Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

MAC RADIUS 인증

스위치를 통해 서로 다른 몇 가지 인증 방법을 사용하여 네트워크에 대한 액세스를 제어할 수 있습니다. Junos OS 스위치는 네트워크에 연결해야 하는 장비에 대한 인증 방법으로 802.1X RADIUS MAC RADIUS 포털을 지원합니다.

호스트가 RADIUS 스위치 인터페이스에서 MAC RADIUS 인증을 구성하여 LAN 액세스를 제공할 수 있습니다. 자세한 내용은 이 주제를 참조하십시오.

MAC RADIUS 인증(CLI 절차)

호스트가 연결된 스위치 인터페이스에서 MAC RADIUS 를 구성하여 802.1X 기반 LAN 액세스가 아닌 디바이스를 허용할 수 있습니다.

주:

또한 비 802.1X 지원 장비가 인증의 정적 MAC 우회에 대해 MAC 주소를 구성하여 LAN에 액세스할 수 있도록 허용할 수도 있습니다.

또한 802.1X RADIUS 허용하는 인터페이스에서 MAC RADIUS 인증을 구성하거나 인증 방법 중 하나를 구성할 수 있습니다.

MAC RADIUS 및 802.1X 인증이 인터페이스에서 모두 활성화되면 스위치가 먼저 호스트에 3개의 EAPoL 요청을 호스트로 전송합니다. 호스트로부터 응답이 없는 경우, 스위치는 호스트의 MAC 주소를 RADIUS MAC 주소인지 여부를 검사합니다. RADIUS 서버에서 허용되는 MAC 주소가 RADIUS 서버는 MAC 주소가 허용된 주소인 스위치로 메시지를 보내고 스위치가 연결된 인터페이스에서 LAN 액세스를 개방합니다.

인터페이스에서 MAC RADIUS 인증이 구성되지만 802.1X 인증이(옵션을 사용)하지 않는 경우, 스위치는 802.1X 인증을 먼저 시도하여 지연 없이 RADIUS 서버로 MAC 주소를 인증하려고 mac-radius restrict 시도합니다.

MAC RADIUS 인증을 구성하기 전에 다음을 사용하는지 반드시 유의해야 합니다.

MAC RADIUS 인증을 구성하는 CLI:

  • 스위치에서 MAC RADIUS 인증을 위해 비방형 호스트가 연결된 인터페이스를 구성하고 MAC RADIUS 인증만 사용하도록 인터페이스에 대한 한정자 restrictge-0/0/20 RADIUS 구성합니다.

  • RADIUS 인증 서버에서 사용자 이름 및 암호(여기, MAC 주소는 다음과 같습니다)와 같은 비대조 호스트의 MAC 주소(콜론 없는)를 사용하여 각 비대조 호스트에 대한 사용자 프로필을 생성합니다. 00:04:0f:fd:ac:fe00:04:ae:cd:23:5f

예를 들면 다음과 같습니다. EX 시리즈 스위치에서 MAC RADIUS 인증 구성

802.1X를 지원하지 않는 호스트가 LAN에 액세스할 수 있도록 허용하려면, 비 802.1X 지원 호스트가 RADIUS 스위치 인터페이스에서 MAC RADIUS 인증을 구성할 수 있습니다. MAC RADIUS 구성되면 스위치는 호스트의 MAC 주소를 사용하여 RADIUS 서버로 호스트 인증을 시도합니다.

다음 예제에서는 2개의 비 802.1X 지원 호스트에 대해 RADIUS MAC RADIUS 인증을 구성하는 방법을 설명하고 있습니다.

요구 사항

이 예에서는 다음과 같은 소프트웨어 및 하드웨어 구성 요소를 활용합니다.

주:

이 예는 또한 스위치 및 QFX5100 적용합니다.

  • Junos OS 릴리스 9.3 이상에서 EX 시리즈 스위치를 사용할 수 있습니다.

  • 인증자 포트 액세스 엔티티(PAE)의 역할을 하는 EX 시리즈 스위치 인증자 PAE의 포트는 인증될 때까지 서플리컨트로 이동하는 모든 트래픽을 차단하는 제어 게이트를 형성합니다.

  • 인증 RADIUS 서버. 인증 서버는 백END 데이터베이스로 실행하며 네트워크에 연결할 수 있는 권한을 가지는 호스트(서플리컨트)에 대한 자격 증명 정보를 포함합니다.

MAC RADIUS 인증을 구성하기 전에 다음을 사용하는지 반드시 유의해야 합니다.

개요 및 토폴로지

IEEE(Institute of Electrical and Electronics Engineers) 802.1X 포트 기반 네트워크 액세스 제어(PNAC)는 802.1X 프로토콜(즉, 디바이스는 802.1X 지원)을 사용하여 스위치와 통신할 수 있는 경우 장치 액세스를 인증하고 LAN에 대한 액세스를 허용합니다. 비 802.1X 지원 단말 장치가 LAN에 액세스할 수 있도록 허용하기 RADIUS 단말 장치가 연결된 인터페이스에서 MAC RADIUS 인증을 구성할 수 있습니다. 인터페이스에 엔드 디바이스의 MAC 주소가 나타나면 스위치는 RADIUS MAC 주소인지 여부를 확인합니다. 만약 최종 장치의 MAC 주소가 RADIUS 스위치가 엔드 디바이스에 대한 LAN 액세스를 개방합니다.

여러 서플리컨트에 대해 구성된 인터페이스에서 MAC RADIUS 인증 및 802.1X 인증 방법을 모두 구성할 수 있습니다. 또한 인터페이스가 비 802.1X 지원 호스트에만 연결된 경우, 이 옵션을 사용하여 MAC RADIUS 인증을 활성화할 수 있으며, 따라서 스위치가 디바이스가 EAP 메시지에 응답하지 않는다고 판단하는 동안 발생하는 지연을 방지할 수 mac-radius restrict 있습니다.

그림 1 스위치에 연결된 2개의 프린터를 보여줍니다.

주:

이 그림은 또한 스위치와 QFX5100 수 있습니다.

그림 1: MAC RADIUS 인증 구성을 위한 토폴로지MAC RADIUS 인증 구성을 위한 토폴로지

표 1 MAC RADIUS 예에서 구성 요소를 보여줍니다.

표 1: MAC RADIUS 구성 토폴로지의 구성 요소
속성 설정

스위치 하드웨어

EX4200 포트(ge-0/0/0 ~ ge-0/23)

VLAN 이름

판매

프린터에 대한 연결(PoE 필요 없음)

ge-0/0/19, MAC 주소 00040ffdacfe

ge-0/0/20, MAC 주소 0004aecd235f

RADIUS 서버

인터페이스의 스위치에 연결 ge-0/0/10

MAC 주소 00040ffdacfe가 있는 프린터가 액세스 인터페이스 ge-0/0/19에 연결됩니다. MAC 주소 0004aecd235f를 사용하는 두 번째 프린터가 액세스 인터페이스 ge-0/0/20에 연결됩니다. 이 예에서는 두 인터페이스가 스위치의 MAC RADIUS 인증을 위해 구성될 수 있으며 두 프린터의 MAC 주소(콜론 없이)는 RADIUS 서버상에 구성됩니다. 인터페이스 ge-0/0/20은 스위치가 802.1X 인증을 시도하는 동안 일반적인 지연을 제거하도록 구성됩니다. MAC RADIUS 인증이 활성화되면 이 옵션을 사용하여 802.1X 인증을 사용할 수 mac radius restrict 없습니다.

토폴로지

구성

절차

CLI 빠른 구성

MAC RADIUS 인증을 신속하게 구성하기 위해 다음 명령을 복사하여 스위치 터미널 창에 붙여넣기:

주:

또한 단계별 절차 2단계에서와 같은 RADIUS 2 MAC 주소를 사용자 이름 및 암호로 구성해야 합니다.

단계별 절차

스위치와 RADIUS 서버에서 MAC RADIUS 구성:

  1. 스위치에서 MAC RADIUS 인증을 위해 프린터가 연결된 인터페이스를 구성하고 인터페이스 ge-0/0/20에 대한 제한 옵션을 구성하여 MAC RADIUS 인증만 사용할 수 있도록 합니다.

  2. 네트워크 RADIUS 사용자 이름 및 암호로 MAC 주소 00040ffdacfe 및 0004aecd235f를 구성합니다.

결과

스위치에서 구성 결과를 표시합니다.

확인

서플리컨트가 인증된지 확인:

서플리컨트가 인증된지 검증

목적

서플리컨트가 스위치 및 RADIUS MAC RADIUS 대해 구성된 후, 이들 서버의 인증이 RADIUS 인증 방법을 표시하는지 검증합니다.

실행

802.1X 구성 인터페이스 ge-0/0/19 및 ge-0/0/20에 대한 정보를 표시합니다.

의미

명령어의 샘플 출력은 현장에 연결된 엔드 디바이스의 MAC 주소를 show dot1x interface detailSupplicant 표시합니다. 인터페이스 ge-0/0/19에서 MAC 주소는 MAC RADIUS 구성된 첫 번째 00:04:0f:fd:ac:fe 프린터의 MAC 주소입니다. 필드는 Authentication method 인증 방법을 Radius 으로 표시합니다. 인터페이스에서 MAC 주소는 MAC RADIUS 구성된 두 번째 ge-0/0/2000:04:ae:cd:23:5f 프린터의 MAC 주소입니다. 필드는 Authentication method 인증 방법을 Radius 으로 표시합니다.