RADSEC(RADIUS over TLS)
802.1X 또는 MAC RADIUS 인증을 사용하려면 연결할 각 RADIUS 서버에 대해 스위치의 연결을 지정해야 합니다. TLS를 통한 RADIUS는 TLS(Transport Secure Layer) 프로토콜을 사용하여 RADIUS 요청의 보안 통신을 제공하도록 설계되었습니다. TLS를 통한 RADIUS(RADSEC)는 일반 RADIUS 트래픽을 TLS를 통해 연결된 원격 RADIUS 서버로 리디렉션합니다. RADSec을 사용하면 RADIUS 인증, 권한 부여 및 계정 데이터를 신뢰할 수 없는 네트워크에 안전하게 전달할 수 있습니다.
RADSEC는 TCP(Transmission Control Protocol)와 함께 TLS를 사용합니다. 이 전송 프로필은 원래 RADIUS 전송에 사용된 UDP(User Datagram Protocol)보다 더 강력한 보안을 제공합니다. UDP를 통한 RADIUS는 공격에 취약한 MD5 알고리즘을 사용하여 공유 암호를 암호화합니다. RADSEC는 암호화된 TLS 터널을 통해 RADIUS 패킷 페이로드를 교환하여 MD5에 대한 공격 위험을 완화합니다.
TCP 프로토콜의 제한으로 인해 RADSEC는 전송 중인 RADIUS 메시지를 255개 이하로 가질 수 있습니다.
RADSEC 대상 구성
RADSEC 서버는 RADSEC 대상 개체로 표시됩니다. RADSEC를 구성하려면 RADSEC 서버를 대상으로 정의하고 RADIUS 트래픽을 해당 대상으로 보내야 합니다.
계층 수준에서 문을 [edit access]
사용하여 radsec
RADSEC 서버를 대상으로 정의합니다. RADSEC 대상은 고유한 숫자 ID로 식별됩니다. 동일한 RADSEC 서버를 가리키는 다른 매개 변수를 사용하여 여러 RADSEC 대상을 구성할 수 있습니다.
표준 RADIUS 서버에서 RADSEC 서버로 트래픽을 리디렉션하려면 RADIUS 서버를 RADSEC 대상과 연결합니다. 예를 들어, RADIUS 서버는 10.1.1.1
RADSEC 대상 10
과 연결됩니다.
access { radius-server 10.1.1.1 { secret zzz; radsec-destination 10; } }
RADIUS 서버를 액세스 프로파일 내의 RADSEC 대상과 연결할 수도 있습니다. 예를 들어, 프로필 acc_profile
의 RADIUS 서버는 10.2.2.2
RADSEC 대상10
과 연결됩니다.
access { profile acc_profile { secret zzz; radsec-destination 10; } }
둘 이상의 RADIUS 서버를 동일한 RADSEC 대상으로 리디렉션할 수 있습니다.
RADSEC를 구성하려면 다음을 수행합니다.
TLS 연결 매개 변수 구성
TLS 연결은 RADIUS 메시지 교환을 위한 암호화, 인증 및 데이터 무결성을 제공합니다. TLS는 인증서 및 프라이빗-퍼블릭 키 교환 쌍을 사용하여 RADSEC 클라이언트와 서버 간의 데이터 전송을 보호합니다. RADSEC 대상은 Junos PKI 인프라에서 동적으로 획득한 로컬 인증서를 사용합니다.
RADSEC를 사용하려면 로컬 인증서의 이름을 지정해야 합니다. 로컬 인증서 및 인증 기관(CA) 구성에 대한 자세한 내용은 디지털 인증서 구성을 참조하십시오.
예: 단순 RADSEC 구성
다음 예는 하나의 RADIUS 서버와 하나의 RADSEC 대상이 있는 간단한 RADSEC 구성입니다. RADIUS 트래픽은 RADIUS 서버 10.1.1.1에서 RADSEC 대상 10으로 리디렉션됩니다.
access { radius-server 10.1.1.1 { secret zzz; radsec-destination 10; } radsec { destination 10 { address 10.10.1.1; max-tx-buffers 1000; id-reuse-timeout 30; port 1777; source-address 10.1.1.2; tls-certificate my_cert; tls-min-version { v1.1 | v1.2 }; tls-peer-name x0.radsec.com tls-timeout 10; } } }
인증서 모니터링
로컬 인증서 취득의 상태 및 통계에 대한 정보를 보려면: show network-access radsec local-certificate.
RADSEC 대상 모니터링
RADSEC 대상에 대한 통계를 보려면: show network-access radsec statistics.
RADSEC 대상의 상태를 보려면: show network-access radsec state.