AP를 IEEE 802.1X 서플리컨트로 구성
보안 강화를 위해 이 기능을 사용하여 자격 증명이 확인될 때까지 액세스 포인트(AP)에 대한 트래픽을 차단합니다.
Juniper Mist AP의 특정 모델은 IEEE 802.1X 인증을 사용하여 업링크 유선 스위치에 인증할 수 있습니다. 802.1X 인증이 구현되면 스위치는 자격 증명이 제시되고 인증 서버(RADIUS 서버)와 일치할 때까지 포트에서 AP로의 트래픽을 차단합니다. AP가 인증되면 스위치는 트래픽 차단을 중지합니다.
지원되는 Juniper Mist™ AP에서 802.1X 신청자 기능이 작동하도록 하려면 AP에 필요한 펌웨어가 있는지 확인하고, 802.1X 스위치 포트 프로필과 디바이스 프로필을 활성화하고, Juniper Mist CA 인증서를 RADIUS 서버에 추가합니다.
구축 고려 사항
에지에서 802.1X를 사용하여 Juniper Mist AP를 구축하는 기본 방법은 스위치 측에서 게스트 VLAN을 활용하는 것입니다. Mist 클라우드에 대한 액세스를 제외하고 완전히 잠긴 게스트 VLAN을 사용하면 AP가 클라우드에 연결하고, 컨피그레이션을 수신하고, 올바른 AP 펌웨어 버전(필요한 경우)을 다운로드할 수 있습니다. 신청자 컨피그레이션이 있으면 AP는 네트워크 인증을 시도합니다.
요구 사항: AP 펌웨어 버전 0.14.x 이상이 필요합니다. 모든 AP가 이 요구 사항을 충족하도록 하기 위해 아래 프로세스에는 사이트 설정에서 자동 업그레이드 활성화가 포함됩니다. 이렇게 하면 모든 AP가 이 기능을 지원하는 데 필요한 펌웨어를 자동으로 가져옵니다.
AP21, AP41, AP61 및 BT11 AP는 802.1x 신청자를 지원하지 않습니다.
버전 0.14.x 이상으로 자동 업데이트 사용
802.1X는 Juniper Mist AP 펌웨어 버전 0.14.x 이상에서 지원됩니다. 모든 AP가 이 요구 사항을 충족하도록 하려면 사이트 설정에서 자동 업그레이드를 사용하도록 설정합니다. 이렇게 하면 모든 AP가 이 기능을 지원하는 데 필요한 펌웨어를 자동으로 가져옵니다.
- Upgrade Version(업그레이드 버전)에서 Auto upgrade for production firmware(프로덕션 펌웨어 자동 업그레이드)를 선택하여 최신 펌웨어를 가져옵니다.
스위치 포트 프로필에서 802.1X 활성화
스위치에서 AP가 연결되는 포트에 대해 802.1X 인증을 활성화합니다. 최소한 사이트의 초기 구축 시에는 Mist Cloud에 대한 AP 연결을 허용하는 기본 VLAN과 함께 게스트 VLAN, 서버 거부 VLAN 또는 MAC 인증 폴백을 사용하는 것이 좋습니다. 이러한 방식으로 AP는 클라우드에 안전하게 연결하여 초기 구성 및 AP 펌웨어를 수신할 수 있습니다.
포트 프로필에서 802.1X 구성 방법:
- Authentication Servers(인증 서버) 섹션에서 RADIUS 서버를 추가합니다.
- Shared Elements(공유 요소) 섹션에서 802.1X를 활성화하고 MAC Authentication(MAC 인증) 또는 Guest Network(게스트 네트워크)를 활성화합니다.
802.1X with MAC Authentication(MAC 인증 포함) - 이 옵션을 사용하면 RADIUS 서버가 완전한 가시성과 제어를 갖습니다. AP가 연결되면 스위치가 MAC 인증을 수행합니다. RADIUS는 Mist Cloud에 액세스할 수 있는 기본/알 수 없는 디바이스 VLAN을 반환해야 합니다. 그런 다음 AP는 클라우드에 연결하고, 필요한 경우 펌웨어를 다운로드하고, 신청자 구성을 수신합니다. 그런 다음 AP는 RADIUS 인증을 요청합니다. AP가 인증되면 스위치는 지정된 VLAN에 AP를 배치합니다.
802.1X(게스트 네트워크 포함) - 이 방법을 사용하면 새 AP가 Mist 클라우드에 연결하고 구성을 가져올 때까지 게스트 VLAN을 사용하여 새 AP에 제한된 액세스를 제공합니다. AP가 연결되면 게스트 VLAN에 배치됩니다. 그런 다음 클라우드에 연결하고 필요한 경우 펌웨어를 다운로드하고 요청자 구성을 수신합니다. 그런 다음 AP는 RADIUS 인증을 요청합니다. AP가 인증되면 스위치는 지정된 VLAN에 AP를 배치합니다.
메모:또한 포트 프로필에서 VLAN을 식별하여 AP가 원하는 VLAN에 할당되도록 합니다. 또는 RADIUS를 통해 VLAN을 할당합니다. RADIUS를 통해 VLAN 할당(해당되는 경우)을 참조하십시오.
RADIUS를 통해 VLAN 할당(해당되는 경우)
Mist Edge를 사용하고 모든 WLAN을 터널링하는 경우 액세스로 구성된 스위치 포트에 연결하는 AP로 충분할 수 있습니다. 그러나 Mist Edge를 사용하지 않거나 WLAN 로컬 트래픽 브레이크아웃이 있는 경우 스위치 포트가 트렁크가 되어야 할 수 있습니다. 대부분의 스위치 운영 체제에서는 RADIUS에서 여러 VLAN을 반환할 수 있습니다.
Junos의 경우 여러 Egress-VLANID 또는 Egress-VLAN-Name 중 하나를 반환할 수 있습니다.
Egress-VLAN-Name의 예:
- 1 = 태그 지정됨
- 2 = 태그 지정되지 않음
- vlan-2 및 vlan-3은 스위치의 VLAN 이름입니다
아래 예에서 VLAN 1vlan-2는 태그가 지정되고 VLAN 2vlan-3은 태그가 지정되지 않습니다.
001094001144 Cleartext-Password := "001094001144“
Tunnel-Type = VLAN,
Tunnel-Medium-Type = IEEE-802,
Egress-VLAN-Name += 1vlan-2,
Egress-VLAN-Name += 2vlan-3,
구성에 대한 도움말은 Junos OS 설명서를 참조하십시오.
디바이스 프로필에서 802.1X 신청자 옵션을 활성화합니다
한 번에 여러 AP를 빠르게 구성하려면 이 기능이 활성화된 디바이스 프로필을 설정합니다. 그런 다음 디바이스 프로필을 AP에 적용합니다. AP가 클라우드에 처음 연결되면 서플리컨트 구성을 바로 수신합니다.
- Device Profile(디바이스 프로파일)의 Ethernet Properties(이더넷 속성) 섹션에서 802.1X Supplicant(802.1X 신청자) 옵션을 찾아 Enable(활성화)을 클릭합니다.
AP에 디바이스 프로필 적용
AP를 조직에 클레임할 때 디바이스 프로필을 적용하고 사이트를 식별합니다. 이렇게 하면 AP를 온라인 상태로 만들 때 사이트 구성의 자동 업그레이드 설정을 통해 펌웨어를 가져오고 디바이스 프로필에서 AP 구성을 가져옵니다.
- 팝업 창에서 활성화 코드 또는 클레임 코드를 입력하고 사이트를 선택한 다음 장치 프로필을 선택합니다.
Access Assurance 구성
Juniper Mist Access Assurance 고객인 경우 구성이 매우 간단합니다. AP 인증에 일치시킬 레이블과 정책만 생성하고 선택적으로 컨피그레이션을 스위치로 다시 반환하면 됩니다. Juniper Mist Access Assurance는 조직의 CA에 대해 자동으로 인식하므로 인증서 저장소에 수동으로 추가할 필요가 없습니다.
인증 정책 레이블
다음은 AP 인증과 일치하는 레이블의 예입니다. 레이블 유형은 Certificate Attribute(인증서 특성)이며 값은 Issuer(발급자)로 설정됩니다. 값은 조직 ID입니다.
/C=US/O=Mist/OU=OrgCA/CN=d3280c38-e446-4bed-bd2d-f7fa52f223a2
인증 레이블
일치하는 레이블을 만든 후 정책을 만들 수 있습니다. 이 예에서 규칙은 AP 인증서, 유선 인증 및 EAP-TLS에서 일치시키는 것입니다. 인증에 성공하면 트렁크 VLAN 구성이 스위치로 반환됩니다.
유효성 검사
모든 것이 순조롭게 진행되면 AP가 인증된 것을 볼 수 있습니다.
RADIUS 서버로 인증서 가져오기
Juniper Mist는 조직에 대한 고유한 CA 인증서를 생성합니다. 서버가 AP를 인증할 수 있도록 이 인증서를 RADIUS 서버로 가져와야 합니다.
조직 > 설정 페이지에서 Mist 인증서를 찾을 수 있습니다.
