예: EX 시리즈 스위치에 단일 요청자 또는 다중 요청자 구성을 위한 802.1X 설정
EX 시리즈 스위치의 802.1x 포트 기반 네트워크 액세스 제어(PNAC) 인증은 엔터프라이즈 LAN의 액세스 요구 사항을 충족하는 세 가지 유형의 인증을 제공합니다.
인증자 포트에서 첫 번째 종단 디바이스(서플리컨트)를 인증하고 연결된 다른 모든 엔드 디바이스도 LAN에 액세스할 수 있도록 허용합니다.
인증자 포트에서 한 번에 하나의 종단 디바이스만 인증합니다.
인증자 포트에서 여러 개의 종단 디바이스를 인증합니다. 다중 신청자 모드는 VoIP 구성에서 사용됩니다.
이 예에서는 IEEE 802.1X를 사용하여 세 가지 관리 모드를 사용하는 최종 디바이스를 인증하도록 EX 시리즈 스위치를 구성합니다.
요구 사항
이 예에서 사용되는 소프트웨어 및 하드웨어 구성 요소는 다음과 같습니다:
이 예는 QFX5100 스위치에도 적용됩니다.
EX 시리즈 스위치용 Junos OS 릴리즈 9.0 이상
인증자 포트 액세스 엔티티(PAE) 역할을 하는 EX 시리즈 스위치 1개. 인증자 PAE의 포트는 인증될 때까지 최종 디바이스와 주고받는 모든 트래픽을 차단하는 제어 게이트를 형성합니다.
802.1X를 지원하는 단일 RADIUS 인증 서버. 인증 서버는 백엔드 데이터베이스 역할을 하며 네트워크 연결 권한이 있는 최종 디바이스(신청자)에 대한 자격 증명 정보를 포함합니다.
802.1X 인증을 위한 포트를 구성하기 전에 다음을 확인하십시오.
초기 스위치 구성을 수행했는지 확인합니다. EX 시리즈 스위치 연결 및 구성(CLI 절차)을 참조하십시오.
스위치에서 기본 브리징 및 VLAN 구성을 수행했습니다. 스위치에 대한 기본 브리징 및 VLAN 설정을 설명하는 문서를 참조하십시오. ELS(Enhanced Layer 2 Software) 구성 스타일을 지원하는 스위치를 사용하는 경우 의 예: ELS 또는 을(를) 지원하는 EX 시리즈 스위치를 위한 기본 브리징 및 VLAN 설정의 예: 스위치에서 기본 브리징 및 VLAN 설정. 다른 모든 스위치의 경우 예: EX 시리즈 스위치를 위한 기본 브리징 및 VLAN 설정.
주:ELS에 대한 자세한 내용은 Enhanced Layer 2 소프트웨어 CLI 사용을 참조하십시오.
인증 서버에 구성된 사용자.
개요 및 토폴로지
에서 그림 1볼 수 있듯이 토폴로지에는 포트 ge-0/0/10의 인증 서버에 연결된 EX4200 액세스 스위치가 포함되어 있습니다. 인터페이스 ge-0/0/8, ge-0/0/9 및 ge-0/0/11은 세 가지 관리 모드로 구성됩니다.
해당 수치는 QFX5100 스위치에도 적용됩니다.
토폴로지
| 속성 | 설정 |
|---|---|
스위치 하드웨어 |
EX4200 스위치, 기가비트 이더넷 포트 24개: 8개의 PoE 포트(ge-0/0/0~ge-0/0/7) 및 16개의 비-PoE 포트(ge-0/0/8~ge-0/0/23) |
Avaya 전화기에 연결 - 통합 허브를 사용하여 전화기와 데스크탑 PC를 단일 포트에 연결; (PoE 필요) |
ge-0/0/8, ge-0/0/9 및 ge-0/0/11 |
엔터프라이즈 네트워크의 다른 영역에서 요청자를 지원하도록 관리 모드를 구성하려면 다음을 수행합니다.
단일 서플리컨트 모드 인증을 위한 액세스 포트 ge-0/0/8을 구성합니다.
단일 보안 서플리컨트 모드 인증을 위한 액세스 포트 ge-0/0/9를 구성합니다.
다중 서플리컨트 모드 인증을 위해 액세스 포트 ge-0/0/11을 구성합니다.
단일 신청자 모드는 인증자 포트에 연결하는 첫 번째 종단 디바이스만 인증합니다. 802.1X 지원 여부와 관계없이 첫 번째 포트가 성공적으로 연결된 후 인증자 포트에 연결하는 다른 모든 종단 디바이스는 추가 인증 없이 포트에 액세스할 수 있습니다. 첫 번째 인증된 최종 디바이스가 로그아웃하면 최종 디바이스가 인증될 때까지 다른 모든 종료 디바이스가 잠깁니다.
단일 보안 서플리컨트 모드는 인증자 포트에 연결하기 위해 하나의 종단 디바이스만 인증합니다. 다른 종단 디바이스는 처음 로그아웃할 때까지 인증자 포트에 연결할 수 없습니다.
Multiple Supplicant 모드는 하나의 인증자 포트에서 여러 개의 종단 디바이스를 개별적으로 인증합니다. 포트 보안을 통해 포트에 연결할 수 있는 최대 디바이스 수를 구성하는 경우, 구성된 값 중 작은 값이 포트당 허용되는 최대 최종 디바이스 수를 결정하는 데 사용됩니다.
다중 서플리컨트 모드를 지원하기 위한 802.1X 구성
절차
CLI 빠른 구성
다른 802.1X 인증 모드로 포트를 신속하게 구성하려면 다음 명령을 복사하여 스위치 터미널 창에 붙여넣습니다.
[edit] set protocols dot1x authenticator interface ge-0/0/8 supplicant single set protocols dot1x authenticator interface ge-0/0/9 supplicant single-secure set protocols dot1x authenticator interface ge-0/0/11 supplicant multiple
단계별 절차
인터페이스에서 관리 모드를 구성합니다.
인터페이스 ge-0/0/8에서 서플리컨트 모드를 단일로 구성합니다.
[edit protocols] user@switch# set dot1x authenticator interface ge-0/0/8 supplicant single
인터페이스 ge-0/0/9에서 서플리컨트 모드를 단일 보안으로 구성합니다.
[edit protocols] user@switch# set dot1x authenticator interface ge-0/0/9 supplicant single-secure
인터페이스 ge-0/0/11에서 다중 서플리컨트 모드를 구성합니다.
[edit protocols] user@switch# set dot1x authenticator interface ge-0/0/11 supplicant multiple
결과
구성 결과를 확인합니다:
[edit]
user@access-switch> show configuration
protocols {
dot1x {
authenticator {
interface {
ge-0/0/8.0 {
supplicant single;
)
ge-0/0/9.0 {
supplicant single-secure;
)
ge-0/0/11.0 {
supplicant multiple;
)
}
}
}
}
검증
구성이 제대로 작동하는지 확인하려면 다음의 작업을 수행하십시오:
802.1X 구성 확인
목적
인터페이스 ge-0/0/8, ge-0/0/9 및 ge-0/0/11에서 802.1X 구성을 확인합니다.
작업
작동 모드 명령을 show dot1x interface실행하여 802.1X 구성을 확인합니다.
user@switch> show dot1x interface ge-0/0/8.0 detail ge-0/0/8.0 Role: Authenticator Administrative state: Auto Supplicant mode: Single Number of retries: 3 Quiet period: 60 seconds Transmit period: 30 seconds Mac Radius: Disabled Mac Radius Restrict: Disabled Reauthentication: Enabled Configured Reauthentication interval: 3600 seconds Supplicant timeout: 30 seconds Server timeout: 30 seconds Maximum EAPOL requests: 2 Guest VLAN member: <not configured> user@switch> show dot1x interface ge-0/0/9.0 detail ge-0/0/9.0 Role: Authenticator Administrative state: Auto Supplicant mode: Single-Secure Number of retries: 3 Quiet period: 60 seconds Transmit period: 30 seconds Mac Radius: Disabled Mac Radius Restrict: Disabled Reauthentication: Enabled Configured Reauthentication interval: 3600 seconds Supplicant timeout: 30 seconds Server timeout: 30 seconds Maximum EAPOL requests: 2 Guest VLAN member: <not configured> Number of connected supplicants: 0 user@switch> show dot1x interface ge-0/0/11.0 detail ge-0/0/11.0 Role: Authenticator Administrative state: Auto Supplicant mode: Multiple Number of retries: 3 Quiet period: 60 seconds Transmit period: 30 seconds Mac Radius: Disabled Mac Radius Restrict: Disabled Reauthentication: Enabled Configured Reauthentication interval: 3600 seconds Supplicant timeout: 30 seconds Server timeout: 30 seconds Maximum EAPOL requests: 2 Guest VLAN member: <not configured> Number of connected supplicants: 0
의미
출력 필드에는 Supplicant mode 각 인터페이스에 대해 구성된 관리 모드가 표시됩니다. 인터페이스에 ge-0/0/8.0 서플리컨트 모드가 표시됩니다 Single . 인터페이스에 ge-0/0/9.0 서플리컨트 모드가 표시됩니다 Single-Secure . 인터페이스에 ge-0/0/11.0 서플리컨트 모드가 표시됩니다 Multiple .