Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
이 페이지에서
 

802.1X 또는 MAC RADIUS 인증에 활성화된 인터페이스

EX 시리즈 스위치는 포트 방화벽 필터를 지원합니다. 포트 방화벽 필터는 단일 EX 시리즈 스위치에서 구성되지만, 엔터프라이즈 전체에서 작동하려면 여러 스위치에서 구성해야 합니다. 여러 스위치에서 동일한 포트 방화벽 필터를 구성할 필요성을 줄이기 위해 대신 RADIUS 서버 속성을 사용하여 RADIUS 서버에 중앙 집중식으로 필터를 적용할 수 있습니다. 약관은 디바이스가 802.1X를 통해 성공적으로 인증된 후에 적용됩니다. 자세한 내용은 이 주제를 읽어보십시오.

예: EX 시리즈 스위치에서 RADIUS 서버 속성을 사용하여 802.1X 인증된 요청자에 방화벽 필터 적용

RADIUS 서버 속성과 포트 방화벽 필터를 사용하여 엔터프라이즈의 EX 시리즈 스위치에 연결된 여러 서플리컨트(엔드 디바이스)에 용어를 중앙에서 적용할 수 있습니다. 약관은 디바이스가 802.1X를 통해 성공적으로 인증된 후에 적용됩니다. 802.1X 인증을 사용하여 최종 디바이스를 인증한 후 방화벽 필터 구성을 수정하는 경우, 방화벽 필터 변경 사항을 적용하려면 설정된 802.1X 인증 세션을 종료하고 다시 설정해야 합니다.

EX 시리즈 스위치는 포트 방화벽 필터를 지원합니다. 포트 방화벽 필터는 단일 EX 시리즈 스위치에서 구성되지만, 엔터프라이즈 전체에서 작동하려면 여러 스위치에서 구성해야 합니다. 여러 스위치에서 동일한 포트 방화벽 필터를 구성할 필요성을 줄이기 위해 대신 RADIUS 서버 속성을 사용하여 RADIUS 서버에 중앙 집중식으로 필터를 적용할 수 있습니다.

다음 예에서는 FreeRADIUS를 사용하여 RADIUS 서버에 포트 방화벽 필터를 적용합니다. 서버 구성에 대한 자세한 내용은 RADIUS 서버에 포함된 설명서를 참조하십시오.

이 예에서는 용어로 포트 방화벽 필터를 구성하고, 서플리컨트에 대한 패킷을 계산하는 카운터를 만들고, RADIUS 서버의 사용자 프로필에 필터를 적용하고, 구성을 확인하기 위한 카운터를 표시하는 방법을 설명합니다.

요구 사항

이 예에서 사용되는 소프트웨어 및 하드웨어 구성 요소는 다음과 같습니다:

주:

이 예는 QFX5100 스위치에도 적용됩니다.

  • EX 시리즈 스위치용 Junos OS 릴리즈 9.3 이상

  • 인증자 포트 액세스 엔티티(PAE) 역할을 하는 EX 시리즈 스위치 1개. 인증자 PAE의 포트는 신청자가 인증될 때까지 모든 트래픽을 차단하는 제어 게이트를 형성합니다.

  • RADIUS 인증 서버 1개. 인증 서버는 백엔드 데이터베이스 역할을 하며, 네트워크에 연결할 수 있는 권한이 있는 호스트(서플리컨트)에 대한 크리덴셜 정보를 포함합니다.

서버를 스위치에 연결하기 전에 다음을 확인하십시오.

개요 및 토폴로지

인터페이스의 802.1X 구성이 신청자 모드로 설정 되면, 필터를 RADIUS 서버에 중앙 집중식으로 추가하여 EX 시리즈 스위치에서 Junos OS CLI를 통해 구성된 단일 포트 방화벽 필터를 원하는 수의 최종 디바이스(신청자)에 적용할 수 있습니다.multiple 인터페이스에는 단일 필터만 적용할 수 있습니다. 그러나 필터에는 별도의 종단 장치에 대한 여러 용어가 포함될 수 있습니다.

방화벽 필터에 대한 자세한 내용은 EX 시리즈 스위치용 방화벽 필터 개요 또는 방화벽 필터 개요(QFX 시리즈)를 참조하십시오.Firewall Filters for EX Series Switches OverviewOverview of Firewall Filters (QFX Series)

RADIUS 서버 속성은 802.1X를 사용하여 디바이스를 성공적으로 인증한 후 최종 디바이스가 연결된 포트에 적용됩니다. 최종 디바이스를 인증하기 위해 스위치는 최종 디바이스의 자격 증명을 RADIUS 서버로 전달합니다. RADIUS 서버는 RADIUS 서버의 요청자 사용자 프로필에 있는 요청자에 대해 미리 구성된 정보와 자격 증명을 일치시킵니다. 일치하는 항목이 발견되면 RADIUS 서버는 스위치에 최종 디바이스에 대한 인터페이스를 열도록 지시합니다. 그런 다음 트래픽은 LAN의 엔드 디바이스 간에 흐릅니다. 포트 방화벽 필터에서 구성되고 RADIUS 서버 속성을 사용하여 최종 디바이스의 사용자 프로필에 추가된 추가 지침은 최종 디바이스에 부여되는 액세스 권한을 추가로 정의합니다. 포트 방화벽 필터에 구성된 필터링 용어는 802.1X 인증이 완료된 후 최종 디바이스가 연결된 포트에 적용됩니다.

주:

802.1X를 사용하여 최종 디바이스가 성공적으로 인증된 후 포트 방화벽 필터를 수정하는 경우 방화벽 필터 구성 변경 사항이 적용되려면 802.1X 인증 세션을 종료하고 다시 설정해야 합니다.

토폴로지

그림 1은(는) 이 예에 사용된 토폴로지를 보여줍니다. RADIUS 서버는 액세스 포트 ge-0/0/10의 EX4200 스위치에 연결됩니다. 2개의 엔드 디바이스(서플리컨트)가 인터페이스 ge-0/0/2에서 LAN에 액세스하고 있습니다. 요청자 1의 MAC 주소는 00:50:8b:6f:60:3a입니다. 요청자 2의 MAC 주소는 00:50:8b:6f:60:3b입니다.

주:

해당 수치는 QFX5100 스위치에도 적용됩니다.

그림 1: 방화벽 필터 및 RADIUS 서버 속성 구성에 대한 토폴로지방화벽 필터 및 RADIUS 서버 속성 구성에 대한 토폴로지

표 1은(는) 해당 토폴로지의 구성 요소를 설명합니다.

표 1: 방화벽 필터 및 RADIUS 서버 속성 토폴로지의 구성 요소
속성 설정

스위치 하드웨어

EX4200 액세스 스위치, 기가비트 이더넷 포트 24개: 16개의 비 PoE 포트 및 8개의 PoE 포트.

단일 RADIUS 서버

주소의 백엔드 데이터베이스가 포트의 스위치에 연결됩니다.10.0.0.100ge-0/0/10

스위치 온 인터페이스에 연결된 802.1X 서플리컨트 ge-0/0/2

  • MAC 주소가 있습니다.Supplicant 100:50:8b:6f:60:3a

  • MAC 주소가 있습니다.Supplicant 200:50:8b:6f:60:3b

RADIUS 서버에 적용할 포트 방화벽 필터

filter1

카운터

은(는) 신청자 1의 패킷을 카운트하고 , 신청자 2의 패킷을 카운트합니다.counter1counter2

폴리서

policer p1

RADIUS 서버의 사용자 프로필

  • 신청자 1은(는) 사용자 프로필을 가지고 있습니다 .supplicant1

  • 신청자 2에는 사용자 프로필이 있습니다 .supplicant2

이 예에서는 라는 포트 방화벽 필터를 구성합니다.filter1 필터에는 최종 디바이스의 MAC 주소를 기반으로 엔드 디바이스에 적용되는 용어가 포함되어 있습니다. 필터를 구성할 때 카운터 및 .counter1counter2 각 종단 디바이스의 패킷이 계산되므로 구성이 작동하는지 확인하는 데 도움이 됩니다. 폴리서는 및 매개 변수의 값을 기반으로 트래픽 속도를 제한합니다.p1exceedingdiscard 그런 다음 RADIUS 서버에서 RADIUS 서버 속성을 사용할 수 있는지 확인하고 RADIUS 서버에 있는 각 종단 디바이스의 사용자 프로필에 필터를 적용합니다. 마지막으로, 두 카운터에 대한 출력을 표시하여 구성을 확인합니다.

포트 방화벽 필터 및 카운터 구성

절차

CLI 빠른 구성

신청자 1 및 신청자 2에 대한 용어로 포트 방화벽 필터를 신속하게 구성하고 각 신청자에 대한 병렬 카운터를 생성하려면 다음 명령을 복사하여 스위치 터미널 창에 붙여넣습니다.

단계별 절차

스위치에서 포트 방화벽 필터 및 카운터를 구성하는 방법:

  1. 각 종단 디바이스의 MAC 주소를 기반으로 각 엔드 디바이스에 대한 용어로 포트 방화벽 필터(여기서 는 )를 구성합니다.filter1

  2. 폴리서 정의 설정:

  3. 각 종단 디바이스에 대한 패킷을 계산하는 카운터 2개와 트래픽 속도를 제한하는 폴리서를 생성합니다.

결과

구성의 결과를 표시합니다.

RADIUS 서버의 요청자 사용자 프로필에 포트 방화벽 필터 적용

절차

단계별 절차

RADIUS 서버 특성이 RADIUS 서버에 있는지 확인하고 사용자 프로필에 필터를 적용하려면 다음과 같이 하십시오.Filter-ID

  1. RADIUS 서버에 사전 을 표시하고 속성이 사전에 있는지 확인합니다.dictionary.rfc2865Filter-ID

  2. 사전 파일을 닫습니다.

  3. 필터를 적용할 최종 디바이스의 로컬 사용자 프로필을 표시합니다(여기서는 사용자 프로필이 및 라고 함).supplicant1supplicant2

    출력은 다음을 보여줍니다.

  4. 각 프로필에 줄을 추가하여 두 사용자 프로필에 필터를 적용한 다음 파일을 닫습니다.Filter-Id = “filter1”

    줄을 파일에 붙여 넣으면 파일이 다음과 같이 표시됩니다.

검증

필터가 서플리컨트에 적용되었는지 확인

목적

인터페이스 ge-0/0/2에서 최종 디바이스를 인증한 후, 스위치가 스위치에 구성되었는지, 그리고 두 서플리컨트에 대한 결과를 포함하는지 확인합니다.

작업
의미

명령의 출력에 및 가 표시됩니다.show dot1x firewallcounter1counter2 User_1의 패킷은 을(를) 사용하여 계산되고 사용자 2의 패킷은 을(를) 사용하여 계산됩니다.counter1counter2 출력은 두 카운터 모두에 대해 증가하는 패킷을 표시합니다. 필터는 양쪽 종단 장치에 적용되었습니다.

참조

예: 802.1X 또는 MAC RADIUS 인증이 활성화된 인터페이스의 여러 요청자에 방화벽 필터 적용

EX 시리즈 스위치에서 802.1X 또는 MAC RADIUS 인증을 위해 활성화된 인터페이스에 적용하는 방화벽 필터는 RADIUS 서버에서 스위치로 전송되는 사용자별 정책과 동적으로 결합됩니다. 스위치는 내부 로직을 사용하여 인터페이스 방화벽 필터를 RADIUS 서버의 사용자 정책과 동적으로 결합하고 인터페이스에서 인증된 여러 사용자 또는 비응답 호스트 각각에 대해 개별화된 정책을 생성합니다.

이 예에서는 802.1X 지원 인터페이스에서 여러 요청자에 대해 동적 방화벽 필터를 생성하는 방법을 설명합니다(이 예에 표시된 것과 동일한 원칙이 MAC RADIUS 인증에 활성화된 인터페이스에 적용됨).

요구 사항

이 예에서 사용되는 하드웨어 및 소프트웨어 구성 요소는 다음과 같습니다.

  • EX 시리즈 스위치용 Junos OS 릴리즈 9.5 이상

  • EX 시리즈 스위치 1개

  • RADIUS 인증 서버 1개. 인증 서버는 백엔드 데이터베이스 역할을 하며, 네트워크에 연결할 수 있는 권한이 있는 호스트(서플리컨트)에 대한 크리덴셜 정보를 포함합니다.

여러 요청자와 함께 사용하기 위해 인터페이스에 방화벽 필터를 적용하기 전에 다음을 확인하십시오.

개요 및 토폴로지

토폴로지

인터페이스의 802.1X 구성이 Multiple Supplicant 모드로 설정된 경우, 시스템은 인터페이스 방화벽 필터를 인증 중에 RADIUS 서버에서 스위치로 전송된 사용자 정책과 동적으로 결합하고 각 사용자에 대해 별도의 용어를 생성합니다. 인터페이스에서 인증된 각 사용자마다 별도의 용어가 있으므로 이 예와 같이 카운터를 사용하여 동일한 인터페이스에서 인증된 개별 사용자의 활동을 볼 수 있습니다.

새로운 사용자(또는 비응답 호스트)가 인터페이스에서 인증되면, 시스템은 인터페이스와 연관된 방화벽 필터에 용어를 추가하고, 각 사용자에 대한 용어(정책)는 사용자의 MAC 주소와 연관됩니다. 각 사용자에 대한 용어는 RADIUS 서버에 설정된 사용자별 필터와 인터페이스에 구성된 필터를 기반으로 합니다. 예를 들어, 에서 볼 수 있듯이 User1이 EX 시리즈 스위치에 의해 인증되면 시스템은 방화벽 필터를 생성합니다.그림 2dynamic-filter-example User2가 인증되면 방화벽 필터에 다른 용어가 추가되는 식입니다.

그림 2: 개념적 모델: 각 새 사용자에 대해 업데이트되는 동적 필터개념적 모델: 각 새 사용자에 대해 업데이트되는 동적 필터

이는 내부 프로세스의 개념적 모델로, 동적 필터에 액세스하거나 동적 필터를 볼 수 없습니다.

주:

사용자(또는 비응답 호스트)가 인증된 후 인터페이스의 방화벽 필터가 수정되면 사용자가 재인증되지 않는 한 수정 사항이 동적 필터에 반영되지 않습니다.

이 예에서는 방화벽 필터를 구성하여 서브넷에 위치한 파일 서버에 대해 인터페이스에서 인증된 각 엔드포인트의 요청을 계산하고, 트래픽 속도를 제한하도록 폴리서 정의를 설정합니다. 은(는) 이 예제의 네트워크 토폴로지를 보여줍니다. ge-0/0/2192.0.2.16/28그림 3

그림 3: 파일 서버에 연결하는 802.1X 지원 인터페이스의 여러 요청자파일 서버에 연결하는 802.1X 지원 인터페이스의 여러 요청자

구성

802.1X 지원 인터페이스에서 여러 서플리컨트에 대한 방화벽 필터 구성:

여러 서플리컨트가 있는 인터페이스에서 방화벽 필터 구성

CLI 빠른 구성

802.1X 지원 인터페이스에서 여러 요청자에 대한 방화벽 필터를 신속하게 구성하려면 다음 명령을 복사하여 스위치 터미널 창에 붙여넣습니다.

단계별 절차

여러 서플리컨트에 대해 활성화된 인터페이스에서 방화벽 필터를 구성하려면:

  1. 다중 서플리컨트 모드 인증을 위한 인터페이스 구성:ge-0/0/2

  2. 폴리서 정의 설정:

  3. 각 사용자의 패킷을 계산하도록 방화벽 필터를 구성하고 트래픽 속도를 제한하는 폴리서를 구성합니다. 각각의 새 사용자가 다중 신청자 인터페이스에서 인증되면 이 필터 용어는 사용자에 대해 동적으로 생성된 용어에 포함됩니다.

결과

구성 결과를 확인합니다:

검증

구성이 제대로 작동하는지 확인하려면 다음의 작업을 수행하십시오:

여러 요청자가 있는 인터페이스에서 방화벽 필터 확인

목적

방화벽 필터가 여러 서플리컨트가 있는 인터페이스에서 작동하는지 확인합니다.

작업

  1. 인터페이스에서 인증된 한 명의 사용자로 결과를 확인합니다. 이 경우 사용자는 다음에서 인증됩니다.ge-0/0/2

  2. 두 번째 사용자인 User2가 동일한 인터페이스에서 인증되면 인터페이스에서 인증된 두 사용자 모두에 대한 결과가 필터에 포함되는지 확인할 수 있습니다.ge-0/0/2

의미

명령 출력에 의해 표시되는 결과는 각 신규 사용자의 인증으로 생성된 동적 필터를 반영합니다.show dot1x firewall User1은 지정된 대상 주소에 있는 파일 서버에 100번 액세스했고 User2는 동일한 파일 서버에 400번 액세스했습니다.

참조

예: ELS를 지원하는 EX 시리즈 스위치에서 802.1X 또는 MAC RADIUS 인증이 활성화된 인터페이스의 여러 서플리컨트에 방화벽 필터 적용

주:

이 예에서는 Enhanced Layer 2 Software(ELS) 구성 스타일을 지원하는 EX 시리즈 스위치용 Junos OS를 사용합니다. 스위치에서 실행되는 소프트웨어가 ELS를 지원하지 않는 경우, 예: 802.1X 또는 MAC RADIUS 인증에 대해 활성화된 인터페이스의 여러 요청자에 방화벽 필터 적용. ELS 세부 사항은 Enhanced Layer 2 Software CLI 사용을 참조하십시오.

EX 시리즈 스위치에서 802.1X 또는 MAC RADIUS 인증을 위해 활성화된 인터페이스에 적용하는 방화벽 필터는 RADIUS 서버에서 스위치로 전송되는 사용자별 정책과 동적으로 결합됩니다. 스위치는 내부 로직을 사용하여 인터페이스 방화벽 필터를 RADIUS 서버의 사용자 정책과 동적으로 결합하고 인터페이스에서 인증된 여러 사용자 또는 비응답 호스트 각각에 대해 개별화된 정책을 생성합니다.

이 예에서는 802.1X 지원 인터페이스에서 여러 요청자에 대해 동적 방화벽 필터를 생성하는 방법을 설명합니다(이 예에 표시된 것과 동일한 원칙이 MAC RADIUS 인증에 활성화된 인터페이스에 적용됨).

요구 사항

이 예에서 사용되는 소프트웨어 및 하드웨어 구성 요소는 다음과 같습니다:

주:

이 예는 QFX5100 스위치에도 적용됩니다.

  • EX 시리즈 스위치용 Junos OS 릴리스 13.2 이상

  • ELS를 지원하는 EX 시리즈 스위치 1개

  • RADIUS 인증 서버 1개. 인증 서버는 백엔드 데이터베이스 역할을 하며, 네트워크에 연결할 수 있는 권한이 있는 호스트(서플리컨트)에 대한 크리덴셜 정보를 포함합니다.

여러 요청자와 함께 사용하기 위해 인터페이스에 방화벽 필터를 적용하기 전에 다음을 확인하십시오.

개요 및 토폴로지

토폴로지

인터페이스의 802.1X 구성이 Multiple Supplicant 모드로 설정된 경우, 시스템은 인증 중에 인터페이스 방화벽 필터를 RADIUS 서버에서 스위치로 전송된 사용자 정책과 동적으로 결합하고 각 사용자에 대해 별도의 용어를 생성합니다. 인터페이스에서 인증된 각 사용자마다 별도의 용어가 있으므로 이 예와 같이 카운터를 사용하여 동일한 인터페이스에서 인증된 개별 사용자의 활동을 볼 수 있습니다.

새로운 사용자(또는 비응답 호스트)가 인터페이스에서 인증되면, 시스템은 인터페이스와 연관된 방화벽 필터에 용어를 추가하고, 각 사용자에 대한 용어(정책)는 사용자의 MAC 주소와 연관됩니다. 각 사용자에 대한 용어는 RADIUS 서버에 설정된 사용자별 필터와 인터페이스에 구성된 필터를 기반으로 합니다. 예를 들어, 에서 볼 수 있듯이 사용자 1이 EX 시리즈 스위치에 의해 인증되면 시스템은 방화벽 필터 에 용어를 추가합니다.그림 4dynamic-filter-example 사용자 2가 인증되면 방화벽 필터에 다른 용어가 추가되는 식입니다.

주:

해당 수치는 QFX5100 스위치에도 적용됩니다.

그림 4: 개념적 모델: 각 새 사용자에 대해 업데이트되는 동적 필터개념적 모델: 각 새 사용자에 대해 업데이트되는 동적 필터

이는 내부 프로세스의 개념적 모델로, 동적 필터에 액세스하거나 동적 필터를 볼 수 없습니다.

주:

사용자(또는 비응답 호스트)가 인증된 후 인터페이스의 방화벽 필터가 수정되면 사용자가 재인증되지 않는 한 수정 사항이 동적 필터에 반영되지 않습니다.

이 예에서는 방화벽 필터를 구성하여 인터페이스 ge-0/0/2에서 인증된 각 엔드포인트가 서브넷 192.0.2.16/28에 위치한 파일 서버에 요청한 사항을 계산하고, 트래픽 속도를 제한하도록 폴리서 정의를 설정합니다. 은(는) 이 예의 네트워크 토폴로지를 보여줍니다.그림 5

그림 5: 파일 서버에 연결하는 802.1X 지원 인터페이스의 여러 요청자파일 서버에 연결하는 802.1X 지원 인터페이스의 여러 요청자

구성

여러 서플리컨트가 있는 인터페이스에서 방화벽 필터 구성

CLI 빠른 구성

802.1X 지원 인터페이스에서 여러 요청자에 대한 방화벽 필터를 신속하게 구성하려면 다음 명령을 복사하여 스위치 터미널 창에 붙여넣습니다.

단계별 절차

여러 서플리컨트에 대해 활성화된 인터페이스에서 방화벽 필터를 구성하려면:

  1. 폴리서 정의를 설정합니다.

  2. 각 사용자의 패킷을 계산하도록 방화벽 필터를 구성하고 트래픽 속도를 제한하는 폴리서를 구성합니다. 각각의 새 사용자가 다중 신청자 인터페이스에서 인증되면 이 필터 용어는 사용자에 대해 동적으로 생성된 용어에 포함됩니다.

결과

구성 결과를 확인합니다:

검증

여러 요청자가 있는 인터페이스에서 방화벽 필터 확인

목적

방화벽 필터가 여러 서플리컨트가 있는 인터페이스에서 작동하는지 확인합니다.

작업

  1. 인터페이스에서 인증된 한 명의 사용자로 결과를 확인합니다. 이 경우 사용자 1은 ge-0/0/2에서 인증됩니다.

  2. 두 번째 사용자인 사용자 2가 동일한 인터페이스인 ge-0/0/2에서 인증되면 인터페이스에서 인증된 두 사용자 모두에 대한 결과가 필터에 포함되는지 확인할 수 있습니다.

의미

명령 출력에 의해 표시되는 결과는 각 신규 사용자의 인증으로 생성된 동적 필터를 반영합니다.show dot1x firewall 사용자 1은 지정된 대상 주소 시간에 있는 파일 서버에 액세스했고 사용자 2는 동일한 파일 서버 시간에 액세스했습니다.100400

참조

관련 항목