Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
이 페이지의 내용
 

예: EX 시리즈 스위치 및 Aruba ClearPass Policy Manager를 사용하여 802.1X-PEAP 및 MAC RADIUS 인증 구성

이 구성 예는 다음 방법을 보여줍니다.

  • 802.1X PEAP 인증을 위해 EX 시리즈 스위치, Aruba ClearPass Policy Manager 및 Windows 7을 실행하는 노트북을 구성합니다

  • MAC RADIUS 인증을 위한 EX 시리즈 스위치 및 Aruba ClearPass 구성

  • 동적 VLAN 및 방화벽 필터를 구현하기 위한 EX 시리즈 스위치 및 Aruba ClearPass 구성

요구 사항

이 예에서는 정책 인프라에 다음과 같은 하드웨어 및 소프트웨어 구성 요소를 사용합니다.

  • Junos OS 릴리스 14.1X53-D30 이상을 실행하는 EX4300 스위치

  • 6.3.3.63748 이상을 실행하는 Aruba ClearPass Policy Manager 플랫폼

  • Microsoft Windows 7 Enterprise를 실행하는 노트북

개요 및 토폴로지

이 예에서 정책 인프라 구성 요소는 다음 엔드포인트를 인증하도록 구성됩니다.

  • 802.1X PEAP 인증용으로 구성된 직원 노트북.

    구성 예에서 Aruba ClearPass Policy Manager는 로컬 사용자 데이터베이스를 사용하여 802.1X 사용자를 인증하도록 구성됩니다. 인증된 직원이 데이터베이스에 재무 부서에 속한 것으로 나열되어 있는 경우 Aruba ClearPass는 RADIUS 속성의 스위치에 VLAN ID 201을 반환합니다. 그런 다음 스위치는 랩톱 액세스 포트를 VLAN 201에 있도록 동적으로 구성합니다.

  • 802.1X 인증에 대해 구성되지 않은 게스트 노트북.

    이 경우 스위치는 엔드포인트에 802.1X 신청자가 없음을 감지합니다. MAC RADIUS 인증도 인터페이스에서 활성화되므로 스위치는 MAC RADIUS 인증을 시도합니다. 노트북 MAC 주소가 Aruba ClearPass MAC 주소 데이터베이스에 없는 경우(게스트 노트북의 경우와 같이) Aruba ClearPass는 스위치가 액세스 포트에 적용해야 하는 방화벽 필터의 이름을 반환하도록 구성됩니다. 스위치에 구성된 이 방화벽 필터를 사용하면 게스트가 서브넷 192.168.0.0/16을 제외한 전체 네트워크에 액세스할 수 있습니다.

그림 1 은 이 예에서 사용되는 토폴로지를 보여줍니다.

그림 1: 이 예 Simplified network diagram with Aruba ClearPass managing access policies, internal network cloud, EX4300 switch connecting guest and employee devices. 에서 사용된 토폴로지

구성

이 섹션은 다음에 대한 단계별 지침을 제공합니다.

EX4300 스위치 구성

CLI 빠른 구성

이 예제를 빠르게 구성하려면 다음 명령을 복사하여 텍스트 파일에 붙여 넣은 다음 줄 바꿈을 제거하고, 네트워크 구성과 일치하는 데 필요한 세부 정보를 변경하고, 명령을 복사하여 [edit] 계층 수준의 CLI에 붙여넣은 다음, 구성 모드에서 commit을 입력합니다.

단계별 절차

EX4300 스위치를 구성하는 일반적인 단계는 다음과 같습니다.

  • Aruba ClearPass Policy Manager에 대한 연결을 구성합니다.

  • 802.1X 프로토콜에서 사용하는 액세스 프로필을 생성합니다. 액세스 프로필은 802.1X 프로토콜에 사용할 인증 서버와 인증 방법 및 순서를 알려줍니다.

  • 802.1X 프로토콜을 구성합니다.

  • ge-0/0/10 및 ge-0/0/22 액세스 포트에서 이더넷 스위칭을 구성합니다.

  • 게스트 노트북이 포트에 연결할 때 사용할 방화벽 정책을 생성합니다.

EX4300 스위치를 구성하려면:

  1. RADIUS 서버 연결 정보를 제공합니다.

  2. 액세스 프로필을 구성합니다.

  3. Aruba-Test-Profile을 사용하고 각 액세스 인터페이스에서 실행되도록 802.1X 프로토콜을 구성합니다. 또한 MAC RADIUS 인증을 사용하고 각각 개별적으로 인증되어야 하는 두 개 이상의 신청자를 허용하도록 인터페이스를 구성합니다.

  4. 액세스 포트를 구성합니다.

  5. 재무 부서의 구성원인 직원에게 사용되는 VLAN 201을 구성합니다.

    동적 VLAN 할당이 작동하려면 인증이 시도되기 전에 VLAN이 스위치에 있어야 합니다. VLAN이 존재하지 않으면 인증이 실패합니다.

  6. 게스트 노트북이 포트에 연결할 때 사용할 방화벽 필터를 구성합니다.

결과

구성 모드에서 다음 show 명령을 입력하여 구성을 확인합니다.

디바이스 구성이 완료되면 구성 모드에서 들어갑니다 commit .

Aruba ClearPass Policy Manager 구성

단계별 절차

Aruba ClearPass를 구성하는 일반적인 단계는 다음과 같습니다.

  • 주니퍼 네트웍스 RADIUS 사전 파일을 추가합니다.

  • EX4300을 네트워크 디바이스로 추가합니다.

  • 802.1X PEAP 인증에 사용되는 서버 인증서가 설치되어 있는지 확인합니다.

  • 이 예에서 사용된 로컬 사용자를 추가하고 사용자를 재무 그룹에 할당합니다.

  • 두 개의 실행 프로필을 생성합니다.

    • 동적 방화벽 필터에 대한 RADIUS 속성을 정의하는 프로필입니다.

    • 동적 VLAN에 대한 RADIUS 속성을 정의하는 프로파일입니다.

  • 두 개의 시행 정책을 만듭니다.

    • MAC RADIUS 인증이 사용될 때 호출되는 정책입니다.

    • 802.1X 인증이 사용될 때 호출되는 정책입니다.

  • MAC RADIUS 인증 서비스 및 802.1X 인증 서비스를 정의합니다.

  • 802.1X 인증 서비스 전에 MAC RADIUS 인증 서비스가 평가되는지 확인합니다.

Aruba ClearPass 구성하기:

  1. 주니퍼 네트웍스 RADIUS 사전 파일을 추가합니다.

    단계별 절차

    1. 다음 내용을 바탕 화면의 주니퍼.dct 라는 파일에 복사합니다.

    2. Aruba ClearPass에서 Administration > Dictionaries > RADIUS로 이동하고 가져오기 를 클릭하여 주니퍼.dct 파일을 가져옵니다.

      Import RADIUS dictionary file interface with juniper.dct selected. Options to enter a secret, import, or cancel.

  2. EX4300 스위치를 네트워크 디바이스로 추가합니다.

    단계별 절차

    1. 네트워크 > 디바이스> 구성에서 추가를 클릭합니다.

      Network configuration interface showing Network Devices section with Add green plus icon, Import green download icon, and Export All green upload icon.

    2. 디바이스 탭에서 스위치의 호스트 이름과 IP 주소, 스위치에 구성한 RADIUS 공유 암호를 입력합니다. 공급업체 이름 필드를 주니퍼로 설정합니다.

      Configuration interface for adding a device in a network management system with fields for device name, IP address, description, RADIUS and TACACS+ shared secrets, vendor name, and RADIUS CoA checkbox. Includes Add and Cancel buttons, and tabs for SNMP and CLI settings.

  3. 802.1X PEAP 인증에 대한 서버 인증서가 있는지 확인합니다.

    관리 > 인증서 > 서버 인증서에서 Aruba ClearPass에 유효한 서버 인증서가 설치되어 있는지 확인합니다. 그렇지 않은 경우 유효한 서버 인증서를 추가합니다. Aruba ClearPass 설명서 및 인증 기관에서 인증서를 획득하고 ClearPass로 가져오는 방법에 대한 자세한 정보를 제공할 수 있습니다.

    Web interface showing RADIUS Server Certificate for cp-campus.englab.juniper.net; valid, issued and expires 2015-2016; manage options available.

  4. 로컬 사용자 저장소에 테스트 사용자를 추가합니다.

    이 사용자는 802.1X 인증 확인에 사용됩니다.

    단계별 절차

    1. 구성 -> ID -> 로컬 사용자에서 추가를 클릭합니다.

    2. 로컬 사용자 추가 창에서 사용자 ID(usertest1), 사용자 이름(테스트 사용자), 비밀번호를 입력하고 사용자 역할로 직원을 선택합니다. 속성에서 부서 속성을 선택하고 값 아래에 재무를 입력합니다.

      User interface for adding a local user with User ID usertest1, name Test User, enabled status, role Employee, department Finance, and buttons for Add and Cancel.

  5. 동적 필터 적용 프로필을 구성합니다.

    이 프로필은 RADIUS 필터 ID 속성을 정의하고 스위치에 구성한 방화벽 필터의 이름을 할당합니다. 엔드포인트의 MAC 주소가 MAC 데이터베이스에 없을 때 속성이 스위치로 전송되어 스위치가 액세스 포트에 방화벽 필터를 동적으로 할당할 수 있습니다.

    단계별 절차

    1. 구성 > 적용 > 프로파일에서 추가를 클릭합니다.

    2. 프로필 탭에서 템플릿을 RADIUS 기반 적용 으로 설정하고 이름 필드에 프로필 이름 주니퍼_DACL_1을 입력합니다.

      Configuration interface for creating or editing a RADIUS-based Enforcement Profile. Template: RADIUS Based Enforcement. Name: Juniper_DACL_1. Type: RADIUS. Action: Accept. No device group selected. Buttons: Remove, View Details, Modify.

    3. 속성 탭에서 유형을( 를) RADIUS:IETF로, 이름을 필터 ID(11)로 설정하고 값 필드에 방화벽 필터 이름인 mac_auth_policy_1를 입력합니다.

      Configuration interface for creating or editing an Enforcement Profile in a network management system Attributes tab. Type is Radius:IETF. Name is Filter-Id 11. Value is mac_auth_policy_1.

  6. 동적 VLAN 적용 프로필을 구성합니다.

    이 프로파일은 VLAN 201을 지정하기 위한 RADIUS 속성을 정의합니다. 이러한 RADIUS 속성은 재무 부서에 속한 사용자가 802.1X를 사용하여 인증할 때 스위치로 전송되어 스위치가 액세스 포트에 VLAN 201을 동적으로 할당할 수 있도록 합니다.

    단계별 절차

    1. 구성 > 적용 > 프로파일에서 추가를 클릭합니다.

    2. 프로필 탭에서 템플릿을 RADIUS 기반 적용 으로 설정하고 이름 필드에 프로필 이름 주니퍼_Vlan_201을 입력합니다.

      Configuration interface for adding RADIUS based enforcement profile. Name: Juniper_Vlan_201. Action: Accept.

    3. 속성 탭에서 그림과 같이 RADIUS 속성을 정의합니다.

      Configuration interface for adding enforcement profile attributes in network management system: Tunnel-Medium-Type IEEE-802 6, Tunnel-Type VLAN 13, Tunnel-Private-Group-Id 201.

  7. MAC RADIUS 인증 적용 정책을 구성합니다.

    이 정책은 Aruba ClearPass에 엔드포인트의 MAC 주소가 RADIUS 데이터베이스에 있는지 여부에 따라 다음 작업 중 하나를 수행하도록 지시합니다.

    • 주소가 RADIUS 데이터베이스에 있는 경우 스위치에 액세스 수락 메시지를 보냅니다.

    • 주소가 RADIUS 데이터베이스에 없는 경우 MAC RADIUS 인증 프로필에 정의된 방화벽 필터의 이름과 함께 액세스 수락 메시지를 스위치로 보냅니다.

    단계별 절차

    1. 구성 > 적용 > 정책에서 추가를 클릭합니다.

    2. 시행 탭에서 정책 이름(주니퍼-MAC-Auth-Policy)을 입력하고 기본 프로필을 주니퍼_DACL_1 ( 5단계에서 정의한 프로필)으로 설정합니다.

      Configuration interface for adding enforcement policies in a network management system. Policy Name is Juniper-MAC-Auth-Policy. RADIUS is selected as Enforcement Type. Default Profile is Juniper_DACL_1.

    3. 규칙 탭에서 규칙 추가를 클릭하고 표시된 두 규칙을 추가합니다.

      두 번째 규칙을 만들기 전에 규칙 편집기에서 첫 번째 규칙을 만들고 저장을 클릭하여 규칙을 순차적으로 추가해야 합니다.

      Configuration interface for NAC system enforcement policies with rules evaluation algorithm options: Select first match or Select all matches. Conditions: UnknownClient applies Juniper_DACL_1, KnownClient applies Allow Access Profile. Includes Add Rule, Move Up, Move Down buttons for rule management.

  8. 802.1X 적용 정책을 구성합니다.

    이 정책은 사용자가 재무 부서에 속해 있는지 여부에 따라 Aruba ClearPass가 다음 작업 중 하나를 수행하도록 지시합니다.

    • 사용자가 재무 부서에 속해 있는 경우 스위치에 액세스 수락 메시지와 802.1X 적용 프로파일에 정의된 VLAN 201 정보를 보냅니다.

    • 사용자가 재무 부서에 속하지 않는 경우 스위치에 액세스 수락 메시지를 보냅니다.

    단계별 절차

    1. 구성 > 적용 > 정책에서 추가를 클릭합니다.

    2. 시행 탭에서 정책 이름(주니퍼_Dot1X_Policy)을 입력하고 기본 프로필을 [액세스 프로필 허용]으로 설정합니다. (Aruba ClearPass와 함께 제공되는 사전 패키지 프로파일입니다.)

      Configuration interface for adding an enforcement policy in a network management system with fields for policy name, description, enforcement type, and default profile. RADIUS is selected as the enforcement type with Juniper_Dot1X_Policy as the policy name and Allow Access Profile as the default profile.

    3. 규칙 탭에서 규칙 추가를 클릭하고 표시된 규칙을 추가합니다.

      Configuration interface for setting up enforcement policies. Rule: LocalUser:Department equals Finance. Action: Assign to Juniper_Vlan_201 via RADIUS.

  9. MAC RADIUS 인증 서비스를 구성합니다.

    이 서비스를 구성하면 수신된 RADIUS 사용자 이름 속성과 클라이언트-MAC-주소 속성이 동일한 값을 가질 때 MAC RADIUS 인증이 수행됩니다.

    단계별 절차

    1. 구성 > 서비스에서 추가를 클릭합니다.

    2. 서비스 탭에서 표시된 대로 필드를 채웁니다.

      Configuration interface for MAC Authentication service named Juniper_Mac_Auth with monitoring and additional options like Authorization. Service rule matches conditions based on NAS-Port-Type and Client-Mac-Address.

    3. 인증 탭의 인증 방법 목록에서 [MAC AUTH ]를 제거하고 목록에 [EAP MD5] 를 추가합니다.

      Configuration interface for setting up network authentication methods and sources, featuring dropdowns for EAP MD5, EAP TLS, and management buttons.

    4. 적용 탭에서 주니퍼-MAC-인증 정책을 선택합니다.

      Configuration interface for network management system on Enforcement tab. Dropdown menu shows Juniper-MAC-Auth-Policy selected. Condition set for all weekdays with Allow Access Profile.

  10. 802.1X 인증 서비스를 구성합니다.

    단계별 절차

    1. 구성 > 서비스에서 추가를 클릭합니다.

    2. 서비스 탭에서 표시된 대로 필드를 채웁니다.

      Configuration interface for adding 802.1X Wired Access Service in a network management system. Service name is Juniper_Dot1X_Service with no monitoring enabled. Service rule matches NAS-Port-Type equals Ethernet 15.

    3. 인증 탭에서 인증 원본을 [로컬 사용자 리포지토리][로컬 SQL DB]로 설정합니다.

      Configuration interface for network authentication with Authentication tab selected. Shows methods EAP PEAP, EAP FAST, EAP TLS, EAP TTLS, EAP MSCHAPv2 and sources dropdown with Local User Repository highlighted.

    4. 적용 탭에서 적용 정책을 주니퍼_Dot1X_정책으로 설정합니다.

      Configuration interface on Enforcement tab for network management, showing dropdown for selecting enforcement policies and rules based on day of the week.

  11. MAC RADIUS 인증 서비스 정책이 802.1X 인증 서비스 정책 전에 평가되는지 확인합니다.

    Aruba ClearPass는 동일한 값을 갖는 RADIUS User-Name 속성과 Client-MAC-Address 속성으로 MAC RADIUS 인증 요청을 인식하도록 구성되어 있으므로 MAC RADIUS 서비스 정책을 먼저 평가하는 것이 더 효율적입니다.

    서비스 주 창에서 표시된 대로 주니퍼-MAC-Auth-Policy 가 서비스 목록의 주니퍼-MAC_Dot1X_Policy 앞에 나타나는지 확인합니다. 그렇지 않은 경우 Reorder 를 클릭하고 주니퍼-MAC-Auth-Policy주니퍼-MAC_Dot1X_Policy 위로 이동합니다.

    Configuration interface for managing network services with details on order, name, type, template, and status. Service Juniper_Dot1X_Service added.

랩톱에서 Windows 7 요청자 구성

단계별 절차

이 네트워크 구성 예에서는 Windows 7 랩톱의 네이티브 802.1X 서플리컨트를 사용합니다. 이 신청자는 802.1X PEAP 인증에 대해 구성되어야 합니다.

Windows 7 요청자를 구성하는 일반적인 단계는 다음과 같습니다.

  • 유선 AutoConfig 서비스가 시작되었는지 확인합니다.

  • 로컬 영역 연결에 대해 802.1X PEAP 인증을 사용하도록 설정합니다.

  • 서버 인증서 유효성 검사를 위한 설정을 구성합니다.

  • 사용자 자격 증명 설정을 구성합니다.

  1. 노트북에서 유선 AutoConfig 서비스가 시작되었는지 확인합니다.

    제어판 > 관리 도구 > 서비스를 선택합니다. 유선 AutoConfig 상태 필드에 시작됨 이 나타나야 합니다.

    Windows Services Manager utility with Wired AutoConfig service selected, showing service details and a list of system services with their statuses and startup types.

  2. 로컬 영역 연결에 대해 802.1X PEAP 인증을 사용하도록 설정합니다.

    단계별 절차

    1. 제어판 > 네트워크 및 공유 센터 > 어댑터 설정 변경에서 로컬 영역 연결을 마우스 오른쪽 단추로 클릭한 다음 속성을 클릭합니다.

    2. 로컬 영역 연결 속성 창의 인증 탭에서 표시된 대로 속성을 구성합니다.

      Local Area Connection Properties window showing Authentication tab with IEEE 802.1X enabled, PEAP selected, and credentials saved.

  3. 노트북이 Aruba ClearPass 서버 인증서를 검증하는지 여부를 구성합니다.

    설정을 클릭하여 보호된 EAP 속성 창을 표시합니다.

    • 랩톱에서 ClearPass 서버 인증서의 유효성을 검사하지 않으려면 Validate server certificate(서버 인증서 유효성 검사)를 선택 취소합니다.

    • 랩톱에서 ClearPass 서버 인증서의 유효성을 검사하려면 서버 인증서 유효성 검사를 선택하고 ClearPass 서버의 이름을 입력한 다음 ClearPass 서버 인증서에 대해 신뢰할 수 있는 루트 인증 기관을 선택합니다. 서버 이름은 서버 인증서의 CN과 일치해야 합니다.

      Protected EAP Properties dialog box in Windows Local Area Connection Properties, showing PEAP configuration settings for secure network authentication.

  4. 사용자 자격 증명 설정을 구성합니다.

    이 구성 예에서는 사용자 인증에 Windows Active Directory 자격 증명을 사용하지 않습니다. 대신 Aruba ClearPass 서버에 정의된 로컬 사용자의 자격 증명을 사용합니다.

    단계별 절차

    1. 보호된 EAP 속성 창에서 구성을 클릭하여 보안 암호(EAP-MSCHAP v2)를 구성합니다. 내 Windows 로그온 이름 및 암호 자동 사용 확인란의 선택을 취소합니다.

      Aurba ClearPass 서버가 Windows Active Directory를 사용하여 사용자를 인증하도록 구성된 경우 이 옵션을 선택한 상태로 둡니다.

      Protected EAP Properties window in Windows showing EAP-MSCHAPv2 settings including trusted certificate authorities list, authentication options, and configure button.

    2. 확인을 클릭하여 보호된 PEAP 속성 구성을 완료합니다.

    3. 로컬 영역 연결 속성의 인증 탭에서 추가 설정을 클릭합니다.

      Local Area Connection Properties window showing the Authentication tab with IEEE 802.1X enabled and PEAP selected.

    4. 고급 설정에서 인증 모드에 대해 사용자 인증을 선택하고 인증 교체를 클릭합니다.

      Local Area Connection Properties window showing Advanced settings for 802.1X authentication with options for user authentication, credential replacement, single sign-on, and separate VLANs.

    5. Aruba ClearPass 서버의 로컬 사용자 데이터베이스에 추가한 로컬 사용자의 사용자 ID(usertest1)와 암호를 입력합니다.

      Local Area Connection Properties dialog with Networking and Authentication tabs, Advanced settings for 802.1X, and Windows Security prompt for credentials.

검증

구성이 제대로 작동하고 있는지 확인합니다.

EX4300 스위치에서 인증 확인

목적

테스트 사용자 usertest1이 인증되고 올바른 VLAN에 배치되고 있는지 확인합니다.

작업

  1. 노트북에서 Windows 7 서플리컨트 구성에 설명된 대로 구성된 Windows 7 노트북을 EX4300 스위치의 ge-0/0/22에 연결합니다.

  2. 스위치에서 다음 명령을 입력합니다.

  3. 동적 VLAN 할당을 포함한 자세한 내용을 보려면 다음을 입력합니다.

의미

802.1X 인증이 구성된 대로 작동하고 있습니다. usertest1이 성공적으로 인증되어 VLAN 201에 배치되었습니다.

show dot1x 명령을 사용하여 게스트 노트북이 MAC RADIUS 인증을 사용하여 제대로 인증되고 있는지 확인할 수도 있습니다.

Aruba ClearPass Policy Manager에서 인증 요청 상태 확인

목적

엔드포인트가 올바르게 인증되고 스위치와 Aruba ClearPass 간에 올바른 RADIUS 속성이 교환되고 있는지 확인합니다.

작업

  1. 모니터링 > 실시간 모니터링 > 액세스 추적기로 이동하여 인증 요청의 상태를 표시합니다.

    액세스 추적기는 인증 요청이 발생할 때 모니터링하고 해당 상태를 보고합니다.

    Aruba ClearPass Policy Manager interface showing Access Tracker with authentication requests table, navigation, and filter options.

  2. 특정 요청에 대해 스위치에서 Aruba ClearPass로 보낸 RADIUS 속성을 확인하려면 요청을 클릭한 다음 요청 세부 정보 창에서 입력 탭을 클릭합니다.

    Access Tracker interface showing RADIUS request details for usertest1 including username, MAC address, IP address, and NAS details.

  3. Aruba ClearPass가 이 요청에 대해 스위치로 다시 보낸 RADIUS 속성을 확인하려면 출력 탭을 클릭합니다.

    Request Details page with Output tab selected, showing RADIUS response for Juniper_Vlan_201. System and audit posture status unknown, attributes include Tunnel-Medium-Type 6, Tunnel-Private-Group-Id 201, and Tunnel-Type 13. Options: Change Status, Export, Show Logs, Close.

의미

액세스 추적기의 로그인 상태 필드는 직원 노트북과 게스트 노트북이 성공적으로 인증되고 있음을 보여줍니다. usertest1의 인증 요청에 대한 요청 세부 정보는 스위치가 올바른 RADIUS 속성을 Aruba ClearPass로 전송하고 ClearPass가 VLAN 201을 지정하는 올바른 RADIUS 속성을 스위치에 반환하고 있음을 보여줍니다.

관련 설명서