Junos에서 VLAN에 대한 액세스 제어 방법 -

비디오: [Switch] HPE 스위치의 PBR구성 예제 설명 인성_유재하 2024

유효한 사용자에게만 허용하려면 스위치에 NAC (Network Admission Control) 정책을 설정해야합니다. 허용 제어를 사용하면 네트워크에 액세스 할 수있는 사용자를 엄격하게 제어하고 인증되지 않은 사용자가 로그인하지 못하게하고 네트워크 액세스 정책을 적용 할 수 있습니다

EX Series 스위치의 Junos OS 소프트웨어는 IEEE 802.1x 프로토콜을 사용할 수 있습니다 (예: 인증 된 사용자는 최신 바이러스 백신 소프트웨어 및 운영 체제 패치를 자신의 PC 및 랩톱에 설치합니다) dot-one-ex 라고도 함)는 처음에 LAN에 연결할 때 모든 장치의 인증을 제공합니다. 실제 인증은 별도의 소프트웨어 또는 별도의 서버, 일반적으로 RADIUS 인증 LAN에있는 스위치 중 하나에 연결된 서버.

스위치에 허용 제어를 설정하려면 다음 단계를 따르십시오.

RADIUS 서버가 스위치의 요청을 확인하는 데 사용하는 암호와 함께 RADIUS 서버의 주소를 구성합니다.

이 예제는 주소 192를 사용합니다. 1. 2:
```
[edit access] user @ junos-switch # set radius-server 192. 168. 1. 2 secret my-password
```
비밀 키워드 이 명령에서 스위치가 RADIUS 서버에 액세스하는 데 사용하는 암호를 구성합니다.

스위치에 RADIUS 서버에 연결할 수있는 여러 인터페이스가있는 경우 스위치가 RADIUS 서버와의 모든 통신에 사용할 수있는 IP 주소를 할당 할 수 있습니다. 이 예에서는 주소 192를 선택합니다. 168. 0. 1:
인증 프로파일을 다음과 같이 설정합니다. ->
[edit access] user @ junos-switch # set radius-server # user @ junos-switch # set 프로필 my-profile 인증 순서 반경 [편집 액세스] user @ junos-switch # set 프로필 my-profile 반경 인증 서버 192 1. 2
```
첫 번째 명령은 인증 메시지를 보낼 때 스위치가 RADIUS 서버에 접속해야합니다. 다른 사용 가능한 옵션은 LDAP 서버 또는 로컬 암호 인증입니다. 두 번째 명령은 이전 단계에서 방금 구성한 인증 서버의 주소를 표시합니다.
```
스위치 인터페이스에 대한 액세스 권한을 지정하여 802.1x 프로토콜 자체를 구성합니다.
다음과 같이 인터페이스별로 인터페이스를 구성 할 수 있습니다.

[edit protocols] user @ junos-switch # set dot1x authenticator authentication-profile-name my-profile 인터페이스 ge-0 / 0 / 1. 0 [편집 프로토콜] user @ junos-switch # set dot1x 인증 자 인증 프로필 이름 내 프로필 인터페이스 ge-0 / 0 / 2.0 supplicant single-secure
```
authentication-profile-name 문은 이전 단계에서 설정 한 인증 프로파일을이 인터페이스와 연관시킵니다.
```
물리적 인터페이스 이름 (ge-0 / 0 / 1)이 아닌 논리적 인터페이스 이름 (ge-0 / 0 / 1.0.0)을 지정합니다.

3 단계에서 키워드 supplicant (인증을 요청하는 네트워크 장치에 대한 802.1x 용어)는 LAN에서 인증을위한 관리 모드를 정의합니다.

단일 모드:

스위치 포트에 연결하고 추후 인증없이 동일한 포트에 연결된 모든 장치에 대한 액세스를 허용합니다. 첫 번째 인증 된 장치가 로그 아웃하면 다른 장치는 모두 LAN에서 잠 깁니다. 이 모드는 기본값이므로 구성에 포함 할 필요가 없습니다. 단일 보안 모드:
포트 당 하나의 네트워크 장치 만 인증합니다. 이 모드에서 나중에 동일한 포트에 연결하는 추가 장치는 트래픽을 보내거나 수신 할 수 없으며 인증을 허용하지 않습니다. Multiple:
스위치 포트에 개별적으로 연결된 각 장치를 인증합니다. 이 모드에서는 이후에 같은 포트에 연결되는 추가 장치를 인증하고, 성공할 경우 트래픽을 보내고받을 수 있습니다. 단일 모드를 사용할 때, 제 1 장치 만이 인증되고,이 구성은 보안 구멍으로 간주 될 수있다. 문제가 발생할 것으로 예상되면 단일 보안 또는 다중 모드를 사용하십시오. 모든 스위치 포트에서 인증 모드가 동일하면 인터페이스 이름 대신 all 키워드를 사용하여 모든 인터페이스에 적용 할 802.1x 매개 변수를 구성 할 수 있습니다.

[edit protocols] user @ junos-switch # dot1x 인증 자 인터페이스 모두 설정