- 스위치 포트에 연결되는 사용자를 확인하고 해당 사용자에 대한 인증이 통과되는 경우에만 해당 포트를 활성화시킬 수 있는 인증 방식이다.
- 오늘날에는 원래 목적이었던 유선 스위치보다 무선(Wireless) AP 인증 등에 주로 사용되고 있다.
- Dot1 x 인증에는 EAP(Extensible Authentication Protocol)라는 인증 프로토콜을 사용한다.
네트워크 구성
- Client는 (VLAN 90에서 인증 후 VLAN 70으로 변경된다.)
- ACS 서버(VLAN 250 / 10.1.250.5)
- GateWay 주소 (VLAN 70 / 10.1.70.252~254, VLAN 90 /10.1.90.252~254)
- 인증이 되지 않으면 VLAN 90번으로 사용하고 VLAN 90번은 게이트웨이(10.1.90.254 / DSW)까지 밖에 통신이 되지 않는다.
- ACS 서버를 통해 Dot1 x 인증이 완료되면 VLAN 70번으로 바뀌고 VLAN 70번은 외부로 통신이 가능하다.
- Client(WinXP) PC를 ACS서버(10.1.250.5 / Window Server)로 부터 Dot1x인증 후 외부로 통신되게 하려고 한다.
NAD 스위치 초기 설정
- 하위 포트는 Access로 설정하고 Vlan 90번이 통과될 수 있도록 한다.
- 상위 포트는 Trunk로 설정하고 Vlan 70, 90번이 통과될 수 있도록 한다.
- NAD 스위치는 ACS인증서버(Vlan 250)와 통신이 가능해야 Dot1x 인증처리를 수행할 수 있다.
- Default Routing을 통해 vlan 250번 대역으로 갈 수 있도록 설정한다. (ip route 0.0.0.0 0.0.0.0 10.1.90.254)
- NAD 스위치를 Radius 서버(10.1.250.5)에 등록한다.
|
<NAD> conf t |
DSW 스위치 초기 설정
- VLAN 70, 90번을 HSRP로 구성하여 DSW1에는 Active DSW2에는 Standby 상태로 구성한다.
NAD 스위치 Radius 접속 확인
1. ACS서버에서 NAD AAA Client를 생성
- NAD VLAN 90번 IP로 설정하고 RADIUS (IETE)로 설정 후 Submit버튼을 클릭한다.
- 아래 화면과 같이 정상적으로 NAD2가 추가된 것을 확인할 수 있다.
2. NAD 스위치에서 ACS서버 접속 테스트
- NAD 스위치에서 test aaa group radius Branch1 cisco123 leagcy 명령어를 통해 ACS 서버에 정상적으로 접근하는지 확인한다.
3. ACS서버에서 Dot1x인증을 하기 위한 Radius 설정
- Interface Configuration 메뉴에서 RADIUS (IETE)를 클릭한다.
- 64, 65, 81번을 선택 후 Submit 버튼을 클릭한다.
- 64번 Tunnel-Type은 VLAN을 변경할 것이기 때문에 VLAN으로 설정한다.
- 65번 Tunnel-Medium-Type은 IEEE 802(LAN)을 사용할 것이기 때문에 802로 설정한다.
- 81번 Tunnel-Private-Group-ID는 VLAN 70번으로 변경할 것이기 때문에 70으로 설정한다.
- 모든 설정을 완료한 후 Submit 버튼을 클릭한다.
4. NAD 스위치에서 Dot1x인증 설정 (IOS12)
aaa authentication dot1 x default group radius: dot1x에 대한 인증은 radius에서 진행하도록 설정한다.
aaa authentication network group radius: 네트워크에 대한 권한을 radius에서 진행하도록 설정한다. (VLAN 변경)
dot1 x system-auth-control: dot1 x 인증을 설정한다.
dot1x port-control-auto: 포트를 dot1x인증을 활성화한다. (사용자 이름, 패스워드를 통한 인증)
dot1 x auth-fail max-attempts 3: 3번까지 인증 시도를 허용한다.
dot1 x auth-fail vlan 444: 인증 실패 시 VLAN 444번으로 이동한다.
do1x timeout reauth-period 3600: 1시간마다 재인증을 요청한다.
|
<NAD> |
5. Client에서 IP를 DHCP로 설정
- DHCP로 설정하면 IP를 할당받지 못하므로 0.0.0.0 상태가 된다.
6. Wired AutoConfig 실행
- services.msc 명령어를 입력해서 서비스로 들어간다.
- Wired AutoConfig를 시작하고 속성에 들어가서 자동으로 설정하여 부팅 시마다 서비스가 실행되도록 설정한다.
7. 로컬 영역 연결 속성 인증 수정
- 인증에서 IEEE 802.1X인증을 사용하고 인증 방식을 MD5-Challenge(CHAP) 방식을 선택한다.
8. 연결 확인
- 연결을 시도하면 자격 증명 입력 창에 ACS 서버에 등록된 사용자 아이디와 패스워드를 입력한다.
- VLAN 70번으로 DHCP 서버에서 받아온 것을 확인할 수 있고 외부로 정상적으로 통신이 가능하다.
- Client의 패킷을 확인해 보면 CHAP 방식을 통하여 정상적으로 인증이 완료 된것을 확인할 수 있다.
- ACS 서버로 가는 패킷을 확인해 보면 Radius도 정상적으로 인증이 완료된것을 확인할 수 있다.
인증과정을 다시 확인하고 싶은 경우
1. PC의 NIC를 비활성화 시킨다.
2. NAD에서 dot1x initialize int fa 1/x 명령어를 입력한다.
3. 명령어를 반복적으로 입력 후 Interface가 Down되는 것을 확인한다.
4. 다시 NIC를 활성화 시킨 후 인증한다.
'Network > Switch' 카테고리의 다른 글
| [Switch] SPAN(Switchport Analyzer) / RSPAN 개념, 구성 (0) | 2019.11.14 |
|---|---|
| EtherChannel 개념 및 구성방법 (0) | 2019.10.08 |
| STP 수렴 시간 단축(STP Convergence Time) (0) | 2019.10.07 |
| STP 경로설정 방법(3가지) (0) | 2019.10.07 |
| STP Timer 란? (0) | 2019.10.07 |
공부&일상 블로그
포스팅이 좋았다면 "좋아요❤️" 또는 "구독👍🏻" 해주세요! 질문은 언제나 환영입니다😊
![[Switch] SPAN(Switchport Analyzer) / RSPAN 개념, 구성](https://img1.daumcdn.net/thumb/R750x0/?scode=mtistory2&fname=https%3A%2F%2Fblog.kakaocdn.net%2Fdn%2FbvwJVf%2FbtqzJFaYOiV%2Fp1YQqkbmbpBxRLmAtE4dvk%2Fimg.png)
