소개
이 문서에서는 AireOS WLC(Wireless LAN Controller)의 802.1X 클라이언트 제외에 대해 설명합니다.802.1X 클라이언트 제외는 WLC와 같은 802.1X 인증자에 포함할 수 있는 중요한 옵션입니다.이는 EAP(Extensible Authentication Protocol) 클라이언트가 하이퍼액티브 또는 부적절하게 작동하여 인증 서버 인프라의 오버로드를 방지하기 위한 것입니다.
사전 요구 사항
요구 사항
다음 주제에 대한 지식을 보유하고 있으면 유용합니다.
- Cisco AireOS WLC
- 802.1X 프로토콜
- 원격 인증 전화 접속 사용자 서비스(RADIUS)
- ISE(Identity Service Engine)
사용되는 구성 요소
이 문서의 정보는 AireOS를 기반으로 합니다.
이 문서의 정보는 특정 랩 환경의 디바이스를 토대로 작성되었습니다.이 문서에 사용된 모든 디바이스는 초기화된(기본) 컨피그레이션으로 시작되었습니다.네트워크가 작동 중인 경우 모든 명령의 잠재적인 영향을 이해해야 합니다.
사용자 사례
사용자 사례에는 다음이 포함됩니다.
- 잘못된 자격 증명으로 구성된 EAP 신청자.EAP 서 플리 컨 트 와 같은 대부분의 서 플리 컨 트는 몇 번의 연속 실패 후 인증 시도를 중지 합니다.그러나 일부 EAP 신청자는 실패 시 재인증 시도를 계속하며, 가능한 경우 초당 여러 번.일부 클라이언트는 RADIUS 서버에 과부하를 주고 전체 네트워크에 대한 DoS(Denial of Service)를 유발합니다.
- 주요 네트워크 장애 조치 후, 수백 또는 수천 개의 EAP 클라이언트가 동시에 인증을 시도할 수 있습니다.따라서 인증 서버가 오버로드되고 느린 응답을 제공할 수 있습니다.느린 응답이 처리되기 전에 클라이언트 또는 인증자가 시간 초과되면 인증 시도가 계속 시간 초과되는 악순환이 발생할 수 있습니다. 그런 다음 응답을 다시 처리하려고 시도합니다.
참고:인증 시도가 성공하도록 허용하려면 허용 제어 메커니즘이 필요합니다.
802.1X 클라이언트 제외 작동 방식
802.1X 클라이언트 제외는 클라이언트가 802.1X 인증 실패 후 일정 기간 동안 인증 시도를 보내지 못하도록 합니다.AireOS WLC 802.1X에서 클라이언트 제외는 Security(보안) > Wireless Protection Policies(무선 보호 정책) > Client Exclusion Policies(클라이언트 제외 정책)에서 기본적으로 활성화되며 이 이미지에서 볼 수 있습니다.

클라이언트 제외는 WLAN별로 활성화하거나 비활성화할 수 있습니다.기본적으로 AireOS 8.5에서 시작하는 AireOS 8.5와 180초 전에 시간 초과가 60초로 설정되어 있습니다.

오버로드로부터 RADIUS 서버를 보호하기 위한 제외 설정
RADIUS 서버가 부정확하게 작동하는 무선 클라이언트로 인해 오버로드로부터 보호되는지 확인하려면 다음 설정이 적용되는지 확인합니다.
802.1X 제외가 작동하지 않는 문제
WLC와 RADIUS 서버에서 여러 컨피그레이션 설정으로 인해 802.1X 클라이언트 제외가 작동하지 않을 수 있습니다.
WLC EAP 타이머 설정으로 인해 제외되지 않은 클라이언트
기본적으로 무선 클라이언트는 클라이언트 제외가 WLAN에서 Enabled(활성화됨)로 설정된 경우 제외되지 않습니다.이는 30초의 긴 기본 EAP 시간 초과 때문에, 이로 인해 잘못된 동작을 하는 클라이언트는 제외를 트리거할 수 있는 충분한 연속 실패를 경험하지 않습니다.802.1X 클라이언트 제외를 적용할 수 있도록 재전송 수가 증가하여 더 짧은 EAP 시간 초과를 구성합니다.시간 제한 예를 참조하십시오.
config advanced eap identity-request-timeout 3
config advanced eap identity-request-retries 10
config advanced eap request-timeout 3
config advanced eap request-retries 10
ISE PEAP 설정으로 인해 제외되지 않은 클라이언트
802.1X 클라이언트 제외가 작동하려면 인증이 실패할 때 RADIUS 서버가 액세스 거부를 전송해야 합니다.RADIUS 서버가 ISE이고 PEAP가 사용 중인 경우 제외가 발생하지 않을 수 있으며 ISE PEAP 설정에 따라 달라집니다.ISE에서 Policy(정책) > Results(결과) > Authentication(인증) > Allowed Protocols(허용되는 프로토콜) > Default Network Access(기본 네트워크 액세스)로 이동합니다.

Retries(재시도)를 0(오른쪽에서 빨간색 원)으로 설정한 경우, ISE는 WLC에 즉시 Access-Reject를 보내야 합니다. 그러면 WLC가 클라이언트를 제외하도록 WLC를 활성화해야 합니다(인증을 세 번 시도할 경우).
참고: 재시도 설정은 비밀번호 변경 허용 확인란(예: 비밀번호 변경 허용)과 다소 독립적입니다. 재시도 값은 비밀번호 변경 허용을 선택하지 않은 경우에도 적용됩니다.그러나 Retries(재시도)가 0으로 설정된 경우 Allow Password Change(비밀번호 변경 허용)가 작동하지 않습니다.
관련 정보