인증되면 시스템은 인터페이스와 연결된 방화벽 필터에 용어를 추가하고 각 사용자의 용어(정책)는 사용자의 MAC 주소 연결됩니다. 각 사용자의 용어는 RADIUS 서버에 설정된 사용자별 필터와 인터페이스에 구성된 필터를 기반으로 합니다. 예를 들어, 에서 그림 4볼 수 있듯이 사용자 1이 EX 시리즈 스위치에 의해 인증되면 시스템은 방화벽 필터 dynamic-filter-example에 용어를 추가합니다. 사용자 2가 인증되면 방화벽 필터 등에 또 다른 용어가 추가됩니다.

주:

이 수치는 QFX5100 스위치에도 적용됩니다.

그림 4: 개념 모델: 각 신규 사용자에 대해 업데이트된 동적 필터개념 모델: 각 신규 사용자에 대해 업데이트된 동적 필터

이것은 내부 프로세스의 개념 모델입니다. 동적 필터에 액세스하거나 볼 수 없습니다.

주:

인터페이스의 방화벽 필터가 사용자(또는 비응답 호스트)가 인증된 후에 수정되면 사용자가 재인증되지 않는 한 수정 사항이 동적 필터에 반영되지 않습니다.

이 예에서 인터페이스 ge-0/0/2에서 인증된 각 엔드포인트의 요청을 서브넷 192.0.2.16/28에 위치한 파일 서버로 계산하도록 방화벽 필터를 구성하고 폴리서 정의를 트래픽 속도를 제한하도록 설정합니다. 그림 5 은(는) 이 예의 네트워크 토폴로지 를 보여줍니다.

그림 5: 파일 서버에 연결하는 802.1X 지원 인터페이스의 여러 요청자파일 서버에 연결하는 802.1X 지원 인터페이스의 여러 요청자

구성

여러 요청자를 가진 인터페이스에서 방화벽 필터 구성

CLI 빠른 구성

802.1X 지원 인터페이스에서 여러 요청자에 대한 방화벽 필터를 신속하게 구성하려면 다음 명령을 복사하여 스위치 터미널 창에 붙여 넣습니다.

단계별 절차

여러 서플리컨트를 위해 활성화된 인터페이스에서 방화벽 필터를 구성하려면 다음을 수행합니다.

  1. 폴리서 정의를 설정합니다.

  2. 각 사용자와 트래픽 속도를 제한하는 폴리서의 패킷을 계산하도록 방화벽 필터를 구성합니다. 각 새 사용자가 다중 신청자 인터페이스에서 인증되면, 이 필터 용어는 사용자를 위해 동적으로 생성된 용어에 포함됩니다.

결과

구성 결과를 확인합니다.

확인

여러 요청자를 가진 인터페이스에서 방화벽 필터 확인

목적

방화벽 필터가 여러 개의 서플리컨트를 가진 인터페이스에서 작동하는지 확인합니다.

실행

  1. 인터페이스에서 인증된 사용자 한 을(를) 통해 결과를 확인합니다. 이 경우 사용자 1은 ge-0/0/2에서 인증됩니다.

  2. 두 번째 사용자인 User 2가 동일한 인터페이스인 ge-0/0/2에서 인증되면, 필터가 인터페이스에서 인증된 두 사용자 모두에 대한 결과를 포함하는지 확인할 수 있습니다.

의미

명령 출력에 show dot1x firewall 의해 표시된 결과는 각 새 사용자의 인증으로 생성된 동적 필터를 반영합니다. 사용자 1은 지정된 대상 주소 100 시간에 있는 파일 서버에 액세스했고 User 2는 동일한 파일 서버 400 시간에 액세스했습니다.

참조

관련 항목