close

keyboard_arrow_left

Table of Contents Expand all

list Table of Contents

이 페이지에서

요구 사항
개요 및 토폴로지
802.1X 인증을 포함하는 게스트 VLAN 구성
검증
변경 내역 표

keyboard_arrow_right

이 기계 번역이 도움이 되었습니까?

Go to English page

면책 조항:

이 페이지는 타사 기계 번역 소프트웨어를 사용해 번역됩니다. 주니퍼 네트웍스에서는 우수한 품질의 번역을 제공하기 위한 합리적인 수준의 노력을 기울이지만 해당 컨텐츠의 정확성을 보장할 수 없습니다. 본 번역에 포함된 정보의 정확성과 관련해 의문이 있는 경우 영문 버전을 참조하시기 바랍니다. 다운로드 가능한 PDF는 영어로만 제공됩니다.

예: MX 시리즈 라우터에서 기업 방문자에게 인터넷 액세스를 제공하기 위해 컨퍼런스 룸에서 802.1X 설정

date_range 19-Jan-25

arrow_backward

arrow_forward

Junos OS 릴리스 14.2부터 MX 시리즈 라우터의 802.1X는 RADIUS 데이터베이스에 자격 증명이 없는 사용자에게 LAN 액세스를 제공합니다. 게스트라고 하는 이러한 사용자는 인증을 받았으며 일반적으로 인터넷에 액세스할 수 있습니다.

이 예에서는 게스트 VLAN을 생성하고 이에 대한 802.1X 인증을 구성하는 방법을 설명합니다.

요구 사항

이 예에서 사용되는 하드웨어 및 소프트웨어 구성 요소는 다음과 같습니다.

향상된 LAN 모드에서 실행되는 MX240, MX480 또는 MX960 라우터를 위한 Junos OS 릴리스 14.2 이상.
인증자 PAE(포트 액세스 엔터티) 역할을 하는 라우터 1개. 인증자 PAE의 포트는 신청자가 인증될 때까지 모든 트래픽을 차단하는 제어 게이트를 형성합니다.
802.1X를 지원하는 단일 RADIUS 인증 서버. 인증 서버는 백엔드 데이터베이스 역할을 하며, 네트워크에 연결할 수 있는 권한이 있는 호스트(서플리컨트)에 대한 크리덴셜 정보를 포함합니다.

서버를 라우터에 연결하기 전에 다음을 확인하십시오.

라우터에서 향상된 LAN 모드를 구성했습니다.
라우터에서 기본 브리징 및 VLAN 구성을 수행했습니다.
RADIUS 인증 서버에 구성된 사용자.

개요 및 토폴로지

MX 시리즈 라우터는 인증자 PAE(Port Access Entity) 역할을 합니다. 요청자(클라이언트)가 서버에 의해 인증될 때까지 모든 트래픽을 차단하고 제어 게이트 역할을 합니다. 다른 모든 사용자 및 디바이스에 대한 액세스가 거부됩니다.

인증자 포트로 작동하는 MX 시리즈 라우터를 생각해 보십시오. 인터페이스 ge-0/0/10을 사용하여 IP 네트워크를 통해 RADIUS 서버에 연결됩니다. 라우터는 또한 인터페이스 ge-0/0/1을 사용하는 컨퍼런스 룸, 인터페이스 ge-0/0/20을 사용하는 프린터, 인터페이스 ge-0/0/8을 사용하는 허브, 인터페이스를 통해 각각 ge-0/0/2 및 ge-0/0/9 인터페이스를 통해 두 개의 서플리컨트 또는 클라이언트에 연결됩니다.

표 1: 토폴로지의 구성 요소
속성	설정
라우터 하드웨어	MX 시리즈 라우터
VLAN 명칭	default
단일 RADIUS 서버	포트 ge-0/0/10의 스위치에 연결된 10.0.0.100 주소의 백엔드 데이터베이스

이 예에서 액세스 인터페이스는 ge-0/0/1 회의실에서 LAN 연결을 제공합니다. 회사 VLAN에 의해 인증되지 않은 회의실 방문자에게 LAN 연결을 제공하도록 이 액세스 인터페이스를 구성합니다.

802.1X 인증을 포함하는 게스트 VLAN 구성

CLI 빠른 구성

802.1X 인증을 사용하여 게스트 VLAN을 신속하게 구성하려면 다음 명령을 복사하여 스위치 터미널 창에 붙여넣습니다.

content_copy zoom_out_map
[edit]
set vlans bridge-domain-name vlan-id 300  
 set protocols dot1x authenticator interface all guest-bridge-domain bridge-domain-name

단계별 절차

MX 시리즈 라우터에서 802.1X 인증을 포함하는 게스트 VLAN을 구성하려면 다음을 수행합니다.

게스트 VLAN에 대한 VLAN ID를 구성합니다.

content_copy zoom_out_map
[edit]
user@switch# set bridge-domains bridge-domain-name vlan-id 300                         

dot1x 프로토콜에서 게스트 VLAN을 구성합니다.

content_copy zoom_out_map
[edit]
user@switch# set protocols dot1x authenticator interface all guest-bridge-domain bridge-domain-name 

결과

구성 결과를 확인합니다:

content_copy zoom_out_map
user@switch> show configuration                     
protocols {
    dot1x {
        authenticator {
        interface {
            all {
                    guest-bridge-domain {
                        bridge-domain-name;
                    }
                }
            }
        }
        }
    }
}
bridge-domains {
    bridge-domain-name {
        vlan-id 300;
    }
}

검증

구성이 제대로 작동하는지 확인하려면 다음의 작업을 수행하십시오:

게스트 VLAN 구성 확인

목적
작업
의미

목적

게스트 VLAN이 생성되었는지, 인터페이스가 인증에 실패하여 게스트 VLAN으로 이동되었는지 확인합니다.

작업

작동 모드 명령을 사용합니다.

content_copy zoom_out_map
user@switch> show bridge-domain 

Instance                   Bridging Domain          Type
            Primary Table                                           Active
vs1                        dynamic                   bridge         
            bridge.0                                                2       
vs1                        guest                     bridge         
            bridge.0                                                0    
vs1                        guest-vlan                bridge         
            bridge.0                                                0    
vs1                        vlan_dyn                  bridge         
            bridge.0                                                0       


user@switch> show dot1x interface ge-0/0/1.0 detail 
ge-0/0/1.0
  Role: Authenticator
  Administrative state: Auto
  Supplicant mode: Single
  Number of retries: 3
  Quiet period: 60 seconds
  Transmit period: 30 seconds
  Mac Radius: Enabled
  Mac Radius Restrict: Disabled
  Reauthentication: Enabled
  Configured Reauthentication interval: 3600 seconds
  Supplicant timeout: 30 seconds
  Server timeout: 30 seconds
  Maximum EAPOL requests: 2
  Guest VLAN member: guest-vlan
  Number of connected supplicants: 1
    Supplicant: user1, 00:00:00:00:13:23
      Operational state: Authenticated
      Authentication method: Radius
      Authenticated VLAN: vo11
      Dynamic Filter: match source-dot1q-tag 10 action deny
      Session Reauth interval: 60 seconds
      Reauthentication due in 50 seconds

의미

명령의 출력은 show bridge domain bridge-domain-name을 VLAN 이름으로, VLAN ID를 로 300표시합니다.

명령의 show dot1x interface ge-0/0/1.0 detail 출력에는 브리지 도메인 이름 이 인터페이스의 신청자가 802.1X 인증에 실패하여 bridge-domain-name으로 전달되었음을 나타냅니다.

변경 내역 표

기능 지원은 사용 중인 플랫폼과 릴리스에 따라 결정됩니다. Feature Explorer 를 사용하여 플랫폼에서 기능이 지원되는지 확인하세요.

릴리스

설명

14.2

Junos OS 릴리스 14.2부터 MX 시리즈 라우터의 802.1X는 RADIUS 데이터베이스에 자격 증명이 없는 사용자에게 LAN 액세스를 제공합니다.

arrow_backward PREVIOUS 예: 802.1X용 RADIUS 서버를 MX 시리즈 라우터에 연결

NEXT arrow_forward 예: MX 시리즈 라우터에서 인증의 정적 MAC 바이패스 구성

Junos OS에 대한 사용자 액세스 및 인증 관리 가이드