802.1X 및 MAC RADIUS 인증의 정적 MAC 바이패스
Junos OS를 사용하면 EX 시리즈 스위치에서 정적 MAC 바이패스 목록을 구성하여 인증 없이 802.1X 구성 인터페이스를 통해 LAN에 대한 액세스를 구성할 수 있습니다. 제외 목록이라고도 하는 정적 MAC 바이패스 목록은 인증 서버에 요청을 보내지 않고 스위치에서 허용되는 MAC 주소를 지정합니다. 자세한 내용은 이 주제를 읽어보십시오.
이더넷 스위칭 테이블에 정적 MAC 주소 항목을 추가하는 경우, 이는 정적 MAC 바이패스 목록에 MAC 주소를 추가하는 것과 동일한 효과를 갖습니다. 정적 MAC 주소 항목 구성에 대한 자세한 내용은 을(를) 참조하십시오 MAC Addresses.
802.1X 및 MAC RADIUS 인증의 정적 MAC 바이패스 구성(CLI 절차)
스위치에서 정적 MAC 바이패스 목록(제외 목록이라고도 함)을 구성하여 RADIUS 서버에 대한 802.1X 또는 MAC RADIUS 인증 요청 없이 LAN에 액세스할 수 있는 디바이스의 MAC 주소를 지정할 수 있습니다.
정적 MAC 바이패스 목록 구성:
인증을 우회할 MAC 주소를 지정합니다.
[edit protocols dot1x] user@switch# set authenticator static 00:04:0f:fd:ac:fe
신청자가 특정 인터페이스를 통해 연결된 경우 인증을 우회하도록 구성하십시오.
[edit protocols dot1x] user@switch# set authenticator static 00:04:0f:fd:ac:fe interface ge-0/0/5
인증 후 특정 VLAN으로 이동하도록 요청자를 구성합니다.
[edit protocols dot1x] user@switch# set authenticator static 00:04:0f:fd:ac:fe interface ge-0/0/5 vlan-assignment default-vlan
참조
예: EX 시리즈 스위치에서 802.1X 및 MAC RADIUS 인증의 정적 MAC 바이패스 구성
디바이스가 인증 없이 802.1X 구성 인터페이스를 통해 LAN에 액세스할 수 있도록 하기 위해 EX 시리즈 스위치에서 정적 MAC 바이패스 목록을 구성할 수 있습니다. 제외 목록이라고도 하는 정적 MAC 바이패스 목록은 인증 서버에 요청을 보내지 않고 스위치에서 허용되는 MAC 주소를 지정합니다.
정적 MAC 바이패스 인증을 사용하여 프린터와 같이 802.1X가 활성화되지 않은 디바이스에 대한 연결을 허용할 수 있습니다. 호스트의 MAC 주소를 정적 MAC 주소 목록과 비교하여 일치시키면 응답하지 않는 호스트가 인증되고 해당 호스트에 대한 인터페이스가 열립니다.
이 예에서는 두 프린터에 대한 인증의 정적 MAC 바이패스를 구성하는 방법을 설명합니다.
요구 사항
이 예에서 사용되는 소프트웨어 및 하드웨어 구성 요소는 다음과 같습니다:
이 예는 QFX5100 스위치에도 적용됩니다.
EX 시리즈 스위치용 Junos OS 릴리즈 9.0 이상
인증자 포트 액세스 엔티티(PAE) 역할을 하는 EX 시리즈 스위치 1개. 인증자 PAE의 포트는 신청자가 인증될 때까지 모든 트래픽을 차단하는 제어 게이트를 형성합니다.
인증의 정적 MAC 바이패스를 구성하기 전에 다음을 확인하십시오.
스위치에서 기본 브리징 및 VLAN 구성을 수행했습니다. 스위치에 대한 기본 브리징 및 VLAN 설정을 설명하는 문서를 참조하십시오. ELS(Enhanced Layer 2 Software) 구성 스타일을 지원하는 스위치를 사용하는 경우 의 예: ELS 또는 을(를) 지원하는 EX 시리즈 스위치를 위한 기본 브리징 및 VLAN 설정의 예: 스위치에서 기본 브리징 및 VLAN 설정. 다른 모든 스위치의 경우 예: EX 시리즈 스위치를 위한 기본 브리징 및 VLAN 설정.
ELS에 대한 자세한 내용은 다음을 참조하십시오. 향상된 레이어 2 소프트웨어 CLI 사용.Layer 2 Networking
스위치에서 RADIUS 서버 연결을 지정하고 액세스 프로파일을 구성했습니다. 예: 802.1X용 RADIUS 서버를 EX 시리즈 스위치에 연결합니다.
개요 및 토폴로지
프린터가 LAN에 액세스할 수 있도록 하려면 프린터를 정적 MAC 바이패스 목록에 추가합니다. 이 목록의 MAC 주소는 RADIUS 서버의 인증 없이 액세스할 수 있습니다.
그림 1 은(는) EX4200에 연결된 두 대의 프린터를 보여줍니다.
해당 수치는 QFX5100 스위치에도 적용됩니다.
에 표시된 인터페이스는 인증의 정적 MAC 바이패스를 위해 구성됩니다.표 1
| 속성 | 설정 |
|---|---|
스위치 하드웨어 |
EX4200, 기가비트 이더넷 포트 24개: 16개의 비 PoE 포트 및 8개의 PoE 포트( 를 통해 ) |
VLAN 명칭 |
|
복합 프린터/팩스/복사기에 연결(PoE 필요없음) |
|
MAC 주소가 00:04:0f:fd:ac:fe인 프린터가 액세스 인터페이스에 연결되어 있습니다 .ge-0/0/19 MAC 주소가 00:04:ae:cd:23:5f인 두 번째 프린터가 액세스 인터페이스 에 연결됩니다.ge-0/0/20 두 프린터 모두 정적 목록에 추가되고 802.1X 인증을 무시합니다.
토폴로지
구성
절차
CLI 빠른 구성
정적 MAC 바이패스 목록을 신속하게 구성하려면 다음 명령을 복사하여 스위치 터미널 창에 붙여넣으십시오.
[edit] set protocols dot1x authenticator static [00:04:0f:fd:ac:fe 00:04:ae:cd:23:5f] set protocols dot1x authenticator interface all supplicant multiple set protocols dot1x authenticator authenticaton-profile-name profile1
단계별 절차
정적 MAC 바이패스 목록을 구성합니다.
MAC 주소 및 정적 MAC 주소로 구성합니다.
00:04:0f:fd:ac:fe00:04:ae:cd:23:5f[edit protocols] user@switch# set dot1x authenticator static [00:04:0f:fd:ac:fe 00:04:ae:cd:23:5f]
802.1X 인증 방법을 구성합니다.
[edit protocols] user@switch# set dot1x authenticator interface all supplicant multiple
인증에 사용할 인증 프로파일 이름(액세스 프로파일 이름)을 구성합니다.
[edit protocols] user@switch# set dot1x authenticator authentication-profile-name profile1
주:액세스 프로파일 구성은 정적 MAC 클라이언트가 아닌 802.1X 클라이언트에만 필요합니다.
결과
구성의 결과를 표시합니다.
user@switch> show
interfaces {
ge-0/0/19 {
unit 0 {
family ethernet-switching {
vlan members default;
}
}
}
ge-0/0/20 {
unit 0 {
family ethernet-switching {
vlan members default;
}
}
}
}
protocols {
dot1x {
authenticator {
authentication-profile-name profile1
static [00:04:0f:fd:ac:fe 00:04:ae:cd:23:5f];
interface {
all {
supplicant multiple;
}
}
}
}
}
검증
구성이 제대로 작동하는지 확인하려면 다음의 작업을 수행하십시오:
인증의 정적 MAC 바이패스 확인
목적
두 프린터의 MAC 주소가 구성되고 올바른 인터페이스와 연결되어 있는지 확인합니다.
작업
작동 모드 명령을 실행합니다.
user@switch> show dot1x static-mac-address MAC address VLAN-Assignment Interface 00:04:0f:fd:ac:fe default ge-0/0/19.0 00:04:ae:cd:23:5f default ge-0/0/20.0
의미
출력 필드 에는 두 프린터의 MAC 주소가 표시됩니다.MAC address
출력 필드는 MAC 주소가 인터페이스를 통해 LAN에 연결할 수 있고 MAC 주소가 인터페이스를 통해 LAN에 연결할 수 있음을 보여줍니다.Interface00:04:0f:fd:ac:fege-0/0/19.000:04:ae:cd:23:5fge-0/0/20.0