향상된 LAN 모드의 MX 시리즈 라우터에서 MAC RADIUS 인증 구성
Junos OS 릴리스 14.2부터는 호스트가 연결된 MX 시리즈 라우터 인터페이스에서 MAC RADIUS 인증을 구성하여 802.1X 지원 LAN 액세스가 아닌 디바이스에 허용할 수 있습니다.
또한 인증의 정적 MAC 바이패스를 위한 MAC 주소를 구성하여 802.1X를 지원하지 않는 디바이스가 LAN에 액세스하도록 허용할 수 있습니다.
802.1X 인증도 허용하는 인터페이스에서 MAC RADIUS 인증을 구성하거나 인증 방법 중 하나를 단독으로 구성할 수 있습니다.
인터페이스에서 MAC RADIUS와 802.1X 인증이 모두 활성화된 경우 라우터는 먼저 호스트에 세 개의 EAPOL 요청을 호스트로 보냅니다. 호스트로부터 응답이 없으면 라우터는 호스트의 MAC 주소를 RADIUS 서버로 보내 허용된 MAC 주소인지 확인합니다. MAC 주소가 RADIUS 서버에서 허용되는 것으로 구성된 경우 RADIUS 서버는 MAC 주소가 허용된 주소라는 메시지를 라우터에 보내고 라우터는 연결된 인터페이스에서 응답하지 않는 호스트에 대한 LAN 액세스를 엽니다.
MAC RADIUS 인증이 인터페이스에 구성되어 있지만 802.1X 인증이 구성되지 않은 경우(옵션 사용 mac-radius restrict ), 라우터는 먼저 802.1X 인증을 시도하여 지연 없이 RADIUS 서버로 MAC 주소 인증을 시도합니다.
MAC RADIUS 인증을 구성하기 전에 다음을 확인하십시오.
MX 시리즈 라우터와 RADIUS 서버 간의 기본 액세스를 구성했습니다.
MX240, MX480 및 MX960 라우터가 계층 수준에서 문을 입력하여
network-services lan향상된 LAN 모드에서 작동하도록 구성했습니다[edit chassis].
CLI를 사용하여 MAC RADIUS 인증을 구성하려면 다음을 수행합니다.
라우터에서 MAC RADIUS 인증을 위해 비응답 호스트가 연결된 인터페이스를 구성하고 MAC RADIUS 인증만 사용하도록 인터페이스에 ge-0/0/20 대한 한정자를 추가합니다restrict.
[edit] user@router# set protocols authentication-access-control interface ge-0/0/19 dot1x mac-radius user@router# set protocols authentication-access-control interface ge-0/0/20 dot1x mac-radius restrict
RADIUS 인증 서버에서 비응답 호스트의 MAC 주소(콜론 제외)를 사용자 이름 및 비밀번호로 사용하여 각 비응답 호스트에 대한 사용자 프로파일을 생성합니다(여기서 MAC 주소는 00:04:0f:fd:ac:fe 및 00:04:ae:cd:23:5f).
[root@freeradius]# edit /etc/raddb vi users 00040ffdacfe Auth-type:=Local, User-Password = "00040ffdacfe" 0004aecd235f Auth-type:=Local, User-Password = "0004aecd235f"
변경 내역 표
기능 지원은 사용 중인 플랫폼과 릴리스에 따라 결정됩니다. Feature Explorer 를 사용하여 플랫폼에서 기능이 지원되는지 확인하세요.