액세스 제어 인증 방법

802.1X 인증

802.1X는 포트 기반 네트워크 액세스 제어(PNAC)를 위한 IEEE 표준입니다. LAN에 액세스하려는 디바이스에 대한 인증 메커니즘을 제공합니다. 802.1X 인증 기능은 IEEE 802.1X 표준 포트 기반 네트워크 액세스 제어를 기반으로 합니다.

최종 디바이스와 디바이스 간의 통신 프로토콜은 EAPoL(Extensible Authentication Protocol over LAN)입니다. EAPoL은 이더넷 네트워크와 함께 작동하도록 설계된 EAP 버전입니다. 인증 서버와 디바이스 간의 통신 프로토콜은 RADIUS입니다.

인증 프로세스 중에 디바이스는 최종 디바이스와 인증 서버 간의 여러 메시지 교환을 완료합니다. 802.1X 인증이 진행되는 동안에는 802.1X 트래픽 및 제어 트래픽만 네트워크를 전송할 수 있습니다. DHCP 트래픽 및 HTTP 트래픽과 같은 다른 트래픽은 데이터 링크 레이어에서 차단됩니다.

주:

EAPoL 요청 패킷이 재전송되는 최대 횟수와 시도 사이의 시간 초과 기간을 모두 구성할 수 있습니다. 자세한 내용은 802.1X 인터페이스 설정 구성(CLI 절차)을 참조하십시오.

LAN에 대한 802.1X 인증 구성에는 다음과 같은 세 가지 기본 구성 요소가 포함됩니다.

Supplicant (also called end device)	서플리컨트(Supplicant)는 네트워크 가입을 요청하는 최종 디바이스를 가리키는 IEEE 용어입니다. 최종 디바이스는 반응형이거나 비반응형일 수 있습니다. 반응형 종단 디바이스는 802.1X를 지원하며 EAP를 사용하여 인증 자격 증명을 제공합니다. 필요한 자격 증명은 사용 중인 EAP 버전, 특히 EAP MD5의 사용자 이름 및 암호 또는 EAP-TLS(Extensible Authentication Protocol-Transport Layer Security), EAP-TTLS(EAP-Tunneled Transport Layer Security) 및 PEAP(Protected EAP)의 사용자 이름 및 클라이언트 인증서에 따라 다릅니다. 잘못된 자격 증명을 전송한 응답형 802.1X 지원 최종 디바이스에 제한된 LAN 액세스를 제공하도록 서버 거부 VLAN을 구성할 수 있습니다. 서버 거부 VLAN은 이러한 디바이스에 대해 일반적으로 인터넷에만 교정 연결을 제공할 수 있습니다. 예: 자세한 내용은 EAP-TTLS 인증 및 Odyssey Access Clients 를 위한 EX 시리즈 스위치의 폴백 옵션 구성에서 확인할 수 있습니다. 주: 서버 거부 VLAN을 사용하여 인증된 최종 디바이스가 IP 전화인 경우 음성 트래픽이 삭제됩니다. 응답하지 않는 종단 디바이스는 802.1X가 활성화되지 않은 디바이스입니다. MAC RADIUS 인증을 통해 인증할 수 있습니다.
Authenticator port access entity	인증자에 대한 IEEE 용어입니다. 디바이스는 인증자이며, 인증될 때까지 최종 디바이스와 들어오고 나가는 모든 트래픽을 차단하여 액세스를 제어합니다.
Authentication server	인증 서버에는 인증을 결정하는 백엔드 데이터베이스가 포함되어 있습니다. 여기에는 네트워크에 연결하도록 인증된 각 종단 디바이스에 대한 자격 증명 정보가 포함됩니다. 인증자는 최종 디바이스에서 제공한 자격 증명을 인증 서버로 전달합니다. 인증자가 전달한 자격 증명이 인증 서버 데이터베이스의 자격 증명과 일치하면 액세스 권한이 부여됩니다. 전달된 자격 증명이 일치하지 않으면 액세스가 거부됩니다.

주:

RTG(Redundant Trunk Group)에서는 802.1X 인증을 구성할 수 없습니다. RTG에 대한 자세한 내용은 중복 트렁크 링크 이해(레거시 RTG 구성)를 참조하십시오.

MAC RADIUS 인증

802.1X 인증 방법은 최종 디바이스가 802.1X를 지원하는 경우에만 작동하지만 프린터 및 IP 전화와 같은 많은 단일 목적 네트워크 디바이스는 802.1X 프로토콜을 지원하지 않습니다. 802.1X를 지원하지 않는 네트워크 디바이스에 연결되어 있고 LAN에 액세스할 수 있도록 허용하려는 인터페이스에서 MAC RADIUS 인증을 구성할 수 있습니다. 인터페이스에서 802.1X가 활성화되지 않은 엔드 디바이스가 탐지되면 디바이스는 디바이스의 MAC 주소를 인증 서버로 전송합니다. 그런 다음 서버는 MAC 주소를 데이터베이스의 MAC 주소 목록과 일치시키려고 시도합니다. MAC 주소가 목록의 주소와 일치하면 최종 디바이스가 인증됩니다.

인터페이스에서 802.1X 및 MAC RADIUS 인증 방법을 모두 구성할 수 있습니다. 이 경우 디바이스는 먼저 802.1X를 사용하여 엔드 디바이스 인증을 시도하고, 이 방법이 실패하면 MAC RADIUS 인증을 사용하여 엔드 디바이스 인증을 시도합니다. 비응답 서플리컨트만 해당 인터페이스에 연결된다는 것을 알고 있는 경우, 옵션을 구성 mac-radius restrict 하여 디바이스에서 발생하는 지연을 제거하여 최종 디바이스가 802.1X를 지원하지 않는지 확인할 수 있습니다. 이 옵션이 구성되면 디바이스는 802.1X 인증을 통해 엔드 디바이스 인증을 시도하지 않고 대신 즉시 RADIUS 서버에 최종 디바이스의 MAC 주소 인증 요청을 보냅니다. 해당 엔드 디바이스의 MAC 주소가 RADIUS 서버에서 유효한 MAC 주소로 구성된 경우, 디바이스는 연결된 인터페이스에서 엔드 디바이스에 대한 LAN 액세스를 엽니다.

이 mac-radius-restrict 옵션은 인터페이스에서 게스트 VLAN과 같은 다른 802.1X 인증 방법이 필요하지 않을 때 유용합니다. 인터페이스에서 구성하는 mac-radius-restrict 경우, 디바이스는 모든 802.1X 패킷을 삭제합니다.

MAC RADIUS 인증에 지원되는 인증 프로토콜은 기본값인 EAP-MD5, EAP-PEAP(Protected EAP) 및 PAP(Password Authentication Protocol)입니다. 문을 사용하여 MAC RADIUS 인증에 사용할 인증 프로토콜을 지정할 수 있습니다 authentication-protocol .

캡티브 포털(Captive Portal) 인증

캡티브 포털 인증(이하 캡티브 포털)을 사용하면 사용자가 네트워크에 액세스하기 전에 유효한 사용자 이름과 암호를 입력해야 하는 로그인 페이지로 웹 브라우저 요청을 리디렉션하여 사용자를 인증할 수 있습니다. 캡티브 포털(captive portal)은 사용자가 EAP-MD5를 사용하여 RADIUS 서버 데이터베이스에 대해 인증된 정보를 제공하도록 요구함으로써 네트워크 액세스를 제어합니다. 또한 캡티브 포털을 사용하여 사용자가 네트워크에 액세스하기 전에 허용 가능한 사용 정책을 표시할 수 있습니다.

Junos OS는 캡티브 포털 로그인 페이지의 모양을 쉽게 디자인하고 수정할 수 있는 템플릿을 제공합니다. 캡티브 포털(captive portal)에 대해 특정 인터페이스를 활성화합니다. 캡티브 포털 인터페이스에 연결된 엔드 디바이스가 처음으로 웹 페이지에 액세스하려고 시도하면 디바이스는 캡티브 포털 로그인 페이지를 표시합니다. 디바이스가 성공적으로 인증되면 네트워크에 액세스할 수 있으며 요청된 원래 페이지로 계속 진행할 수 있습니다.

주:

HTTPS가 활성화된 경우, HTTP 요청은 캡티브 포털 인증 프로세스를 위한 HTTPS 연결로 리디렉션됩니다. 인증 후 최종 디바이스는 HTTP 연결로 돌아갑니다.

캡티브 포털 인터페이스에 연결된 HTTP를 지원하지 않는 엔드 디바이스가 있는 경우, 인증 화이트리스트에 MAC 주소를 추가하여 캡티브 포털 인증을 우회하도록 허용할 수 있습니다.

사용자가 RADIUS 서버에 의해 인증되면 해당 사용자와 관련된 모든 사용자별 정책(속성)도 디바이스로 전송됩니다.

종속 포털에는 다음과 같은 제한 사항이 있습니다.

• • 캡티브 포털은 RADIUS 서버에서 다운로드한 VLAN의 동적 할당을 지원하지 않습니다.

  • 사용자가 약 5분 이상 유휴 상태이고 트래픽이 전달되지 않으면 사용자는 캡티브 포털에 다시 로그인해야 합니다.

인증의 정적 MAC 바이패스

정적 MAC 바이패스 목록(배제 목록이라고도 함)에 MAC 주소를 포함시켜 최종 디바이스가 RADIUS 서버에서 인증 없이 LAN에 액세스하도록 허용할 수 있습니다.

다음을 위해 우회 목록에 장치를 포함하도록 선택할 수 있습니다.

• 802.1X를 지원하지 않는 장치의 LAN 액세스를 허용합니다.

• 디바이스가 연결된 디바이스가 802.1X를 지원하지 않는 호스트인지 확인하는 데 발생하는 지연을 제거합니다.

정적 MAC를 구성할 때 최종 디바이스의 MAC 주소는 먼저 로컬 데이터베이스(사용자가 구성한 MAC 주소 목록)에서 확인됩니다. 일치하는 항목이 발견되면 최종 디바이스가 성공적으로 인증되고 인터페이스가 열립니다. 해당 최종 디바이스에 대해 추가 인증이 수행되지 않습니다. 일치하는 항목이 발견되지 않고 디바이스에서 802.1X 인증이 활성화된 경우, 디바이스는 RADIUS 서버를 통해 최종 디바이스 인증을 시도합니다.

각 MAC 주소에 대해 최종 디바이스가 이동되는 VLAN 또는 호스트가 연결되는 인터페이스를 구성할 수도 있습니다.

주:

인터페이스를 통해 학습된 MAC 주소를 지우면 명령을 사용하여 clear dot1x interface 정적 MAC 바이패스 목록에 있는 MAC 주소를 포함한 모든 MAC 주소가 지워집니다.

인증 방법의 대체

단일 인터페이스에서 802.1X, MAC RADIUS 및 캡티브 포털 인증을 구성하여 한 가지 방법에 의한 인증이 실패할 경우 다른 방법으로 폴백할 수 있습니다. 인증 방법은 802.1X를 구성하지 않고는 인터페이스에서 MAC RADIUS와 캡티브 포털을 모두 구성할 수 없다는 점을 제외하고 어떤 조합으로든 구성할 수 있습니다. 기본적으로 대부분의 디바이스는 다음과 같은 인증 방법 순서를 사용합니다.

1. 802.1X 인증—인터페이스에 802.1X가 구성된 경우 디바이스는 최종 디바이스에 EAPoL 요청을 전송하고 802.1X 인증을 통해 최종 디바이스 인증을 시도합니다. 최종 디바이스가 EAP 요청에 응답하지 않으면 디바이스는 인터페이스에 MAC RADIUS 인증이 구성되었는지 확인합니다.

2. MAC RADIUS 인증 - 인터페이스에서 MAC RADIUS 인증이 구성된 경우 디바이스는 최종 디바이스의 MAC RADIUS 주소를 인증 서버로 전송합니다. MAC RADIUS 인증이 구성되지 않은 경우, 디바이스는 인터페이스에 캡티브 포털이 구성되어 있는지 확인합니다.

3. 캡티브 포털 인증 - 인터페이스에 캡티브 포털이 구성된 경우, 인터페이스는 인터페이스에 구성된 다른 인증 방법이 실패한 후 이 방법을 사용하여 최종 디바이스 인증을 시도합니다.

인터페이스에 여러 인증 방법이 구성된 경우의 기본 프로세스 흐름에 대한 설명은 스위치에 대한 액세스 제어 이해를 참조하십시오.

디바이스가 802.1X 인증 또는 MAC RADIUS 인증을 먼저 사용하도록 명령문을 authentication-order 구성하여 인증 방법의 폴백에 대한 기본 순서를 재정의할 수 있습니다. 캡티브 포털은 인증 방법의 순서에서 항상 마지막에 있어야 합니다. 자세한 내용은 유연한 인증 순서 구성을 참조하십시오.

주:

인터페이스가 다중 서플리컨트 모드로 구성된 경우, 인터페이스를 통해 연결하는 최종 디바이스는 서로 다른 방법을 병렬로 사용하여 인증될 수 있습니다. 따라서 캡티브 포털로 폴백한 후 인터페이스의 엔드 디바이스가 인증된 경우에도 802.1X 또는 MAC RADIUS 인증을 사용하여 추가 엔드 디바이스를 계속 인증할 수 있습니다.