Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

EX 시리즈 스위치의 유연한 인증 순서

Junos OS 스위치는 네트워크에 연결해야 하는 장치에 대한 인증 방법으로 802.1X, MAC RADIUS 및 캡티브 포털을 지원합니다. 유연한 인증 순서 기능을 사용하여 스위치가 클라이언트 인증을 시도할 때 사용하는 인증 방법을 지정할 수 있습니다. 단일 인터페이스에서 여러 인증 메소드를 구성한 경우, 한 인증 방법에 장애가 발생하면 스위치가 다시 다른 방법으로 넘어집니다. 자세한 내용은 이 주제를 읽어보십시오.

유연한 인증 순서 구성

유연한 인증 순서 기능을 사용하여 스위치가 클라이언트 인증을 시도할 때 사용하는 인증 방법을 지정할 수 있습니다. 단일 인터페이스에서 여러 인증 메소드를 구성한 경우, 한 인증 방법에 장애가 발생하면 스위치가 다시 다른 방법으로 넘어집니다.

기본적으로 스위치는 먼저 802.1X 인증을 사용하여 클라이언트 인증을 시도합니다. 클라이언트의 응답이 없기 때문에 802.1X 인증에 실패하고 인터페이스에서 MAC RADIUS 인증이 구성되면 스위치는 MAC RADIUS를 사용하여 인증을 시도합니다. MAC RADIUS에 실패하고 종속 포털이 인터페이스에 구성된 경우 스위치는 캡티브 포털을 사용하여 인증을 시도합니다.

유연한 인증 순서로 인터페이스에 연결된 클라이언트 유형에 따라 사용되는 인증 방법의 순서를 변경할 수 있습니다. 802.1X 인증 또는 MAC RADIUS 인증이 첫 번째 인증 방법이 시도되어야 하는지 여부를 지정하도록 명령문을 구성할 authentication-order 수 있습니다. 캡티브 포털은 항상 마지막으로 시도한 인증 방법입니다.

MAC RADIUS 인증이 순서대로 첫 번째 인증 방법으로 구성된 경우, 모든 클라이언트로부터 데이터를 수신할 때 스위치는 MAC RADIUS 인증을 사용하여 클라이언트를 인증하려고 시도합니다. MAC RADIUS 인증에 실패하면 스위치는 802.1X 인증을 사용하여 클라이언트를 인증합니다. 802.1X 인증에 실패하고 종속 포털이 인터페이스에 구성된 경우 스위치는 캡티브 포털을 사용하여 인증을 시도합니다.

주:

802.1X 인증 및 MAC RADIUS 인증에 실패하고 종속 포털이 인터페이스에서 구성되지 않으면 서버 장애 복구 방법이 구성되지 않는 한 클라이언트는 LAN에 대한 액세스가 거부됩니다. 자세한 내용은 RADIUS Server Fail Fallback(CLI Procedure) 구성 을 참조하십시오.

다중 서플리컨트 모드로 구성된 인터페이스에서 서로 다른 인증 방법을 병렬로 사용할 수 있습니다. 따라서 종속 포털을 사용하여 인터페이스에서 엔드 디바이스를 인증하는 경우 해당 인터페이스에 연결된 다른 엔드 디바이스는 여전히 802.1X 또는 MAC RADIUS 인증을 사용하여 인증할 수 있습니다.

인터페이스에서 유연한 인증 순서를 구성하기 전에 해당 인터페이스에서 인증 메소드를 구성해야 합니다. 스위치는 인터페이스에서 구성되지 않은 방법을 사용해 인증을 시도하지 않습니다. 스위치는 해당 방법을 무시하고 해당 인터페이스에서 활성화된 인증 순서에서 다음 방법을 시도합니다.

명령문을 구성할 authentication-order 때 다음 지침을 사용하십시오.

  • 인증 순서에는 최소 2가지 이상의 인증 방법이 포함되어야 합니다.

  • 802.1X 인증은 인증 순서에 포함된 방법 중 하나여야 합니다.

  • 캡티브 포털이 인증 순서에 포함된 경우, 이 포털은 순서대로 마지막 방법이어야 합니다.

  • 인터페이스에서 구성된 경우 mac-radius-restrict 해당 인터페이스에서 인증 순서를 구성할 수 없습니다.

유연한 인증 순서를 구성하려면 다음과 같은 유효한 조합 중 하나를 사용하십시오.

주:

인증 순서는 옵션을 사용하고 interface all 개별 인터페이스 이름을 로컬로 사용하여 전역적으로 구성할 수 있습니다. 개별 인터페이스와 모든 인터페이스에 대해 인증 순서가 구성된 경우 해당 인터페이스의 로컬 구성이 글로벌 구성을 무시합니다.

  • 802.1X 인증을 첫 번째 인증 방법으로 구성한 다음, MAC RADIUS 인증 다음 캡티브 포털로 구성하려면 다음을 수행합니다.
  • 802.1X 인증을 첫 번째 인증 방법으로 구성하려면 캡티브 포털이 뒤따릅니다.
  • 802.1X 인증을 첫 번째 인증 방법으로 구성하려면 다음으로 MAC RADIUS 인증을 수행합니다.
  • MAC RADIUS 인증을 첫 번째 인증 방법으로 구성하고 802.1X 뒤에 캡티브 포털로 구성하려면 다음을 수행합니다.

인증 순서를 구성한 후에는 insert 명령을 사용하여 인증 순서를 수정해야 합니다. set 명령을 사용하면 구성된 순서가 변경되지 않습니다.

최초 구성 후 인증 순서를 변경하려면 다음을 수행합니다.

예를 들어 순서를 다음과 같이 변경 [mac-radius dot1x captive portal] 합니다 [dot1x mac-radius captive portal].

기존 인증 세션 유지를 위한 EAPoL 블록 구성

802.1X 인증자 역할을 하는 스위치가 인증된 클라이언트로부터 EAP-Start 메시지를 받으면 스위치는 802.1X 방법을 사용하여 클라이언트를 다시 인증하려고 시도하고 일반적으로 EAP-Request 메시지를 반환하고 응답을 기다린다. 클라이언트가 응답하지 않을 경우, 스위치는 이러한 방법이 구성된 경우 MAC RADIUS 또는 캡티브 포털 방법을 사용하여 클라이언트를 다시 인증하려고 시도합니다. MAC RADIUS 또는 캡티브 포털 인증을 사용하여 인증된 클라이언트는 응답성이 없으며 스위치가 재인증을 시도할 때 트래픽이 인터페이스에서 삭제됩니다.

MAC RADIUS가 클라이언트를 인증하는 데 사용되는 첫 번째 방법이 되도록 인터페이스에서 유연한 인증 명령을 구성한 경우, 클라이언트가 MAC RADIUS 인증을 사용하여 클라이언트가 인증에 성공했더라도 클라이언트가 EAP-Start 메시지를 보내는 경우에도 스위치는 재인증을 위해 802.1X로 돌아갑니다. 고정 또는 유연한 인증 순서로 EAPoL 블록을 구성할 수 있습니다. 명령문을 구성 authentication-order 하지 않으면 주문이 기본적으로 고정됩니다. 명령문은 eapol-block 명령문을 구성하거나 구성하지 않고 authentication-order 구성할 수 있습니다.

명령문을 사용하여 MAC RADIUS 인증 또는 캡티브 포털 인증을 사용하여 인증된 클라이언트에서 보낸 EAP-Start 메시지를 무시하도록 스위치를 eapol-block 구성할 수 있습니다. EAPoL 메시지 블록이 적용된 경우 스위치가 클라이언트로부터 EAP-Start 메시지를 수신하면 EAP-Request 메시지를 반환하지 않으며 기존 인증 세션이 유지됩니다.

주:

MAC RADIUS 인증 또는 캡티브 포털 인증으로 단말 장치를 인증하지 않은 경우, EAPoL 블록이 적용되지 않습니다. 단말 장치는 802.1X 인증을 사용하여 인증할 수 있습니다.

이 옵션으로 mac-radius 구성된 경우 eapol-block 클라이언트가 MAC RADIUS 인증 또는 CWA(Central Web Authentication)로 인증되면 클라이언트는 EAP-Start 메시지를 보내는 경우에도 인증된 상태로 유지됩니다. 옵션으로 captive-portal 구성된 경우 eapol-block 클라이언트가 종속 포털로 인증되면 클라이언트는 EAP-Start 메시지를 보내는 경우에도 인증된 상태로 유지됩니다.

주:

이 기능은 EX4300 및 EX9200 스위치에서 지원됩니다.

기존 인증 세션을 유지하기 위해 EAPoL 메시지 블록을 구성하려면 다음을 수행합니다.

  • MAC RADIUS 인증을 사용하여 인증된 클라이언트에 대해 EAPoL 블록을 구성하려면 다음을 수행합니다.
  • 캡티브 포털 인증을 사용하여 인증된 클라이언트에 대해 EAPoL 블록을 구성하려면 다음을 수행합니다.