Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

RADIUS 인증

이 Junos OS 라우터는 RADIUS 또는 보안 장비에서 사용자 인증을 중앙으로 인증할 수 있도록 지원합니다. 장비에서 RADIUS 인증을 사용하려면 네트워크에서 하나 이상의 RADIUS 서버에 대한 정보를 구성해야 합니다. 또한 장비의 RADIUS 어카우킹을 구성하여 LAN에 로그인하거나 LAN에서 로그아웃하는 사용자에 대한 통계 데이터를 수집하고 해당 데이터를 RADIUS 수 있습니다. 자세한 내용은 이 주제를 참조하십시오.

RADIUS 서버 인증 구성

RADIUS 인증은 라우터 또는 스위치에 액세스하려고 시도하는 사용자를 인증하는 방법입니다.

사용 이유를 RADIUS

이 Junos OS 라우터는 여러 라우터에서 사용자 중앙 인증을 위한 두 가지 프로토콜을 지원합니다. RADIUS 및 TACACS+를 제공합니다. 멀티벤 RADIUS 표준이기 때문에 TACACS+IETF(Internet Engineering Task Force) 전용 시스템보다 그 기능이 널리 사용되고 있기 때문에 권장됩니다. 또한 보안을 강화하기 위해 일회용 암호 시스템을 사용하는 것이 권장되는 한편, 이들 시스템의 모든 벤더는 모든 보안 기능을 RADIUS.

상호운용성 및 RADIUS 때 다음 정보를 사용해야 합니다.

  • 상호 연동성—RADIUS TACACS+의 독점적 특성 때문에 TACACS+보다 상호 연동성이 더욱 향상됩니다. TACACS+는 더 많은 프로토콜을 지원하나, RADIUS 지원됩니다.

  • 성능—RADIUS 라우터와 스위치에서 성능이 훨씬 가벼워지기 때문에 네트워크 엔지니어는 일반적으로 TACACS+에서 RADIUS 것을 선호합니다.

서버 RADIUS 구성

장비에서 RADIUS 인증을 사용하려면 각 RADIUS 계층 수준에 하나의 명령문을 포함해 네트워크에서 하나 이상의 서버와 관련한 radius-server[edit system] RADIUS.

원격 인증은 여러 디바이스에서 구성되어 있기 때문에 일반적으로 구성 그룹 내에서 구성됩니다. 이처럼 단계들은 이라는 구성 그룹에 global 있습니다. 구성 그룹을 사용하는 것은 선택 사항입니다.

주:

remote명령문은 항상 소문입니다.

주:

이 기능은 디바이스, SRX1500, SRX5400, SRX5600 디바이스에서 SRX5800 있습니다.

네트워크 서버를 통해 인증을 RADIUS:

  1. IPv4 또는 IPv6 서버 주소를 추가합니다.

    • IPv4 소스 주소 및 서버 주소 구성:

      몇 가지 예를 들면 다음과 같습니다.

    • IPv6 소스 주소 및 서버 주소 구성:

      몇 가지 예를 들면 다음과 같습니다.

      소스 주소는 라우터 또는 스위치 인터페이스 중 하나에 구성된 유효한 IPv4 또는 IPv6 주소입니다. 이는 현지에서 생성된 IP 패킷의 소스 주소로 고정 주소를 설정합니다.

      서버 주소는 특정 서버에 할당되어 서버에 정보를 라우팅하는 데 사용되는 고유의 IPv4 또는 IPv6 주소입니다. Junos OS 디바이스에 도달할 수 RADIUS 인터페이스가 있는 경우, Junos OS 서버와의 모든 통신에 사용할 수 있는 IP RADIUS 할당합니다.

  2. 공유 암호 포함.

    명령문에 암호를 secret password 지정해야 합니다. 암호에 공백이 포함되어 있는 경우 견적 마크에 동봉합니다. 로컬 라우터 또는 스위치에서 사용하는 암호는 서버에서 사용하는 암호와 일치해야 합니다. 암호 암호는 Junos OS 디바이스가 사용하는 암호를 RADIUS 구성합니다.

    몇 가지 예를 들면 다음과 같습니다.

  3. 필요한 경우 해당 서버와 접촉할 포트를 RADIUS 지정합니다.

    기본적으로 포트 번호 1812가 사용됩니다(RFC 2865에 지정된 경우).

    주:

    또한, Accounting Port를 지정하여 statement이 있는 계정 패킷을 전송할 accounting-port 수 있습니다. 기본 설정은 1813입니다(RFC 2866에 지정된 경우).

    몇 가지 예를 들면 다음과 같습니다.

  4. 인증을 시도하는 순서를 Junos OS 지정합니다.

    원격 인증 구성에 진술을 authentication-order 포함해야 합니다.

    예를 들어 네트워크에 네트워크가 RADIUS TACACS+ 서버가 모두 포함되어 있는 것으로 가정합니다. 이 예에서는 사용자가 로그인을 시도할 때마다 Junos OS 위해 RADIUS 서버에서 쿼리하는 것으로 시작됩니다. 장애가 발생하면 로컬로 구성된 사용자 계정으로 인증을 시도합니다. 마지막으로 TACACS+ 서버가 시도됩니다.

    몇 가지 예를 들면 다음과 같습니다.

  5. 로그인 클래스를 인증된 RADIUS 할당합니다.

    인증된 사용자에게 서로 다른 사용자 템플릿 및 로그인 클래스를 RADIUS 수 있습니다. 이를 통해 RADIUS 인증된 사용자에게 액세스 디바이스에서 서로 다른 관리 권한을 부여할 Junos OS 수 있습니다. 기본적으로 인증된 RADIUS 사용자 템플릿을 사용하며 사용자 템플릿이 구성된 경우 사용자 템플릿에 지정된 관련 클래스에 remoteremoteremote 지정됩니다. 사용자 이름은 remote 모든 경우에 Junos OS. 원격 서버에 의해 인증되지만 장치에 로컬로 구성된 사용자 계정이 없는 사용자를 위한 템플릿으로 기능합니다. 이 메소드에서는 Junos OS 계정 없이 인증된 사용자에게 원격 템플릿의 권한을 적용합니다. 원격 템플릿에 매핑된 모든 사용자는 동일한 로그인 클래스입니다.

    Junos OS 서버에서 인증을 원격으로 수행하기 때문에 로컬 인증 암호가 구성되지 RADIUS 사용자 템플릿이 일반 로컬 사용자 계정과 동일한 방식으로 RADIUS 있습니다.

    • 모든 인증된 사용자에 대해 RADIUS 사용하려면 다음을 할 수 있습니다.

      몇 가지 예를 들면 다음과 같습니다.

    • 인증된 사용자에 대해 서로 다른 로그인 클래스를 사용하려면 RADIUS 권한을 부여합니다.

      1. Junos OS 구성에서 여러 사용자 Junos OS 생성합니다.

        각 사용자 템플릿에는 서로 다른 로그인 클래스가 할당될 수 있습니다.

        몇 가지 예를 들면 다음과 같습니다.

      2. RADIUS 인증된 사용자에게 적용할 사용자 템플릿의 이름을 지정하도록 합니다.

        어떤 RADIUS 적용할 사용자 템플릿을 표시하기 위해, Juniper-Local-User-Name 속성(벤더 2636, type 1, string) Juniper VSA(벤더별 속성)를 RADIUS Access-Accept 메시지에 포함해야 합니다. Juniper-Local-User-Name의 문자열 값은 장비에서 구성된 사용자 템플릿의 이름과 대응해야 합니다. 관련 VSAS에 대한 목록은 Juniper RADIUS 및 LDAP 주니퍼 네트웍스 벤더별 RADIUS 를 참조하세요.

        Juniper-Local-User-Name이 Access-Accept 메시지에 포함되지 못하거나 스트링에 장비에 존재하지 않는 사용자 템플릿 이름이 포함된 경우, 사용자는 구성된 경우 사용자 템플릿에 remote 할당됩니다. 구성되지 않은 경우 인증에 실패합니다.

        로그인한 후, 원격으로 인증된 사용자는 로그인에 사용된 사용자 이름과 동일한 사용자 이름을 보관합니다. 그러나 사용자는 할당된 사용자 템플릿의 사용자 클래스를 상속합니다.

        한 RADIUS 사용자 지정 서버에서는 Juniper-Local-User-Name 문자열을 할당할 수 있습니다. 이 문자열은 해당 장비에서 사용할 사용자 Junos OS 있습니다. 이전 예제에서 문자열은 RO, OP 또는 SU. RADIUS 서버의 구성은 사용 서버에 따라 다릅니다.

관리 RADIUS 사용할 수 있는 구성

기본적으로 Junos OS 라우팅 인스턴스를 통해 RADIUS 인증, 권한 부여 및 어카우링 패킷을 라우팅합니다. 릴리스 Junos OS 릴리스 18.1R1, RADIUS VRF 인스턴스에서 관리 인터페이스를 지원할 수 있도록 기존 RADIUS 동작이 향상됩니다.

명령문이 구성된 경우, 명령문과 명령문 모두에서 옵션이 구성되면 RADIUS 패킷이 각 명령문의 관리 인스턴스를 통해 routing-instance mgmt_junosradius-server server-ip-addressradius server server-ip-addressmanagement-instance mgmt_junos.

주:

routing-instance mgmt_junos 옵션은 명령문과 명령문 radius-serverradius server 모두에서 구성되어야 합니다. 명령문이 설정되어 있는 경우에도 RADIUS 라우팅 인스턴스만 사용하여 패킷을 management-instance 전송합니다.

이 관리 인스턴스에 대한 자세한 내용은 관리 인스턴스 를 참조합니다.

예를 들면 다음과 같습니다. 시스템 인증을 RADIUS 서버 구성

이 예에서는 시스템 인증을 위해 RADIUS 서버를 구성하는 방법을 보여줍니다.

요구 사항

시작하기 전에 다음을 할 수 있습니다.

개요

이 예에서는 172.16.98.1의 IP RADIUS 새 RADIUS 서버의 공유 암호 암호를 Radiussecret1로 지정합니다. 이 비밀은 구성 데이터베이스에 암호화된 값으로 저장됩니다. 마지막으로 디바이스가 전송하는 서버 요청에 RADIUS 소스 주소를 지정합니다. 대부분의 경우 디바이스의 루프백 주소(이 예에서는 10.0.0.1)를 사용할 수 있습니다.

구성

절차

CLI 빠른 구성

이 예제를 신속하게 구성하려면 다음 명령을 복사하여 텍스트 파일에 붙여넣기하고, 라인 끊기를 제거하고, 네트워크 구성과 일치하는 데 필요한 세부 정보를 변경하고, 계층 수준에서 명령어를 CLI 입력한 다음 구성 모드에서 [edit]commit 입력합니다.

GUI 빠른 구성
단계별 절차

시스템 인증을 RADIUS 서버 구성:

  1. J-Web 사용자 인터페이스에서 Configure>System Properties>User Management 를 선택합니다.

  2. Edit을 클릭합니다. 사용자 관리 편집 대화 상자가 나타납니다.

  3. 탭을 Authentication Method and Order 선택합니다.

  4. RADIUS Add 섹션에서 을 클릭합니다. Add Radius Server 대화 상자가 나타납니다.

  5. IP 주소 상자에서 서버의 32비트 IP 주소를 입력합니다.

  6. Password and Confirm Password 상자에서 서버에 대한 암호 암호를 입력하고 항목을 검증합니다.

  7. Server Port Box에서 해당 포트를 입력합니다.

  8. Source Address box에서 서버의 소스 IP 주소를 입력합니다.

  9. 재시도 시도 상자에서 서버가 사용자의 증명을 검증하려고 시도해야 하는 횟수를 지정합니다.

  10. Time Out 박스에서 디바이스가 서버의 응답을 기다릴 수 있는 시간(초)을 지정합니다.

  11. 구성을 OK 확인하고 후보 구성으로 저장하려면 클릭하십시오.

  12. 디바이스 구성이 완료되면 Commit Options>Commit 을 클릭합니다.

단계별 절차

다음 예제에서는 구성 계층의 다양한 수준을 탐색해야 합니다. 이를 위한 지침은 에서 Configuration Mode의 CLI 편집자 사용 CLI 참조하십시오.

시스템 인증을 RADIUS 서버 구성:

  1. 새 RADIUS 서버를 추가하고 IP 주소를 설정합니다.

  2. 네트워크 서버의 공유 암호(암호)RADIUS 지정합니다.

  3. 디바이스의 루프백 주소 소스 주소를 지정합니다.

결과

구성 모드에서 명령을 입력하여 구성을 show system radius-server 확인 출력이 의도한 구성을 표시하지 않는 경우 이 예제에서 구성 지침을 반복하여 수정합니다.

디바이스 구성이 완료되면 commit 구성 모드에서 입력합니다.

주:

인증을 RADIUS 완전히 설정하려면 사용자 템플릿 계정을 생성하고 시스템 인증 순서를 지정해야 합니다. 다음 작업 중 하나를 수행합니다.

확인

구성이 제대로 작동하고 있는지 확인합니다.

RADIUS 시스템 인증 구성 검증

목적

시스템 인증을 위해 RADIUS 서버가 구성되어 있는지 검증합니다.

실행

작동 모드에서 명령어를 show system radius-server 입력합니다.

예를 들면 다음과 같습니다. 인증 RADIUS 구성

이 Junos OS 라우터는 여러 라우터에서 사용자 중앙 인증을 위한 두 가지 프로토콜을 지원합니다. RADIUS 및 TACACS+를 제공합니다. 멀티벤 RADIUS 표준이기 때문에 TACACS+IETF(Internet Engineering Task Force) 전용 시스템보다 그 기능이 널리 사용되고 있기 때문에 권장됩니다. 또한 보안을 강화하기 위해 일회용 암호 시스템을 사용하는 것이 권장되는 한편, 이들 시스템의 모든 벤더는 모든 보안 기능을 RADIUS.

또한 Junos OS 하나 이상의 템플릿 계정을 사용하여 사용자 인증을 수행할 수 있습니다. 템플릿 계정 또는 계정을 만든 다음 해당 계정을 사용하도록 사용자 액세스를 구성합니다. 서버가 RADIUS 불가능한 경우, 로그인 프로세스에서 라우터 또는 스위치에 설정된 로컬 계정을 사용하는 폴백이 됩니다.

다음 예제에서는 인증 구성 RADIUS 방법을 보여줍니다.

다음 예제에서는 인증을 RADIUS 클라이언트와 서버 간의 공유 비밀을 정의하는 방법을 보여줍니다. 이 비밀을 통해 클라이언트와 서버는 신뢰할 수 있는 피어와 대화하고 있는지 확인할 수 있습니다.

지정된 초 내에 응답하지 않는 경우 라우터가 다음 서버나 다음 인증 메커니즘을 사용해 볼 수 있도록 각 서버에 대한 타임아웃 값을 정의합니다.

다음 예제에서는 서로 다른 사용자 또는 사용자 그룹에 RADIUS 템플릿 계정을 구성하는 방법을 보여줍니다.

구성 RADIUS 인증(QFX 시리즈 또는 OCX 시리즈)

RADIUS 인증은 라우터 또는 스위치에 액세스하려고 시도하는 사용자를 인증하는 방법입니다. 인증을 구성하는 RADIUS 작업은 같습니다.

주:

source-address 명령문은 QFabric 시스템의 계층 또는 [edit system radius-options[edit system-radius-server name] 지원되지 않습니다.

서버 RADIUS 구성

라우터 또는 스위치에서 RADIUS 인증을 사용하기 위해 각 RADIUS 서버에 대한 계층 수준에 하나의 명령문을 RADIUS 네트워크에 대한 정보를 radius-server[edit system] 구성합니다.

서버 주소는 RADIUS 주소입니다.

RADIUS 서버로 연결될 포트를 RADIUS 있습니다. 기본적으로 포트 번호 1812가 사용됩니다(RFC 2865에 지정된 경우). 또한, Accounting Port를 지정하여 계정 패킷을 전송할 수 있습니다. 기본 설정은 1813입니다(RFC 2866에 지정된 경우).

명령문에 암호를 secret password 지정해야 합니다. 암호에 공백이 포함되어 있는 경우 견적 마크에 동봉합니다. 로컬 라우터 또는 스위치에서 사용하는 비밀은 서버에서 사용하는 비밀과 일치해야 합니다.

선택적으로 로컬 라우터 또는 스위치가 RADIUS 서버의 응답을 받기 위해 대기하는 시간과 라우터 또는 스위치가 RADIUS 인증 서버에 접촉하려고 시도한 횟수(명령문에서)를 지정할 수 있습니다. timeoutretry 기본적으로 라우터 또는 스위치는 3초를 기다립니다. 이를 1~90초의 값으로 구성할 수 있습니다. 기본적으로 라우터 또는 스위치가 서버에 세 번 다시 연결됩니다. 이를 1~10배의 값으로 구성할 수 있습니다.

명령문을 사용하여 개별 또는 다수의 서버의 논리적 주소를 RADIUS source-address 수 있습니다.

여러 RADIUS 서버를 구성하기 위해 여러 radius-server 명령문을 포함합니다.

인증 목적으로 단일 계정을 공유하는 사용자 집합을 구성하려면 템플릿 사용자를 생성합니다. 이를 위해 다음 예제에 설명된 계층 수준에서 user[edit system login] 명령문을 포함합니다. 인증 순서를 구성합니다.

또한 계층 수준에서 RADIUS [edit access] 인증을 [edit access profile] 구성할 수도 있습니다. Junos OS 검색 순서를 사용하여 인증에 사용되는 서버 세트를 결정할 수 있습니다.

  1. [edit access profile profile-name radius-server server-address]

  2. [edit access radius-server server-address]

  3. [edit system radius-server server-address]

암호 변경 지원용 MS-CHAPv2 구성

암호 변경 지원을 위해 MS-CHAPv2를 구성하기 전에 다음을 보장하십시오.

  • 서버 RADIUS 매개 변수 구성

  • 최초 authentication-order 암호 시도를 위해 RADIUS 서버 사용 설정

라우터 또는 스위치에서 Challenge Handshake Authentication Protocol version 2(MS-CHAPv2)의 Microsoft 구현을 구성하여 암호 변경을 지원할 수 있습니다. 이 기능을 통해 라우터에 액세스하거나 암호 만료 시 암호를 변경할 수 있는 옵션을 사용할 수 있습니다. 또는 다음 로그인 시 암호를 변경하도록 구성할 수 있습니다.

MS-CHAP-v2를 구성하기 위해 계층 수준에서 다음 [edit system radius-options] 명령문을 포함합니다.

다음 예제에서는 MS-CHAPv2 암호 프로토콜, 암호 인증 순서 및 사용자 계정의 구성에 대한 진술을 보여줍니다.

외부 서버 액세스에 대한 Junos OS 소스 RADIUS 지정

인증을 위해 Junos OS 액세스할 때 사용할 소스 RADIUS 지정할 수 있습니다. 또한 어드버타이어 정보 전송을 위해 Junos OS 서버로 문의할 때 사용할 소스 RADIUS 지정할 수 있습니다.

RADIUS 서버에 대한 소스 주소를 지정하기 위해 계층 수준에서 명령문을 source-address[edit system radius-server server-address] 포함하십시오.

소스 주소는 라우터 또는 스위치 인터페이스 중 하나에 구성된 유효한 IP 주소입니다.

주니퍼 네트웍스 벤더별 RADIUS 및 LDAP 속성

Junos OS 및 LDAP 주니퍼 네트웍스 RADIUS 벤더별 속성(VSAS)의 구성을 지원하며, 이러한 VSAS는 RADIUS ID 번호인 RADIUS 벤더 ID와 함께 주니퍼 네트웍스 벤더별 속성으로 캡슐화됩니다. 표 1 구성할 수 주니퍼 네트웍스 VSAS를 나열합니다.

표 1: 주니퍼 네트웍스 벤더별 RADIUS 및 LDAP 속성

이름

설명

유형

길이

문자열

Juniper-Local-User-Name

장비에 로그인할 때 이 사용자가 사용하는 사용자 템플릿의 이름을 나타냅니다. 이 속성은 Access-Accept 패킷에서만 사용됩니다.

1

≥3

인쇄 가능한 ASCII 문자가 포함된 1개 이상의 옥티트.

Juniper 허용 명령

사용자의 로그인 클래스 권한 비트에 의해 승인된 명령어 외에도 사용자가 운영 모드 명령을 실행할 수 있도록 하는 확장 정규 표현식을 포함. 이 속성은 Access-Accept 패킷에서만 사용됩니다.

2

≥3

연장된 정규 표현식의 형태로 인쇄 가능한 ASCII 문자가 포함된 1개 이상의 옥킷입니다. 운영 모드 명령어, 구성 명령문 및 계층 Junos OS 허용 및 거부하는 정규 표현식을 참조합니다.

Juniper-Deny-Commands

사용자의 로그인 클래스 권한 비트에 의해 승인된 작업 모드 명령을 실행할 수 있는 사용자 권한을 거부하는 확장 정규 표현이 포함되어 있습니다. 이 속성은 Access-Accept 패킷에서만 사용됩니다.

3

≥3

연장된 정규 표현식의 형태로 인쇄 가능한 ASCII 문자가 포함된 1개 이상의 옥킷입니다. 운영 모드 명령어, 구성 명령문 및 계층 Junos OS 허용 및 거부하는 정규 표현식을 참조합니다.

Juniper 허용 구성

사용자의 로그인 클래스 권한 비트에 의해 승인된 명령 이외에 사용자가 구성 모드 명령을 실행할 수 있도록 하는 확장 정규 표현이 포함되어 있습니다. 이 속성은 Access-Accept 패킷에서만 사용됩니다.

4

≥3

연장된 정규 표현식의 형태로 인쇄 가능한 ASCII 문자가 포함된 1개 이상의 옥킷입니다. 운영 모드 명령어, 구성 명령문 및 계층 Junos OS 허용 및 거부하는 정규 표현식을 참조합니다.

Juniper 거부 구성

사용자의 로그인 클래스 권한 비트에 의해 승인된 구성 명령을 실행할 수 있도록 사용자 권한을 거부하는 확장 정규 표현이 포함되어 있습니다. 이 속성은 Access-Accept 패킷에서만 사용됩니다.

5

≥3

연장된 정규 표현식의 형태로 인쇄 가능한 ASCII 문자가 포함된 1개 이상의 옥킷입니다. 운영 모드 명령어, 구성 명령문 및 계층 Junos OS 허용 및 거부하는 정규 표현식을 참조합니다.

Juniper-Interactive-Command

사용자가 입력한 대화형 명령을 나타냅니다. 이 속성은 Accounting-Request 패킷에서만 사용됩니다.

8

≥3

인쇄 가능한 ASCII 문자가 포함된 1개 이상의 옥티트.

Juniper-Configuration-Change

구성(데이터베이스)을 변경하는 대화형 명령을 나타냅니다. 이 속성은 Accounting-Request 패킷에서만 사용됩니다.

9

≥3

인쇄 가능한 ASCII 문자가 포함된 1개 이상의 옥티트.

Juniper-User-Permissions

서버가 사용자 권한을 지정하는 데 사용하는 정보를 포함 이 속성은 Access-Accept 패킷에서만 사용됩니다.

주:

속성이 Junos OS 및 LDAP 서버의 권한을 부여하도록 RADIUS, UNIX 휠 그룹 멤버십은 사용자의 그룹 멤버십 목록에 자동으로 추가되지 Juniper-User-Permissionsmaintenanceall 않습니다. 로컬 쉘에서 명령을 실행하는 등의 일부 작업은 휠 그룹 멤버십 su root 권한을 필요로 합니다. 그러나 사용자가 권한을 통해 로컬로 구성되면 사용자에게 자동으로 UNIX wheel 그룹에 대한 멤버십이 maintenanceall 부여됩니다. 따라서 필요한 권한을 사용하는 템플릿 사용자 계정을 생성하고 개별 사용자 계정을 해당 템플릿 사용자 계정과 연관하는 것이 좋습니다.

10년간의

≥3

인쇄 가능한 ASCII 문자가 포함된 1개 이상의 옥티트.

문자열은 공간으로 분리된 권한 플래그 목록입니다. 각 플래그의 정확한 이름을 전체적으로 지정해야 합니다. 로그인 클래스 권한 플래그를 참조합니다.

Juniper-Authentication 유형

사용자를 인증하는 데 사용되는 인증 방법(로컬 데이터베이스, LDAP 또는 RADIUSserver)을 나타냅니다. 로컬 데이터베이스를 사용하여 사용자가 인증된 경우 속성 값에 '로컬'이 표시됩니다. 사용자가 RADIUS 또는 LDAP 서버를 사용하여 인증된 경우 속성 값에 '원격'이 표시됩니다.

11

≥5

인쇄 가능한 ASCII 문자가 포함된 1개 이상의 옥티트.

Juniper-Session-Port

설정된 세션의 소스 포트 번호를 나타냅니다.

12

정수 크기

정수

VSAS에 대한 자세한 내용은 RFC 2138, 원격 인증 다이얼인 사용자 서비스(RADIUS)를참조하십시오.

Juniper-Switching-Filter VSA 일치 조건 및 작업

디바이스는 특정 서버 RADIUS 서버 속성의 구성을 주니퍼 네트웍스. 이러한 속성은 벤더별 속성(VSAS)으로 불리며, RFC 2138, 원격 인증 다이얼 사용자 서비스(RADIUS)에 설명되어 있습니다.

VSAS를 통해 네트워크 서버에서 포트 필터링 속성을 RADIUS 수 있습니다. VSAS는 인증 성공 또는 실패의 결과로 RADIUS 서버에서 장비로 전송되는 cleartext 필드입니다. 인증은 장비가 네트워크 서버에 의해 인증될 때까지 포트에서 서플리던트(supplicant)를 차단하여 인증되지 않은 사용자 액세스를 RADIUS 방지합니다. VSA 속성은 인증 중에 장치에 의해 해석됩니다. 장치는 적절한 조치를 취합니다. 네트워크 서버에서 인증을 통해 포트 필터링 속성을 구현하는 RADIUS 서플리컨트에 대한 LAN 액세스를 제어하는 중앙 위치를 제공합니다.

이들 포트 필터링 속성은 주니퍼 네트웍스 ID 번호인 RADIUS VSA에 캡슐화되어 주니퍼 네트웍스 서버 VSA에 캡슐화됩니다.

VSAS를 통해 포트 필터링 속성을 구성할 뿐만 아니라 디바이스에서 이미 구성된 포트 방화벽 필터를 디바이스에 직접 RADIUS 수 있습니다. 포트 필터링 속성과 마찬가지로 필터는 인증 프로세스 중에 적용되고 해당 작업이 디바이스 포트에 적용됩니다. 포트 방화벽 필터를 RADIUS 필터를 추가하면 여러 포트 및 장치에 필터를 추가할 필요가 없습니다.

Juniper-Switching-Filter VSA는 802.1X 인증과 연동하여 네트워크에 대한 서플리컨트에 대한 액세스를 중앙에서 제어합니다. 이 VSA를 사용하여 스위치로 RADIUS 802.1X 인증을 사용하여 인증을 한 사용자에게 적용된 RADIUS 서버의 필터를 구성할 수 있습니다.

Juniper-Switching-Filter VSA에는 하나 이상의 필터 조건이 포함될 수 있습니다. 필터 조건은 결과 조치가 있는 하나 이상의 일치 조건을 사용하여 구성됩니다. 일치 조건은 구성된 조치를 적용하기 위해 패킷이 충족해야 하는 기준입니다. 조치는 패킷이 일치 조건에서 기준을 충족하는 경우 스위치가 취하는 조치입니다. 스위치가 취할 수 있는 조치는 패킷을 허용하거나 거부하는 것입니다.

다음 지침은 VSAS에 대한 일치 조건 및 조치를 지정할 때 적용됩니다.

  • match action 명령문과 진술 모두 필수 사항입니다.

  • 일치 조건이 지정되지 않은 경우 모든 패킷은 기본적으로 일치되는 것으로 간주됩니다.

  • 지정된 조치가 없는 경우, 기본 조치는 패킷을 거부하는 것입니다.

  • 모든 또는 모든 옵션은 각 명령문에 포함될 match action 있습니다.

  • AND 작업은 COMMA로 구분되는 서로 다른 유형의 필드에서 수행됩니다. 동일한 유형의 필드는 반복할 수 없습니다.

  • 옵션을 적용하려면 스위치에서 포우링 forwarding-class 클래스를 구성해야 합니다. 스위치에서 포링 클래스가 구성되지 않은 경우 이 옵션은 무시됩니다.

표 2 VSA 속성을 방화벽 필터로 구성할 때 지정할 수 있는 일치 조건을 match RADIUS 설명합니다. 일치 조건을 정의하는 문자열을 match 명령문이라고 합니다.

표 2: 매치 조건

옵션

설명

destination-mac mac-address

대상 미디어 액세스 제어(주소)(MAC) 주소

source-dot1q-tag tag

802.1Q 헤더의 태그 값(범위 내 0 을 통해) 4095

destination-ip ip-address

최종 대상 노드 주소.

ip-protocol protocol-id

IPv4 프로토콜 값. 숫자 값을 대신하여 다음 텍스트 동의어 중 하나를 지정할 수 있습니다.

ah, , , , 를 , egp (8)esp (50gre (47)icmp (1)igmp (2)ipip (4)ipv6 (41)ospf (89)pim (103) 를, rsvp (46)tcp (6) 또는, 또는 udp (17)

source-port port

TCP 또는 UDP(User Datagram Protocol) 소스 포트 필드. 일반적으로, 포트에서 어떤 프로토콜이 사용되는지 결정하기 위해 match statement과 함께 이 일치 명령문을 ip-protocol 지정합니다. 숫자 필드 대신 에 나열된 텍스트 옵션 중 하나를 지정할 수 destination-port 있습니다.

destination-port port

TCP 또는 UDP 대상 포트 필드. 일반적으로, 포트에서 어떤 프로토콜이 사용되는지 결정하기 위해 match statement과 함께 이 일치 명령문을 ip-protocol 지정합니다. 숫자 값을 대신하여 다음 텍스트 동의어 중 하나를 지정할 수 있습니다(포트 번호도 나열됨).

afs (1483), bgp (179), biff (512), bootpc (68), bootps (67), cvspserver (2401), cmd (514), dhcp (67), domain (53), eklogin (2105), ekshell (2106), exec (512), finger (79), ftp (21), ftp-data (20), http (80), https (443), ident (113), imap (143), kerberos-sec (88), klogin (543), kpasswd (761), krb-prop (754), krbupdate (760), kshell (544), ldap (389), login (513), mobileip-agent (434), mobilip-mn (435), msdp (639), netbios-dgm (138), netbios-ns (137), netbios-ssn (139), nfsd (2049), nntp (119), ntalk (518), ntp (123), pop3 (110), pptp (1723), printer (515), radacct (1813), radius (1812), rip (520), rkinit (2108), smtp (25), snmp (161), snmptrap (162), snpp (444), socks (1080), ssh (22), sunrpc (111), syslog (514), telnet (23), tacacs-ds (65), talk (517), tftp (69), timed (525), who (513), xdmcp (177), zephyr-clt (2103), zephyr-hm (2104)

필터링 기준을 지정하는 하나 이상의 용어를 정의할 경우 패킷이 모든 기준과 일치하는 경우 취할 조치도 정의합니다. 표 3 용어로 지정할 수 있는 작업을 표시합니다.

표 3: VSAS에 대한 조치

옵션

설명

(allow | deny)

ICMP(Internet Control Message Protocol) 메시지를 전송하지 않고도 패킷을 허용하거나 패킷을 자동으로 폐기합니다.

forwarding-class class-of-service

(선택 사항) 다음 포링 클래스 중 하나에 패킷을 분류합니다.

  • assured-forwarding

  • best-effort

  • expedited-forwarding

  • network-control

loss-priority (low | medium | high)

(선택 사항) 또는 에 패킷 손실 우선 순위(PLP)를 lowmedium 설정할 수 high 있습니다. 포우링 클래스와 손실 우선 순위를 모두 지정합니다.

RADIUS 어카우킹에 대한 이해

디바이스는 IETF(Internet Engineering Task Force) RFC 2866, RADIUS 어카우링을 지원합니다. 장비에서 RADIUS 구성은 LAN에서 로그인하거나 LAN에서 로그아웃하는 사용자에 대한 통계 데이터를 수집하고 해당 데이터를 RADIUS 어카우트 서버로 전송할 수 있도록 합니다. 수집된 통계 데이터는 일반적인 네트워크 모니터링, 사용 패턴을 분석 및 추적하거나 액세스되는 서비스 유형에 따라 사용자에게 과금하는 데 사용할 수 있습니다.

RADIUS 구성하려면, 하나 이상의 RADIUS 어카우킹 서버를 지정하여 디바이스에서 통계 데이터를 수신하고 수집할 어카우링 데이터의 유형을 선택합니다.

사용자가 지정한 RADIUS 서버는 RADIUS 인증에 사용되는 서버일 수도 RADIUS 있습니다. RADIUS 어드버타이어링 서버 목록을 지정할 수 있습니다. 기본 서버(첫 번째 구성 서버)를 사용할 수 없는 경우 RADIUS 목록의 각 서버는 네트워크에서 구성된 순서대로 Junos OS.

RADIUS 장치와 RADIUS 어드버타이어링 프로세스는

  1. RADIUS 서버는 특정 포트에서 UDP(User Datagram Protocol) 패킷을 수신합니다. 예를 들어, FreeRADIUS의 기본 포트는 1813입니다.

  2. 장치는 이벤트 레코드가 포함된 Accounting-Request 패킷을 계정 서버로 전달합니다. 이 서플리던트와 연관된 이벤트 레코드에는 이 서플리던트에 대한 사용자 서비스 시작을 나타내는 Act-Status-Type 속성이 포함되어 있습니다. 서플리던트의 세션이 종료되는 경우 회계 요청에는 사용자 서비스 종료를 나타내는 Acct-Status-Type 속성 값이 포함되어 있습니다. RADIUS 서버는 세션 정보와 세션 길이를 포함하는 스톱 어카우킹 레코드로 기록합니다.

  3. RADIUS 서버는 파일로 이러한 이벤트를 시작 어카우링 또는 스톱 어카우링 레코드로 기록합니다. FreeRADIUS에서 파일명은 서버의 주소입니다. 예를 들어 192.0.2.0을 들 수 있습니다.

  4. 회계 서버는 다시 회계 응답 패킷을 장비로 보내어 회계 요청을 수신한지 확인합니다.

  5. 장비가 서버에서 응답을 받지 않는 경우, 해당 장비는 회계 응답이 계정 서버에서 반환될 때까지 계속 계정 요청을 전송합니다.

이 프로세스를 통해 수집된 통계는 네트워크 서버에서 RADIUS 수 있습니다. 이러한 통계를 확인하려면 사용자는 수신하도록 구성된 로그 파일에 액세스합니다.

시스템 RADIUS 구성

RADIUS 활성화된 주니퍼 네트웍스 디바이스는 RADIUS 로그인, 구성 변경 및 대화형 명령과 같은 사용자 활동에 대해 RADIUS 서버에 알릴 수 있습니다. RADIUS 어카우링을 위한 프레임워크는 RFC 2866에서 설명됩니다.

시스템 RADIUS 구성을 위한 작업은 다음을 수행합니다.

매니지드 서버에서 사용자 이벤트의 감사 RADIUS 구성

사용자 이벤트를 감사하기 위해 계층 수준에서 다음 [edit system accounting] 명령문을 포함합니다.

서버 RADIUS 및 감사 이벤트의 지정

인증을 위해 RADIUS 사용할 때 감사하려는 이벤트를 지정하려는 경우, 계층 수준에서 명령문을 events[edit system accounting] 포함하십시오.

events 는 다음 중 하나 이상입니다.

  • login—감사 로그인

  • change-log—구성 변경 감사

  • interactive-commands—대화형 명령어 감사(모든 명령줄 입력)

서버 RADIUS 구성

서버 RADIUS 구성하려면 계층 수준에서 server[edit system accounting destination radius] 명령문을 포함합니다.

server-address RADIUS 지정합니다. 여러 RADIUS 서버를 구성하기 위해 여러 server 명령문을 포함합니다.

주:

명령문 계층 수준에서 RADIUS 없는 경우, Junos OS 계층 수준에서 구성된 RADIUS [edit system accounting destination radius][edit system radius-server] 서버가 사용됩니다.

accounting-port port-number RADIUS 포트 번호를 지정합니다.

기본 포트 번호는 1813입니다.

주:

계층 수준에서 RADIUS 어카우링을 활성화하면 명령문에 값을 지정하지 않는 경우에도 어카우링이 기본 포트인 [edit access profile profile-name accounting-order] 1813에서 accounting-port 트리거됩니다.

routing-instance routing-instance 기본 설정이 아닌 관리 인스턴스의 이름입니다. 라우팅 mgmt_junos 인스턴스 이름로 사용 기본이 아닌 인스턴스의 관리 인터페이스를 참조합니다.

명령문을 포함해 로컬 라우터 또는 스위치가 RADIUS 암호(암호)를 secret 지정해야 합니다. 암호에 공백이 있는 경우 전체 암호를 견적 마크(" ")에 동봉합니다.

명령문에서 RADIUS 서버의 소스 source-address 주소를 지정합니다. 서버로 RADIUS 각 RADIUS 요청은 지정된 소스 주소를 사용한다. 소스 주소는 라우터 또는 스위치 인터페이스 중 하나에 구성된 유효한 IPv4 주소(radius-server address가 IPv4인 경우) 또는 IPv6 주소(radius-server address가 IPv6인 경우)입니다.

선택적으로, 명령문을 포함해 라우터 또는 스위치가 인증 서버에 RADIUS 횟수를 지정할 수 retry 있습니다. 기본적으로 라우터 또는 스위치가 세 번 재시작됩니다. 라우터 또는 스위치를 1~10회 재시도 구성할 수 있습니다.

선택적으로, 명령문을 포함해 로컬 라우터 또는 스위치가 RADIUS 응답을 받기 위해 대기하는 시간을 지정할 수 timeout 있습니다. 기본적으로 라우터 또는 스위치는 3초를 기다립니다. 타임아웃을 1초에서 90초로 구성할 수 있습니다.

Junos OS Release 14.1 및 Junos OS Release 17.3R1 시작하여 로그인 사용자에 대한 속성 값을 보기 위해 명령문을 구성할 enhanced-accounting 수 있습니다. 계층 수준에서 명령문을 사용하는 경우 액세스 메소드, RADIUS 및 액세스 권한과 같은 RADIUS 속성을 감사할 enhanced-accounting[edit system radius-options] 수 있습니다. 계층 수준에서 명령문을 사용하여 감사를 위해 표시될 속성 값의 수를 enhanced-avs-max <number>[edit system accounting] 제한할 수 있습니다.

주니퍼 네트웍스 또는 스위치가 RADIUS 구성된 경우 해당 RADIUS Accounting-StartAccounting-Stop 전송합니다. 이러한 메시지에는 소프트웨어 로그인, 구성 변경, 대화형 명령과 같은 사용자 활동에 대한 정보가 포함되어 있습니다. 이 정보는 일반적으로 네트워크 모니터링, 사용 현황 통계 수집, 사용자 과금에 대한 대금이 부과되는 데 사용됩니다.

다음 예제에서는 RADIUS 어카우킹을 위해 구성된 3대의 서버(10.5.5.5, 10.6.6.6 및 10.7.7)를 보여줍니다.

출시 내역 표
릴리스
설명
17.4R1
릴리스 Junos OS 릴리스 18.1R1, RADIUS VRF 인스턴스에서 관리 인터페이스를 지원할 수 있도록 기존 RADIUS 동작이 향상됩니다.
14.1
Junos OS Release 14.1 및 Junos OS Release 17.3R1 시작하여 로그인 사용자에 대한 속성 값을 보기 위해 명령문을 구성할 enhanced-accounting 수 있습니다.