Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

인증을 위한 RADIUS 서버 구성

주니퍼 네트웍스 이더넷 스위치는 802.1X, MAC RADIUS 또는 캡티브 포털 인증을 사용하여 디바이스나 사용자에 대한 액세스 제어를 제공합니다. 스위치에 802.1X, MAC RADIUS 또는 캡티브 포털 인증이 구성된 경우, 초기 연결 시 인증(RADIUS) 서버에 의해 최종 디바이스가 평가됩니다. 802.1X 또는 MAC RADIUS 인증을 사용하려면 연결할 각 RADIUS 서버에 대해 스위치의 연결을 지정해야 합니다. 자세한 정보를 보려면 이 주제를 읽어보십시오.

스위치에서 RADIUS 서버 연결 지정(CLI 절차)

IEEE 802.1X 및 MAC RADIUS 인증은 모두 네트워크 에지 보안을 제공하여 요청자의 자격 증명 또는 MAC 주소가 제시되고 (RADIUS 서버)에서 일치할 때까지 인터페이스에서 디바이스와 들어오고 나가는 모든 트래픽을 차단하여 무단 사용자 액세스로부터 이더넷 LAN authentication server 을 보호합니다. 신청자가 인증되면 스위치가 액세스를 차단하는 것을 멈추고 신청자 측 인터페이스가 열립니다.

802.1X 또는 MAC RADIUS 인증을 사용하려면 연결할 각 RADIUS 서버에 대해 스위치의 연결을 지정해야 합니다.

여러 개의 RADIUS 서버를 구성하려면 여러 개의 radius-server 문을 포함시킵니다. 여러 서버가 구성된 경우 기본적으로 구성 순서대로 서버에 액세스합니다. 구성된 첫 번째 서버가 주 서버입니다. 주 서버에 연결할 수 없는 경우 라우터는 구성된 두 번째 서버에 연결을 시도합니다. 라운드 로빈(round-robin) 방법을 구성하여 요청의 부하를 분산할 수 있습니다. 서버는 서버 중 하나에서 유효한 응답을 받거나 구성된 모든 재시도 제한에 도달할 때까지 라운드 로빈 방식으로 순서대로 시도됩니다.

주:

라운드 로빈 액세스 방법은 EX 시리즈 스위치와 함께 사용하는 것을 권장하지 않습니다.

하나 이상의 IP 주소로 확인되는 FQDN(정규화된 도메인 이름)을 구성할 수도 있습니다. 스위치에서 RADIUS 서버 연결 지정(CLI 절차)을(를) 참조하세요.

스위치에서 RADIUS 서버를 구성하는 방법:

  1. RADIUS 서버의 IP 주소, RADIUS 서버 인증 포트 번호 및 암호를 구성합니다. 스위치의 암호는 서버의 암호와 일치해야 합니다.
    주:

    인증 포트 지정은 선택 사항이며 포트 1812가 기본값입니다. 그러나 일부 RADIUS 서버가 이전 기본값을 참조할 수 있으므로 혼동을 피하기 위해 구성하는 것이 좋습니다.

  2. (선택 사항) RADIUS 서버에서 스위치를 식별하는 IP 주소를 지정합니다. IP 주소를 지정하지 않으면 RADIUS 서버는 RADIUS 요청을 보내는 인터페이스의 주소를 사용합니다. 요청이 RADIUS 서버로의 대체 경로에서 우회되는 경우 요청을 전달하는 인터페이스가 스위치의 인터페이스가 아닐 수 있으므로 이 IP 주소를 지정하는 것이 좋습니다.
  3. 인증 순서를 구성하여 radius을(를) 첫 번째 인증 방법으로 설정합니다.
  4. (선택 사항) 여러 서버가 구성된 경우 라우터가 RADIUS 인증 및 어카운팅 서버에 액세스하는 데 사용하는 방법을 구성합니다.
    • direct- 로드 밸런싱이 없는 기본 방법입니다. 구성된 첫 번째 서버는 주 서버입니다. 서버는 구성 순서대로 액세스됩니다. 주 서버에 연결할 수 없는 경우 라우터는 구성된 두 번째 서버에 연결을 시도합니다.

    • round-robin- 구성된 RADIUS 서버 목록 간에 라우터 요청을 순환하여 로드 밸런싱을 제공하는 방법입니다. 액세스를 위해 선택한 서버는 마지막으로 사용된 서버에 따라 회전됩니다. 목록의 첫 번째 서버는 첫 번째 인증 요청에 대해 기본 서버로 처리되지만, 두 번째 요청의 경우 구성된 두 번째 서버는 기본 서버로 처리됩니다. 이 방법을 사용하면 구성된 모든 서버가 평균적으로 거의 동일한 수의 요청을 수신하므로 단일 서버가 모든 요청을 처리할 필요가 없습니다.

      주:

      라운드 로빈 목록의 RADIUS 서버에 연결할 수 없게 되면 라운드 로빈 목록의 다음 연결 가능한 서버가 현재 요청에 사용됩니다. 동일한 서버가 사용 가능한 서버 목록의 맨 위에 있기 때문에 다음 요청에도 사용됩니다. 따라서 서버 오류가 발생한 후 사용되는 서버가 두 서버의 부하를 차지합니다.

    • 라우터가 RADIUS 계정 서버에 액세스하는 데 사용하는 방법을 구성하려면 다음을 수행합니다.

    • 라우터가 RADIUS 인증 서버에 액세스하는 데 사용하는 방법을 구성하려면 다음을 수행합니다.

  5. 프로파일을 생성하고 프로파일과 연결할 RADIUS 서버 목록을 지정합니다. 예를 들어 RADIUS 서버를 도시별로 지리적으로 그룹화하도록 선택할 수 있습니다. 이 기능을 사용하면 다른 인증 서버로 변경하려고 할 때마다 쉽게 수정할 수 있습니다.
  6. 프로파일 이름을 식별하여 802.1X 또는 MAC RADIUS 인증에 사용할 서버 그룹을 지정합니다.
  7. RADIUS 서버의 클라이언트 목록에서 스위치의 IP 주소를 구성합니다. RADIUS 서버 구성에 대한 자세한 내용은 서버 설명서를 참조하십시오.

FQDN을 사용하여 RADIUS 서버 구성

하나 이상의 IP 주소로 확인되는 FQDN(정규화된 도메인 이름)을 구성할 수 있습니다. [edit access radius-server-name hostname] 계층 수준에서 FQDN을 사용하여 RADIUS 서버를 구성합니다. FQDN이 여러 주소로 확인되면 기본적으로 구성 순서대로 서버에 액세스합니다. 첫 번째로 확인된 주소는 주 서버입니다. 주 서버에 연결할 수 없는 경우 라우터는 두 번째 서버에 연결을 시도합니다. 라운드 로빈(round-robin) 방법을 구성하여 요청의 부하를 분산할 수 있습니다. 서버는 서버 중 하나에서 유효한 응답을 받거나 구성된 모든 재시도 제한에 도달할 때까지 라운드 로빈 방식으로 순서대로 시도됩니다.

  1. RADIUS 서버의 FQDN, RADIUS 서버 인증 포트 번호 및 암호를 구성합니다. 스위치의 암호는 서버의 암호와 일치해야 합니다.
    주:

    인증 포트 지정은 선택 사항이며 포트 1812가 기본값입니다. 그러나 일부 RADIUS 서버가 이전 기본값을 참조할 수 있으므로 혼동을 피하기 위해 구성하는 것이 좋습니다.

  2. (선택 사항) FQDN을 서버 주소로 확인하는 간격을 구성합니다. FQDN은 구성된 값에 따라 고정된 간격으로 동적으로 확인됩니다.
  3. (선택 사항) RADIUS 서버에서 스위치를 식별하는 IP 주소를 지정합니다. IP 주소를 지정하지 않으면 RADIUS 서버는 RADIUS 요청을 보내는 인터페이스의 주소를 사용합니다. 요청이 RADIUS 서버로의 대체 경로에서 우회되는 경우 요청을 전달하는 인터페이스가 스위치의 인터페이스가 아닐 수 있으므로 이 IP 주소를 지정하는 것이 좋습니다.
  4. 인증 순서를 구성하여 radius을(를) 첫 번째 인증 방법으로 설정합니다.
  5. (선택 사항) 여러 서버가 구성된 경우 스위치가 RADIUS 인증 및 계정 서버에 액세스하는 데 사용하는 방법을 구성합니다.
    • direct- 로드 밸런싱이 없는 기본 방법입니다. 구성된 첫 번째 서버는 주 서버입니다. 서버는 구성 순서대로 액세스됩니다. 주 서버에 연결할 수 없는 경우 라우터는 구성된 두 번째 서버에 연결을 시도합니다.

    • round-robin- 구성된 RADIUS 서버 목록 간에 요청을 순환하여 로드 밸런싱을 제공하는 방법입니다. 액세스를 위해 선택한 서버는 마지막으로 사용된 서버에 따라 회전됩니다. 목록의 첫 번째 서버는 첫 번째 인증 요청에 대해 기본 서버로 처리되지만, 두 번째 요청의 경우 구성된 두 번째 서버는 기본 서버로 처리됩니다. 이 방법을 사용하면 구성된 모든 서버가 평균적으로 거의 동일한 수의 요청을 수신하므로 단일 서버가 모든 요청을 처리할 필요가 없습니다.

      주:

      라운드 로빈 목록의 RADIUS 서버에 연결할 수 없게 되면 라운드 로빈 목록의 다음 연결 가능한 서버가 현재 요청에 사용됩니다. 동일한 서버가 사용 가능한 서버 목록의 맨 위에 있기 때문에 다음 요청에도 사용됩니다. 따라서 서버 오류가 발생한 후 사용되는 서버가 두 서버의 부하를 차지합니다.

    • 스위치가 RADIUS 계정 서버에 액세스하는 데 사용하는 방법을 구성하려면,

    • 스위치가 RADIUS 인증 서버에 액세스하는 데 사용하는 방법을 구성하려면,

  6. 프로파일을 생성하고 프로파일과 연결할 RADIUS 서버 목록을 지정합니다. 예를 들어 RADIUS 서버를 도시별로 지리적으로 그룹화하도록 선택할 수 있습니다. 이 기능을 사용하면 다른 인증 서버 집합으로 변경하려고 할 때마다 쉽게 수정할 수 있습니다.
  7. 프로파일 이름을 식별하여 802.1X 또는 MAC RADIUS 인증에 사용할 서버 그룹을 지정합니다.
  8. RADIUS 서버의 클라이언트 목록에서 스위치의 IP 주소를 구성합니다. RADIUS 서버 구성에 대한 자세한 내용은 서버 설명서를 참조하십시오.

세션 인식 라운드 로빈 RADIUS 요청 이해

Junos OS 릴리스 22.4R1부터 인증(인증) 서비스는 라운드 로빈 알고리즘이 구성될 때 세션을 인식하므로 RADIUS 서버의 액세스 챌린지에 대한 응답으로 해당 액세스 요청이 동일한 RADIUS 서버로 전송되어 인증에 성공합니다.

기존 동작에 따라 RADIUS 서버 중 하나에서 액세스 챌린지 및 상태 속성을 수신하면 해당 액세스 요청이 라운드 로빈 알고리즘을 사용하여 다음 RADIUS 서버로 전송됩니다. 다음 RADIUS 서버에는 이 세션의 레코드가 없으므로 액세스 요청을 거부하여 인증이 실패합니다. 새로운 기능을 사용하면 RADIUS 서버의 액세스 챌린지에 대한 응답으로 해당 액세스 요청이 동일한 RADIUS 서버로 전송되도록 해당 알고리즘이 구성되며, 그 결과 인증이 성공합니다. RADIUS 서버가 액세스 챌린지로 응답하지 않으면 요청을 수락하거나 거부합니다. 다음 인증 요청의 경우 요청은 라운드 로빈 방법에 따라 다음 RADIUS 서버로 전송됩니다. 각 액세스 요청에 대한 응답으로 RADIUS 서버에서 원하는 수의 액세스 챌린지를 전송할 수 있으며, RADIUS 서버에서 요청을 수락 또는 거부할 때까지 인증이 동일한 RADIUS 서버에 응답합니다.

이 기능은 인증된 라이트 클라이언트(dot1x 등)에서만 지원되며 광대역 클라이언트에서는 지원되지 않으므로 PPP(Point-to-Point Protocol)를 사용하는 광대역 클라이언트에는 지원되지 않습니다. 또한 액세스 챌린지 메시지는 인증의 경우에만 RADIUS 클라이언트와 RADIUS 서버 간에 교환되며 계정은 교환되지 않습니다.

암호 변경 지원을 제공하도록 MS-CHAPv2 구성(CLI 절차)

EX 시리즈 스위치용 Junos OS를 사용하면 스위치에 MS-CHAPv2(Challenge Handshake Authentication Protocol version 2)의 Microsoft Corporation 구현을 구성하여 암호 변경 지원을 제공할 수 있습니다. 스위치에서 MS-CHAPv2를 구성하면 암호가 만료되거나, 재설정되거나, 다음 로그인 시 변경되도록 구성된 경우 스위치에 액세스하는 사용자에게 암호를 변경할 수 있는 옵션이 제공됩니다.

MS-CHAP에 대한 자세한 내용은 RFC 2433, Microsoft PPP CHAP 확장을 참조하십시오.

암호 변경 지원을 제공하도록 MS-CHAPv2를 구성하려면 다음을 수행해야 합니다.

MS-CHAPv2를 구성하려면 다음을 지정합니다.

암호를 변경하려면 스위치에 대한 필수 액세스 권한이 있어야 합니다.

암호 변경 지원을 위한 MS-CHAPv2 구성

암호 변경 지원을 위해 MS-CHAPv2를 구성하려면 먼저 다음을 수행해야 합니다.

  • 구성된 RADIUS 서버 인증 매개 변수.

  • 인증 순서에서 첫 번째 시도 옵션을 RADIUS 서버로 설정합니다.

암호 변경을 지원하도록 라우터 또는 스위치에서 MS-CHAPv2(Microsoft의 Challenge Handshake Authentication Protocol 버전 2 구현)를 구성하여 암호 변경을 지원할 수 있습니다. 이 기능은 라우터나 스위치에 액세스하는 사용자에게 암호가 만료되거나, 다시 설정되거나, 다음 로그온 시 변경되도록 구성된 경우 암호를 변경할 수 있는 옵션을 제공합니다.

MS-CHAP-v2를 구성하려면 [edit system radius-options] 계층 수준에서 다음 문을 포함합니다.

다음 예는 MS-CHAPv2 암호 프로토콜, 암호 인증 순서, 사용자 계정을 구성하기 위한 문을 보여줍니다.

스위치의 서버 장애 복구 및 인증에 대한 이해

주니퍼 네트웍스 이더넷 스위치는 인증을 사용하여 엔터프라이즈 네트워크에서 액세스 제어를 구현합니다. 스위치에 802.1X, MAC RADIUS 또는 캡티브 포털 인증이 구성된 경우, 초기 연결 시 인증(RADIUS) 서버에 의해 최종 디바이스가 평가됩니다. 최종 디바이스가 인증 서버에 구성된 경우, 디바이스는 LAN에 대한 액세스 권한이 부여되고 EX 시리즈 스위치는 액세스를 허용하기 위해 인터페이스를 엽니다.

서버 장애 폴백을 사용하면 RADIUS 인증 서버를 사용할 수 없게 된 경우 스위치에 연결된 최종 디바이스가 지원되는 방식을 지정할 수 있습니다. 서버 장애 복구는 이미 구성되어 사용 중인 RADIUS 서버에 액세스할 수 없게 될 때 재인증 중에 가장 자주 트리거됩니다. 그러나 RADIUS 서버를 통한 최종 디바이스의 첫 번째 인증 시도에 의해서도 서버 장애 대체가 트리거될 수 있습니다.

서버 장애 대체 기능을 사용하면 서버 시간이 초과되었을 때 인증을 기다리는 최종 디바이스에 대해 수행할 네 가지 작업 중 하나를 지정할 수 있습니다. 스위치는 서플리컨트에 대한 액세스를 수락 또는 거부하거나 RADIUS 시간 초과가 발생하기 전에 서플리컨트에게 이미 부여된 액세스 권한을 유지할 수 있습니다. 서플리컨트를 특정 VLAN으로 이동하도록 스위치를 구성할 수도 있습니다. 스위치에 VLAN이 이미 구성되어 있어야 합니다. 구성된 VLAN 이름은 서버에서 보낸 모든 속성보다 우선합니다.

  • Permit 인증을 통해 마치 종단 디바이스가 RADIUS 서버에 의해 성공적으로 인증된 것처럼 트래픽이 인터페이스를 통해 엔드 디바이스에서 흐르도록 허용합니다.

  • Deny 인증을 통해 트래픽이 최종 디바이스에서 인터페이스를 통해 흐르는 것을 방지합니다. 이는 기본 설정입니다.

  • Move 스위치가 RADIUS 액세스 거부 메시지를 수신하는 경우 최종 디바이스를 지정된 VLAN으로 전송합니다. 구성된 VLAN 이름은 서버에서 보낸 모든 속성보다 우선합니다. (VLAN이 스위치에 이미 존재해야 합니다.)

  • Sustain 이미 LAN 액세스 권한이 있는 인증된 최종 디바이스와 deny 인증되지 않은 엔드 디바이스. 재인증 중에 RADIUS 서버의 시간이 초과되면 이전에 인증된 종단 디바이스가 재인증되고 새 사용자의 LAN 액세스가 거부됩니다.

RADIUS 서버 실패 폴백 구성(CLI 절차)

인증 폴백 옵션을 구성하여 RADIUS 인증 서버를 사용할 수 없게 된 경우 스위치에 연결된 최종 디바이스가 지원되는 방식을 지정할 수 있습니다.

스위치에서 802.1X 또는 MAC RADIUS 인증을 설정할 때 기본 인증 서버 및 하나 이상의 백업 인증 서버를 지정합니다. 스위치가 기본 인증 서버에 연결할 수 없고 보조 인증 서버도 연결할 수 없는 경우 RADIUS 서버 시간 초과가 발생합니다. 이 경우 인증 대기 중인 최종 디바이스에 대한 액세스를 허용하거나 거부하는 것은 인증 서버이기 때문에 스위치는 LAN에 액세스를 시도하는 최종 디바이스에 대한 액세스 지침을 수신하지 않으며 정상적인 인증을 완료할 수 없습니다.

서버 장애 복구 기능을 구성하여 인증 서버를 사용할 수 없을 때 스위치가 최종 디바이스에 적용하는 작업을 지정할 수 있습니다. 스위치는 서플리컨트에 대한 액세스를 수락 또는 거부하거나 RADIUS 시간 초과가 발생하기 전에 서플리컨트에게 이미 부여된 액세스 권한을 유지할 수 있습니다. 서플리컨트를 특정 VLAN으로 이동하도록 스위치를 구성할 수도 있습니다.

인증 서버로부터 RADIUS 액세스 거부 메시지를 수신하는 최종 디바이스에 대해 서버 거부 폴백 기능을 구성할 수도 있습니다. 서버 거부 폴백 기능은 802.1X를 지원하지만 잘못된 자격 증명을 전송한 응답형 종단 디바이스에 대해 LAN(일반적으로 인터넷에만)에 대한 제한된 액세스를 제공합니다.

서버 장애 복구는 릴리스 14.1X53-D40 및 릴리스 15.1R4부터 음성 트래픽에 대해 지원됩니다. 음성 트래픽을 전송하는 VoIP 클라이언트에 대한 서버 장애 대체 작업을 구성하려면 문을 사용합니다 server-fail-voip . 모든 데이터 트래픽에 server-fail 대해 문을 사용합니다. 스위치는 클라이언트가 전송한 트래픽 유형에 따라 사용할 폴백 방법을 결정합니다. 태그가 지정되지 않은 데이터 프레임은 VoIP 클라이언트에 의해 전송되더라도 로 server-fail구성된 작업의 적용을 받습니다. 태그가 지정된 VoIP VLAN 프레임은 로 server-fail-voip구성된 작업의 적용을 받습니다. 이(가) 구성되지 않은 경우 server-fail-voip 음성 트래픽이 삭제됩니다.

주:

VoIP VLAN 태그가 지정된 트래픽에 대해서는 서버 거부 대체가 지원되지 않습니다. 서버 거부 폴백이 적용되는 동안 VoIP 클라이언트가 태그 없는 데이터 트래픽을 VLAN으로 전송하여 인증을 시작하면 VoIP 클라이언트는 폴백 VLAN에 액세스할 수 있습니다. 이후에 동일한 클라이언트가 태그가 지정된 음성 트래픽을 전송하면 음성 트래픽이 삭제됩니다.

서버 거부 폴백이 적용되는 동안 VoIP 클라이언트가 태그가 지정된 음성 트래픽을 전송하여 인증을 시작하면 VoIP 클라이언트는 폴백 VLAN에 대한 액세스가 거부됩니다.

다음 절차에 따라 데이터 클라이언트에 대한 서버 실패 동작을 구성할 수 있습니다. 음성 트래픽을 전송하는 VoIP 클라이언트에 대한 서버 장애 대체를 구성하려면 문 대신 server-fail 문을 사용합니다server-fail-voip.

서버 장애 복구 작업을 구성하려면 다음을 수행합니다.

  • RADIUS 서버 시간 초과가 발생하는 경우(마치 최종 디바이스가 RADIUS 서버에 의해 성공적으로 인증된 것처럼) 서플리컨트에서 LAN으로 트래픽이 흐를 수 있도록 인터페이스를 구성합니다.
  • 엔드 디바이스에서 LAN으로의 트래픽 플로우를 방지하도록 인터페이스를 구성합니다(마치 엔드 디바이스가 인증에 실패하고 RADIUS 서버의 액세스가 거부된 것처럼).
  • RADIUS 서버 시간 초과가 발생할 경우 최종 디바이스를 지정된 VLAN으로 이동하도록 인터페이스를 구성합니다.
  • 재인증 중 RADIUS 시간 초과가 있는 경우(새로운 종단 장치의 액세스가 거부됨) 이미 연결된 종단 장치를 재인증된 것으로 인식하도록 인터페이스를 구성합니다.

인증 서버로부터 RADIUS 액세스 거부 메시지를 수신하는 인터페이스를 구성하여 인터페이스에서 LAN 액세스를 시도하는 최종 디바이스를 스위치에 이미 구성된 지정된 VLAN인 서버 거부 VLAN으로 이동할 수 있습니다.

서버 거부 폴백 VLAN을 구성하려면 다음을 수행합니다.

변경 내역 표

기능 지원은 사용 중인 플랫폼과 릴리스에 따라 결정됩니다. Feature Explorer 를 사용하여 플랫폼에서 기능이 지원되는지 확인하세요.

릴리스
설명
14.1X53-D40
서버 장애 복구는 릴리스 14.1X53-D40 및 릴리스 15.1R4부터 음성 트래픽에 대해 지원됩니다.