- play_arrow 로그인 클래스 및 로그인 설정
- play_arrow 사용자 계정
- play_arrow 사용자 액세스를 위한 암호
- play_arrow 신뢰할 수 있는 플랫폼 모듈
- play_arrow 사용자 인증
- play_arrow 접근제어
- 액세스 제어 인증 방법
- U-Boot용 무인 모드를 사용하여 EX 시리즈 스위치에 대한 무단 액세스 방지
- U-Boot용 무인 모드를 사용하여 EX 시리즈 스위치에 대한 무단 액세스 방지
- 인증을 위한 RADIUS 서버 구성
- RADSEC(RADIUS over TLS)
- 802.1X 인증
- MAC RADIUS 인증
- 802.1X 및 RADIUS 어카운팅
- 예: EX 시리즈 스위치에 단일 요청자 또는 다중 요청자 구성을 위한 802.1X 설정
- 예: EX 시리즈 스위치에서 기업 방문자에게 인터넷 액세스를 제공하도록 컨퍼런스 룸에서 802.1X 설정
- 802.1X 또는 MAC RADIUS 인증에 활성화된 인터페이스
- 802.1X 및 MAC RADIUS 인증의 정적 MAC 바이패스
- MAC RADIUS 인증을 위한 PEAP 구성
- 캡티브 포털(Captive Portal) 인증
- EX 시리즈 스위치의 유연한 인증 순서
- 서버 장애 복구 및 인증
- 인증 세션 시간 초과
- 중앙 웹 인증
- 무색 포트에 대한 동적 VLAN 할당
- EX 시리즈 스위치의 VoIP
- play_arrow IEEE 802.1x 포트 기반 네트워크 액세스 제어 구성
- play_arrow 향상된 LAN 모드에서 IEEE 802.1x 포트 기반 네트워크 액세스 제어 구성
- 향상된 LAN 모드의 MX 시리즈 라우터용 802.1X 개요
- 향상된 LAN 모드의 MX 시리즈 라우터에서 802.1X 및 LLDP와 LLDP-MED 이해
- 향상된 LAN 모드의 MX 시리즈 라우터에서 802.1X 및 RADIUS 어카운팅 이해하기
- Enhanced LAN 모드의 MX 시리즈 라우터에서 802.1X 및 VoIP 이해하기
- 향상된 LAN 모드의 MX 시리즈 라우터에서 802.1X에 대한 게스트 VLAN 이해하기
- 향상된 LAN 모드의 MX 시리즈 라우터에서 802.1X에 대한 동적 VLAN 이해
- 향상된 LAN 모드의 MX 시리즈 라우터에서 서버 장애 복구 및 인증 이해
- 향상된 LAN 모드의 MX 시리즈 라우터에서 802.1X RADIUS 어카운팅 구성
- Enhanced LAN 모드의 MX 시리즈 라우터에서 802.1X 인터페이스 설정 구성
- 향상된 LAN 모드의 MX 시리즈 라우터에서 LLDP-MED 구성
- 향상된 LAN 모드의 MX 시리즈 라우터에서 LLDP 구성
- 향상된 LAN 모드의 MX 시리즈 라우터에서 서버 장애 복구 구성
- MX 시리즈 라우터의 캡티브 포털 인증 이해
- MX 시리즈 라우터의 인증 세션 시간 초과 이해
- 향상된 LAN 모드의 MX 시리즈 라우터에 대한 인증 프로세스 플로우
- 향상된 LAN 모드의 MX 시리즈 라우터에서 RADIUS 서버 연결 지정
- 향상된 LAN 모드의 MX 시리즈 라우터에서 캡티브 포털 인증 구성
- MX 시리즈 라우터에서 캡티브 포털 인증 로그인 페이지 설계
- 향상된 LAN 모드의 MX 시리즈 라우터에서 인증의 정적 MAC 바이패스 구성
- 향상된 LAN 모드의 MX 시리즈 라우터에서 인증 세션 시간 초과 제어
- 향상된 LAN 모드의 MX 시리즈 라우터에서 MAC RADIUS 인증 구성
- 예: MX 시리즈 라우터에서 MAC RADIUS 인증 구성
- 예: MX 시리즈 라우터에서 캡티브 포털 인증 설정
- 예: 802.1X용 RADIUS 서버를 MX 시리즈 라우터에 연결
- 예: MX 시리즈 라우터에서 기업 방문자에게 인터넷 액세스를 제공하기 위해 컨퍼런스 룸에서 802.1X 설정
- 예: MX 시리즈 라우터에서 인증의 정적 MAC 바이패스 구성
- 예: MX 시리즈 라우터에서 802.1X 또는 MAC RADIUS 인증이 활성화된 인터페이스의 여러 요청자에 방화벽 필터 적용
- play_arrow 디바이스 검색
- play_arrow 도메인 이름 보안
- play_arrow 권한 플래그
- play_arrow 구성 명령문 및 작동 명령
원격 관리를 위한 보안 웹 액세스
J-Web 인터페이스를 통해 주니퍼 네트웍스 디바이스를 원격으로 관리할 수 있습니다. 안전한 웹 액세스를 위해 주니퍼 네트웍스 디바이스는 HTTPS(HTTP over Secure Sockets Layer)를 지원합니다. 필요에 따라 디바이스의 특정 인터페이스 및 포트에서 HTTP 또는 HTTPS 액세스를 활성화할 수 있습니다. 자세한 내용은 이 주제를 읽어보십시오.
Secure Web Access 개요
J-Web 인터페이스를 통해 주니퍼 네트웍스 디바이스를 원격으로 관리할 수 있습니다. 디바이스와 통신하기 위해 J-Web 인터페이스는 HTTP(Hypertext Transfer Protocol)를 사용합니다. HTTP를 사용하면 웹에 쉽게 액세스할 수 있지만 암호화는 할 수 없습니다. HTTP를 통해 웹 브라우저와 디바이스 간에 전송되는 데이터는 가로채기 및 공격에 취약합니다. 안전한 웹 액세스를 위해 주니퍼 네트웍스 디바이스는 HTTPS(HTTP over Secure Sockets Layer)를 지원합니다. 필요에 따라 특정 인터페이스 및 포트에서 HTTP 또는 HTTPS 액세스를 활성화할 수 있습니다.
주니퍼 네트웍스 디바이스는 SSL(Secure Sockets Layer) 프로토콜을 사용하여 웹 인터페이스를 통해 안전한 디바이스 관리를 제공합니다. SSL은 SSL 서비스를 제공하기 위해 쌍을 이루는 개인 키와 인증 인증서가 필요한 공개-개인 키 기술을 사용합니다. SSL은 SSL 서버 인증서로 협상된 세션 키를 사용하여 장치와 웹 브라우저 간의 통신을 암호화합니다.
SSL 인증서에는 인증 기관(CA)에서 만든 공개 키 및 서명과 같은 식별 정보가 포함됩니다. HTTPS를 통해 디바이스에 액세스하면 SSL 핸드셰이크가 서버와 클라이언트를 인증하고 보안 세션을 시작합니다. 정보가 일치하지 않거나 인증서가 만료된 경우 HTTPS를 통해 디바이스에 액세스할 수 없습니다.
SSL 암호화가 없으면 장치와 브라우저 간의 통신이 공개적으로 전송되어 가로챌 수 있습니다. WAN 인터페이스에서 HTTPS 액세스를 활성화하는 것이 좋습니다.
HTTP 액세스는 기본 제공 관리 인터페이스에서 기본적으로 활성화됩니다. 기본적으로 HTTPS 액세스는 SSL 서버 인증서가 있는 모든 인터페이스에서 지원됩니다.
참조
Secure Web Access에 사용할 SSL 인증서 생성(EX 시리즈 스위치)
EX 시리즈 스위치에 대한 보안 웹 액세스를 설정할 수 있습니다. 보안 웹 액세스를 활성화하려면 디지털 SSL(Secure Sockets Layer) 인증서를 생성한 다음 스위치에서 HTTPS 액세스를 활성화해야 합니다.
SSL 인증서를 생성하려면 다음을 수행합니다.
J-Web 구성 페이지를 사용하여 스위치에 SSL 인증서를 설치할 수 있습니다. 이렇게 하려면 BSD 또는 Linux 시스템에서 스위치로 인증서가 포함된 파일을 복사합니다. 그런 다음 파일을 열고 내용을 복사하여 J-Web Secure Access Configuration 페이지의 Certificate 상자에 붙여넣습니다.
다음 CLI 문을 사용하여 스위치에 SSL 인증서를 설치할 수도 있습니다.
[edit] user@switch# set security certificates local my-signed-cert load-key-file my-certificate.pem
인증서 설치에 대한 자세한 내용은 예: Secure Web Access 구성.
참조
자체 서명 인증서 삭제(CLI 절차)
EX 시리즈 스위치에서 자동 또는 수동으로 생성되는 자체 서명 인증서를 삭제할 수 있습니다. 자동으로 생성된 자체 서명 인증서를 삭제하면 스위치가 새 자체 서명 인증서를 생성하여 파일 시스템에 저장합니다.
스위치에서 자동으로 생성된 인증서 및 관련 키 쌍을 삭제하려면,
content_copy zoom_out_mapuser@switch> clear security pki local-certificate system-generated
스위치에서 수동으로 생성된 인증서 및 관련 키 쌍을 삭제하려면:
content_copy zoom_out_mapuser@switch> clear security pki local-certificate certificate-id certificate-id-name
스위치에서 수동으로 생성된 모든 인증서 및 관련 키 쌍을 삭제하려면:
content_copy zoom_out_mapuser@switch> clear security pki local-certificate all
EX 시리즈 스위치의 자체 서명 인증서 이해
공장 기본 구성으로 주니퍼 네트웍스 EX 시리즈 이더넷 스위치를 초기화하면 스위치가 자체 서명 인증서를 생성하여 SSL(Secure Sockets Layer) 프로토콜을 통해 스위치에 안전하게 액세스할 수 있습니다. HTTPS(Hypertext Transfer Protocol over Secure Sockets Layer) 및 XNM-SSL(XML Network Management over Secure Sockets Layer)은 자체 서명된 인증서를 사용할 수 있는 두 서비스입니다.
자체 서명된 인증서는 인증 기관(CA)에서 생성한 인증서와 달리 추가 보안을 제공하지 않습니다. 이는 클라이언트가 자신이 연결한 서버가 인증서에 보급된 서버인지 확인할 수 없기 때문입니다.
스위치는 자체 서명 인증서를 생성하는 두 가지 방법을 제공합니다.
자동 생성
이 경우 인증서 작성자가 스위치입니다. 자동으로 생성된("시스템 생성"이라고도 함) 자체 서명 인증서는 기본적으로 스위치에 구성됩니다.
스위치가 초기화되면 자동으로 생성된 자체 서명 인증서가 있는지 확인합니다. 찾지 못하면 스위치가 하나를 생성하여 파일 시스템에 저장합니다.
스위치에 의해 자동으로 생성되는 자체 서명 인증서는 SSH 호스트 키와 유사합니다. 구성의 일부가 아닌 파일 시스템에 저장됩니다. 스위치가 재부팅될 때 지속되며 명령이 내려져도 보존
request system snapshot됩니다.스위치는 자동으로 생성된 인증서에 대해 다음과 같은 고유 이름을 사용합니다.
“ CN=<device serial number>, CN=system generated, CN=self-signed”
스위치에서 시스템 생성 자체 서명 인증서를 삭제하면 스위치가 자체 서명 인증서를 자동으로 생성합니다.
수동 생성
이 경우 스위치에 대한 자체 서명 인증서를 생성합니다. 언제든지 CLI를 사용하여 자체 서명 인증서를 생성할 수 있습니다. 수동으로 생성된 자체 서명 인증서는 구성의 일부가 아닌 파일 시스템에 저장됩니다.
자체 서명된 인증서는 생성된 시점부터 5년 동안 유효합니다. 자동으로 생성된 자체 서명 인증서의 유효 기간이 만료되면 스위치에서 해당 인증서를 삭제하여 스위치가 새 자체 서명 인증서를 생성하도록 할 수 있습니다.
시스템에서 생성된 자체 서명 인증서와 수동으로 생성된 자체 서명 인증서는 스위치에 공존할 수 있습니다.
스위치에서 자체 서명 인증서 수동 생성(CLI 절차)
EX 시리즈 스위치를 사용하면 사용자 지정 자체 서명 인증서를 생성하고 파일 시스템에 저장할 수 있습니다. 수동으로 생성한 인증서는 스위치에서 자동으로 생성된 자체 서명 인증서와 공존할 수 있습니다. SSL을 통해 스위치에 대한 보안 액세스를 활성화하기 위해 시스템에서 생성된 자체 서명 인증서 또는 수동으로 생성한 인증서를 사용할 수 있습니다.
자체 서명된 인증서를 수동으로 생성하려면 다음 작업을 완료해야 합니다.
스위치에서 퍼블릭-프라이빗 키 페어 생성
디지털 인증서에는 인증서에 디지털 서명하는 데 사용되는 연관된 암호화 키 쌍이 있습니다. 암호화 키 쌍은 공개 키와 개인 키로 구성됩니다. 자체 서명된 인증서를 생성할 때 자체 서명된 인증서에 서명하는 데 사용할 수 있는 퍼블릭-프라이빗 키 쌍을 제공해야 합니다. 따라서 자체 서명된 인증서를 생성하기 전에 퍼블릭-프라이빗 키 쌍을 생성해야 합니다.
퍼블릭-프라이빗 키 쌍을 생성하려면 다음을 수행합니다.
user@switch> request security pki generate-key-pair certificate-id certificate-id-name
선택적으로 암호화 알고리즘과 암호화 키의 크기를 지정할 수 있습니다. 암호화 알고리즘 및 암호화 키 크기를 지정하지 않으면 기본값이 사용됩니다. 기본 암호화 알고리즘은 RSA이고 기본 암호화 키 크기는 1024비트입니다.
퍼블릭-프라이빗 키 쌍이 생성되면 스위치에 다음이 표시됩니다.
generated key pair certificate-id-name, key size 1024 bits
스위치에서 자체 서명 인증서 생성
자체 서명 인증서를 수동으로 생성하려면 인증서 ID 이름, 고유 이름(DN)의 주체, 도메인 이름, 스위치의 IP 주소 및 인증서 소유자의 이메일 주소를 포함합니다.
user@switch> request security pki local-certificate generate-self-signed certificate-id certificate-id-name domain-name domain-name email email-address ip-address switch-ip-address subject subject-of-distinguished-name
생성한 인증서는 스위치의 파일 시스템에 저장됩니다. 인증서를 생성하는 동안 지정한 인증서 ID는 HTTPS 또는 XNM-SSL 서비스를 사용하도록 설정하는 데 사용할 수 있는 고유 식별자입니다.
인증서가 제대로 생성되고 로드되었는지 확인하려면 작동 명령을 입력합니다 show security pki local-certificate .
예: Secure Web Access 구성
이 예에서는 디바이스에서 보안 웹 액세스를 구성하는 방법을 보여 줍니다.
요구 사항
이 기능을 구성하기 전에 디바이스 초기화 이외의 특별한 구성은 필요하지 않습니다.
지정된 인터페이스에서 HTTPS 액세스를 활성화할 수 있습니다. 인터페이스를 지정하지 않고 HTTPS를 활성화하면 모든 인터페이스에서 HTTPS가 활성화됩니다.
개요
이 예제에서는 PEM 형식의 새 개인 키로 생성한 SSL 인증서를 가져옵니다. 그런 다음 HTTPS 액세스를 활성화하고 인증에 사용할 SSL 인증서를 지정합니다. 마지막으로, HTTPS 액세스를 사용할 포트를 8443으로 지정합니다.
토폴로지
구성
절차
CLI 빠른 구성
이 예를 빠르게 구성하려면, 아래 명령을 복사하여 텍스트 파일로 붙여 넣은 다음 모든 라인브레이크를 제거하고, 네트워크 구성을 일치하는 데 필요한 세부 사항을 바꾸고 [edit] 계층 수준에서 명령을 CLI로 복사해 붙여 넣은 다음, 구성 모드에서 commit을(를) 입력합니다.
set security certificates local new load-key-file /var/tmp/new.pem set system services web-management https local-certificate new port 8443
단계별 절차
다음 예는 구성 계층에서 다양한 수준의 탐색이 필요합니다. 이를 수행하는 방법에 대한 지침은 CLI 사용자 가이드의 구성 모드에서 CLI 편집기 사용을 참조하십시오.
장치에서 보안 웹 액세스를 구성하려면,
SSL 인증서 및 개인 키를 가져옵니다.
content_copy zoom_out_map[edit security] user@host# set certificates local new load-key-file /var/tmp/new.pem
HTTPS 액세스를 활성화하고 SSL 인증서 및 포트를 지정합니다.
content_copy zoom_out_map[edit system] user@host# set services web-management https local-certificate new port 8443
결과
구성 모드에서 show security 명령을 입력하여 구성을 확인합니다. 출력이 의도된 구성을 표시하지 않으면, 이 예의 구성 지침을 반복하여 수정합니다.
[edit]
user@host# show security
certificates {
local {
new {
"-----BEGIN RSA PRIVATE KEY-----\nMIICXQIBAAKBgQC/C5UI4frNqbi qPwbTiOkJvqoDw2YgYse0Z5zzVJyErgSg954T\nEuHM67Ck8hAOrCnb0YO+SY Y5rCXLf4+2s8k9EypLtYRw/Ts66DZoXI4viqE7HSsK\n5sQw/UDBIw7/MJ+OpA ... KYiFf4CbBBbjlMQJ0HFudW6ISVBslONkzX+FT\ni95ddka6iIRnArEb4VFCRh+ e1QBdp1UjziYf7NuzDx4Z\n -----END RSA PRIVATE KEY-----\n-----BEGIN CERTIFICATE----- \nMIIDjDCCAvWgAwIBAgIBADANBgkqhkiG9w0BAQQ ... FADCBkTELMAkGA1UEBhMCdXMx\nCzAJBgNVBAgTAmNhMRIwEAYDVQQHEwlzdW5ue HB1YnMxDTALBgNVBAMTBGpucHIxJDAiBgkqhkiG\n9w0BCQEWFW5iaGFyZ2F2YUB fLUYAnBYmsYWOH\n -----END CERTIFICATE-----\n"; ## SECRET-DATA
}
}
}
디바이스 구성을 마쳤으면 구성 모드에서 commit을(를) 입력합니다.
검증
구성이 올바르게 작동하고 있는지 확인합니다.
