액세스 포인트를 IEEE 802.1X 신청자로 구성
요약 보안 강화를 위해 이 기능을 사용하면 자격 증명이 확인될 때까지 액세스 포인트에 대한 트래픽을 차단할 수 있습니다.
Juniper Mist AP는 IEEE 802.1X 인증을 사용하여 업링크 유선 스위치를 인증할 수 있습니다. 802.1X 인증이 구현되면 스위치는 자격 증명이 제시되고 인증 서버(RADIUS 서버)와 일치할 때까지 포트에서 AP에 대한 트래픽을 차단합니다. AP가 인증되면 스위치는 트래픽 차단을 중단합니다.
Juniper Mist™ AP에서 802.1X 신청자 기능을 사용하려면 AP에 필요한 펌웨어가 있는지 확인하고, 802.1X 스위치 포트 프로필과 디바이스 프로필을 활성화하고, Juniper Mist CA 인증서를 RADIUS 서버에 추가합니다.
구축 고려 사항
에지에 802.1X가 탑재된 Juniper Mist AP를 구축하는 기본 방법은 스위치 측의 게스트 VLAN을 활용하는 것입니다. 게스트 VLAN이 완전히 잠겨 있는 경우 Mist 클라우드에 대한 액세스를 제외하고 AP는 클라우드에 연결하고 구성을 수신하며 올바른 AP 펌웨어 버전을 다운로드할 수 있습니다(필요한 경우). 신청자 구성이 완료되면 AP는 네트워크에 인증을 시도합니다.
요구 사항: AP 펌웨어 버전 0.14.x 이상이 필요합니다. 모든 AP가 이 요구 사항을 충족하도록 하기 위해 아래 프로세스에는 사이트 설정에서 자동 업그레이드 활성화가 포함됩니다. 이렇게 하면 모든 AP가 이 기능을 지원하는 데 필요한 펌웨어를 자동으로 가져옵니다.
버전 0.14.x 이상으로 자동 업데이트 사용
802.1X는 Juniper Mist AP 펌웨어 버전 0.14.x 이상에서 지원됩니다. 모든 AP가 이 요구 사항을 충족하도록 하려면 사이트 설정에서 자동 업그레이드를 사용하도록 설정합니다. 이렇게 하면 모든 AP가 이 기능을 지원하는 데 필요한 펌웨어를 자동으로 가져옵니다.
스위치 포트 프로필에서 802.1X 활성화
스위치에서 AP가 연결되는 포트에 대해 802.1X 인증을 활성화합니다. 최소한 사이트의 초기 구축을 위해 게스트 VLAN, 서버 거부 VLAN 또는 Mist 클라우드에 대한 AP 연결을 허용하는 기본 VLAN과 함께 MAC 인증 폴백을 사용하는 것이 좋습니다. 이러한 방식으로 AP는 클라우드에 안전하게 연결하여 초기 구성 및 AP 펌웨어를 수신할 수 있습니다.
포트 프로필에서 802.1X를 구성하려면:
RADIUS를 통한 VLAN 할당(해당하는 경우)
Mist Edge를 사용하고 모든 WLAN을 터널링하는 경우 액세스로 구성된 스위치 포트에 연결하는 AP로 충분할 수 있습니다. 그러나 Mist Edge를 사용하지 않거나 WLAN 로컬 트래픽 브레이크아웃이 있는 경우 스위치 포트가 트렁크가 되어야 할 수 있습니다. 대부분의 스위치 운영 체제에서는 RADIUS에서 여러 VLAN을 반환할 수 있습니다.
Junos의 경우 여러 개의 Egress-VLANID 또는 Egress-VLAN-Name을 반환할 수 있습니다.
egress-vlan-name의 예:
- 1 = 태그됨
- 2 = 태그 없음
- vlan-2 및 vlan-3은 스위치의 VLAN 이름입니다
아래 예에서 VLAN 1vlan-2는 태그가 지정되고 VLAN 2vlan-3은 태그가 지정되지 않습니다.
001094001144 Cleartext-Password := "001094001144“ Tunnel-Type = VLAN, Tunnel-Medium-Type = IEEE-802, Egress-VLAN-Name += 1vlan-2, Egress-VLAN-Name += 2vlan-3,
구성에 대한 도움말은 Junos OS 설명서를 참조하십시오.
디바이스 프로필에서 802.1X 신청자 옵션 활성화
한 번에 여러 AP를 빠르게 구성하려면 이 기능이 활성화된 디바이스 프로필을 설정합니다. 그런 다음 디바이스 프로필을 AP에 적용합니다. AP가 처음으로 클라우드에 연결되면 신청자 구성을 즉시 수신합니다.
AP에 디바이스 프로파일 적용
조직에 AP를 클레임할 때 디바이스 프로필을 적용하고 사이트를 식별합니다. 이렇게 하면 AP를 온라인 상태로 전환하면 사이트 구성의 자동 업그레이드 설정을 통해 펌웨어를 가져오고 디바이스 프로필에서 AP 구성을 가져옵니다.
Access Assurance 구성
주니퍼 Mist Access Assurance 고객의 경우 구성이 매우 간단합니다. AP 인증에 대해 일치하는 레이블과 정책을 생성하고 선택적으로 컨피그레이션을 스위치로 반환하기만 하면 됩니다. Juniper Mist Access Assurance는 조직의 CA에 대해 자동으로 인식하므로 인증서 저장소에 수동으로 추가할 필요가 없습니다.
인증 정책 레이블
다음은 AP 인증과 일치하는 레이블의 예입니다. 레이블 유형은 값이 Issuer로 설정된 Certificate Attribute입니다. 값은 조직 ID입니다.
/C=US/O=Mist/OU=OrgCA/CN=d3280c38-e446-4bed-bd2d-f7fa52f223a2
인증 레이블(Auth Label)
일치하는 레이블을 만든 후 정책을 만들 수 있습니다. 이 예에서 규칙은 AP 인증서, 유선 인증 및 EAP-TLS를 일치시키는 것입니다. 인증에 성공하면 트렁크 VLAN 구성이 스위치로 반환됩니다.
유효성 검사
모든 것이 순조롭게 진행되면 AP가 인증된 것을 볼 수 있습니다.
RADIUS 서버로 인증서 가져오기
Juniper Mist는 조직을 위한 고유한 CA 인증서를 생성합니다. 서버가 AP를 인증할 수 있도록 이 인증서를 RADIUS 서버로 가져와야 합니다.
Mist 인증서는 조직 > 설정 페이지에서 찾을 수 있습니다.