MAC RADIUS 인증
여러 가지 인증 방법을 사용하여 스위치를 통해 네트워크에 대한 액세스를 제어할 수 있습니다. Junos OS 스위치는 네트워크 연결이 필요한 디바이스에 대한 인증 방법으로 802.1X, MAC RADIUS 및 캡티브 포털을 지원합니다.
LAN 액세스를 제공하기 위해 호스트가 연결된 스위치 인터페이스에서 MAC RADIUS 인증을 구성할 수 있습니다. 자세한 내용은 이 주제를 읽어보십시오.
MAC RADIUS 인증 구성(CLI 절차)
호스트가 연결된 스위치 인터페이스에서 MAC RADIUS 인증을 구성하여 802.1X 지원 LAN 액세스가 아닌 디바이스의 LAN 액세스를 허용할 수 있습니다.
또한 인증의 정적 MAC 바이패스를 위한 MAC 주소를 구성하여 802.1X를 지원하지 않는 디바이스가 LAN에 액세스하도록 허용할 수 있습니다.
802.1X 인증도 허용하는 인터페이스에서 MAC RADIUS 인증을 구성하거나 인증 방법 중 하나를 단독으로 구성할 수 있습니다.
인터페이스에서 MAC RADIUS와 802.1X 인증이 모두 활성화된 경우 스위치는 먼저 호스트에 세 개의 EAPoL 요청을 보냅니다. 호스트로부터 응답이 없는 경우 스위치는 호스트의 MAC 주소를 RADIUS 서버로 전송하여 허용된 MAC 주소인지 확인합니다. MAC 주소가 RADIUS 서버에서 허용되는 것으로 구성된 경우 RADIUS 서버는 MAC 주소가 허용된 주소라는 메시지를 스위치에 전송하고 스위치는 연결된 인터페이스에서 응답하지 않는 호스트에 대한 LAN 액세스를 엽니다.
MAC RADIUS 인증이 인터페이스에 구성되어 있지만 802.1X 인증이 구성되지 않은 경우(옵션 사용 mac-radius restrict ), 스위치는 먼저 802.1X 인증을 시도하여 지연 없이 RADIUS 서버로 MAC 주소 인증을 시도합니다.
MAC RADIUS 인증을 구성하기 전에 다음을 확인하십시오.
스위치와 RADIUS 서버 간에 기본 액세스를 구성했습니다. 예: 802.1X용 RADIUS 서버를 EX 시리즈 스위치에 연결합니다.
CLI를 사용하여 MAC RADIUS 인증을 구성하려면 다음을 수행합니다.
-
스위치에서 MAC RADIUS 인증을 위해 비응답 호스트가 연결된 인터페이스를 구성하고 MAC RADIUS 인증만 사용하도록 인터페이스에 ge-0/0/20 대한 한정자를 추가합니다restrict.
[edit] user@switch# set protocols dot1x authenticator interface ge-0/0/19 mac-radius user@switch# set protocols dot1x authenticator interface ge-0/0/20 mac-radius restrict
-
RADIUS 인증 서버에서 비응답 호스트의 MAC 주소(콜론 제외)를 사용자 이름 및 비밀번호로 사용하여 각 비응답 호스트에 대한 사용자 프로파일을 생성합니다(여기서 MAC 주소는 00:04:0f:fd:ac:fe 및 00:04:ae:cd:23:5f).
[root@freeradius]# edit /etc/raddb vi users 00040ffdacfe Auth-type:=Local, User-Password = "00040ffdacfe" 0004aecd235f Auth-type:=Local, User-Password = "0004aecd235f"
-
(선택 사항) MAC 주소를 비밀번호로 사용하는 대신 모든 MAC RADIUS 인증에 대해 글로벌 비밀번호를 구성합니다(여기서 글로벌 비밀번호는 $9$H.fQ/CuEclFnclKMN-HqmPfQFn/AuOzF).
[edit]# user@switch# edit protocols dot1x authenticator mac-radius password $9$H.fQ/CuEclFnclKMN-HqmPfQFn/AuOzF
참조
예: EX 시리즈 스위치에서 MAC RADIUS 인증 구성
802.1X를 지원하지 않는 호스트가 LAN에 액세스할 수 있도록 허용하려면 802.1X를 지원하지 않는 호스트가 연결된 스위치 인터페이스에서 MAC RADIUS 인증을 구성할 수 있습니다. MAC RADIUS 인증이 구성된 경우 스위치는 호스트의 MAC 주소를 사용하여 RADIUS 서버로 호스트를 인증하려고 시도합니다.
이 예에서는 802.1X를 지원하지 않는 두 호스트에 대해 MAC RADIUS 인증을 구성하는 방법을 설명합니다.
요구 사항
이 예에서 사용되는 소프트웨어 및 하드웨어 구성 요소는 다음과 같습니다:
이 예는 QFX5100 스위치에도 적용됩니다.
EX 시리즈 스위치를 위한 Junos OS 릴리스 9.3 이상.
인증자 포트 액세스 엔티티(PAE) 역할을 하는 EX 시리즈 스위치. 인증자 PAE의 포트는 신청자가 인증될 때까지 모든 트래픽을 차단하는 제어 게이트를 형성합니다.
RADIUS 인증 서버. 인증 서버는 백엔드 데이터베이스 역할을 하며, 네트워크에 연결할 수 있는 권한이 있는 호스트(서플리컨트)에 대한 크리덴셜 정보를 포함합니다.
MAC RADIUS 인증을 구성하기 전에 다음을 확인하십시오.
EX 시리즈 스위치와 RADIUS 서버 간의 기본 액세스를 구성했습니다. 예: 802.1X용 RADIUS 서버를 EX 시리즈 스위치에 연결합니다.
스위치에서 기본 브리징 및 VLAN 구성을 수행했습니다. 스위치에 대한 기본 브리징 및 VLAN 설정을 설명하는 문서를 참조하십시오. ELS(Enhanced Layer 2 Software) 구성 스타일을 지원하는 스위치를 사용하는 경우 의 예: ELS 또는 을(를) 지원하는 EX 시리즈 스위치를 위한 기본 브리징 및 VLAN 설정의 예: 스위치에서 기본 브리징 및 VLAN 설정. 다른 모든 스위치의 경우 예: EX 시리즈 스위치를 위한 기본 브리징 및 VLAN 설정.
주:ELS에 대한 자세한 내용은 다음을 참조하십시오. Enhanced Layer 2 Software CLI 사용
기본 802.1X 구성을 수행했습니다. 802.1X 인터페이스 설정 구성(CLI 절차)을 참조하십시오.
개요 및 토폴로지
IEEE 802.1X 포트 기반 네트워크 액세스 제어(PNAC)는 디바이스가 802.1X 프로토콜을 사용하여 스위치와 통신할 수 있는 경우(즉, 디바이스가 802.1X 지원인 경우) 디바이스가 LAN에 액세스할 수 있도록 인증하고 허용합니다. 802.1X가 활성화되지 않은 최종 디바이스가 LAN에 액세스할 수 있도록 하려면 최종 디바이스가 연결된 인터페이스에서 MAC RADIUS 인증을 구성할 수 있습니다. 최종 디바이스의 MAC 주소가 인터페이스에 나타나면 스위치는 RADIUS 서버를 참조하여 허용된 MAC 주소인지 확인합니다. 최종 디바이스의 MAC 주소가 RADIUS 서버에서 허용되는 것으로 구성된 경우 스위치는 최종 디바이스에 대한 LAN 액세스를 엽니다.
여러 서플리컨트에 대해 구성된 인터페이스에서 MAC RADIUS 인증과 802.1X 인증 방법을 모두 구성할 수 있습니다. 또한 인터페이스가 802.1X가 활성화되지 않은 호스트에만 연결된 경우 MAC RADIUS를 mac-radius restrict 활성화하고 옵션을 사용하여 802.1X 인증을 활성화하지 않을 수 있으므로 스위치가 디바이스가 EAP 메시지에 응답하지 않는다고 판단하는 동안 발생하는 지연을 방지할 수 있습니다.
그림 1 은(는) 스위치에 연결된 두 대의 프린터를 보여줍니다.
해당 수치는 QFX5100 스위치에도 적용됩니다.
표 1 에는 MAC RADIUS 인증에 대한 예의 구성 요소가 나와 있습니다.
| 속성 | 설정 |
|---|---|
스위치 하드웨어 |
EX4200 포트(ge-0/0/23을 통한 ge-0/0/0) |
VLAN 명칭 |
영업 |
프린터에 연결(PoE 필요없음) |
ge-0/0/19, MAC 주소 00040ffdacfe ge-0/0/20, MAC 주소 0004aecd235f |
RADIUS 서버 |
스위치 온 인터페이스에 연결됨 ge-0/0/10 |
MAC 주소가 00040ffdacfe인 프린터는 액세스 인터페이스 ge-0/0/19에 연결됩니다. MAC 주소가 0004aecd235f인 두 번째 프린터는 액세스 인터페이스 ge-0/0/20에 연결됩니다. 이 예에서는 스위치에서 MAC RADIUS 인증을 위해 두 인터페이스가 구성되고 두 프린터의 MAC 주소(콜론 제외)가 RADIUS 서버에 구성됩니다. 인터페이스 ge-0/0/20은 스위치가 802.1X 인증을 시도하는 동안 정상적인 지연을 제거하도록 구성됩니다. MAC RADIUS 인증이 활성화되고 옵션을 사용하여 802.1X 인증이 비활성화됩니다 mac radius restrict .
토폴로지
구성
절차
CLI 빠른 구성
MAC RADIUS 인증을 신속하게 구성하려면 다음 명령을 복사하여 스위치 터미널 창에 붙여넣으십시오.
[edit] set protocols dot1x authenticator interface ge-0/0/19 mac-radius set protocols dot1x authenticator interface ge-0/0/20 mac-radius restrict
또한 단계별 절차의 2단계에서와 같이 RADIUS 서버에서 두 MAC 주소를 사용자 이름과 암호로 구성해야 합니다.
단계별 절차
스위치 및 RADIUS 서버에서 MAC RADIUS 인증을 구성합니다.
스위치에서 MAC RADIUS 인증을 위해 프린터가 연결된 인터페이스를 구성하고 인터페이스 ge-0/0/20에서 restrict 옵션을 구성하여 MAC RADIUS 인증만 사용하도록 합니다.
[edit] user@switch# set protocols dot1x authenticator interface ge-0/0/19 mac-radius user@switch# set protocols dot1x authenticator interface ge-0/0/20 mac-radius restrictRADIUS 서버에서 MAC 주소 00040ffdacfe 및 0004aecd235f를 사용자 이름 및 암호로 구성합니다.
[root@freeradius]# edit /etc/raddb vi users 00040ffdacfe Auth-type:=EAP, User-Password = "00040ffdacfe" 0004aecd235f Auth-type:=EAP, User-Password = "0004aecd235f"
결과
스위치에 구성 결과를 표시합니다.
user@switch> show configuration
protocols {
dot1x {
authenticator {
authentication-profile-name profile52;
interface {
ge-0/0/19.0 {
mac-radius;
}
ge-0/0/20.0 {
mac-radius {
restrict;
}
}
}
}
}
}
검증
신청자가 인증되었는지 확인합니다.
요청자가 인증되었는지 확인
목적
요청자가 스위치 및 RADIUS 서버에서 MAC RADIUS 인증을 위해 구성되면 신청자가 인증되었는지 확인하고 인증 방법을 표시합니다.
작업
802.1X 구성 인터페이스 ge-0/0/19 및 ge-0/0/20에 대한 정보를 표시합니다.
user@switch> show dot1x interface ge-0/0/19.0 detail
ge-0/0/19.0
Role: Authenticator
Administrative state: Auto
Supplicant mode: Single
Number of retries: 3
Quiet period: 60 seconds
Transmit period: 30 seconds
Mac Radius: Enabled
Mac Radius Restrict: Disabled
Reauthentication: Enabled
Configured Reauthentication interval: 3600 seconds
Supplicant timeout: 30 seconds
Server timeout: 30 seconds
Maximum EAPOL requests: 2
Guest VLAN member: <not configured>
Number of connected supplicants: 1
Supplicant: user101, 00:04:0f:fd:ac:fe
Operational state: Authenticated
Authentication method: Radius
Authenticated VLAN: vo11
Dynamic Filter: match source-dot1q-tag 10 action deny
Session Reauth interval: 60 seconds
Reauthentication due in 50 seconds
user@switch> show dot1x interface ge-0/0/20.0 detail
ge-0/0/20.0
Role: Authenticator
Administrative state: Auto
Supplicant mode: Single
Number of retries: 3
Quiet period: 60 seconds
Transmit period: 30 seconds
Mac Radius: Enabled
Mac Radius Restrict: Enabled
Reauthentication: Enabled
Configured Reauthentication interval: 3600 seconds
Supplicant timeout: 30 seconds
Server timeout: 30 seconds
Maximum EAPOL requests: 2
Guest VLAN member: <not configured>
Number of connected supplicants: 1
Supplicant: user102, 00:04:ae:cd:23:5f
Operational state: Authenticated
Authentcation method: Radius
Authenticated VLAN: vo11
Dynamic Filter: match source-dot1q-tag 10 action deny
Session Reauth interval: 60 seconds
Reauthentication due in 50 seconds
의미
명령의 show dot1x interface detail 샘플 출력은 필드에 연결된 종단 디바이스의 Supplicant MAC 주소를 표시합니다. 인터페이스 ge-0/0/19에서 MAC 주소는 MAC RADIUS 인증을 위해 구성된 첫 번째 프린터의 MAC 주소입니다 00:04:0f:fd:ac:fe. 필드에는 Authentication method 인증 방법이 (으)로 Radius표시됩니다. 인터페이스에서 ge-0/0/20MAC 주소는 MAC RADIUS 인증을 위해 구성된 두 번째 프린터의 MAC 주소입니다 00:04:ae:cd:23:5f. 필드에는 Authentication method 인증 방법이 (으)로 Radius표시됩니다.