Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
이 페이지에서
 

인증을 위한 RADIUS 서버 구성

주니퍼 네트웍스 이더넷 스위치 802.1X, MAC RADIUS 또는 캡티브 포털 인증을 사용하여 디바이스 또는 사용자에게 액세스 제어를 제공합니다. 스위치에서 802.1X, MAC RADIUS 또는 캡티브 포털 인증이 구성되면, 최종 디바이스는 인증(RADIUS) 서버에 의해 초기 연결에서 평가됩니다. 802.1X 또는 MAC RADIUS 인증을 사용하려면 연결할 각 RADIUS 서버의 스위치 연결을 지정해야 합니다. 자세한 내용은 이 주제를 읽어보십시오.

스위치에서 RADIUS 서버 연결 지정(CLI 절차)

IEEE 802.1X 및 MAC RADIUS 인증은 모두 네트워크 에지 보안을 제공하며, 신청자의 자격 증명 또는 MAC 주소 (RADIUS 서버)에 제시되고 일치 authentication server 할 때까지 인터페이스의 디바이스에서 모든 트래픽을 차단하여 무단 사용자 액세스로부터 이더넷 LAN을 보호합니다. 신청자가 인증되면 스위치가 액세스를 차단하는 것을 멈추고 신청자에게 인터페이스를 엽니다.

802.1X 또는 MAC RADIUS 인증을 사용하려면 연결할 각 RADIUS 서버의 스위치 연결을 지정해야 합니다.

여러 RADIUS 서버를 구성하려면 여러 radius-server 개의 문을 포함합니다. 여러 서버가 구성되면 기본적으로 서버가 구성 순서대로 액세스합니다. 구성된 첫 번째 서버는 기본 서버입니다. 기본 서버에 연결할 수 없는 경우 라우터는 구성된 두 번째 서버 등에 도달하려고 시도합니다. 라운드 로빈 방법을 구성하여 요청을 로드밸런시할 수 있습니다. 서버는 서버 중 하나에서 유효한 응답을 수신하거나 구성된 모든 재시도 제한에 도달할 때까지 순서대로 라운드 로빈 방식으로 시도됩니다.

주:

EX 시리즈 스위치에는 라운드 로빈 액세스 방법이 권장되지 않습니다.

하나 이상의 IP 주소로 확인되는 정규화된 도메인 이름(FQDN)을 구성할 수도 있습니다. 을(를) 참조하십시오 스위치에서 RADIUS 서버 연결 지정(CLI 절차).

스위치에서 RADIUS 서버를 구성하려면 다음을 수행합니다.

  1. RADIUS 서버의 IP 주소, RADIUS 서버 인증 포트 번호 및 비밀번호를 구성합니다. 스위치의 암호는 서버의 암호와 일치해야 합니다.
    주:

    인증 포트 지정은 선택 사항이며 포트 1812는 기본값입니다. 그러나 일부 RADIUS 서버가 이전 기본값을 참조하여 혼동을 방지하도록 구성하는 것이 좋습니다.

  2. (선택 사항) 스위치가 RADIUS 서버로 식별되는 IP 주소를 지정합니다. IP 주소를 지정하지 않으면 RADIUS 서버는 RADIUS 요청을 보내는 인터페이스 주소를 사용합니다. 요청이 대체 경로에서 RADIUS 서버로 전환되는 경우 요청을 릴레이하는 인터페이스가 스위치의 인터페이스가 아닐 수 있으므로 이 IP 주소를 지정하는 것이 좋습니다.
  3. 인증 순서를 구성하여 첫 번째 인증 방법을 만듭니다 radius .
  4. (선택 사항) 여러 서버가 구성될 때 라우터가 RADIUS 인증 및 어카운팅 서버에 액세스하는 데 사용하는 방법을 구성합니다.

    • direct-로드 밸런싱이 없는 기본 방법. 구성된 첫 번째 서버는 기본 서버입니다. 서버는 구성 순서대로 액세스할 수 있습니다. 기본 서버에 연결할 수 없는 경우 라우터는 구성된 두 번째 서버 등에 도달하려고 시도합니다.

    • round-robin—구성된 RADIUS 서버 목록 중 라우터 요청을 회전시켜 로드 밸런싱을 제공하는 방법. 액세스를 위해 선택한 서버는 마지막으로 사용된 서버에 따라 회전합니다. 목록의 첫 번째 서버는 첫 번째 인증 요청의 기본 서버로 취급되지만, 두 번째 요청의 경우 구성된 두 번째 서버가 기본 서버로 처리됩니다. 이 방법을 사용하면 구성된 모든 서버가 평균적으로 거의 동일한 수의 요청을 수신하므로 단일 서버가 모든 요청을 처리할 필요가 없습니다.

      주:

      라운드 로빈 목록의 RADIUS 서버에 연결할 수 없게 되면 라운드 로빈 목록의 다음으로 도달 가능한 서버가 현재 요청에 사용됩니다. 동일한 서버는 사용 가능한 서버 목록의 맨 위에 있으므로 다음 요청에도 사용됩니다. 결과적으로, 서버 장애 후 사용되는 서버가 두 서버의 부하를 차지합니다.

    • 라우터가 RADIUS 계정 서버에 액세스하는 데 사용하는 방법을 구성하려면 다음을 수행합니다.

    • 라우터가 RADIUS 인증 서버에 액세스하는 데 사용하는 방법을 구성하려면 다음을 수행합니다.

  5. 프로필을 생성하고 프로필과 연관될 RADIUS 서버 목록을 지정합니다. 예를 들어, 도시별로 RADIUS 서버를 그룹화할 수 있습니다. 이 기능을 사용하면 다른 전송 인증 서버로 변경하려는 경우 손쉽게 수정할 수 있습니다.
  6. 프로필 이름을 식별하여 802.1X 또는 MAC RADIUS 인증에 사용할 서버 그룹을 지정합니다.
  7. RADIUS 서버의 클라이언트 목록에서 스위치의 IP 주소를 구성합니다. RADIUS 서버 구성에 대한 자세한 내용은 서버 설명서를 참조하십시오.

FQDN을 사용하여 RADIUS 서버 구성

하나 이상의 IP 주소로 확인되는 정규화된 도메인 이름(FQDN)을 구성할 수 있습니다. [edit access radius-server-name hostname] 계층 수준에서 FQDN을 사용하여 RADIUS 서버를 구성합니다. FQDN이 여러 주소로 확인되면 서버는 기본적으로 구성 순서대로 액세스합니다. 첫 번째 해결된 주소는 기본 서버입니다. 기본 서버에 연결할 수 없는 경우 라우터는 두 번째 서버 등에 도달하려고 시도합니다. 라운드 로빈 방법을 구성하여 요청을 로드밸런시할 수 있습니다. 서버는 서버 중 하나에서 유효한 응답을 수신하거나 구성된 모든 재시도 제한에 도달할 때까지 순서대로 라운드 로빈 방식으로 시도됩니다.

  1. RADIUS 서버의 FQDN, RADIUS 서버 인증 포트 번호 및 비밀번호를 구성합니다. 스위치의 암호는 서버의 암호와 일치해야 합니다.
    주:

    인증 포트 지정은 선택 사항이며 포트 1812는 기본값입니다. 그러나 일부 RADIUS 서버가 이전 기본값을 참조하여 혼동을 방지하도록 구성하는 것이 좋습니다.

  2. (선택 사항) FQDN을 서버 주소로 해결하기 위한 간격을 구성합니다. FQDN은 구성된 값을 기준으로 고정된 간격으로 동적으로 해결됩니다.
  3. (선택 사항) 스위치가 RADIUS 서버로 식별되는 IP 주소를 지정합니다. IP 주소를 지정하지 않으면 RADIUS 서버는 RADIUS 요청을 보내는 인터페이스 주소를 사용합니다. 요청이 대체 경로에서 RADIUS 서버로 전환되는 경우 요청을 릴레이하는 인터페이스가 스위치의 인터페이스가 아닐 수 있으므로 이 IP 주소를 지정하는 것이 좋습니다.
  4. 인증 순서를 구성하여 첫 번째 인증 방법을 만듭니다 radius .
  5. (선택 사항) 여러 서버가 구성될 때 스위치가 RADIUS 인증 및 어카운팅 서버에 액세스하는 데 사용하는 방법을 구성합니다.

    • direct-로드 밸런싱이 없는 기본 방법. 구성된 첫 번째 서버는 기본 서버입니다. 서버는 구성 순서대로 액세스할 수 있습니다. 기본 서버에 연결할 수 없는 경우 라우터는 구성된 두 번째 서버 등에 도달하려고 시도합니다.

    • round-robin—구성된 RADIUS 서버 목록 중 요청을 회전시켜 로드 밸런싱을 제공하는 방법. 액세스를 위해 선택한 서버는 마지막으로 사용된 서버에 따라 회전합니다. 목록의 첫 번째 서버는 첫 번째 인증 요청의 기본 서버로 취급되지만, 두 번째 요청의 경우 구성된 두 번째 서버가 기본 서버로 처리됩니다. 이 방법을 사용하면 구성된 모든 서버가 평균적으로 거의 동일한 수의 요청을 수신하므로 단일 서버가 모든 요청을 처리할 필요가 없습니다.

      주:

      라운드 로빈 목록의 RADIUS 서버에 연결할 수 없게 되면 라운드 로빈 목록의 다음으로 도달 가능한 서버가 현재 요청에 사용됩니다. 동일한 서버는 사용 가능한 서버 목록의 맨 위에 있으므로 다음 요청에도 사용됩니다. 결과적으로, 서버 장애 후 사용되는 서버가 두 서버의 부하를 차지합니다.

    • 스위치가 RADIUS 계정 서버에 액세스하는 데 사용하는 방법을 구성하려면 다음을 수행합니다.

    • 스위치가 RADIUS 인증 서버에 액세스하는 데 사용하는 방법을 구성하려면 다음을 수행합니다.

  6. 프로필을 생성하고 프로필과 연관될 RADIUS 서버 목록을 지정합니다. 예를 들어, 도시별로 RADIUS 서버를 그룹화할 수 있습니다. 이 기능을 사용하면 다른 인증 서버 집합으로 변경하려는 경우 손쉽게 수정할 수 있습니다.
  7. 프로필 이름을 식별하여 802.1X 또는 MAC RADIUS 인증에 사용할 서버 그룹을 지정합니다.
  8. RADIUS 서버의 클라이언트 목록에서 스위치의 IP 주소를 구성합니다. RADIUS 서버 구성에 대한 자세한 내용은 서버 설명서를 참조하십시오.

참조

세션 인식 라운드 로빈 RADIUS 요청 이해

릴리스 22.4R1 Junos OS 시작해서 인증(authd) 서비스는 라운드 로빈 알고리즘이 구성되면 세션을 인식하여 해당 액세스 요청이 RADIUS 서버의 액세스 문제에 대응하여 동일한 RADIUS 서버로 전송되므로 성공적으로 인증됩니다.

기존 동작에 따라 RADIUS 서버 중 하나에서 액세스 도전과 상태 속성을 받으면 해당 액세스 요청은 라운드 로빈 알고리즘을 사용하여 다음 RADIUS 서버로 전송됩니다. 다음 RADIUS 서버는 이 세션에 대한 레코드가 없으므로 인증 실패를 초래하는 액세스 요청을 거부합니다. 새로운 기능으로, 해당 알고리즘은 각 액세스 요청이 RADIUS 서버의 액세스 과제에 대응하여 동일한 RADIUS 서버로 전송되도록 구성되며, 이로 인해 인증이 성공적으로 수행됩니다. RADIUS 서버가 액세스 과제에 대응하지 않으면 요청을 수락하거나 거부합니다. 다음 인증 요청의 경우 라운드 로빈 방식에 따라 요청이 다음 RADIUS 서버로 전송됩니다. 각 액세스 요청에 대한 응답으로 RADIUS 서버에서 여러 가지 액세스 문제를 전송할 수 있으며, RADIUS 서버에서 요청을 수락하거나 거부할 때까지 동일한 RADIUS 서버에 대한 엄격한 응답을 받을 수 있습니다.

이 기능은 광대역 클라이언트에서 지원되지 않기 때문에 PPP(Point-to-Point Protocol)를 사용하는 광대역 클라이언트가 아닌 authd-lite 클라이언트(dot1x 등)에서만 지원됩니다. 또한 액세스 도전 메시지는 accounting이 아닌 인증 경우에만 클라이언트와 RADIUS 서버 간에 RADIUS 교환됩니다.

암호 변경 지원을 제공하도록 MS-CHAPv2 구성(CLI 절차)

EX 시리즈 스위치의 Junos OS 사용하여 Microsoft Corporation에서 MS-CHAPv2(Challenge Handshake Authentication Protocol version 2)를 구현하여 암호 변경 지원을 제공할 수 있습니다. 스위치에서 MS-CHAPv2를 구성하면 암호가 만료되거나 재설정되거나 다음 로그인 시 변경되도록 구성될 때 스위치에 액세스하는 사용자에게 암호 변경 옵션이 제공됩니다.

MS-CHAP에 대한 정보는 RFC 2433, Microsoft PPP CHAP 확장을 참조하십시오.

암호 변경 지원을 제공하도록 MS-CHAPv2를 구성하기 전에 다음을 확인하십시오.

MS-CHAPv2를 구성하려면 다음을 지정합니다.

암호를 변경하려면 스위치에 필요한 액세스 권한이 있어야 합니다.

참조

암호 변경 지원을 위한 MS-CHAPv2 구성

암호 변경 지원을 위해 MS-CHAPv2를 구성하기 전에 다음을 수행되었는지 확인하십시오.

  • 구성된 RADIUS 서버 인증 매개 변수.

  • 인증 순서에서 첫 번째 시도 옵션을 RADIUS 서버로 설정합니다.

암호 변경을 지원하도록 라우터 또는 스위치에서 Ms-CHAPv2(Challenge Handshake Authentication Protocol version 2)의 Microsoft 구현을 구성할 수 있습니다. 이 기능은 암호가 만료되거나 재설정되거나 다음 로그온 시 변경되도록 구성된 경우 라우터 또는 스위치에 액세스하는 사용자에게 암호 변경 옵션을 제공합니다.

MS-CHAP-v2를 구성하려면 계층 수준에서 다음 문을 [edit system radius-options] 포함합니다.

다음 예는 MS-CHAPv2 암호 프로토콜, 암호 인증 순서 및 사용자 계정을 구성하기 위한 문을 보여줍니다.

스위치에서 서버 장애 복구 및 인증 이해하기

주니퍼 네트웍스 이더넷 스위치 인증을 사용하여 엔터프라이즈 네트워크에서 액세스 제어를 구현합니다. 스위치에서 802.1X, MAC RADIUS 또는 캡티브 포털 인증이 구성된 경우, 최종 디바이스는 인증(RADIUS) 서버에 의해 초기 연결에서 평가됩니다. 최종 디바이스가 인증 서버에 구성된 경우, 디바이스는 LAN에 대한 액세스 권한을 부여받으며 EX 시리즈 스위치는 액세스를 허용하는 인터페이스를 엽니다.

서버 장애 대체를 사용하면 RADIUS 인증 서버를 사용할 수 없는 경우 스위치에 연결된 종단 디바이스를 지원하는 방법을 지정할 수 있습니다. 이미 구성되고 사용 중인 RADIUS 서버에 액세스할 수 없게 되면 재인증 중에 서버 장애 복구가 가장 자주 트리거됩니다. 그러나 RADIUS 서버를 통해 인증 시 종단 디바이스의 첫 번째 시도에 의해 서버 장애 대체가 트리거될 수도 있습니다.

서버 장애 대체를 사용하면 서버 시간 초과 시 인증을 기다리는 최종 디바이스에 대해 수행할 네 가지 작업 중 하나를 지정할 수 있습니다. 스위치는 요청자에 대한 액세스를 수락하거나 거부하거나 RADIUS 시간 초과가 발생하기 전에 서플리컨트에게 이미 부여된 액세스를 유지할 수 있습니다. 서플리컨트를 특정 VLAN으로 이동하도록 스위치를 구성할 수도 있습니다. VLAN은 이미 스위치에 구성되어야 합니다. 구성된 VLAN 이름은 서버가 보낸 모든 속성을 재정의합니다.

  • Permit 마치 종단 디바이스가 RADIUS 서버에 의해 성공적으로 인증된 것처럼 인터페이스를 통해 트래픽이 종단 디바이스에서 플로우하도록 허용합니다.

  • Deny - 인증을 통해 최종 디바이스에서 인터페이스를 통해 트래픽이 유입되는 것을 방지합니다. 이것은 기본값입니다.

  • Move 스위치가 RADIUS 액세스 거부 메시지를 수신하면 지정된 VLAN에 대한 종단 디바이스를 확인할 수 있습니다. 구성된 VLAN 이름은 서버가 보낸 모든 속성을 재정의합니다. (VLAN은 스위치에 이미 존재해야 합니다.)

  • Sustain 인증된 최종 디바이스에 LAN 액세스와 deny 인증되지 않은 최종 디바이스가 있습니다. 재인증 중에 RADIUS 서버의 시간이 초과하면 이전에 인증된 최종 디바이스가 재인증되고 새로운 사용자가 LAN 액세스가 거부됩니다.

참조

RADIUS 서버 장애 복구 구성(CLI 절차)

인증 폴백 옵션을 구성하여 RADIUS 인증 서버를 사용할 수 없는 경우 스위치에 연결된 종단 디바이스를 지원하는 방법을 지정할 수 있습니다.

스위치에서 802.1X 또는 MAC RADIUS 인증을 설정할 때, 기본 인증 서버 및 하나 이상의 백업 인증 서버를 지정합니다. 스위치가 기본 인증 서버에 연결할 수 없고 보조 인증 서버도 연결할 수 없는 경우 RADIUS 서버 시간 초과가 발생합니다. 이 경우 인증을 기다리는 종단 디바이스에 대한 액세스를 부여하거나 거부하는 인증 서버이기 때문에 스위치는 LAN에 대한 액세스를 시도하는 종단 디바이스에 대한 액세스 지침을 수신하지 않으며 정상적인 인증을 완료할 수 없습니다.

인증 서버를 사용할 수 없을 때 스위치가 종단 디바이스에 적용하는 작업을 지정하도록 서버 장애 대체 기능을 구성할 수 있습니다. 스위치는 요청자에 대한 액세스를 수락하거나 거부하거나 RADIUS 시간 초과가 발생하기 전에 서플리컨트에게 이미 부여된 액세스를 유지할 수 있습니다. 서플리컨트를 특정 VLAN으로 이동하도록 스위치를 구성할 수도 있습니다.

인증 서버에서 RADIUS 액세스 거부 메시지를 수신하는 종단 디바이스의 서버 거부 폴백 기능을 구성할 수도 있습니다. 서버 거부 폴백 기능은 802.1X가 활성화되었지만 잘못된 자격 증명을 전송한 반응형 종단 디바이스의 경우 LAN(일반적으로 인터넷에만)에 대한 제한된 액세스를 제공합니다.

서버 장애 복구는 릴리스 14.1X53-D40 및 릴리스 15.1R4부터 시작하는 음성 트래픽에 대해 지원됩니다. 음성 트래픽을 전송하는 VoIP 클라이언트에 대한 서버 장애 대체 작업을 구성하려면 문을 사용합니다 server-fail-voip . 모든 데이터 트래픽에 대해 문을 사용합니다 server-fail . 스위치는 클라이언트가 보낸 트래픽 유형을 기반으로 사용할 폴백 방법을 결정합니다. 태그 처리되지 않은 데이터 프레임은 VoIP 클라이언트에 의해 전송되더라도 로 구성된 server-fail작업의 대상이 됩니다. 태그가 지정된 VoIP VLAN 프레임은 으로 구성된 작업의 적용을 받습니다 server-fail-voip. 구성되지 않은 경우 server-fail-voip 음성 트래픽이 누락됩니다.

주:

VoIP VLAN 태그 처리된 트래픽에 대해 서버 거부 폴백이 지원되지 않습니다. VoIP 클라이언트가 태그 처리되지 않은 데이터 트래픽을 VLAN으로 전송하여 인증을 시작하는 동안 서버 거부 폴백이 실제로 적용되면 VoIP 클라이언트는 폴백 VLAN에 액세스할 수 있습니다. 동일한 클라이언트가 이후에 태그 처리된 음성 트래픽을 전송하면 음성 트래픽이 손실됩니다.

VoIP 클라이언트가 태그 처리된 음성 트래픽을 전송하여 인증을 시작하는 경우 서버 거부 폴백이 효력을 발휘하는 동안 VoIP 클라이언트는 폴백 VLAN에 대한 액세스가 거부됩니다.

다음 절차를 사용하여 데이터 클라이언트에 대한 서버 장애 조치를 구성할 수 있습니다. 음성 트래픽을 전송하는 VoIP 클라이언트에 대한 서버 장애 복구를 구성하려면 문 대신 server-fail 문을 사용합니다server-fail-voip.

서버 장애 대체 작업을 구성하려면 다음을 수행합니다.

  • RADIUS 서버 시간 초과가 발생하면(마치 최종 디바이스가 RADIUS 서버에 의해 성공적으로 인증된 것처럼) 서플리컨트에서 LAN으로 트래픽이 흐를 수 있도록 인터페이스를 구성합니다.
  • 인터페이스를 구성하여 종단 디바이스에서 LAN으로의 트래픽 흐름을 방지합니다(마치 종단 디바이스가 인증에 실패하고 RADIUS 서버에 의해 액세스가 거부된 것처럼).
  • RADIUS 서버 시간 초과가 발생하면 종단 디바이스를 지정된 VLAN으로 이동하도록 인터페이스를 구성합니다.
  • 재인증 중에 RADIUS 시간 초과가 있는 경우 이미 연결된 종단 디바이스를 재인증된 것으로 인식하도록 인터페이스를 구성합니다(새 종단 디바이스에 대한 액세스가 거부됨).

인증 서버로부터 RADIUS access-reject 메시지를 수신하는 인터페이스를 구성하여 인터페이스에서 LAN 액세스를 시도하는 종단 디바이스를 스위치에 이미 구성된 특정 VLAN인 서버 거부 VLAN으로 이동할 수 있습니다.

서버 거부 폴백 VLAN을 구성하려면,

참조

관련 항목

출시 내역 표
릴리스
설명
14.1X53-D40
서버 장애 복구는 릴리스 14.1X53-D40 및 릴리스 15.1R4부터 시작하는 음성 트래픽에 대해 지원됩니다.