서버 장애 복구 및 인증
802.1X, MAC RADIUS 및 캡티브 포털 인증에 대한 서버 장애 복구 메커니즘은 RADIUS 서버를 사용할 수 없게 되거나 액세스를 거부하는 경우 디바이스 상태가 처리되는 방식을 정의합니다.
스위치의 서버 장애 복구 및 인증에 대한 이해
주니퍼 네트웍스 이더넷 스위치는 인증을 사용하여 엔터프라이즈 네트워크에서 액세스 제어를 구현합니다. 스위치에 802.1X, MAC RADIUS 또는 캡티브 포털 인증이 구성된 경우, 초기 연결 시 인증(RADIUS) 서버에 의해 최종 디바이스가 평가됩니다. 최종 디바이스가 인증 서버에 구성된 경우, 디바이스는 LAN에 대한 액세스 권한이 부여되고 EX 시리즈 스위치는 액세스를 허용하기 위해 인터페이스를 엽니다.
서버 장애 폴백을 사용하면 RADIUS 인증 서버를 사용할 수 없게 된 경우 스위치에 연결된 최종 디바이스가 지원되는 방식을 지정할 수 있습니다. 서버 장애 복구는 이미 구성되어 사용 중인 RADIUS 서버에 액세스할 수 없게 될 때 재인증 중에 가장 자주 트리거됩니다. 그러나 RADIUS 서버를 통한 최종 디바이스의 첫 번째 인증 시도에 의해서도 서버 장애 대체가 트리거될 수 있습니다.
서버 장애 대체 기능을 사용하면 서버 시간이 초과되었을 때 인증을 기다리는 최종 디바이스에 대해 수행할 네 가지 작업 중 하나를 지정할 수 있습니다. 스위치는 서플리컨트에 대한 액세스를 수락 또는 거부하거나 RADIUS 시간 초과가 발생하기 전에 서플리컨트에게 이미 부여된 액세스 권한을 유지할 수 있습니다. 서플리컨트를 특정 VLAN으로 이동하도록 스위치를 구성할 수도 있습니다. 스위치에 VLAN이 이미 구성되어 있어야 합니다. 구성된 VLAN 이름은 서버에서 보낸 모든 속성보다 우선합니다.
Permit 인증을 통해 마치 종단 디바이스가 RADIUS 서버에 의해 성공적으로 인증된 것처럼 트래픽이 인터페이스를 통해 엔드 디바이스에서 흐르도록 허용합니다.
Deny 인증을 통해 트래픽이 최종 디바이스에서 인터페이스를 통해 흐르는 것을 방지합니다. 이는 기본 설정입니다.
Move 스위치가 RADIUS 액세스 거부 메시지를 수신하는 경우 최종 디바이스를 지정된 VLAN으로 전송합니다. 구성된 VLAN 이름은 서버에서 보낸 모든 속성보다 우선합니다. (VLAN이 스위치에 이미 존재해야 합니다.)
Sustain 이미 LAN 액세스 권한이 있는 인증된 최종 디바이스와 deny 인증되지 않은 엔드 디바이스. 재인증 중에 RADIUS 서버의 시간이 초과되면 이전에 인증된 종단 디바이스가 재인증되고 새 사용자의 LAN 액세스가 거부됩니다.
참조
RADIUS 서버 실패 폴백 구성(CLI 절차)
인증 폴백 옵션을 구성하여 RADIUS 인증 서버를 사용할 수 없게 된 경우 스위치에 연결된 최종 디바이스가 지원되는 방식을 지정할 수 있습니다.
스위치에서 802.1X 또는 MAC RADIUS 인증을 설정할 때 기본 인증 서버 및 하나 이상의 백업 인증 서버를 지정합니다. 스위치가 기본 인증 서버에 연결할 수 없고 보조 인증 서버도 연결할 수 없는 경우 RADIUS 서버 시간 초과가 발생합니다. 이 경우 인증 대기 중인 최종 디바이스에 대한 액세스를 허용하거나 거부하는 것은 인증 서버이기 때문에 스위치는 LAN에 액세스를 시도하는 최종 디바이스에 대한 액세스 지침을 수신하지 않으며 정상적인 인증을 완료할 수 없습니다.
서버 장애 복구 기능을 구성하여 인증 서버를 사용할 수 없을 때 스위치가 최종 디바이스에 적용하는 작업을 지정할 수 있습니다. 스위치는 서플리컨트에 대한 액세스를 수락 또는 거부하거나 RADIUS 시간 초과가 발생하기 전에 서플리컨트에게 이미 부여된 액세스 권한을 유지할 수 있습니다. 서플리컨트를 특정 VLAN으로 이동하도록 스위치를 구성할 수도 있습니다.
인증 서버로부터 RADIUS 액세스 거부 메시지를 수신하는 최종 디바이스에 대해 서버 거부 폴백 기능을 구성할 수도 있습니다. 서버 거부 폴백 기능은 802.1X를 지원하지만 잘못된 자격 증명을 전송한 응답형 종단 디바이스에 대해 LAN(일반적으로 인터넷에만)에 대한 제한된 액세스를 제공합니다.
서버 장애 복구는 릴리스 14.1X53-D40 및 릴리스 15.1R4부터 음성 트래픽에 대해 지원됩니다. 음성 트래픽을 전송하는 VoIP 클라이언트에 대한 서버 장애 대체 작업을 구성하려면 문을 사용합니다 server-fail-voip . 모든 데이터 트래픽에 server-fail 대해 문을 사용합니다. 스위치는 클라이언트가 전송한 트래픽 유형에 따라 사용할 폴백 방법을 결정합니다. 태그가 지정되지 않은 데이터 프레임은 VoIP 클라이언트에 의해 전송되더라도 로 server-fail구성된 작업의 적용을 받습니다. 태그가 지정된 VoIP VLAN 프레임은 로 server-fail-voip구성된 작업의 적용을 받습니다. 이(가) 구성되지 않은 경우 server-fail-voip 음성 트래픽이 삭제됩니다.
VoIP VLAN 태그가 지정된 트래픽에 대해서는 서버 거부 대체가 지원되지 않습니다. 서버 거부 폴백이 적용되는 동안 VoIP 클라이언트가 태그 없는 데이터 트래픽을 VLAN으로 전송하여 인증을 시작하면 VoIP 클라이언트는 폴백 VLAN에 액세스할 수 있습니다. 이후에 동일한 클라이언트가 태그가 지정된 음성 트래픽을 전송하면 음성 트래픽이 삭제됩니다.
서버 거부 폴백이 적용되는 동안 VoIP 클라이언트가 태그가 지정된 음성 트래픽을 전송하여 인증을 시작하면 VoIP 클라이언트는 폴백 VLAN에 대한 액세스가 거부됩니다.
다음 절차에 따라 데이터 클라이언트에 대한 서버 실패 동작을 구성할 수 있습니다. 음성 트래픽을 전송하는 VoIP 클라이언트에 대한 서버 장애 대체를 구성하려면 문 대신 server-fail 문을 사용합니다server-fail-voip.
서버 장애 복구 작업을 구성하려면 다음을 수행합니다.
인증 서버로부터 RADIUS 액세스 거부 메시지를 수신하는 인터페이스를 구성하여 인터페이스에서 LAN 액세스를 시도하는 최종 디바이스를 스위치에 이미 구성된 지정된 VLAN인 서버 거부 VLAN으로 이동할 수 있습니다.
서버 거부 폴백 VLAN을 구성하려면 다음을 수행합니다.
[edit protocols dot1x authenticator] user@switch# set interface interface-name server-reject-vlan vlan-sf
참조
서버 실패 세션을 재인증하기 위한 RADIUS 연결성 구성
인증 시도가 서버 장애 폴백을 트리거하면 최종 디바이스는 일정 시간 후에 인증을 다시 시도할 수 있습니다. 최종 디바이스가 재인증을 위해 대기해야 하는 기본 시간 간격은 60분입니다. 재인증 시간 간격은 CLI 문을 사용하여 reauthentication 구성할 수 있습니다.
재인증 타이머가 만료되기 전에 서버를 사용할 수 있게 될 수 있습니다. RADIUS 연결성 기능이 활성화되면 재인증 타이머가 만료될 때까지 기다리지 않고 서버에 연결할 수 있음을 감지하면 재인증을 트리거합니다. 세션이 서버 장애 복구로 이동하면 인증자는 해당 세션에 대한 인증을 시작하여 주기적으로 서버를 쿼리합니다. 인증자가 서버에 연결할 수 있음을 나타내는 응답을 받으면 모든 서버 실패 세션에 대한 인증을 시작합니다.
RADIUS 도달 가능성을 활성화하려면 인증자가 서버에 연결 가능성을 쿼리하는 빈도를 결정하는 쿼리 기간을 구성해야 합니다. 다음 명령을 사용하여 쿼리 기간을 구성합니다.
set protocols dot1x authenticator radius-reachability query-period
대기 기간은 쿼리 기간보다 짧아야 합니다. 대기 기간은 인증 시도가 실패한 후 인증을 재시도하기 전에 인터페이스가 대기 상태로 유지되는 기간입니다.
변경 내역 표
기능 지원은 사용 중인 플랫폼과 릴리스에 따라 결정됩니다. Feature Explorer 를 사용하여 플랫폼에서 기능이 지원되는지 확인하세요.