AireOS WLC에서 802.1X 클라이언트 제외

다운로드 옵션

PDF (228.9 KB)
다양한 디바이스에서 Adobe Reader로 보기
ePub (127.8 KB)
iPhone, iPad, Android, Sony Reader 또는 Windows Phone의 다양한 앱에서 보기
Mobi (Kindle) (159.5 KB)
Kindle 디바이스에서 보기 또는 다양한 디바이스의 Kindle 앱에서 보기

업데이트:2020년 6월 26일 (금)

문서 ID:214466

편견 없는 언어

본 제품에 대한 문서 세트는 편견 없는 언어를 사용하기 위해 노력합니다. 본 설명서 세트의 목적상, 편견 없는 언어는 나이, 장애, 성별, 인종 정체성, 민족 정체성, 성적 지향성, 사회 경제적 지위 및 교차성에 기초한 차별을 의미하지 않는 언어로 정의됩니다. 제품 소프트웨어의 사용자 인터페이스에서 하드코딩된 언어, RFP 설명서에 기초한 언어 또는 참조된 서드파티 제품에서 사용하는 언어로 인해 설명서에 예외가 있을 수 있습니다. 시스코에서 어떤 방식으로 포용적인 언어를 사용하고 있는지 자세히 알아보세요.

이 번역에 관하여

Cisco는 전 세계 사용자에게 다양한 언어로 지원 콘텐츠를 제공하기 위해 기계 번역 기술과 수작업 번역을 병행하여 이 문서를 번역했습니다. 아무리 품질이 높은 기계 번역이라도 전문 번역가의 번역 결과물만큼 정확하지는 않습니다. Cisco Systems, Inc.는 이 같은 번역에 대해 어떠한 책임도 지지 않으며 항상 원본 영문 문서(링크 제공됨)를 참조할 것을 권장합니다.

소개

이 문서에서는 AireOS WLC(Wireless LAN Controller)의 802.1X 클라이언트 제외에 대해 설명합니다.802.1X 클라이언트 제외는 WLC와 같은 802.1X 인증자에 포함할 수 있는 중요한 옵션입니다.이는 EAP(Extensible Authentication Protocol) 클라이언트가 하이퍼액티브 또는 부적절하게 작동하여 인증 서버 인프라의 오버로드를 방지하기 위한 것입니다.

사전 요구 사항

요구 사항

다음 주제에 대한 지식을 보유하고 있으면 유용합니다.

Cisco AireOS WLC
802.1X 프로토콜
원격 인증 전화 접속 사용자 서비스(RADIUS)
ISE(Identity Service Engine)

사용되는 구성 요소

이 문서의 정보는 AireOS를 기반으로 합니다.

이 문서의 정보는 특정 랩 환경의 디바이스를 토대로 작성되었습니다.이 문서에 사용된 모든 디바이스는 초기화된(기본) 컨피그레이션으로 시작되었습니다.네트워크가 작동 중인 경우 모든 명령의 잠재적인 영향을 이해해야 합니다.

사용자 사례

사용자 사례에는 다음이 포함됩니다.

잘못된 자격 증명으로 구성된 EAP 신청자.EAP 서 플리 컨 트 와 같은 대부분의 서 플리 컨 트는 몇 번의 연속 실패 후 인증 시도를 중지 합니다.그러나 일부 EAP 신청자는 실패 시 재인증 시도를 계속하며, 가능한 경우 초당 여러 번.일부 클라이언트는 RADIUS 서버에 과부하를 주고 전체 네트워크에 대한 DoS(Denial of Service)를 유발합니다.
주요 네트워크 장애 조치 후, 수백 또는 수천 개의 EAP 클라이언트가 동시에 인증을 시도할 수 있습니다.따라서 인증 서버가 오버로드되고 느린 응답을 제공할 수 있습니다.느린 응답이 처리되기 전에 클라이언트 또는 인증자가 시간 초과되면 인증 시도가 계속 시간 초과되는 악순환이 발생할 수 있습니다. 그런 다음 응답을 다시 처리하려고 시도합니다.

참고:인증 시도가 성공하도록 허용하려면 허용 제어 메커니즘이 필요합니다.

802.1X 클라이언트 제외 작동 방식

802.1X 클라이언트 제외는 클라이언트가 802.1X 인증 실패 후 일정 기간 동안 인증 시도를 보내지 못하도록 합니다.AireOS WLC 802.1X에서 클라이언트 제외는 Security(보안) > Wireless Protection Policies(무선 보호 정책) > Client Exclusion Policies(클라이언트 제외 정책)에서 기본적으로 활성화되며 이 이미지에서 볼 수 있습니다.

클라이언트 제외는 WLAN별로 활성화하거나 비활성화할 수 있습니다.기본적으로 AireOS 8.5에서 시작하는 AireOS 8.5와 180초 전에 시간 초과가 60초로 설정되어 있습니다.

오버로드로부터 RADIUS 서버를 보호하기 위한 제외 설정

RADIUS 서버가 부정확하게 작동하는 무선 클라이언트로 인해 오버로드로부터 보호되는지 확인하려면 다음 설정이 적용되는지 확인합니다.

과도한 802.1X 인증 실패가 WLC의 글로벌 클라이언트 제외 정책에서 선택됩니다.
클라이언트 제외는 WLAN의 고급 설정에서 Enabled(활성화됨)로 설정됩니다.
Client Exclusion Timeout Value(클라이언트 제외 시간 초과 값)는 60~300초로 설정됩니다.

참고:300초를 초과하는 값은 더 나은 보호 기능을 제공하지만 사용자 불만을 유발할 수 있습니다.
AireOS EAP 타이머 및 ISE PEAP(Protected Extensible Authentication Protocol) 설정 구성

802.1X 제외가 작동하지 않는 문제

WLC와 RADIUS 서버에서 여러 컨피그레이션 설정으로 인해 802.1X 클라이언트 제외가 작동하지 않을 수 있습니다.

WLC EAP 타이머 설정으로 인해 제외되지 않은 클라이언트

기본적으로 무선 클라이언트는 클라이언트 제외가 WLAN에서 Enabled(활성화됨)로 설정된 경우 제외되지 않습니다.이는 30초의 긴 기본 EAP 시간 초과 때문에, 이로 인해 잘못된 동작을 하는 클라이언트는 제외를 트리거할 수 있는 충분한 연속 실패를 경험하지 않습니다.802.1X 클라이언트 제외를 적용할 수 있도록 재전송 수가 증가하여 더 짧은 EAP 시간 초과를 구성합니다.시간 제한 예를 참조하십시오.

config advanced eap identity-request-timeout 3
config advanced eap identity-request-retries 10
config advanced eap request-timeout 3
config advanced eap request-retries 10

ISE PEAP 설정으로 인해 제외되지 않은 클라이언트

802.1X 클라이언트 제외가 작동하려면 인증이 실패할 때 RADIUS 서버가 액세스 거부를 전송해야 합니다.RADIUS 서버가 ISE이고 PEAP가 사용 중인 경우 제외가 발생하지 않을 수 있으며 ISE PEAP 설정에 따라 달라집니다.ISE에서 Policy(정책) > Results(결과) > Authentication(인증) > Allowed Protocols(허용되는 프로토콜) > Default Network Access(기본 네트워크 액세스)로 이동합니다.

Retries(재시도)를 0(오른쪽에서 빨간색 원)으로 설정한 경우, ISE는 WLC에 즉시 Access-Reject를 보내야 합니다. 그러면 WLC가 클라이언트를 제외하도록 WLC를 활성화해야 합니다(인증을 세 번 시도할 경우).

참고: 재시도 설정은 비밀번호 변경 허용 확인란(예: 비밀번호 변경 허용)과 다소 독립적입니다. 재시도 값은 비밀번호 변경 허용을 선택하지 않은 경우에도 적용됩니다.그러나 Retries(재시도)가 0으로 설정된 경우 Allow Password Change(비밀번호 변경 허용)가 작동하지 않습니다.