예: 802.1X용 RADIUS 서버를 MX 시리즈 라우터에 연결
802.1X는 포트 기반 네트워크 액세스 제어(PNAC)를 위한 IEEE 표준입니다. 802.1X를 사용하여 네트워크 액세스를 제어합니다. 사용자 데이터베이스에 대해 확인된 자격 증명을 제공하는 사용자 및 디바이스만 네트워크에 액세스할 수 있습니다. Junos OS 릴리스 14.2부터 802.1X 인증 및 MAC RADIUS 인증을 위한 사용자 데이터베이스로 RADIUS 서버를 사용할 수 있습니다.
다음 예에서는 RADIUS 서버를 MX 시리즈 라우터에 연결하고 802.1X용으로 구성하는 방법을 설명합니다.
요구 사항
이 예에서 사용되는 하드웨어 및 소프트웨어 구성 요소는 다음과 같습니다.
향상된 LAN 모드에서 실행되는 MX240, MX480 또는 MX960 라우터의 경우 Junos OS 릴리스 14.2 이상, 기타 모든 라우터의 경우 Junos OS 릴리스 14.2R3.
인증자 PAE(포트 액세스 엔터티) 역할을 하는 라우터 1개. 인증자 PAE의 포트는 신청자가 인증될 때까지 모든 트래픽을 차단하는 제어 게이트를 형성합니다.
802.1X를 지원하는 단일 RADIUS 인증 서버. 인증 서버는 백엔드 데이터베이스 역할을 하며, 네트워크에 연결할 수 있는 권한이 있는 호스트(서플리컨트)에 대한 크리덴셜 정보를 포함합니다.
서버를 라우터에 연결하기 전에 다음을 확인하십시오.
라우터에서 향상된 LAN 모드를 구성했습니다.
라우터에서 기본 브리징 및 VLAN 구성을 수행했습니다.
RADIUS 인증 서버에 구성된 사용자.
개요 및 토폴로지
MX 시리즈 라우터는 인증자 PAE(Port Access Entity) 역할을 합니다. 요청자(클라이언트)가 서버에 의해 인증될 때까지 모든 트래픽을 차단하고 제어 게이트 역할을 합니다. 다른 모든 사용자 및 디바이스에 대한 액세스가 거부됩니다.
인증자 포트로 작동하는 MX 시리즈 라우터를 생각해 보십시오. 인터페이스 ge-0/0/10을 사용하여 IP 네트워크를 통해 RADIUS 서버에 연결됩니다. 라우터는 또한 인터페이스 ge-0/0/1을 사용하는 컨퍼런스 룸, 인터페이스 ge-0/0/20을 사용하는 프린터, 인터페이스 ge-0/0/8을 사용하는 허브, 인터페이스를 통해 각각 ge-0/0/2 및 ge-0/0/9 인터페이스를 통해 두 개의 서플리컨트 또는 클라이언트에 연결됩니다.
| 속성 | 설정 |
|---|---|
라우터 하드웨어 |
MX 시리즈 라우터 |
VLAN 명칭 |
default |
단일 RADIUS 서버 |
포트 ge-0/0/10의 스위치에 연결된 10.0.0.100 주소의 백엔드 데이터베이스 |
이 예에서는 RADIUS 서버를 MX 시리즈 라우터의 액세스 포트에 ge-0/0/10 연결합니다. 스위치는 인증자 역할을 하며 요청자의 자격 증명을 RADIUS 서버의 사용자 데이터베이스로 전달합니다. 서버의 주소를 지정하고 암호를 구성하여 MX 시리즈 라우터와 RADIUS 서버 간의 연결을 구성해야 합니다. 이 정보는 스위치의 액세스 프로필에 구성됩니다.
구성
절차
CLI 빠른 구성
RADIUS 서버를 스위치에 신속하게 연결하려면 다음 명령을 복사하여 스위치 터미널 창에 붙여넣으십시오.
[edit] set access radius-server 10.0.0.100 secret juniper set access radius-server 10.0.0.200 secret juniper set access profile profile1 authentication-order radius set access profile profile1 radius authentication-server [10.0.0.100 10.0.0.200]
단계별 절차
RADIUS 서버를 스위치에 연결하려면,
서버의 주소를 정의하고 암호를 구성합니다. 스위치의 암호는 서버의 암호와 일치해야 합니다.
[edit] user@switch# set access radius-server 10.0.0.100 secret juniper user@switch# set access radius-server 10.0.0.200 secret juniper
인증 순서를 구성하여 radius을(를) 첫 번째 인증 방법으로 설정합니다.
[edit] user@switch# set access profile profile1 authentication-order radius
신청자를 인증하기 위해 시도할 서버 IP 주소 목록을 구성합니다.
[edit] user@switch# set access profile profile1 radius authentication-server [10.0.0.100 10.0.0.200]
결과
구성의 결과를 표시합니다.
user@switch> show configuration access
radius-server {
10.0.0.100
port 1812;
secret "$9$qPT3ApBSrv69rvWLVb.P5"; ## SECRET-DATA
}
}
profile profile1{
authentication-order radius;
radius {
authentication-server 10.0.0.100 10.0.0.200;
}
}
}
검증
구성이 제대로 작동하는지 확인하려면 다음의 작업을 수행하십시오:
스위치와 RADIUS 서버가 제대로 연결되어 있는지 확인
목적
RADIUS 서버가 지정된 포트의 스위치에 연결되어 있는지 확인합니다.
작업
RADIUS 서버를 호출하여 스위치와 서버 간의 연결을 확인합니다.
user@switch> ping 10.0.0.100
PING 10.0.0.100 (10.0.0.100): 56 data bytes
64 bytes from 10.93.15.218: icmp_seq=0 ttl=64 time=9.734 ms
64 bytes from 10.93.15.218: icmp_seq=1 ttl=64 time=0.228 ms의미
ICMP 에코 요청 패킷은 IP 네트워크를 통해 연결할 수 있는지 테스트하기 위해 스위치에서 10.0.0.100의 대상 서버로 전송됩니다. 서버에서 ICMP 에코 응답을 반환하여 스위치와 서버가 연결되어 있는지 확인하고 있습니다.
변경 내역 표
기능 지원은 사용 중인 플랫폼과 릴리스에 따라 결정됩니다. Feature Explorer 를 사용하여 플랫폼에서 기능이 지원되는지 확인하세요.