802.1X 및 MAC RADIUS 인증의 정적 MAC 바이패스
Junos OS EX 시리즈 스위치에서 정적 MAC 바이패스 목록을 구성하여 인증 없이 802.1X 구성 인터페이스를 통해 LAN에 대한 액세스를 구성할 수 있습니다. 배제 목록이라고도 하는 정적 MAC 바이패스 목록은 인증 서버에 요청을 전송하지 않고 스위치에서 허용되는 MAC 주소를 지정합니다. 자세한 내용은 이 주제를 읽어보십시오.
이더넷 스위칭 테이블에 정적 MAC 주소 항목을 추가하는 경우, 이는 정적 MAC 바이패스 목록에 MAC 주소 추가하는 것과 동일한 효과를 가합니다. 정적 MAC 주소 항목 구성에 대한 정보는 을(를) 참조하십시오 MAC Addresses.
802.1X 및 MAC RADIUS 인증의 정적 MAC 바이패스 구성(CLI 절차)
스위치에서 정적 MAC 바이패스 목록(배제 목록이라고도 함)을 구성하여 RADIUS 서버에 대한 802.1X 또는 MAC RADIUS 인증 요청 없이 LAN에 액세스할 수 있는 디바이스의 MAC 주소를 지정할 수 있습니다.
정적 MAC 바이패스 목록을 구성하려면,
인증을 우회할 MAC 주소 지정합니다.
[edit protocols dot1x] user@switch# set authenticator static 00:04:0f:fd:ac:fe
서플리컨트가 특정 인터페이스를 통해 연결된 경우 인증을 우회하도록 구성합니다.
[edit protocols dot1x] user@switch# set authenticator static 00:04:0f:fd:ac:fe interface ge-0/0/5
인증된 후 서플리컨트를 특정 VLAN으로 이동하도록 구성합니다.
[edit protocols dot1x] user@switch# set authenticator static 00:04:0f:fd:ac:fe interface ge-0/0/5 vlan-assignment default-vlan
참조
예를 들면 다음과 같습니다. EX 시리즈 스위치에서 802.1X 및 MAC RADIUS 인증의 정적 MAC 바이패스 구성
디바이스가 인증 없이 802.1X 구성 인터페이스를 통해 LAN에 액세스할 수 있도록 하려면 EX 시리즈 스위치에서 정적 MAC 바이패스 목록을 구성할 수 있습니다. 배제 목록이라고도 하는 정적 MAC 바이패스 목록은 인증 서버에 요청을 전송하지 않고 스위치에서 허용되는 MAC 주소를 지정합니다.
인증의 정적 MAC 바이패스를 사용하여 프린터와 같이 802.1X가 활성화되지 않은 디바이스에 대한 연결을 허용할 수 있습니다. 호스트의 MAC 주소 정적 MAC 주소 목록과 비교되고 일치하는 경우 비응답 호스트가 인증되고 인터페이스가 열립니다.
이 예에서는 두 프린터에 대한 인증의 정적 MAC 바이패스를 구성하는 방법을 설명합니다.
요구 사항
이 예에서는 다음과 같은 소프트웨어 및 하드웨어 구성 요소를 사용합니다.
이 예는 QFX5100 스위치에도 적용됩니다.
Junos OS EX 시리즈 스위치용 릴리스 9.0 이상
인증자 포트 액세스 엔터티(PAE) 역할을 하는 EX 시리즈 스위치 1개. 인증자 PAE의 포트는 신청자가 인증될 때까지 모든 트래픽을 차단하는 제어 게이트를 형성합니다.
인증의 정적 MAC 바이패스 구성하기 전에 다음을 확인하십시오.
스위치에서 기본 브리징 및 VLAN 구성을 수행했습니다. 스위치에 대한 기본 브리징 및 VLAN 설정을 설명하는 문서를 참조하십시오. ELS(Enhanced Layer 2 Software) 구성 스타일을 지원하는 스위치를 사용하는 경우 예: ELS를 지원하는 EX 시리즈 스위치를 위한 기본 브리징 및 VLAN 설정 또는 예: 스위치에서 기본 브리징 및 VLAN 설정 다른 모든 스위치의 경우 예: EX 시리즈 스위치를 위한 기본 브리징 및 VLAN 설정.
ELS에 대한 자세한 내용은 다음을 참조하십시오. Enhanced Layer 2 소프트웨어 CLI 사용.
RADIUS 서버 연결을 지정하고 스위치에 액세스 프로필을 구성했습니다. 예: 802.1X용 RADIUS 서버를 EX 시리즈 스위치에 연결합니다.
개요 및 토폴로지
프린터가 LAN에 액세스할 수 있도록 하려면 정적 MAC 바이패스 목록에 추가합니다. 이 목록의 MAC 주소는 RADIUS 서버에서 인증 없이 액세스할 수 있습니다.
그림 1 은(는) EX4200에 연결된 두 프린터를 보여줍니다.
이 수치는 QFX5100 스위치에도 적용됩니다.
에 표 1 표시된 인터페이스는 인증의 정적 MAC 바이패스를 위해 구성됩니다.
| 속성 | 설정 |
|---|---|
스위치 하드웨어 |
EX4200, 기가비트 이더넷 포트 24개: 16개 비 PoE 포트 및 8개 PoE 포트( |
VLAN 이름 |
|
통합 프린터/팩스/복사기에 연결(PoE 필요 없음) |
|
MAC 주소 00:04:0f:fd:ac:fe를 가진 프린터는 액세스 인터페이스 ge-0/0/19에 연결됩니다. MAC 주소 00:04:ae:cd:23:5f를 가진 두 번째 프린터가 액세스 인터페이스 ge-0/0/20에 연결됩니다. 두 프린터 모두 정적 목록과 우회 802.1X 인증에 추가됩니다.
토폴로지
구성
절차
CLI 빠른 구성
정적 MAC 바이패스 목록을 빠르게 구성하려면 다음 명령을 복사하여 스위치 터미널 창에 붙여 넣습니다.
[edit] set protocols dot1x authenticator static [00:04:0f:fd:ac:fe 00:04:ae:cd:23:5f] set protocols dot1x authenticator interface all supplicant multiple set protocols dot1x authenticator authenticaton-profile-name profile1
단계별 절차
정적 MAC 바이패스 목록을 구성합니다.
MAC 주소를
00:04:0f:fd:ac:fe정00:04:ae:cd:23:5f적 MAC 주소로 구성합니다.[edit protocols] user@switch# set dot1x authenticator static [00:04:0f:fd:ac:fe 00:04:ae:cd:23:5f]
802.1X 인증 방법을 구성합니다.
[edit protocols] user@switch# set dot1x authenticator interface all supplicant multiple
인증에 사용할 인증 프로필 이름(액세스 프로필 이름)을 구성합니다.
[edit protocols] user@switch# set dot1x authenticator authentication-profile-name profile1
주:액세스 프로필 구성은 정적 MAC 클라이언트가 아닌 802.1X 클라이언트에만 필요합니다.
결과
구성 결과를 표시합니다.
user@switch> show
interfaces {
ge-0/0/19 {
unit 0 {
family ethernet-switching {
vlan members default;
}
}
}
ge-0/0/20 {
unit 0 {
family ethernet-switching {
vlan members default;
}
}
}
}
protocols {
dot1x {
authenticator {
authentication-profile-name profile1
static [00:04:0f:fd:ac:fe 00:04:ae:cd:23:5f];
interface {
all {
supplicant multiple;
}
}
}
}
}
확인
구성이 제대로 작동하는지 확인하려면 다음 작업을 수행하십시오.
인증의 정적 MAC 바이패스 확인
목적
두 프린터의 MAC 주소가 구성되고 올바른 인터페이스와 연결되어 있는지 확인합니다.
실행
운영 모드 명령을 실행합니다.
user@switch> show dot1x static-mac-address MAC address VLAN-Assignment Interface 00:04:0f:fd:ac:fe default ge-0/0/19.0 00:04:ae:cd:23:5f default ge-0/0/20.0
의미
출력 필드에 MAC address 는 두 프린터의 MAC 주소가 표시됩니다.
출력 필드는 Interface MAC 주소 00:04:0f:fd:ac:fe 인터페이스를 통해 LAN에 연결할 수 있으며 MAC 주소 00:04:ae:cd:23:5f 인터페이스 ge-0/0/19.0ge-0/0/20.0를 통해 LAN에 연결할 수 있음을 보여줍니다.