예: MX 시리즈 라우터에서 기업 방문자에게 인터넷 액세스를 제공하기 위해 컨퍼런스 룸에서 802.1X 설정
Junos OS 릴리스 14.2부터 MX 시리즈 라우터의 802.1X는 RADIUS 데이터베이스에 자격 증명이 없는 사용자에게 LAN 액세스를 제공합니다. 게스트라고 하는 이러한 사용자는 인증을 받았으며 일반적으로 인터넷에 액세스할 수 있습니다.
이 예에서는 게스트 VLAN을 생성하고 이에 대한 802.1X 인증을 구성하는 방법을 설명합니다.
요구 사항
이 예에서 사용되는 하드웨어 및 소프트웨어 구성 요소는 다음과 같습니다.
향상된 LAN 모드에서 실행되는 MX240, MX480 또는 MX960 라우터를 위한 Junos OS 릴리스 14.2 이상.
인증자 PAE(포트 액세스 엔터티) 역할을 하는 라우터 1개. 인증자 PAE의 포트는 신청자가 인증될 때까지 모든 트래픽을 차단하는 제어 게이트를 형성합니다.
802.1X를 지원하는 단일 RADIUS 인증 서버. 인증 서버는 백엔드 데이터베이스 역할을 하며, 네트워크에 연결할 수 있는 권한이 있는 호스트(서플리컨트)에 대한 크리덴셜 정보를 포함합니다.
서버를 라우터에 연결하기 전에 다음을 확인하십시오.
라우터에서 향상된 LAN 모드를 구성했습니다.
라우터에서 기본 브리징 및 VLAN 구성을 수행했습니다.
RADIUS 인증 서버에 구성된 사용자.
개요 및 토폴로지
MX 시리즈 라우터는 인증자 PAE(Port Access Entity) 역할을 합니다. 요청자(클라이언트)가 서버에 의해 인증될 때까지 모든 트래픽을 차단하고 제어 게이트 역할을 합니다. 다른 모든 사용자 및 디바이스에 대한 액세스가 거부됩니다.
인증자 포트로 작동하는 MX 시리즈 라우터를 생각해 보십시오. 인터페이스 ge-0/0/10을 사용하여 IP 네트워크를 통해 RADIUS 서버에 연결됩니다. 라우터는 또한 인터페이스 ge-0/0/1을 사용하는 컨퍼런스 룸, 인터페이스 ge-0/0/20을 사용하는 프린터, 인터페이스 ge-0/0/8을 사용하는 허브, 인터페이스를 통해 각각 ge-0/0/2 및 ge-0/0/9 인터페이스를 통해 두 개의 서플리컨트 또는 클라이언트에 연결됩니다.
| 속성 | 설정 |
|---|---|
라우터 하드웨어 |
MX 시리즈 라우터 |
VLAN 명칭 |
default |
단일 RADIUS 서버 |
포트 ge-0/0/10의 스위치에 연결된 10.0.0.100 주소의 백엔드 데이터베이스 |
이 예에서 액세스 인터페이스는 ge-0/0/1 회의실에서 LAN 연결을 제공합니다. 회사 VLAN에 의해 인증되지 않은 회의실 방문자에게 LAN 연결을 제공하도록 이 액세스 인터페이스를 구성합니다.
802.1X 인증을 포함하는 게스트 VLAN 구성
절차
CLI 빠른 구성
802.1X 인증을 사용하여 게스트 VLAN을 신속하게 구성하려면 다음 명령을 복사하여 스위치 터미널 창에 붙여넣습니다.
[edit] set vlans bridge-domain-name vlan-id 300 set protocols dot1x authenticator interface all guest-bridge-domain bridge-domain-name
단계별 절차
MX 시리즈 라우터에서 802.1X 인증을 포함하는 게스트 VLAN을 구성하려면 다음을 수행합니다.
게스트 VLAN에 대한 VLAN ID를 구성합니다.
[edit] user@switch# set bridge-domains bridge-domain-name vlan-id 300
dot1x 프로토콜에서 게스트 VLAN을 구성합니다.
[edit] user@switch# set protocols dot1x authenticator interface all guest-bridge-domain bridge-domain-name
결과
구성 결과를 확인합니다:
user@switch> show configuration
protocols {
dot1x {
authenticator {
interface {
all {
guest-bridge-domain {
bridge-domain-name;
}
}
}
}
}
}
}
bridge-domains {
bridge-domain-name {
vlan-id 300;
}
}
검증
구성이 제대로 작동하는지 확인하려면 다음의 작업을 수행하십시오:
게스트 VLAN 구성 확인
목적
게스트 VLAN이 생성되었는지, 인터페이스가 인증에 실패하여 게스트 VLAN으로 이동되었는지 확인합니다.
작업
작동 모드 명령을 사용합니다.
user@switch> show bridge-domain
Instance Bridging Domain Type
Primary Table Active
vs1 dynamic bridge
bridge.0 2
vs1 guest bridge
bridge.0 0
vs1 guest-vlan bridge
bridge.0 0
vs1 vlan_dyn bridge
bridge.0 0
user@switch> show dot1x interface ge-0/0/1.0 detail
ge-0/0/1.0
Role: Authenticator
Administrative state: Auto
Supplicant mode: Single
Number of retries: 3
Quiet period: 60 seconds
Transmit period: 30 seconds
Mac Radius: Enabled
Mac Radius Restrict: Disabled
Reauthentication: Enabled
Configured Reauthentication interval: 3600 seconds
Supplicant timeout: 30 seconds
Server timeout: 30 seconds
Maximum EAPOL requests: 2
Guest VLAN member: guest-vlan
Number of connected supplicants: 1
Supplicant: user1, 00:00:00:00:13:23
Operational state: Authenticated
Authentication method: Radius
Authenticated VLAN: vo11
Dynamic Filter: match source-dot1q-tag 10 action deny
Session Reauth interval: 60 seconds
Reauthentication due in 50 seconds
의미
명령의 출력은 show bridge domain bridge-domain-name을 VLAN 이름으로, VLAN ID를 로 300표시합니다.
명령의 show dot1x interface ge-0/0/1.0 detail 출력에는 브리지 도메인 이름 이 인터페이스의 신청자가 802.1X 인증에 실패하여 bridge-domain-name으로 전달되었음을 나타냅니다.
변경 내역 표
기능 지원은 사용 중인 플랫폼과 릴리스에 따라 결정됩니다. Feature Explorer 를 사용하여 플랫폼에서 기능이 지원되는지 확인하세요.