EX 시리즈 스위치의 유연한 인증 순서
Junos OS 스위치는 네트워크 연결이 필요한 디바이스에 대한 인증 방법으로 802.1X, MAC RADIUS 및 캡티브 포털을 지원합니다. 유연한 인증 순서 기능을 사용하여 스위치가 클라이언트 인증을 시도할 때 사용하는 인증 방법의 순서를 지정할 수 있습니다. 단일 인터페이스에 여러 인증 방법이 구성된 경우 한 인증 방법이 실패하면 스위치가 다른 방법으로 대체됩니다. 자세한 내용은 이 주제를 읽어보십시오.
유연한 인증 순서 구성
유연한 인증 순서 기능을 사용하여 스위치가 클라이언트 인증을 시도할 때 사용하는 인증 방법의 순서를 지정할 수 있습니다. 단일 인터페이스에 여러 인증 방법이 구성된 경우 한 인증 방법이 실패하면 스위치가 다른 방법으로 대체됩니다.
기본적으로 스위치는 먼저 802.1X 인증을 사용하여 클라이언트 인증을 시도합니다. 클라이언트로부터 응답이 없어 802.1X 인증이 실패하고 인터페이스에 MAC RADIUS 인증이 구성된 경우 스위치는 MAC RADIUS를 사용하여 인증을 시도합니다. MAC RADIUS에 장애가 발생하고 인터페이스에 캡티브 포털이 구성된 경우, 스위치는 캡티브 포털을 사용하여 인증을 시도합니다.
유연한 인증 순서를 사용하면 인터페이스에 연결된 클라이언트 유형에 따라 사용되는 인증 방법의 순서를 변경할 수 있습니다. 명령문을 구성 하여 802.1X 인증 또는 MAC RADIUS 인증이 첫 번째 인증 방법이어야 하는지 여부를 지정할 수 있습니다.authentication-order 캡티브 포털(captive portal)은 항상 마지막으로 시도한 인증 방법입니다.
MAC RADIUS 인증이 순서의 첫 번째 인증 방법으로 구성된 경우, 클라이언트로부터 데이터를 수신할 때 스위치는 MAC RADIUS 인증을 사용하여 클라이언트 인증을 시도합니다. MAC RADIUS 인증이 실패하면 스위치는 802.1X 인증을 사용하여 클라이언트를 인증합니다. 802.1X 인증이 실패하고 인터페이스에 캡티브 포털이 구성된 경우 스위치는 캡티브 포털을 사용하여 인증을 시도합니다.
802.1X 인증 및 MAC RADIUS 인증이 실패하고 인터페이스에 캡티브 포털이 구성되지 않은 경우, 서버 장애 대체 방법을 구성하지 않는 한 클라이언트의 LAN 액세스가 거부됩니다. 자세한 내용은 RADIUS 서버 장애 복구 구성(CLI 절차) 을 참조하십시오.RADIUS 서버 실패 폴백 구성(CLI 절차)
multiple-supplicant 모드로 구성된 인터페이스에서 서로 다른 인증 방법을 병렬로 사용할 수 있습니다. 따라서 캡티브 포털을 사용하여 인터페이스에서 종단 디바이스를 인증하는 경우에도 해당 인터페이스에 연결된 다른 종단 디바이스는 802.1X 또는 MAC RADIUS 인증을 사용하여 인증할 수 있습니다.
인터페이스에서 유연한 인증 순서를 구성하기 전에 해당 인터페이스에 인증 방법이 구성되어 있는지 확인합니다. 스위치는 인터페이스에 구성되지 않은 방법을 사용하여 인증을 시도하지 않으며, 해당 방법이 인증 순서에 포함되어 있더라도 마찬가지입니다. 스위치는 해당 방법을 무시하고 해당 인터페이스에서 활성화된 인증 순서에서 다음 방법을 시도합니다.
명령문을 구성할 때 다음 지침을 사용하십시오.authentication-order
인증 순서에는 두 가지 이상의 인증 방법이 포함되어야 합니다.
802.1X 인증은 인증 순서에 포함된 방법 중 하나여야 합니다.
캡티브 포털(captive portal)이 인증 순서에 포함된 경우 주문의 마지막 방법이어야 합니다.
이 인터페이스에 구성된 경우 해당 인터페이스에서 인증 순서를 구성할 수 없습니다.
mac-radius-restrict
유연한 인증 순서를 구성하려면 다음과 같은 유효한 조합 중 하나를 사용합니다.
인증 순서는 옵션을 사용하여 전역적으로 구성할 수 있을 뿐만 아니라 개별 인터페이스 이름을 사용하여 로컬로 구성할 수도 있습니다.interface all 인증 순서가 개별 인터페이스와 모든 인터페이스 모두에 대해 구성된 경우, 해당 인터페이스의 로컬 구성이 글로벌 구성보다 우선합니다.
인증 순서를 구성한 후 명령을 사용하여 인증 순서를 수정해야 합니다.insert 명령을 사용해도 구성된 순서는 변경되지 않습니다.set
초기 구성 후 인증 순서를 변경하려면:
[edit] user@switch# insert protocols dot1x authenticator interface interface-name authentication-order authentication-method before authentication-method
예를 들어, 순서를 에서 로 변경하려면:[mac-radius dot1x captive portal][dot1x mac-radius captive portal]
[edit] user@switch# insert protocols dot1x authenticator interface interface-name authentication-order dot1x before mac-radius
참조
기존 인증 세션을 유지하도록 EAPoL 블록 구성
802.1X 인증자 역할을 하는 스위치가 인증된 클라이언트로부터 EAP-Start 메시지를 받으면 스위치는 802.1X 메서드를 사용하여 클라이언트를 다시 인증하려고 시도하고 일반적으로 EAP-Request 메시지를 반환하고 응답을 기다립니다. 클라이언트가 응답하지 않을 경우, 스위치는 MAC RADIUS 또는 캡티브 포털(captive portal) 방법(이러한 방법이 구성된 경우)을 사용하여 클라이언트 재인증을 시도합니다. MAC RADIUS 또는 캡티브 포털 인증을 사용하여 인증된 클라이언트는 응답하지 않으며, 스위치가 재인증을 시도할 때 인터페이스에서 트래픽이 삭제됩니다.
MAC RADIUS가 클라이언트를 인증하는 데 사용되는 첫 번째 방법이 되도록 인터페이스에 유연한 인증 순서를 구성한 경우, 클라이언트가 MAC RADIUS 인증을 사용하여 성공적으로 인증되더라도 클라이언트가 EAP-Start 메시지를 보내면 스위치는 여전히 재인증을 위해 802.1X를 사용하도록 되돌아갑니다. 고정 또는 유연한 인증 순서로 EAPoL 블록을 구성할 수 있습니다. 명령문을 구성 하지 않으면 기본적으로 순서가 고정됩니다.authentication-order 문은 문을 구성하거나 구성하지 않고 구성할 수 있습니다 .eapol-blockauthentication-order
MAC RADIUS 인증을 사용하여 인증된 클라이언트 또는 문을 사용하여 캡티브 포털 인증을 사용하여 전송된 EAP-Start 메시지를 무시하도록 스위치를 구성할 수 있습니다 .eapol-block EAPoL 메시지 블록이 적용되면 스위치가 클라이언트로부터 EAP-Start 메시지를 수신하면 EAP-Request 메시지를 반환하지 않으며 기존 인증 세션이 유지됩니다.
엔드포인트가 MAC RADIUS 인증 또는 캡티브 포털 인증으로 인증되지 않은 경우 EAPoL 블록은 적용되지 않습니다. 엔드포인트는 802.1X 인증을 사용하여 인증할 수 있습니다.
이 옵션으로 구성된 경우 클라이언트가 MAC RADIUS 인증 또는 CWA(Central Web Authentication)로 인증되면 클라이언트는 EAP-Start 메시지를 보내더라도 인증된 상태로 유지됩니다.eapol-blockmac-radius 이(가) 옵션으로 구성된 경우 클라이언트가 캡티브 포털로 인증되면 클라이언트는 EAP-Start 메시지를 보내더라도 인증된 상태로 유지됩니다.eapol-blockcaptive-portal
이 기능은 EX4300 및 EX9200 스위치에서 지원됩니다.
기존 인증 세션을 유지하기 위해 EAPoL 메시지 블록을 구성하려면 다음을 수행합니다.