MAC RADIUS 인증
여러 다른 인증 방법을 사용하여 스위치를 통해 네트워크에 대한 액세스를 제어할 수 있습니다. Junos OS 스위치는 네트워크에 연결해야 하는 디바이스에 대한 인증 방법으로 802.1X, MAC RADIUS 및 캡티브 포털 지원합니다.
호스트가 연결된 스위치 인터페이스에서 MAC RADIUS 인증을 구성하여 LAN 액세스를 제공할 수 있습니다. 자세한 내용은 이 주제를 읽어보십시오.
MAC RADIUS 인증 구성(CLI 절차)
호스트가 연결된 스위치 인터페이스에서 MAC RADIUS 인증을 구성하여 802.1X 지원 LAN 액세스가 아닌 디바이스를 허용할 수 있습니다.
또한 802.1X가 아닌 디바이스가 인증의 정적 MAC 바이패스에 대한 MAC 주소 구성하여 LAN에 액세스하도록 허용할 수도 있습니다.
802.1X 인증을 허용하는 인터페이스에서 MAC RADIUS 인증을 구성하거나 인증 방법만 구성할 수 있습니다.
인터페이스에서 MAC RADIUS 및 802.1X 인증이 모두 활성화된 경우 스위치는 먼저 호스트에 3개의 EAPoL 요청을 호스트에게 보냅니다. 호스트의 응답이 없는 경우 스위치는 호스트의 MAC 주소 RADIUS 서버로 전송하여 허용된 MAC 주소 있는지 확인합니다. MAC 주소 RADIUS 서버에서 허용되는 대로 구성된 경우, RADIUS 서버는 MAC 주소 허용된 주소라는 메시지를 스위치에 보내고 스위치는 연결된 인터페이스의 비응답 호스트에 LAN 액세스를 엽니다.
MAC RADIUS 인증이 인터페이스에 구성되지만 802.1X 인증이 (옵션 사용 mac-radius restrict ) 아닌 경우, 스위치는 먼저 802.1X 인증을 시도하여 지연 없이 RADIUS 서버로 MAC 주소 인증하려고 시도합니다.
MAC RADIUS 인증을 구성하기 전에 다음을 확인하십시오.
스위치와 RADIUS 서버 사이에 구성된 기본 액세스. 예: 802.1X용 RADIUS 서버를 EX 시리즈 스위치에 연결합니다.
CLI를 사용하여 MAC RADIUS 인증을 구성하려면,
-
스위치에서 MAC RADIUS 인증을 위해 비응답 호스트가 연결된 인터페이스를 구성하고 인터페이스 ge-0/0/20 에 대한 한정자를 추가하여 restrict MAC RADIUS 인증만 사용하도록 합니다.
[edit] user@switch# set protocols dot1x authenticator interface ge-0/0/19 mac-radius user@switch# set protocols dot1x authenticator interface ge-0/0/20 mac-radius restrict
-
RADIUS 인증 서버에서 사용자 이름과 암호로 비응답 호스트의 MAC 주소(콜론 제외)을 사용하여 각 비응답 호스트에 대한 사용자 프로필을 생성합니다(여기에서 MAC 주소는 및00:04:ae:cd:23:5f)00:04:0f:fd:ac:fe.
[root@freeradius]# edit /etc/raddb vi users 00040ffdacfe Auth-type:=Local, User-Password = "00040ffdacfe" 0004aecd235f Auth-type:=Local, User-Password = "0004aecd235f"
-
(선택 사항) 모든 MAC RADIUS 인증에 대한 전역 암호를 구성하기 위해 MAC 주소 비밀번호로 사용하는 대신(글로벌 암호는 입니다 $9$H.fQ/CuEclFnclKMN-HqmPfQFn/AuOzF):
[edit]# user@switch# edit protocols dot1x authenticator mac-radius password $9$H.fQ/CuEclFnclKMN-HqmPfQFn/AuOzF
참조
예를 들면 다음과 같습니다. EX 시리즈 스위치에서 MAC RADIUS 인증 구성
802.1X가 활성화되지 않은 호스트가 LAN에 액세스할 수 있도록 하려면 802.1X가 활성화되지 않은 호스트가 연결된 스위치 인터페이스에서 MAC RADIUS 인증을 구성할 수 있습니다. MAC RADIUS 인증이 구성되면 스위치는 호스트의 MAC 주소 사용하여 RADIUS 서버로 호스트를 인증하려고 시도합니다.
이 예에서는 802.1X가 활성화되지 않은 두 호스트에 대해 MAC RADIUS 인증을 구성하는 방법을 설명합니다.
요구 사항
이 예에서는 다음과 같은 소프트웨어 및 하드웨어 구성 요소를 사용합니다.
이 예는 QFX5100 스위치에도 적용됩니다.
Junos OS EX 시리즈 스위치용 릴리스 9.3 이상
인증자 포트 액세스 엔터티(PAE) 역할을 하는 EX 시리즈 스위치. 인증자 PAE의 포트는 신청자가 인증될 때까지 모든 트래픽을 차단하는 제어 게이트를 형성합니다.
RADIUS 인증 서버. 인증 서버는 백엔드 데이터베이스 역할을 하며 네트워크에 연결할 수 있는 권한이 있는 호스트(서플리컨트)에 대한 자격 정보를 포함합니다.
MAC RADIUS 인증을 구성하기 전에 다음을 확인하십시오.
EX 시리즈 스위치와 RADIUS 서버 간에 구성된 기본 액세스. 예: 802.1X용 RADIUS 서버를 EX 시리즈 스위치에 연결합니다.
스위치에서 기본 브리징 및 VLAN 구성을 수행했습니다. 스위치에 대한 기본 브리징 및 VLAN 설정을 설명하는 문서를 참조하십시오. ELS(Enhanced Layer 2 Software) 구성 스타일을 지원하는 스위치를 사용하는 경우 예: ELS를 지원하는 EX 시리즈 스위치를 위한 기본 브리징 및 VLAN 설정 또는 예: 스위치에서 기본 브리징 및 VLAN 설정 다른 모든 스위치의 경우 예: EX 시리즈 스위치를 위한 기본 브리징 및 VLAN 설정.
주:ELS에 대한 자세한 내용은 다음을 참조하십시오. 향상된 레이어 2 소프트웨어 CLI 사용
기본 802.1X 구성을 수행했습니다. 802.1X 인터페이스 설정 구성(CLI 절차)을 참조하십시오.
개요 및 토폴로지
IEEE 802.1X 포트 기반 네트워크 액세스 제어(PNAC)는 디바이스가 802.1X 프로토콜(즉, 디바이스는 802.1X 지원)을 사용하여 스위치와 통신할 수 있는 경우 디바이스가 LAN에 대한 인증을 허용합니다. 802.1X가 아닌 최종 디바이스가 LAN에 액세스할 수 있도록 하려면 최종 디바이스가 연결된 인터페이스에서 MAC RADIUS 인증을 구성할 수 있습니다. 엔드 디바이스의 MAC 주소 인터페이스에 나타나면 스위치는 RADIUS 서버를 참조하여 허용되는 MAC 주소 있는지 확인합니다. 종단 디바이스의 MAC 주소 RADIUS 서버에서 허용되는 대로 구성되면 스위치는 종단 디바이스에 LAN 액세스를 엽니다.
여러 요청자에 대해 구성된 인터페이스에서 MAC RADIUS 인증 및 802.1X 인증 방법을 모두 구성할 수 있습니다. 또한 인터페이스가 비 802.1X 지원 호스트에만 연결된 경우 옵션을 사용하여 mac-radius restrict MAC RADIUS 활성화하고 802.1X 인증을 활성화하지 않으므로 스위치가 디바이스가 EAP 메시지에 응답하지 않는다고 판단하는 동안 발생하는 지연을 방지할 수 있습니다.
그림 1 은(는) 스위치에 연결된 2대의 프린터를 보여줍니다.
이 수치는 QFX5100 스위치에도 적용됩니다.
표 1 은(는) MAC RADIUS 인증 예의 구성 요소를 보여줍니다.
| 속성 | 설정 |
|---|---|
스위치 하드웨어 |
EX4200 포트(ge-0/0/0 ~ ge-0/0/23) |
VLAN 이름 |
판매 |
프린터 연결(PoE 필요 없음) |
ge-0/0/19, MAC 주소 00040ffdacfe ge-0/0/20, MAC 주소004ecd235f |
RADIUS 서버 |
인터페이스의 스위치에 연결 ge-0/0/10 |
MAC 주소 00040ffdacfe가 있는 프린터는 액세스 인터페이스 ge-0/0/19에 연결되어 있습니다. MAC 주소 0004aecd235f를 가진 두 번째 프린터는 액세스 인터페이스 ge-0/0/20에 연결되어 있습니다. 이 예에서 두 인터페이스는 스위치의 MAC RADIUS 인증을 위해 구성되며 두 프린터의 MAC 주소(콜론 제외)는 RADIUS 서버에 구성됩니다. 인터페이스 ge-0/0/20은 스위치가 802.1X 인증을 시도하는 동안 일반적인 지연을 제거하도록 구성됩니다. MAC RADIUS 인증이 활성화되어 있으며 옵션을 사용하여 mac radius restrict 802.1X 인증이 비활성화됩니다.
토폴로지
구성
절차
CLI 빠른 구성
MAC RADIUS 인증을 신속하게 구성하려면 다음 명령을 복사하여 스위치 터미널 창에 붙여 넣습니다.
[edit] set protocols dot1x authenticator interface ge-0/0/19 mac-radius set protocols dot1x authenticator interface ge-0/0/20 mac-radius restrict
또한 단계별 절차 2단계에서와 같이 두 MAC 주소를 RADIUS 서버의 사용자 이름과 암호로 구성해야 합니다.
단계별 절차
스위치와 RADIUS 서버에서 MAC RADIUS 인증을 구성합니다.
스위치에서 MAC RADIUS 인증을 위해 프린터가 연결된 인터페이스를 구성하고 인터페이스 ge-0/0/20에서 제한 옵션을 구성하여 MAC RADIUS 인증만 사용됩니다.
[edit] user@switch# set protocols dot1x authenticator interface ge-0/0/19 mac-radius user@switch# set protocols dot1x authenticator interface ge-0/0/20 mac-radius restrictRADIUS 서버에서 MAC 주소 00040ffdacfe 및 0004aecd235f를 사용자 이름과 암호로 구성합니다.
[root@freeradius]# edit /etc/raddb vi users 00040ffdacfe Auth-type:=EAP, User-Password = "00040ffdacfe" 0004aecd235f Auth-type:=EAP, User-Password = "0004aecd235f"
결과
스위치에서 구성 결과를 표시합니다.
user@switch> show configuration
protocols {
dot1x {
authenticator {
authentication-profile-name profile52;
interface {
ge-0/0/19.0 {
mac-radius;
}
ge-0/0/20.0 {
mac-radius {
restrict;
}
}
}
}
}
}
확인
서플리컨트가 인증되었는지 확인합니다.
서플리컨트가 인증되었는지 확인
목적
스위치와 RADIUS 서버에서 MAC RADIUS 인증을 위해 신청자가 구성된 후 인증되었는지 확인하고 인증 방법을 표시합니다.
실행
802.1X 구성 인터페이스 ge-0/0/19 및 ge-0/0/20에 대한 정보를 표시합니다.
user@switch> show dot1x interface ge-0/0/19.0 detail
ge-0/0/19.0
Role: Authenticator
Administrative state: Auto
Supplicant mode: Single
Number of retries: 3
Quiet period: 60 seconds
Transmit period: 30 seconds
Mac Radius: Enabled
Mac Radius Restrict: Disabled
Reauthentication: Enabled
Configured Reauthentication interval: 3600 seconds
Supplicant timeout: 30 seconds
Server timeout: 30 seconds
Maximum EAPOL requests: 2
Guest VLAN member: <not configured>
Number of connected supplicants: 1
Supplicant: user101, 00:04:0f:fd:ac:fe
Operational state: Authenticated
Authentication method: Radius
Authenticated VLAN: vo11
Dynamic Filter: match source-dot1q-tag 10 action deny
Session Reauth interval: 60 seconds
Reauthentication due in 50 seconds
user@switch> show dot1x interface ge-0/0/20.0 detail
ge-0/0/20.0
Role: Authenticator
Administrative state: Auto
Supplicant mode: Single
Number of retries: 3
Quiet period: 60 seconds
Transmit period: 30 seconds
Mac Radius: Enabled
Mac Radius Restrict: Enabled
Reauthentication: Enabled
Configured Reauthentication interval: 3600 seconds
Supplicant timeout: 30 seconds
Server timeout: 30 seconds
Maximum EAPOL requests: 2
Guest VLAN member: <not configured>
Number of connected supplicants: 1
Supplicant: user102, 00:04:ae:cd:23:5f
Operational state: Authenticated
Authentcation method: Radius
Authenticated VLAN: vo11
Dynamic Filter: match source-dot1q-tag 10 action deny
Session Reauth interval: 60 seconds
Reauthentication due in 50 seconds
의미
명령의 show dot1x interface detail 샘플 출력은 필드에 연결된 종단 디바이스 Supplicant 의 MAC 주소 표시합니다. 인터페이스 ge-0/0/19에서 MAC 주소 MAC RADIUS 인증을 위해 구성된 첫 번째 프린터의 MAC 주소 입니다 00:04:0f:fd:ac:fe. Authentication method 필드는 인증 방법을 Radius로 표시합니다. 인터페이스 ge-0/0/20에서 MAC 주소 MAC RADIUS 인증을 위해 구성된 두 번째 프린터의 MAC 주소 입니다 00:04:ae:cd:23:5f. Authentication method 필드는 인증 방법을 Radius로 표시합니다.