Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

RADIUS 서버 구성(Server Configuration for Authentication)

주니퍼 네트웍스 이더넷 스위치 802.1X, MAC RADIUS 또는 캡털 포털 인증을 사용하여 장치 또는 사용자에게 액세스 제어를 제공합니다. 802.1X, MAC RADIUS 또는 캡털 포털 인증이 스위치에서 구성되면 최종 디바이스는 인증(RADIUS) 서버에 의해 최초 연결에서 평가됩니다. 802.1X 또는 MAC RADIUS 인증을 사용하려면 연결하려는 각 RADIUS 스위치의 연결을 지정해야 합니다. 자세한 내용은 이 주제를 읽어 보시죠.

스위치에서 RADIUS 서버 연결 지정(CLI 프로시저)

IEEE(Institute of Electrical and Electronics Engineers) 802.1X 및 MAC RADIUS 인증 모두 네트워크 에지 보안을 제공하기 때문에 인터페이스의 모든 트래픽을 차단하여 인증 서버(RADIUS 서버)에서 서플리던트의 자격 증명 또는 MAC 주소가 표시될 때까지 인터페이스의 모든 트래픽을 차단하여 승인되지 않은 사용자 액세스로부터 Ethernet LA를 보호합니다. 서플리던트가 인증된 후, 스위치는 액세스를 차단하고 서플리안트에 대한 인터페이스를 엽니 다.

802.1X 또는 MAC RADIUS 인증을 사용하려면 연결될 각 RADIUS 스위치의 연결을 지정해야 합니다.

여러 RADIUS 서버를 구성하기 위해 여러 radius-server 명령문을 포함합니다. 여러 서버가 구성되면 기본적으로 서버는 구성 순서대로 액세스됩니다. 첫 번째 서버가 구성된 것은 기본 서버입니다. 기본 서버에 도달할 수 없는 경우 라우터가 두 번째 구성된 서버에 도달하려고 시도합니다. 라운드 로빈 메소드를 구성하여 요청의 로드 균형을 맞출 수 있습니다. 서버 중 한 서버에서 유효한 응답이 수신되거나 구성된 모든 재시도 제한에 도달할 때까지 서버는 순서대로 라운드 로빈(round-robin) 방식으로 시도됩니다.

하나 이상의 IP 주소로 해결되는 완전한 FQDN(Domain Name)을 구성할 수도 있습니다. 을 스위치에서 RADIUS 서버 연결 지정(CLI 프로시저) 참조합니다.

스위치에서 RADIUS 서버 구성:

  1. RADIUS 서버의 IP 주소, RADIUS 서버 인증 포트 번호 및 암호 암호를 구성합니다. 스위치의 암호는 서버의 암호와 일치해야 합니다.
    주:

    인증 포트가 선택 사항이며 포트 1812가 기본 포트입니다. 일부 서버가 구형 기본값을 참조할 수 RADIUS 혼란을 방지할 수 있도록 구성하는 것이 좋습니다.

  2. (선택 사항) 스위치가 스위치가 RADIUS IP 주소를 RADIUS. IP 주소를 지정하지 않으면 RADIUS 서버가 RADIUS 보내는 인터페이스 주소를 사용합니다. 요청이 다른 경로에서 RADIUS 경우 요청을 릴레이하는 인터페이스가 스위치의 인터페이스가 아니기 때문에 이 IP 주소를 지정하는 것이 좋습니다.
  3. 첫 번째 인증 방법을 사용하여 인증 radius 순서를 구성합니다.
  4. (선택 사항) 여러 서버가 구성될 때 라우터가 인증 및 RADIUS 서버에 액세스하는 방법을 구성합니다.
    • direct—로드 밸런싱이 없는 기본 메소드. 첫 번째 서버가 구성된 것은 기본 서버입니다. 서버는 구성 순서대로 액세스됩니다. 기본 서버에 도달할 수 없는 경우 라우터가 두 번째 구성된 서버에 도달하려고 시도합니다.

    • round-robin—구성된 서버 목록 사이에서 라우터 요청을 회전시켜 로드 밸런싱을 RADIUS 방법. 액세스를 위해 선택한 서버는 마지막으로 사용된 서버를 기준으로 회전합니다. 목록의 첫 번째 서버는 첫 번째 인증 요청에 대한 기본 서버로 취급되지만, 두 번째 요청의 경우 두 번째 서버가 기본 서버로 취급됩니다. 이 메소드를 통해 구성된 모든 서버는 평균적으로 동일한 횟수의 요청을 수신하기 때문에 단일 서버가 모든 요청을 처리하지 않습니다.

      주:

      라운드 로빈 RADIUS 있는 서버가 도달할 수 없는 경우, 현재 요청에 대해 라운드 로빈 목록의 다음 연결 가능 서버가 사용됩니다. 해당 서버는 사용 가능한 서버 목록의 맨 위에 있기 때문에 다음 요청에도 동일한 서버가 사용됩니다. 그 결과, 서버 장애가 발생하면 사용되는 서버는 2대의 서버 로드를 발생하게 됩니다.

    • 라우터가 어드버타이어링 서버에 RADIUS 방법을 구성하려면 다음을 제공합니다.

    • 라우터가 인증 서버에 액세스하기 위해 사용하는 RADIUS 구성

  5. 프로파일을 생성하고 프로파일과 연관될 RADIUS 서버의 목록을 지정합니다. 예를 들어, 도시에 따라 RADIUS 서버를 그룹화할 수도 있습니다. 이 기능을 사용하면 다른 전송된 인증 서버로 변경하려는 경우 손쉽게 수정할 수 있습니다.
  6. 프로필 이름을 식별하여 802.1X 또는 MAC RADIUS 사용할 서버 그룹을 지정합니다.
  7. 스위치 서버의 클라이언트 목록에 있는 스위치의 IP RADIUS 구성합니다. RADIUS 서버 구성에 대한 자세한 내용은 서버 설명서를 참조하십시오.

FQDN을 RADIUS 서버 구성

하나 이상의 IP 주소로 해결되는 완전한 FQDN(Domain Name)을 구성할 수 있습니다. [ RADIUS 수준에서 FQDN을 사용하여 단일 edit access radius-server-name hostname 서버를 구성합니다. FQDN이 여러 주소로 해결되면 서버는 기본적으로 구성 순서대로 액세스됩니다. 첫 번째 해결된 주소는 기본 서버입니다. 기본 서버에 대한 액세스가 실패하면 라우터가 두 번째 서버에 도달하려고 시도합니다. 라운드 로빈 메소드를 구성하여 요청의 로드 균형을 맞출 수 있습니다. 서버 중 한 서버에서 유효한 응답이 수신되거나 구성된 모든 재시도 제한에 도달할 때까지 서버는 순서대로 라운드 로빈(round-robin) 방식으로 시도됩니다.

  1. RADIUS 서버, RADIUS 포트 번호 및 암호 암호의 FQDN을 구성합니다. 스위치의 암호는 서버의 암호와 일치해야 합니다.
    주:

    인증 포트가 선택 사항이며 포트 1812가 기본 포트입니다. 일부 서버가 구형 기본값을 참조할 수 RADIUS 혼란을 방지할 수 있도록 구성하는 것이 좋습니다.

  2. (선택 사항) FQDN을 서버 주소로 해결하기 위한 간격을 구성합니다. FQDN은 구성된 값을 기준으로 고정 간격으로 동적으로 해결됩니다.
  3. (선택 사항) 스위치가 스위치가 RADIUS IP 주소를 RADIUS. IP 주소를 지정하지 않으면 RADIUS 서버가 RADIUS 보내는 인터페이스 주소를 사용합니다. 요청이 다른 경로에서 RADIUS 경우 요청을 릴레이하는 인터페이스가 스위치의 인터페이스가 아니기 때문에 이 IP 주소를 지정하는 것이 좋습니다.
  4. 첫 번째 인증 방법을 사용하여 인증 radius 순서를 구성합니다.
  5. (선택 사항) 여러 서버가 구성될 때 스위치가 사용하는 RADIUS 및 어드버타이어링 서버에 액세스하는 방법을 구성합니다.
    • direct—로드 밸런싱이 없는 기본 메소드. 첫 번째 서버가 구성된 것은 기본 서버입니다. 서버는 구성 순서대로 액세스됩니다. 기본 서버에 도달할 수 없는 경우 라우터가 두 번째 구성된 서버에 도달하려고 시도합니다.

    • round-robin—구성된 서버 목록 사이에서 요청을 회전시켜 로드 밸런싱을 RADIUS 방법. 액세스를 위해 선택한 서버는 마지막으로 사용된 서버를 기준으로 회전합니다. 목록의 첫 번째 서버는 첫 번째 인증 요청에 대한 기본 서버로 취급되지만, 두 번째 요청의 경우 두 번째 서버가 기본 서버로 취급됩니다. 이 메소드를 통해 구성된 모든 서버는 평균적으로 동일한 횟수의 요청을 수신하기 때문에 단일 서버가 모든 요청을 처리하지 않습니다.

      주:

      라운드 로빈 RADIUS 있는 서버가 도달할 수 없는 경우, 현재 요청에 대해 라운드 로빈 목록의 다음 연결 가능 서버가 사용됩니다. 해당 서버는 사용 가능한 서버 목록의 맨 위에 있기 때문에 다음 요청에도 동일한 서버가 사용됩니다. 그 결과, 서버 장애가 발생하면 사용되는 서버는 2대의 서버 로드를 발생하게 됩니다.

    • 스위치가 어드버타이어링 서버에 RADIUS 방법을 구성하려면 다음을 제공합니다.

    • 스위치가 인증 서버에 액세스하는 RADIUS 방법을 구성합니다.

  6. 프로파일을 생성하고 프로파일과 연관될 RADIUS 서버의 목록을 지정합니다. 예를 들어, 도시에 따라 RADIUS 서버를 그룹화할 수도 있습니다. 이 기능을 사용하면 다른 인증 서버 세트로 변경하려는 경우 손쉽게 수정할 수 있습니다.
  7. 프로필 이름을 식별하여 802.1X 또는 MAC RADIUS 사용할 서버 그룹을 지정합니다.
  8. 스위치 서버의 클라이언트 목록에 있는 스위치의 IP RADIUS 구성합니다. RADIUS 서버 구성에 대한 자세한 내용은 서버 설명서를 참조하십시오.

암호 변경 지원을 제공하기 위해 MS-CHAPv2 CLI 절차)

Junos OS 스위치용 EX 시리즈 스위치를 사용하면 암호 변경 지원을 제공하기 위해 스위치에서 Challenge Handshake Authentication Protocol version 2(MS-CHAPv2)의 Microsoft Corporation 구현을 구성할 수 있습니다. 스위치에서 MS-CHAPv2를 구성하면 스위치에 액세스하여 암호 만료, 리셋 또는 다음 로그인 시 변경될 구성 시 암호를 변경할 수 있는 옵션을 제공합니다.

MS-CHAP에 대한 정보는 RFC 2433, Microsoft PPP CHAP확장 을 참조하십시오.

암호 변경 지원을 제공하도록 MS-CHAPv2를 구성하기 전에 다음을 준수해야 합니다.

MS-CHAPv2를 구성하기 위해 다음을 지정하십시오.

암호를 변경하려면 스위치에 필요한 액세스 권한이 있어야 합니다.

암호 변경 지원용 MS-CHAPv2 구성

암호 변경 지원을 위해 MS-CHAPv2를 구성하기 전에 다음을 수행한 다음을 수행하십시오.

  • 구성된 서버 RADIUS 매개 변수입니다.

  • 서버 인증 순서로 첫 번째 시도 옵션을 RADIUS.

라우터 또는 스위치에서 Challenge Handshake Authentication Protocol version 2(MS-CHAPv2)의 Microsoft 구현을 구성하여 암호 변경을 지원할 수 있습니다. 이 기능을 통해 라우터에 액세스하거나 암호 만료 시 암호를 변경하거나 다음 로그온에서 변경하도록 구성할 수 있는 옵션을 제공합니다.

MS-CHAP-v2를 구성하기 위해 계층 수준에서 다음 [edit system radius-options] 명령문을 포함합니다.

다음 예제에서는 MS-CHAPv2 암호 프로토콜, 암호 인증 순서 및 사용자 계정의 구성에 대한 진술을 보여줍니다.

서버 장애 폴백 이해 및 스위치의 인증 이해

주니퍼 네트웍스 이더넷 스위치 인증을 사용하여 엔터프라이즈 네트워크에서 액세스 제어를 구현할 수 있습니다. 스위치에서 802.1X, MAC RADIUS 또는 캡털 포털 인증이 구성된 경우, 최종 디바이스는 인증(RADIUS) 서버에 의해 초기 연결에서 평가됩니다. 단말 장치가 인증 서버에서 구성되면 해당 장비가 LAN에 대한 액세스 권한을 부여하고 EX 시리즈 스위치가 인터페이스를 열어 액세스를 허용합니다.

서버 장애 폴백을 사용하면 인증 서버를 사용할 수 없게 되는 경우 스위치에 연결된 엔드 디바이스가 RADIUS 지정할 수 있습니다. 서버 장애 폴백은 이미 구성 및 사용 중 서버가 RADIUS 재인식 동안 가장 자주 트리거됩니다. 그러나 최종 디바이스가 최초로 인증을 시도한 경우, 서버 장애 폴백이 RADIUS 수 있습니다.

서버 장애 폴백을 사용하면 서버가 타임아웃될 때 인증을 기다리는 단말 장치에 대해 수행할 4단계 중 하나를 지정할 수 있습니다. 스위치는 서플리컨트에 대한 액세스를 허용 또는 거부하거나 RADIUS 타임아웃이 발생하기 전에 신청자에 부여된 액세스를 RADIUS 수 있습니다. 또한 스위치를 구성하여 서플리컨트를 특정 VLAN으로 이동할 수도 있습니다. 스위치에서 VLAN을 이미 구성해야 합니다. 구성된 VLAN 이름은 서버에서 전송하는 모든 속성을 까다로워합니다.

  • 인증을 허용하여 최종 디바이스가 성공적으로 네트워크 서버에 의해 인증된 경우와 같은 인터페이스를 통해 트래픽이 단말 장치에서 RADIUS 허용합니다.

  • 인증 거부, 인터페이스를 통해 최종 디바이스에서 트래픽이 유입되지 않도록 차단. 이는 기본 설정입니다.

  • 스위치가 액세스 거부 메시지를 수신할 경우 엔드 디바이스를 RADIUS 지정 VLAN으로 이동합니다. 구성된 VLAN 이름은 서버에서 전송하는 모든 속성을 까다로워합니다. (VLAN은 스위치에 이미 존재해야 합니다.)

  • 인증되지 않은 최종 디바이스는 이미 LAN에 액세스하고 인증되지 않은 엔드 디바이스를 거부합니다. 재인 RADIUS 동안 서버가 타임아웃되는 경우, 이전에 인증된 최종 디바이스가 재인식되어 새로운 사용자가 LAN 액세스가 거부됩니다.

RADIUS 서버 장애 폴백 구성(CLI 절차)

인증 서버를 사용할 수 없게 되는 경우 인증 폴백 옵션을 구성하여 스위치에 연결된 엔드 디바이스가 RADIUS 지정할 수 있습니다.

스위치에서 802.1X 또는 MAC RADIUS 인증을 설정하면 기본 인증 서버와 하나 이상의 백업 인증 서버를 지정합니다. 주 인증 서버에 스위치가 도달할 수 없는 경우 보조 인증 서버에도 도달할 수 없는 경우, RADIUS 타임아웃이 발생합니다. 이러한 경우, 인증을 기다리는 최종 장치에 대한 액세스를 허용하거나 거부하는 인증 서버이기 때문에 LAN에 액세스를 시도하는 최종 장치에 대한 액세스 지침을 받지 못하기 때문에 일반적인 인증을 완료할 수 없습니다.

인증 서버를 사용할 수 없는 경우 서버 장애 폴백 기능을 구성하여 스위치가 최종 장치에 적용되는 조치를 지정할 수 있습니다. 스위치는 서플리컨트에 대한 액세스를 허용 또는 거부하거나 RADIUS 타임아웃이 발생하기 전에 신청자에 부여된 액세스를 RADIUS 수 있습니다. 또한 스위치를 구성하여 서플리컨트를 특정 VLAN으로 이동할 수도 있습니다.

인증 서버에서 액세스 거부 메시지를 수신하는 RADIUS 장비에 대한 서버 거부 폴백 기능을 구성할 수도 있습니다. 서버 거부 폴백 기능은 802.1X를 지원하지만 잘못된 자격 증명을 전송한 응답 단말 장치를 위해 일반적으로 인터넷에만 LAN에 대한 액세스를 제한합니다.

Server Fail Fallback은 Release 14.1X53-D40 및 Release)에서 시작하는 음성 트래픽에 15.1R4. 음성 트래픽을 전송하는 VoIP 클라이언트에 대한 서버 장애 폴백 작업을 구성하기 위해 명령문을 server-fail-voip 사용하여 모든 데이터 트래픽에 대해 명령문을 server-fail 사용하여 스위치는 클라이언트가 전송하는 트래픽의 유형에 따라 사용할 폴백 방법을 결정합니다. 연결되지 않은 데이터 프레임은 VoIP 클라이언트에 의해 전송되는 경우에도 구성된 조치의 server-fail 적용을 습니다. Tagged VoIP VLAN 프레임은 으로 구성된 작업의 대상이 server-fail-voip 됩니다. 구성되지 server-fail-voip 않은 경우 음성 트래픽이 드롭됩니다.

주:

서버 거부 폴백은 VoIP VLAN 태그 트래픽에서 지원되지 않습니다. VoIP 클라이언트가 언타그드 데이터 트래픽을 VLAN으로 전송하여 인증을 시작한 반면 서버 거부 폴백(fallback)이 있는 경우, VoIP 클라이언트는 폴백 VLAN에 액세스할 수 있습니다. 동일한 클라이언트가 이후에 태그된 음성 트래픽을 전송하면 음성 트래픽은 삭제됩니다.

서버 거부 폴백이 적용된 동안 VoIP 클라이언트가 태그된 음성 트래픽을 전송하여 인증을 시작하면 VoIP 클라이언트는 폴백 VLAN에 대한 액세스가 거부됩니다.

다음 프로시저를 사용하여 데이터 클라이언트에 대한 서버 장애 조치를 구성할 수 있습니다. 음성 트래픽을 전송하는 VoIP 클라이언트에 대해 서버 장애 폴백을 구성하기 위해 명령문 대신 server-fail-voip 명령문을 server-fail 사용하여

서버 장애 폴백 작업을 구성하는 경우:

  • 서버 타임아웃이 발생하는 경우(최종 디바이스가 RADIUS 있는 경우 서플리런트에서 RADIUS LAN으로 트래픽이 전송하도록 인터페이스를 RADIUS):
  • 엔드 디바이스에서 LAN으로 트래픽 흐름을 방지하도록 인터페이스를 구성합니다(엔드 디바이스가 인증에 실패하고 RADIUS 서버의 액세스가 거부된 경우):
  • 서버 타임아웃이 발생하면 엔드 디바이스를 특정 VLAN으로 RADIUS 인터페이스를 구성합니다.
  • 재인식 동안 타임아웃이 RADIUS 경우 이미 연결된 엔드 디바이스를 재인식으로 인식하도록 인터페이스를 구성합니다(새 엔드 디바이스는 액세스가 거부됨):

인증 서버에서 RADIUS 액세스 거부 메시지를 수신하는 인터페이스를 구성하여 인터페이스에서 LAN 액세스를 시도하는 최종 디바이스를 스위치에 이미 구성된 특정 VLAN인 서버 거부 VLAN으로 이동할 수 있습니다.

서버를 구성하기 위해 폴백 VLAN 거부:

출시 내역 표
릴리스
설명
14.1X53-D40
Server Fail Fallback은 Release 14.1X53-D40 및 Release)에서 시작하는 음성 트래픽에 15.1R4.