예: MX 시리즈 라우터에서 캡티브 포털 인증 설정
Junos OS 릴리스 14.2부터 라우터에 캡티브 포털 인증(이하 캡티브 포털이라고 함)을 설정하여 사용자가 사용자 이름과 암호를 입력해야 하는 로그인 페이지로 웹 브라우저 요청을 리디렉션할 수 있습니다. 인증에 성공하면 사용자는 원래 페이지 요청 및 네트워크에 대한 후속 액세스를 계속할 수 있습니다.
다음 예에서는 MX 시리즈 라우터에서 캡티브 포털을 설정하는 방법을 설명합니다.
요구 사항
이 예에서 사용되는 하드웨어 및 소프트웨어 구성 요소는 다음과 같습니다.
캡티브 포털(captive portal)을 지원하는 MX 시리즈 라우터
MX 시리즈 라우터용 Junos OS 릴리스 14.2 이상
시작하기 전에 다음을 확인하십시오.
라우터에서 기본 브리징 및 VLAN 구성을 수행했습니다.
SSL 인증서를 생성하여 라우터에 설치했습니다.
MX 시리즈 라우터와 RADIUS 서버 간의 기본 액세스를 구성했습니다.
캡티브 포털 로그인 페이지를 디자인했습니다. .
개요 및 토폴로지
이 예에서는 인터페이스에서 캡티브 포털을 활성화하기 위해 라우터에 필요한 구성을 보여줍니다. 캡티브 포털(captive portal) 인터페이스에 연결된 프린터가 캡티브 포털(captive portal)을 거치지 않고 LAN에 액세스할 수 있도록 허용하려면 해당 MAC 주소를 인증 허용 목록에 추가합니다. 이 목록의 MAC 주소는 캡티브 포털이 없는 인터페이스에서 액세스가 허용됩니다.
토폴로지
이 예의 토폴로지는 RADIUS 인증 서버에 연결된 하나의 MX 시리즈 라우터로 구성됩니다. 라우터의 인터페이스 하나는 캡티브 포털용으로 구성됩니다. 이 예에서 인터페이스는 Multiple Supplicant 모드로 구성됩니다.
구성
라우터에서 캡티브 포털을 구성하려면 다음을 수행합니다.
CLI 빠른 구성
요구 사항 섹션의 작업을 완료한 후 라우터에서 캡티브 포털을 빠르게 구성하려면 다음 명령을 복사하여 라우터 터미널 창에 붙여넣습니다.
[edit] set system services web-management http set system services web-management https local-certificate my-signed-cert set protocols captive-portal-custom-options secure-authentication https set protocols authentication-access-control interface ge-0/0/10.0 supplicant multiple set protocols authentication-access-control static 00:10:12:e0:28:22 set protocols captive-portal-custom-options post-authentication-url http://www.my-home-page.com
절차
단계별 절차
라우터에서 캡티브 포털을 구성하려면 다음을 수행합니다.
라우터에서 HTTP 액세스를 활성화합니다.
[edit] user@router# set system services web-management http
라우터에 대한 웹 액세스를 위한 보안 채널을 생성하려면 HTTPS에 대한 캡티브 포털을 구성합니다.
주:HTTPS를 활성화하지 않고 HTTP를 활성화할 수 있지만 보안을 위해 HTTPS를 사용하는 것이 좋습니다.
단계별 절차
보안 인증서를 웹 서버와 연결하고 라우터에서 HTTPS 액세스를 활성화합니다.
[edit] user@router# set system services web-management https local-certificate my-signed-cert
HTTPS를 사용하도록 캡티브 포털(captive portal)을 구성합니다.
[edit] user@router# set protocols captive-portal-custom-options secure-authentication https
캡티브 포털(captive portal)에 대한 인터페이스를 활성화합니다.
[edit] user@router# set protocols authentication-access-control interface ge-0/0/10.0 supplicant multiple
(선택 사항) 특정 클라이언트가 종속 포털을 우회하도록 허용:
주:클라이언트가 이미 라우터에 연결되어 있는 경우, MAC 주소를 허용 목록에 추가한 후 명령을 사용하여
clear captive-portal mac-address mac-address캡티브 포털 인증에서 MAC 주소를 지워야 합니다. 그렇지 않으면 MAC 주소에 대한 새 항목이 이더넷 라우터 테이블에 추가되지 않으며 인증 바이패스가 허용되지 않습니다.[edit] user@router# set protocols authentication-access-control static 00:10:12:e0:28:22
주:선택적으로 을(
set ethernet-switching-options authentication-whitelist 00:10:12:e0:28:22 interface ge-0/0/10.0를) 사용하여 범위를 인터페이스로 제한할 수 있습니다.(선택 사항) 클라이언트가 원래 요청한 페이지가 아닌 지정된 페이지로 리디렉션하려면 인증 후 URL을 구성합니다.
[edit services captive-portal] user@router# set protocols captive-portal-custom-options post-authentication-url http://www.my-home-page.com
결과
구성의 결과를 표시합니다.
[edit]
user@router> show
system {
services {
web-management {
http;
https {
local-certificate my-signed-cert;
}
}
}
}
security {
certificates {
local {
my-signed-cert {
"-----BEGIN RSA PRIVATE KEY-----\nMIICXwIBAAKBgQDk8sUggnXdDUmr7T vLv63yJq/LRpDASfIDZlX3z9ZDe1Kfk5C9\nr/tkyvzv
...
Pt5YmvWDoGo0mSjoE/liH0BqYdh9YGqv3T2IEUfflSTQQHEOShS0ogWDHF\ nnyOb1O/vQtjk20X9NVQg JHBwidssY9eRp\n-----END CERTIFICATE-----\n"; ## SECRET-DATA
}
}
}
}
protocols {
authentication-access-control {
static 00:10:12:e0:28:22/48;
interface {
ge-0/0/10.0 {
supplicant multiple;
}
}
custom-captive-portal-options {
secure-authentication https;
post-authentication-url http://www.my-home-page.com;
}
}
검증
캡티브 포털이 구성되어 제대로 작동하는지 확인하려면 다음 작업을 수행합니다.
인터페이스에서 캡티브 포털이 활성화되었는지 확인
목적
캡티브 포털이 인터페이스 ge-0/0/10에 구성되었는지 확인합니다.
작업
작동 모드 명령을 show captive-portal interface interface-name detail사용합니다.
user@router> show captive-portal interface ge-0/0/10.0 detail ge-0/0/10.0 Supplicant mode: Multiple Number of retries: 3 Quiet period: 60 seconds Configured CP session timeout: 3600 seconds Server timeout: 15 seconds
의미
출력은 캡티브 포털이 재시도 횟수, 무소음 기간, CP 세션 타임아웃 및 서버 타임아웃에 대한 기본 설정으로 인터페이스 ge-0/0/10에 구성되었음을 확인합니다.
문제 해결
캡티브 포털(captive portal) 문제를 해결하려면 다음 작업을 수행합니다.
캡티브 포털(Captive Portal) 문제 해결
문제
라우터의 캡티브 포털 인터페이스에 연결된 사용자가 웹 페이지를 요청할 때 라우터는 캡티브 포털 로그인 페이지를 반환하지 않습니다.
솔루션
ARP, DHCP, HTTPS 및 DNS 카운터를 검사할 수 있으며, 이러한 카운터 중 하나 이상이 증가하지 않는 경우 문제가 있는 위치를 나타냅니다. 예를 들어 클라이언트가 IP 주소를 가져올 수 없는 경우 라우터 인터페이스를 확인하여 DHCP 카운터가 증가하는지 확인합니다(카운터가 증가하면 라우터에서 DHCP 패킷을 받은 것입니다).
user@router> show captive-portal firewall ge-0/0/10.0 ge-0/0/10.0 Filter name: dot1x_ge-0/0/10 Counters: Name Bytes Packets dot1x_ge-0/0/10_CP_arp 7616 119 dot1x_ge-0/0/10_CP_dhcp 0 0 dot1x_ge-0/0/10_CP_http 0 0 dot1x_ge-0/0/10_CP_https 0 0 dot1x_ge-0/0/10_CP_t_dns 0 0 dot1x_ge-0/0/10_CP_u_dns 0 0
변경 내역 표
기능 지원은 사용 중인 플랫폼과 릴리스에 따라 결정됩니다. Feature Explorer 를 사용하여 플랫폼에서 기능이 지원되는지 확인하세요.