- play_arrow 로그인 클래스 및 로그인 설정
- play_arrow 사용자 계정
- play_arrow 사용자 액세스를 위한 암호
- play_arrow 신뢰할 수 있는 플랫폼 모듈
- play_arrow 사용자 인증
- play_arrow 원격 액세스 관리
- play_arrow 접근제어
- 액세스 제어 인증 방법
- U-Boot용 무인 모드를 사용하여 EX 시리즈 스위치에 대한 무단 액세스 방지
- U-Boot용 무인 모드를 사용하여 EX 시리즈 스위치에 대한 무단 액세스 방지
- 인증을 위한 RADIUS 서버 구성
- RADSEC(RADIUS over TLS)
- 802.1X 인증
- MAC RADIUS 인증
- 802.1X 및 RADIUS 어카운팅
- 예: EX 시리즈 스위치에 단일 요청자 또는 다중 요청자 구성을 위한 802.1X 설정
- 예: EX 시리즈 스위치에서 기업 방문자에게 인터넷 액세스를 제공하도록 컨퍼런스 룸에서 802.1X 설정
- 802.1X 또는 MAC RADIUS 인증에 활성화된 인터페이스
- 802.1X 및 MAC RADIUS 인증의 정적 MAC 바이패스
- MAC RADIUS 인증을 위한 PEAP 구성
- 캡티브 포털(Captive Portal) 인증
- EX 시리즈 스위치의 유연한 인증 순서
- 서버 장애 복구 및 인증
- 인증 세션 시간 초과
- 중앙 웹 인증
- 무색 포트에 대한 동적 VLAN 할당
- EX 시리즈 스위치의 VoIP
- play_arrow IEEE 802.1x 포트 기반 네트워크 액세스 제어 구성
- play_arrow 디바이스 검색
- play_arrow 도메인 이름 보안
- play_arrow 권한 플래그
- play_arrow 구성 명령문 및 작동 명령
예: MX 시리즈 라우터에서 MAC RADIUS 인증 구성
Junos OS 릴리스 14.2부터 802.1X가 활성화되지 않은 호스트가 LAN에 액세스할 수 있도록 허용하며, 802.1X를 지원하지 않는 호스트가 연결된 라우터 인터페이스에서 MAC RADIUS 인증을 구성할 수 있습니다. MAC RADIUS 인증이 구성되면 라우터는 호스트의 MAC 주소를 사용하여 RADIUS 서버로 호스트를 인증하려고 시도합니다.
이 예에서는 802.1X를 지원하지 않는 두 호스트에 대해 MAC RADIUS 인증을 구성하는 방법을 설명합니다.
요구 사항
이 예에서 사용되는 하드웨어 및 소프트웨어 구성 요소는 다음과 같습니다.
향상된 LAN 모드에서 실행되는 MX240, MX480 또는 MX960 라우터를 위한 Junos OS 릴리스 14.2 이상.
인증자 포트 액세스 엔티티(PAE) 역할을 하는 MX 시리즈 라우터. 인증자 PAE의 포트는 신청자가 인증될 때까지 모든 트래픽을 차단하는 제어 게이트를 형성합니다.
RADIUS 인증 서버. 인증 서버는 백엔드 데이터베이스 역할을 하며, 네트워크에 연결할 수 있는 권한이 있는 호스트(서플리컨트)에 대한 크리덴셜 정보를 포함합니다.
서버를 라우터에 연결하기 전에 다음을 확인하십시오.
라우터에서 향상된 LAN 모드를 구성했습니다.
라우터에서 기본 브리징 및 VLAN 구성을 수행했습니다.
RADIUS 인증 서버에 구성된 사용자.
개요 및 토폴로지
IEEE 802.1X PNAC(Port-Based Network Access Control)는 디바이스가 802.1X 프로토콜(802.1X 지원)을 사용하여 라우터와 통신할 수 있는 경우 LAN에 대한 디바이스 액세스를 인증하고 허용합니다. 802.1X가 활성화되지 않은 최종 디바이스가 LAN에 액세스할 수 있도록 하려면 최종 디바이스가 연결된 인터페이스에서 MAC RADIUS 인증을 구성할 수 있습니다. 최종 디바이스의 MAC 주소가 인터페이스에 나타나면 라우터는 RADIUS 서버를 참조하여 허용된 MAC 주소인지 확인합니다. 최종 디바이스의 MAC 주소가 RADIUS 서버에서 허용되는 것으로 구성된 경우 라우터는 엔드 디바이스에 대한 LAN 액세스를 엽니다.
여러 서플리컨트에 대해 구성된 인터페이스에서 MAC RADIUS 인증과 802.1X 인증 방법을 모두 구성할 수 있습니다. 또한 인터페이스가 802.1X가 활성화되지 않은 호스트에만 연결된 경우 MAC RADIUS를 mac-radius restrict 활성화하고 옵션을 사용하여 802.1X 인증을 활성화하지 않을 수 있으므로 라우터가 디바이스가 EAP 메시지에 응답하지 않는다고 판단하는 동안 발생하는 지연을 방지할 수 있습니다.
두 대의 프린터가 인터페이스 ge-0/0/19 및 ge-0/0/20을 통해 MX 시리즈 라우터에 연결됩니다.
표 1 에는 MAC RADIUS 인증에 대한 예의 구성 요소가 나와 있습니다.
| 속성 | 설정 |
|---|---|
라우터 하드웨어 | 포트(ge-0/0/0부터 ge-0/0/23까지) |
VLAN 명칭 | 영업 |
프린터에 연결 | ge-0/0/19, MAC 주소 00040ffdacfe ge-0/0/20, MAC 주소 0004aecd235f |
RADIUS 서버 | 인터페이스의 라우터에 연결됨 ge-0/0/10 |
MAC 주소가 00040ffdacfe인 프린터는 액세스 인터페이스 ge-0/0/19에 연결됩니다. MAC 주소가 0004aecd235f인 두 번째 프린터는 액세스 인터페이스 ge-0/0/20에 연결됩니다. 이 예에서는 두 인터페이스가 라우터에서 MAC RADIUS 인증을 위해 구성되고 두 프린터의 MAC 주소(콜론 제외)가 RADIUS 서버에 구성됩니다. 인터페이스 ge-0/0/20은 라우터가 802.1X 인증을 시도하는 동안 정상적인 지연을 제거하도록 구성됩니다. MAC RADIUS 인증이 활성화되고 옵션을 사용하여 802.1X 인증이 비활성화됩니다 mac radius restrict .
토폴로지
구성
절차
CLI 빠른 구성
MAC RADIUS 인증을 신속하게 구성하려면 다음 명령을 복사하여 라우터 터미널 창에 붙여넣습니다.
[edit] set protocols authentication-access-control interface ge-0/0/19 dot1x mac-radius set protocols authentication-access-control authenticator interface ge-0/0/20 dot1x mac-radius restrict
또한 단계별 절차의 2단계에서와 같이 RADIUS 서버에서 두 MAC 주소를 사용자 이름과 암호로 구성해야 합니다.
단계별 절차
라우터 및 RADIUS 서버에서 MAC RADIUS 인증을 구성합니다.
라우터에서 MAC RADIUS 인증을 위해 프린터가 연결된 인터페이스를 구성하고 MAC RADIUS 인증만 사용하도록 인터페이스 ge-0/0/20에서 옵션을 구성합니다restrict.
content_copy zoom_out_map[edit] user@router# set protocols authentication-access-control interface ge-0/0/19 dot1x mac-radius user@router# set protocols authentication-access-control authenticator interface ge-0/0/20 dot1x mac-radius restrictRADIUS 서버에서 MAC 주소를 00040ffdacfe0004aecd235f 사용자 이름 및 암호로 구성합니다.
content_copy zoom_out_map[root@freeradius]# edit /etc/raddb vi users 00040ffdacfe Auth-type:=EAP, User-Password = "00040ffdacfe" 0004aecd235f Auth-type:=EAP, User-Password = "0004aecd235f"
결과
라우터에 구성 결과를 표시합니다.
user@router> show configuration
protocols {
authentication-access-control {
authentication-profile-name profile52;
interface {
ge-0/0/19.0 {
dot1x {
mac-radius;
}
}
ge-0/0/20.0 {
dot1x {
mac-radius {
restrict;
}
}
}
}
}
}
검증
신청자가 인증되었는지 확인합니다.
요청자가 인증되었는지 확인
목적
라우터와 RADIUS 서버에서 MAC RADIUS 인증을 위해 서플리컨트를 구성한 후 인증되었는지 확인하고 인증 방법을 표시합니다.
작업
802.1X 구성 인터페이스에 ge-0/0/19ge-0/0/20대한 정보를 표시하고 다음을 수행합니다.
user@router> show dot1x interface ge-0/0/19.0 detail
ge-0/0/19.0
Role: Authenticator
Administrative state: Auto
Supplicant mode: Single
Number of retries: 3
Quiet period: 60 seconds
Transmit period: 30 seconds
Mac Radius: Enabled
Mac Radius Restrict: Disabled
Reauthentication: Enabled
Configured Reauthentication interval: 3600 seconds
Supplicant timeout: 30 seconds
Server timeout: 30 seconds
Maximum EAPOL requests: 2
Guest VLAN member: <not configured>
Number of connected supplicants: 1
Supplicant: user101, 00:04:0f:fd:ac:fe
Operational state: Authenticated
Authentication method: Radius
Authenticated VLAN: vo11
Dynamic Filter: match source-dot1q-tag 10 action deny
Session Reauth interval: 60 seconds
Reauthentication due in 50 seconds
user@router> show dot1x interface ge-0/0/20.0 detail
ge-0/0/20.0
Role: Authenticator
Administrative state: Auto
Supplicant mode: Single
Number of retries: 3
Quiet period: 60 seconds
Transmit period: 30 seconds
Mac Radius: Enabled
Mac Radius Restrict: Enabled
Reauthentication: Enabled
Configured Reauthentication interval: 3600 seconds
Supplicant timeout: 30 seconds
Server timeout: 30 seconds
Maximum EAPOL requests: 2
Guest VLAN member: <not configured>
Number of connected supplicants: 1
Supplicant: user102, 00:04:ae:cd:23:5f
Operational state: Authenticated
Authentcation method: Radius
Authenticated VLAN: vo11
Dynamic Filter: match source-dot1q-tag 10 action deny
Session Reauth interval: 60 seconds
Reauthentication due in 50 seconds
의미
명령의 show dot1x interface detail 샘플 출력은 필드에 연결된 종단 디바이스의 Supplicant MAC 주소를 표시합니다. 인터페이스 ge-0/0/19에서 MAC 주소는 MAC RADIUS 인증을 위해 구성된 첫 번째 프린터의 MAC 주소입니다 00:04:0f:fd:ac:fe. 필드에는 Authentication method 인증 방법이 (으)로 MAC Radius표시됩니다. 인터페이스에서 ge-0/0/20MAC 주소는 MAC RADIUS 인증을 위해 구성된 두 번째 프린터의 MAC 주소입니다 00:04:ae:cd:23:5f. 필드에는 Authentication method 인증 방법이 (으)로 MAC Radius표시됩니다.
변경 내역 표
기능 지원은 사용 중인 플랫폼과 릴리스에 따라 결정됩니다. Feature Explorer 를 사용하여 플랫폼에서 기능이 지원되는지 확인하세요.
