Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

향상된 LAN 모드의 MX 시리즈 라우터에서 서버 장애 복구 구성

Junos OS 릴리스 14.2부터 서버 장애 대체를 통해 RADIUS 인증 서버를 사용할 수 없게 되거나 RADIUS 액세스 거부 메시지를 보낼 경우 라우터에 연결된 엔드 디바이스가 지원되는 방식을 지정할 수 있습니다.

802.1X 및 MAC RADIUS 인증은 authenticator port access entity (라우터)를 사용하여 최종 디바이스의 자격 증명이 제시되고 (RADIUS 서버)에서 authentication server 일치할 때까지 인터페이스에서 엔드 디바이스와 들어오고 나가는 모든 트래픽을 차단하는 방식으로 작동합니다. 종단 디바이스가 인증되면 라우터는 차단을 멈추고 종단 디바이스에 대한 인터페이스를 엽니다.

라우터에서 802.1X 또는 MAC RADIUS 인증을 설정할 때 기본 인증 서버와 하나 이상의 백업 인증 서버를 지정합니다. 라우터가 기본 인증 서버에 연결할 수 없고 보조 인증 서버도 연결할 수 없는 경우 RADIUS 서버 시간 초과가 발생합니다. 인증 서버가 인증 대기 중인 최종 디바이스에 대한 액세스를 허용하거나 거부하기 때문에 라우터는 LAN에 대한 액세스를 시도하는 최종 디바이스에 대한 액세스 지침을 수신하지 않으며 정상적인 인증을 완료할 수 없습니다. 서버 장애 대체를 사용하면 라우터가 인증 또는 재인증을 기다리는 최종 디바이스에 대해 적절한 조치를 취할 수 있도록 하는 인증 대안을 구성할 수 있습니다.

주:

서버 거부 VLAN이라고 하는 인증 대체 방법은 802.1X가 활성화되었지만 잘못된 자격 증명을 전송한 응답형 종단 디바이스에 대해 LAN(일반적으로 인터넷에만)에 대한 제한된 액세스를 제공합니다. server-reject VLAN을 사용하여 인증된 종단 디바이스가 IP 전화인 경우, 음성 트래픽은 허용되지 않습니다.

CLI를 사용하여 기본 서버 장애 복구 옵션을 구성하려면 다음을 수행합니다.

  • RADIUS 서버 시간 초과가 발생하는 경우(마치 최종 디바이스가 RADIUS 서버에 의해 성공적으로 인증된 것처럼) 서플리컨트에서 LAN으로 트래픽이 흐를 수 있도록 인터페이스를 구성합니다.

  • 엔드 디바이스에서 LAN으로의 트래픽 플로우를 방지하도록 인터페이스를 구성합니다(마치 엔드 디바이스가 인증에 실패하고 RADIUS 서버에 의해 거부된 것처럼).

  • RADIUS 서버 시간 초과가 발생하는 경우(이 경우 VLAN 이름은 vlan1임) 종단 디바이스를 지정된 VLAN으로 이동하도록 인터페이스를 구성합니다.

  • 재인증 중에 RADIUS 시간 초과가 있는 경우(신규 사용자의 액세스가 거부됨) 이미 연결된 엔드 디바이스를 재인증된 것으로 인식하도록 인터페이스를 구성합니다.

  • 인증 서버로부터 RADIUS 액세스 거부 메시지를 수신하는 인터페이스를 구성하여 인터페이스에서 LAN 액세스를 시도하는 엔드 디바이스를 라우터에 이미 구성된 지정된 VLAN으로 이동합니다(이 경우 VLAN 이름은 vlan-sf).

    주:

    서버 거부 VLAN에서 IP 전화가 인증되면 음성 트래픽이 허용되지 않습니다.

변경 내역 표

기능 지원은 사용 중인 플랫폼과 릴리스에 따라 결정됩니다. Feature Explorer 를 사용하여 플랫폼에서 기능이 지원되는지 확인하세요.

릴리스
설명
14.2
Junos OS 릴리스 14.2부터 서버 장애 대체를 통해 RADIUS 인증 서버를 사용할 수 없게 되거나 RADIUS 액세스 거부 메시지를 보낼 경우 라우터에 연결된 엔드 디바이스가 지원되는 방식을 지정할 수 있습니다.