고정 ISR에서 무선 인증 유형 구성

소개

이 문서에서는 CLI 명령을 사용한 무선 연결을 위해 Cisco Wireless 통합 고정 구성 라우터에서 다양한 레이어 2 인증 유형을 구성하는 방법을 설명하는 컨피그레이션 예를 제공합니다.

사전 요구 사항

요구 사항

이 구성을 시도하기 전에 다음 요구 사항을 충족해야 합니다.

• Cisco ISR(Integrated Services Router)의 기본 매개변수를 구성하는 방법에 대한 지식

• ADU(Aironet Desktop Utility)를 사용하여 802.11a/b/g 무선 클라이언트 어댑터를 구성하는 방법에 대한 지식

사용되는 구성 요소

이 문서의 정보는 다음 소프트웨어 및 하드웨어 버전을 기반으로 합니다.

• Cisco IOS^® 소프트웨어 릴리스 12.3(8)YI1을 실행하는 Cisco 877W ISR

• Aironet Desktop Utility 버전 3.6 사용 노트북

• 펌웨어 버전 3.6을 실행하는 802.11 a/b/g 클라이언트 어댑터

이 문서의 정보는 특정 랩 환경의 디바이스를 토대로 작성되었습니다.이 문서에 사용된 모든 디바이스는 초기화된(기본) 컨피그레이션으로 시작되었습니다.현재 네트워크가 작동 중인 경우, 모든 명령어의 잠재적인 영향을 미리 숙지하시기 바랍니다.

표기 규칙

문서 규칙에 대한 자세한 내용은 Cisco 기술 팁 규칙을 참조하십시오.

배경 정보

Cisco Integrated Services 고정 구성 라우터는 네트워킹 전문가가 필요로 하는 엔터프라이즈급 기능과 모빌리티와 유연성을 결합하는 안전하고 경제적이며 사용하기 쉬운 무선 LAN 솔루션을 지원합니다.Cisco IOS 소프트웨어 기반 관리 시스템을 사용하는 Cisco 라우터는 액세스 포인트 역할을 하며 Wi-Fi 인증 IEEE 802.11a/b/g 호환 무선 LAN 트랜시버입니다.

CLI(Command Line Interface), 브라우저 기반 관리 시스템 또는 SNMP(Simple Network Management Protocol)를 사용하여 라우터를 구성하고 모니터링할 수 있습니다. 이 문서에서는 CLI 명령을 사용하여 무선 연결을 위해 ISR을 구성하는 방법에 대해 설명합니다.

구성

이 예에서는 CLI 명령을 사용하여 Cisco Wireless Integrated fixed 구성 라우터에서 이러한 인증 유형을 구성하는 방법을 보여줍니다.

• 개방형 인증

• 802.1x/EAP(Extensible Authentication Protocol) 인증

• Wi-Fi 보호 액세스 WPA-PSK(사전 공유 키) 인증

• WPA(EAP 사용) 인증

참고: 이 문서는 보안 수준이 낮은 인증 유형이므로 공유 인증에 중점을 두지 않습니다.

이 섹션에는 이 문서에서 설명하는 기능을 구성하기 위한 정보가 표시됩니다.

참고: 명령 조회 도구(등록된 고객만 해당)를 사용하여 이 섹션에 사용된 명령에 대한 자세한 내용을 확인하십시오.

네트워크 다이어그램

이 문서에서는 다음 네트워크 설정을 사용합니다.

이 설정은 무선 ISR의 로컬 RADIUS 서버를 사용하여 802.1x 인증으로 무선 클라이언트를 인증합니다.

개방형 인증 구성

개방 인증은 null 인증 알고리즘입니다.액세스 포인트는 모든 인증 요청을 허용합니다.개방형 인증은 모든 디바이스 네트워크 액세스를 허용합니다.네트워크에서 활성화된 암호화가 없으면 액세스 포인트의 SSID를 알고 있는 모든 디바이스에서 네트워크에 액세스할 수 있습니다.액세스 포인트에서 WEP 암호화를 활성화하면 WEP 키 자체가 액세스 제어 수단이 됩니다.장치에 올바른 WEP 키가 없으면 인증에 성공하더라도 장치가 액세스 포인트를 통해 데이터를 전송할 수 없습니다.또한 액세스 포인트에서 전송된 데이터를 해독할 수 없습니다.

이 예제 컨피그레이션에서는 간단한 개방형 인증만 설명합니다.WEP 키는 필수 또는 선택 사항으로 지정할 수 있습니다.이 예에서는 WEP를 사용하지 않는 모든 장치가 이 AP를 인증하고 연결할 수 있도록 WEP 키를 선택 사항으로 구성합니다.

자세한 내용은 인증 열기를 참조하십시오.

이 예에서는 이 컨피그레이션 설정을 사용하여 ISR에서 열린 인증을 구성합니다.

• SSID 이름:"열기"

• VLAN 1

• 내부 DHCP 서버 범위:10.1.0.0/16

참고: 이 예에서는 단순성을 위해 인증된 클라이언트에 암호화 기술을 사용하지 않습니다.

라우터에서 다음 작업을 완료합니다.

1. IRB(Integrated Routing and Bridging)를 구성하고 브리지 그룹 설정

2. BVI(Bridged Virtual Interface) 구성

3. 개방형 인증을 위한 SSID 구성

4. 이 VLAN의 무선 클라이언트에 대한 내부 DHCP 서버 구성

IRB(Integrated Routing and Bridging)를 구성하고 브리지 그룹 설정

다음 작업을 완료합니다.

1. 라우터에서 IRB를 활성화합니다.

   router<configure>#bridge irb

   참고: 모든 보안 유형을 단일 라우터에 구성해야 하는 경우 라우터에서 전역으로 한 번만 IRB를 활성화할 수 있습니다.각 개별 인증 유형에 대해 활성화할 필요가 없습니다.

2. 브리지 그룹을 정의합니다.

   이 예에서는 bridge-group number 1을 사용합니다.

   라우터<configure>#bridge 1

3. 브리지 그룹에 대한 스패닝 트리 프로토콜을 선택합니다.

   여기서는 이 브리지 그룹에 대해 IEEE 스패닝 트리 프로토콜이 구성됩니다.

   라우터<configure>#bridge 1 프로토콜 ieee

4. BVI가 해당 연결 브리지 그룹에서 받은 라우팅 가능한 패킷을 수락하고 라우팅하도록 합니다.

   이 예에서는 BVI가 IP 패킷을 수락하고 라우팅할 수 있도록 합니다.

   router<configure>#bridge 1 route ip

BVI(Bridged Virtual Interface) 구성

다음 작업을 완료합니다.

1. BVI를 구성합니다.

   브리지 그룹의 연락처 번호를 BVI에 할당할 때 BVI를 구성합니다.각 브리지 그룹은 해당 BVI를 하나만 가질 수 있습니다.이 예에서는 BVI에 브리지 그룹 번호 1을 할당합니다.

   라우터<configure>#인터페이스 BVI <1>

2. BVI에 IP 주소를 할당합니다.

   router<config-if>#ip address 10.1.1.1255.255.0.0

   router<config-if>#종료되지 않음

브리징에 대한 자세한 내용은 브리징 구성을 참조하십시오.

개방형 인증을 위한 SSID 구성

다음 작업을 완료합니다.

1. 라디오 인터페이스 활성화

   무선 인터페이스를 활성화하려면 DOT11 라디오 인터페이스 컨피그레이션 모드로 이동하여 인터페이스에 SSID를 할당합니다.

   router<config>#interface dot11radio0

   router<config-if>#종료 없음

   router<config-if>#ssid 열기

   개방형 인증 유형은 MAC 주소 인증과 함께 구성할 수 있습니다.이 경우 액세스 포인트는 모든 클라이언트 디바이스가 네트워크에 가입하도록 허용되기 전에 MAC 주소 인증을 수행하도록 합니다.

   개방형 인증은 EAP 인증과 함께 구성할 수도 있습니다.액세스 포인트는 모든 클라이언트 디바이스가 네트워크에 가입하도록 허용되기 전에 EAP 인증을 수행하도록 합니다.list-name에 인증 방법 목록을 지정합니다.

   EAP 인증을 위해 구성된 액세스 포인트는 연결된 모든 클라이언트 장치가 EAP 인증을 수행하도록 합니다.EAP를 사용하지 않는 클라이언트 장치는 액세스 포인트를 사용할 수 없습니다.

2. VLAN에 SSID를 바인딩합니다.

   이 인터페이스에서 SSID를 활성화하려면 SSID 컨피그레이션 모드에서 VLAN에 SSID를 바인딩합니다.

   라우터<config-ssid>vlan 1

3. 개방형 인증으로 SSID를 구성합니다.

   router<config-ssid>#authentication open

4. WEP 키(선택 사항)에 대한 라디오 인터페이스를 구성합니다.

   router<config>#암호화 vlan 1 모드 WEP 선택 사항

5. 라디오 인터페이스에서 VLAN을 활성화합니다.

   router<config>#interface Dot11Radio 0.1

   router<config-subif>#캡슐화 dot1Q1

   router<config-subif>#bridge-group 1

이 VLAN의 무선 클라이언트에 대한 내부 DHCP 서버 구성

전역 컨피그레이션 모드에서 다음 명령을 입력하여 이 VLAN의 무선 클라이언트에 대한 내부 DHCP 서버를 구성합니다.

• ip dhcp excluded address 10.1.1.1 10.1.1.5

• ip dhcp 풀 열기

DHCP 풀 컨피그레이션 모드에서 다음 명령을 입력합니다.

• 네트워크 10.1.0.0 255.255.0.0

• 기본 라우터 10.1.1.1

802.1x/EAP 인증 구성

이 인증 유형은 무선 네트워크에 대한 최고 수준의 보안을 제공합니다.EAP 호환 RADIUS 서버와 상호 작용하는 데 사용되는 EAP(Extensible Authentication Protocol)를 통해 액세스 포인트는 무선 클라이언트 장치 및 RADIUS 서버가 상호 인증을 수행하고 동적 유니캐스트 WEP 키를 파생시키는 데 도움이 됩니다.RADIUS 서버는 액세스 포인트에 WEP 키를 보냅니다. 액세스 포인트는 WEP 키를 클라이언트로 보내거나 클라이언트에서 받는 모든 유니캐스트 데이터 신호에 사용합니다.

자세한 내용은 EAP 인증을 참조하십시오.

이 예에서는 다음 컨피그레이션 설정을 사용합니다.

• SSID 이름:도약

• VLAN 2

• 내부 DHCP 서버 범위:10.2.0.0/16

이 예에서는 LEAP 인증을 무선 클라이언트를 인증하는 메커니즘으로 사용합니다.

참고: EAP-TLS를 구성하려면 EAP-TLS 시스템 인증과 함께 Windows v3.2용 Cisco Secure ACS를 참조하십시오.

참고: PEAP-MS-CHAPv2 시스템 인증을 사용하여 Windows v3.2용 Cisco Secure ACS 구성을 참조하여 PEAP-MS-CHAPv2를 구성하십시오.

참고: 이러한 EAP 유형의 모든 컨피그레이션은 주로 클라이언트 측 및 인증 서버 측에서 컨피그레이션 변경을 포함합니다.무선 라우터 또는 액세스 포인트의 컨피그레이션은 이러한 모든 인증 유형에 대해 동일하게 유지됩니다.

참고: 처음 언급했듯이 이 설정은 무선 ISR의 로컬 RADIUS 서버를 사용하여 802.1x 인증으로 무선 클라이언트를 인증합니다.

라우터에서 다음 작업을 완료합니다.

1. IRB(Integrated Routing and Bridging)를 구성하고 브리지 그룹 설정

2. BVI(Bridged Virtual Interface) 구성

3. EAP 인증을 위한 로컬 RADIUS 서버 구성

4. 802.1x/EAP 인증을 위한 SSID 구성

5. 이 VLAN의 무선 클라이언트에 대한 내부 DHCP 서버 구성

IRB(Integrated Routing and Bridging)를 구성하고 브리지 그룹 설정

다음 작업을 완료합니다.

1. 라우터에서 IRB를 활성화합니다.

   router<configure>#bridge irb

   참고: 모든 보안 유형을 단일 라우터에 구성해야 하는 경우 라우터에서 전역으로 한 번만 IRB를 활성화할 수 있습니다.각 개별 인증 유형에 대해 활성화할 필요가 없습니다.

2. 브리지 그룹을 정의합니다.

   이 예에서는 bridge-group number 2를 사용합니다.

   라우터<configure>#bridge 2

3. 브리지 그룹에 대한 스패닝 트리 프로토콜을 선택합니다.

   여기서는 이 브리지 그룹에 대해 IEEE 스패닝 트리 프로토콜이 구성됩니다.

   라우터<configure>#bridge 2 프로토콜 ieee

4. 브리지 그룹에 대한 스패닝 트리 프로토콜을 선택합니다.

   여기서는 이 브리지 그룹에 대해 IEEE 스패닝 트리 프로토콜이 구성됩니다.

   라우터<configure>#bridge 2 프로토콜 ieee

5. BVI가 해당 브리지 그룹에서 수신된 라우팅 가능한 패킷을 수락하고 라우팅하도록 활성화합니다.

   이 예에서는 BVI가 IP 패킷을 수락하고 라우팅할 수 있도록 합니다.

   router<configure>#bridge 2 route ip

BVI(Bridged Virtual Interface) 구성

다음 작업을 완료합니다.

1. BVI를 구성합니다.

   브리지 그룹의 연락처 번호를 BVI에 할당할 때 BVI를 구성합니다.각 브리지 그룹은 BVI 특파원을 하나만 가질 수 있습니다.이 예에서는 BVI에 브리지 그룹 번호 2를 할당합니다.

   라우터<configure>#인터페이스 BVI <2>

2. BVI에 IP 주소를 할당합니다.

   router<config-if>#ip address 10.2.1.1255.255.0.0

   router<config-if>#종료되지 않음

EAP 인증을 위한 로컬 RADIUS 서버 구성

앞에서 언급했듯이 이 문서는 EAP 인증을 위해 무선 인식 라우터의 로컬 RADIUS 서버를 사용합니다.

1. AAA(Authentication, Authorization, and Accounting) 액세스 제어 모델을 활성화합니다.

   라우터<configure>#aaa 새 모델

2. RADIUS 서버에 대한 서버 그룹 rad-eap를 생성합니다.

   router<configure>#aaa group server radius radius rad-eap server 10.2.1.1 auth-port 1812 acct-port 1813

3. AAA 로그인 사용자를 인증하는 데 사용되는 인증 방법을 나열하는 방법 목록 eap_method를 생성합니다.이 서버 그룹에 메서드 목록을 할당합니다.

   router<configure>#aaa authentication login eap_methods group rad-eap

4. 라우터를 로컬 인증 서버로 활성화하고 인증자의 컨피그레이션 모드로 들어갑니다.

   router<configure>#radius-server local

5. Radius Server 컨피그레이션 모드에서 라우터를 로컬 인증 서버의 AAA 클라이언트로 추가합니다.

   router<config-radsrv>#nas 10.2.1.1 key Cisco

6. 로컬 RADIUS 서버에서 user1을 구성합니다.

   router<config-radsrv>#user user1 password user1 group rad-eap

7. RADIUS 서버 호스트를 지정합니다.

   router<config-radsrv>#radius-server host 10.2.1.1 auth-port 1812 acct-port 1813 key cisco

   참고: 이 키는 radius-server 컨피그레이션 모드에서 nas 명령에 지정된 것과 동일해야 합니다.

802.1x/EAP 인증을 위한 SSID 구성

802.1x/EAP에 대한 무선 인터페이스 및 관련 SSID의 컨피그레이션은 라우터에서 SSID, 암호화 모드 및 인증 유형을 포함한 다양한 무선 파라미터의 컨피그레이션을 포함합니다.이 예에서는 leap라는 SSID를 사용합니다.

1. 라디오 인터페이스를 활성화합니다.

   무선 인터페이스를 활성화하려면 DOT11 라디오 인터페이스 컨피그레이션 모드로 이동하여 인터페이스에 SSID를 할당합니다.

   router<config>#interface dot11radio0

   router<config-if>#종료 없음

   router<config-if>#ssid leap

2. VLAN에 SSID를 바인딩합니다.

   이 인터페이스에서 SSID를 활성화하려면 SSID 컨피그레이션 모드에서 VLAN에 SSID를 바인딩합니다.

   router<config-ssid>#vlan 2

3. 802.1x/LEAP 인증을 사용하여 SSID를 구성합니다.

   router<config-ssid>#authentication network-eap_methods

4. 동적 키 관리를 위해 라디오 인터페이스를 구성합니다.

   router<config>#encryption vlan 2 모드 암호 wep40

5. 라디오 인터페이스에서 VLAN을 활성화합니다.

   router<config>#interface Dot11Radio 0.2

   router<config-subif>#캡슐화 dot1Q2

   router<config-subif>#bridge-group 2

이 VLAN의 무선 클라이언트에 대한 내부 DHCP 서버 구성

전역 컨피그레이션 모드에서 다음 명령을 입력하여 이 VLAN의 무선 클라이언트에 대한 내부 DHCP 서버를 구성합니다.

• ip dhcp excluded address 10.2.1.1 10.2.1.5

• ip dhcp pool leapauth

DHCP 풀 컨피그레이션 모드에서 다음 명령을 입력합니다.

• 네트워크 10.2.0.0 255.255.0.0

• 기본 라우터 10.2.1.1

WPA 키 관리

Wi-Fi Protected Access는 현재 및 미래의 무선 LAN 시스템에 대한 데이터 보호 및 액세스 제어 수준을 크게 향상시키는 표준 기반의 상호운용 가능한 보안 개선입니다.

자세한 내용은 WPA 키 관리를 참조하십시오.

WPA 키 관리는 두 가지 상호 배타적인 관리 유형을 지원합니다.WPA-사전 공유 키(WPA-PSK) 및 WPA(EAP 포함)

WPA-PSK 구성

WPA-PSK는 802.1x 기반 인증을 사용할 수 없는 무선 LAN에서 키 관리 유형으로 사용됩니다.이러한 네트워크에서는 액세스 포인트에서 사전 공유 키를 구성해야 합니다.사전 공유 키를 ASCII 또는 16진수 문자로 입력할 수 있습니다.키를 ASCII 문자로 입력할 경우 8~63자를 입력하면 액세스 포인트가 비밀번호 기반 암호화 표준(RFC2898)에 설명된 프로세스를 사용하여 키를 확장합니다. 16진수 문자로 키를 입력할 경우 64개의 16진수 문자를 입력해야 합니다.

이 예에서는 다음 컨피그레이션 설정을 사용합니다.

• SSID 이름:wpa-공유

• VLAN 3

• 내부 DHCP 서버 범위:10.3.0.0/16

라우터에서 다음 작업을 완료합니다.

1. IRB(Integrated Routing and Bridging)를 구성하고 브리지 그룹 설정

2. BVI(Bridged Virtual Interface) 구성

3. WPA-PSK 인증을 위한 SSID 구성

4. 이 VLAN의 무선 클라이언트에 대한 내부 DHCP 서버 구성

IRB(Integrated Routing and Bridging)를 구성하고 브리지 그룹 설정

다음 작업을 완료합니다.

1. 라우터에서 IRB를 활성화합니다.

   router<configure>#bridge irb

   참고: 모든 보안 유형을 단일 라우터에 구성해야 하는 경우 라우터에서 전역으로 한 번만 IRB를 활성화할 수 있습니다.각 개별 인증 유형에 대해 활성화할 필요가 없습니다.

2. 브리지 그룹을 정의합니다.

   이 예에서는 bridge-group number 3을 사용합니다.

   라우터<configure>#bridge 3

3. 브리지 그룹에 대한 스패닝 트리 프로토콜을 선택합니다.

   이 브리지 그룹에 대해 IEEE 스패닝 트리 프로토콜이 구성됩니다.

   router<configure>#bridge 3 protocol ieee

4. BVI가 해당 연결 브리지 그룹에서 받은 라우팅 가능한 패킷을 수락하고 라우팅하도록 합니다.

   이 예에서는 BVI가 IP 패킷을 수락하고 라우팅할 수 있도록 합니다.

   router<configure>#bridge 3 route ip

BVI(Bridged Virtual Interface) 구성

다음 작업을 완료합니다.

1. BVI를 구성합니다.

   브리지 그룹의 연락처 번호를 BVI에 할당할 때 BVI를 구성합니다.각 브리지 그룹은 BVI 특파원을 하나만 가질 수 있습니다.이 예에서는 BVI에 브리지 그룹 번호 3을 할당합니다.

   라우터<configure>#인터페이스 BVI <2>

2. BVI에 IP 주소를 할당합니다.

   router<config-if>#ip address 10.1.1.1255.255.0.0

   router<config-if>#종료되지 않음

WPA-PSK 인증을 위한 SSID 구성

다음 작업을 완료합니다.

1. 라디오 인터페이스를 활성화합니다.

   무선 인터페이스를 활성화하려면 DOT11 라디오 인터페이스 컨피그레이션 모드로 이동하여 인터페이스에 SSID를 할당합니다.

   router<config>#interface dot11radio0

   router<config-if>#종료 없음

   router<config-if>#ssid wpa-shared

2. WPA 키 관리를 활성화하려면 먼저 VLAN 인터페이스에 대한 WPA 암호화 암호를 구성합니다.이 예에서는 암호화 암호로 tkip를 사용합니다.

   라디오 인터페이스에서 WPA 키 관리 유형을 지정하려면 이 명령을 입력합니다.

   router<config>#interface dot11radio0

   router(config-if)#encryption vlan 3 mode cipher tkip

3. VLAN에 SSID를 바인딩합니다.

   이 인터페이스에서 SSID를 활성화하려면 SSID 컨피그레이션 모드에서 VLAN에 SSID를 바인딩합니다.

   라우터<config-ssid>vlan 3

4. WPA-PSK 인증을 사용하여 SSID를 구성합니다.

   WPA 키 관리를 활성화하려면 먼저 SSID 컨피그레이션 모드에서 개방형 또는 네트워크 EAP 인증을 구성해야 합니다.이 예에서는 개방형 인증을 구성합니다.

   router<config>#interface dot11radio0

   router<config-if>#ssid wpa-shared

   router<config-ssid>#authentication open

   이제 SSID에서 WPA 키 관리를 활성화합니다.키 관리 암호 tkip가 이 VLAN에 대해 이미 구성되어 있습니다.

   router(config-if-ssid)#authentication key-management wpa

   SSID에서 WPA-PSK 인증을 구성합니다.

   router(config-if-ssid)#wpa-psk ascii 1234567890!— 1234567890은 이 SSID의 사전 공유 키 값입니다.클라이언트 측에서 이 SSID에 대해 동일한 키가 지정되었는지 확인합니다.

5. 라디오 인터페이스에서 VLAN을 활성화합니다.

   router<config>#interface Dot11Radio 0.3

   router<config-subif>#캡슐화 dot1Q3

   router<config-subif>#bridge-group 3

이 VLAN의 무선 클라이언트에 대한 내부 DHCP 서버 구성

전역 컨피그레이션 모드에서 다음 명령을 입력하여 이 VLAN의 무선 클라이언트에 대한 내부 DHCP 서버를 구성합니다.

• ip dhcp excluded address 10.3.1.1 10.3.1.5

• ip dhcp pool wpa-psk

DHCP 풀 컨피그레이션 모드에서 다음 명령을 입력합니다.

• 네트워크 10.3.0.0 255.255.0.0

• 기본 라우터 10.3.1.1

WPA(EAP 사용) 인증 구성

이것은 다른 WPA 키 관리 유형입니다.여기서 클라이언트와 인증 서버는 EAP 인증 방법으로 서로 인증하며, 클라이언트와 서버는 PMK(pairwise master key)를 생성합니다. WPA를 사용하면 서버가 PMK를 동적으로 생성하여 액세스 포인트로 전달하지만 WPA-PSK를 사용하면 클라이언트와 액세스 포인트 모두에서 사전 공유 키를 구성하고 사전 공유 키를 PMK로 사용합니다.

자세한 내용은 EAP 인증이 있는 WPA를 참조하십시오.

이 예에서는 다음 컨피그레이션 설정을 사용합니다.

• SSID 이름:wpa-점1x

• VLAN 4

• 내부 DHCP 서버 범위:10.4.0.0/16

라우터에서 다음 작업을 완료합니다.

1. IRB(Integrated Routing and Bridging)를 구성하고 브리지 그룹 설정

2. BVI(Bridged Virtual Interface) 구성

3. WPA 인증을 위한 로컬 RADIUS 서버를 구성합니다.

4. EAP 인증을 사용하여 WPA의 SSID 구성

5. 이 VLAN의 무선 클라이언트에 대한 내부 DHCP 서버 구성

IRB(Integrated Routing and Bridging)를 구성하고 브리지 그룹 설정

다음 작업을 완료합니다.

1. 라우터에서 IRB를 활성화합니다.

   router<configure>#bridge irb

   참고: 모든 보안 유형을 단일 라우터에 구성해야 하는 경우 라우터에서 전역으로 한 번만 IRB를 활성화할 수 있습니다.각 개별 인증 유형에 대해 활성화할 필요가 없습니다.

2. 브리지 그룹을 정의합니다.

   이 예에서는 bridge-group number 4를 사용합니다.

   라우터<configure>#bridge 4

3. 브리지 그룹에 대한 스패닝 트리 프로토콜을 선택합니다.

   여기서는 이 브리지 그룹에 대해 IEEE 스패닝 트리 프로토콜이 구성됩니다.

   라우터<configure>#bridge 4 프로토콜 ieee

4. BVI가 해당 연결 브리지 그룹에서 받은 라우팅 가능한 패킷을 수락하고 라우팅하도록 합니다.

   이 예에서는 BVI가 IP 패킷을 수락하고 라우팅할 수 있도록 합니다.

   router<configure>#bridge 4 route ip

BVI(Bridged Virtual Interface) 구성

다음 작업을 완료합니다.

1. BVI를 구성합니다.

   브리지 그룹의 연락처 번호를 BVI에 할당할 때 BVI를 구성합니다.각 브리지 그룹은 해당 BVI를 하나만 가질 수 있습니다.이 예에서는 BVI에 브리지 그룹 번호 4를 할당합니다.

   라우터<configure>#인터페이스 BVI <4>

2. BVI에 IP 주소를 할당합니다.

   router<config-if>#ip address 10.4.1.1255.255.0.0

   router<config-if>#종료되지 않음

WPA 인증을 위한 로컬 RADIUS 서버 구성

자세한 절차는 802.1x/EAP 인증의 섹션을 참조하십시오.

EAP 인증을 사용하여 WPA의 SSID 구성

다음 작업을 완료합니다.

1. 라디오 인터페이스를 활성화합니다.

   무선 인터페이스를 활성화하려면 DOT11 라디오 인터페이스 컨피그레이션 모드로 이동하여 인터페이스에 SSID를 할당합니다.

   router<config>#interface dot11radio0

   router<config-if>#종료 없음

   router<config-if>#ssid wpa-dot1x

2. WPA 키 관리를 활성화하려면 먼저 VLAN 인터페이스에 대한 WPA 암호화 암호를 구성합니다.이 예에서는 암호화 암호로 tkip를 사용합니다.

   라디오 인터페이스에서 WPA 키 관리 유형을 지정하려면 이 명령을 입력합니다.

   router<config>#interface dot11radio0

   router(config-if)#encryption vlan 4 mode cipher tkip

3. VLAN에 SSID를 바인딩합니다.

   이 인터페이스에서 SSID를 활성화하려면 SSID 컨피그레이션 모드에서 VLAN에 SSID를 바인딩합니다.

   vlan 4

4. WPA-PSK 인증으로 SSID를 구성합니다.

   EAP 인증을 사용하여 WPA에 대한 무선 인터페이스를 구성하려면 먼저 네트워크 EAP에 대해 연결된 SSID를 구성합니다.

   router<config>#interface dot11radio0

   router<config-if>#ssid wpa-shared

   router<config-ssid>#authentication network eap_methods

5. 이제 SSID에서 WPA 키 관리를 활성화합니다.키 관리 암호 tkip가 이 VLAN에 대해 이미 구성되어 있습니다.

   router(config-if-ssid)#authentication key-management wpa

6. 라디오 인터페이스에서 VLAN을 활성화합니다.

   router<config>#interface Dot11Radio 0.4

   router<config-subif>#캡슐화 dot1Q4

   router<config-subif>#bridge-group 4

이 VLAN의 무선 클라이언트에 대한 내부 DHCP 서버 구성

전역 컨피그레이션 모드에서 다음 명령을 입력하여 이 VLAN의 무선 클라이언트에 대한 내부 DHCP 서버를 구성합니다.

• ip dhcp excluded address 10.4.1.1 10.4.1.5

• ip dhcp pool wpa-dot1shared

DHCP 풀 컨피그레이션 모드에서 다음 명령을 입력합니다.

• 네트워크 10.4.0.0 255.255.0.0

• 기본 라우터 10.4.1.1

인증을 위한 무선 클라이언트 구성

ISR을 구성한 후 라우터가 이러한 무선 클라이언트를 인증하고 WLAN 네트워크에 대한 액세스를 제공할 수 있도록 설명된 대로 여러 인증 유형에 대해 무선 클라이언트를 구성합니다.이 문서에서는 클라이언트측 구성에 Cisco Aironet Desktop Utility(ADU)를 사용합니다.

개방 인증을 위한 무선 클라이언트 구성

다음 단계를 완료하십시오.

1. ADU의 Profile Management(프로필 관리) 창에서 New(새로 만들기)를 클릭하여 새 프로필을 생성합니다.

   열린 인증을 위한 컨피그레이션을 설정할 수 있는 새 창이 표시됩니다.General(일반) 탭 아래에서 클라이언트 어댑터가 사용하는 프로파일 이름 및 SSID를 입력합니다.

   이 예에서는 프로파일 이름과 SSID가 열려 있습니다.

   참고: SSID는 개방 인증을 위해 ISR에서 구성한 SSID와 일치해야 합니다.

   

2. 보안 탭을 클릭하고 보안 옵션을 None for WEP encryption으로 둡니다.이 예에서는 WEP를 선택 사항으로 사용하므로 이 옵션을 None으로 설정하면 클라이언트가 WLAN 네트워크와 성공적으로 연결하고 통신할 수 있습니다.

   OK(확인)를 클릭합니다.

   

3. Profile Management 탭에서 Advanced(고급) 창을 선택하고 802.11 Authentication Mode(802.11 인증 모드)를 Open for open authentication(개방형 인증)으로 설정합니다.

   

이 섹션을 사용하여 컨피그레이션이 제대로 작동하는지 확인합니다.

1. 클라이언트 프로파일을 생성한 후 프로파일 관리 탭에서 활성화를 클릭하여 프로파일을 활성화합니다.

   

2. ADU 상태를 확인하여 인증에 성공합니다.

   

802.1x/EAP 인증을 위한 무선 클라이언트 구성

다음 단계를 완료하십시오.

1. ADU의 Profile Management(프로필 관리) 창에서 New(새로 만들기)를 클릭하여 새 프로필을 생성합니다.

   열린 인증을 위한 컨피그레이션을 설정할 수 있는 새 창이 표시됩니다.General(일반) 탭 아래에서 클라이언트 어댑터가 사용하는 프로파일 이름 및 SSID를 입력합니다.

   이 예에서는 프로파일 이름과 SSID가 leap입니다.

2. Profile Management(프로필 관리)에서 Security(보안) 탭을 클릭하고 보안 옵션을 802.1x로 설정하고 적절한 EAP 유형을 선택합니다.이 문서에서는 인증을 위해 LEAP를 EAP 유형으로 사용합니다.이제 Configure(구성)를 클릭하여 LEAP 사용자 이름 및 비밀번호 설정을 구성합니다.

   참고: 참고:SSID는 802.1x/EAP 인증을 위해 ISR에서 구성한 SSID와 일치해야 합니다.

   

3. 사용자 이름 및 비밀번호 설정에서 이 예에서는 Manually Prompt for User Name and Password(사용자 이름 및 비밀번호 수동 프롬프트)를 선택하여 클라이언트가 네트워크에 연결을 시도하는 동안 올바른 사용자 이름과 비밀번호를 입력하라는 프롬프트가 표시됩니다.확인을 클릭합니다.

   

이 섹션을 사용하여 컨피그레이션이 제대로 작동하는지 확인합니다.

• 클라이언트 프로파일을 생성한 후 프로파일 관리 탭 아래에 있는 활성화를 클릭하여 프로파일 윤을 활성화합니다.leap 사용자 이름 및 비밀번호를 입력하라는 메시지가 표시됩니다.이 예에서는 사용자 이름과 비밀번호 user1을 사용합니다. OK를 클릭합니다.

• 클라이언트가 성공적으로 인증되고 라우터에 구성된 DHCP 서버에서 IP 주소를 할당할 수 있습니다.

  

WPA-PSK 인증을 위한 무선 클라이언트 구성

다음 단계를 완료하십시오.

1. ADU의 Profile Management(프로필 관리) 창에서 New(새로 만들기)를 클릭하여 새 프로필을 생성합니다.

   열린 인증을 위한 컨피그레이션을 설정할 수 있는 새 창이 표시됩니다.General(일반) 탭에서 클라이언트 어댑터가 사용하는 Profile Name(프로파일 이름) 및 SSID를 입력합니다.

   이 예에서는 프로파일 이름과 SSID가 wpa-공유됩니다.

   참고:  SSID는 WPA-PSK 인증을 위해 ISR에서 구성한 SSID와 일치해야 합니다.

2. Profile Management(프로필 관리)에서 Security(보안) 탭을 클릭하고 보안 옵션을 WPA/WPA2 Passphrase(WPA/WPA2 암호)로 설정합니다.이제 Configure(구성)를 클릭하여 WPA 암호를 구성합니다.

   

3. WPA 사전 공유 키를 정의합니다.키는 8~63자의 ASCII 문자여야 합니다.확인을 클릭합니다.

   

이 섹션을 사용하여 컨피그레이션이 제대로 작동하는지 확인합니다.

• 클라이언트 프로파일을 만든 후 프로파일 관리 탭 아래에서 활성화를 클릭하여 wpa-공유 프로파일을 활성화합니다.

• ADU에서 성공적인 인증을 확인합니다.

  

WPA(EAP 사용) 인증을 위한 무선 클라이언트 구성

다음 단계를 완료하십시오.

1. ADU의 Profile Management(프로필 관리) 창에서 New(새로 만들기)를 클릭하여 새 프로필을 생성합니다.

   열린 인증을 위한 컨피그레이션을 설정할 수 있는 새 창이 표시됩니다.General(일반) 탭 아래에서 클라이언트 어댑터가 사용하는 프로파일 이름 및 SSID를 입력합니다.

   이 예에서 프로파일 이름과 SSID는 wpa-dot1x입니다.

   참고: SSID는 WPA(EAP 포함) 인증을 위해 ISR에서 구성한 SSID와 일치해야 합니다.

2. Profile Management(프로파일 관리)에서 Security(보안) 탭을 클릭하고 보안 옵션을 WPA/WPA2/CCKM로 설정하고 적절한 WPA/WPA2/CCKM EAP 유형을 선택합니다.이 문서에서는 인증을 위해 LEAP를 EAP 유형으로 사용합니다.이제 Configure(구성)를 클릭하여 LEAP 사용자 이름 및 비밀번호 설정을 구성합니다.

   

3. Username and Password Settings(사용자 이름 및 비밀번호 설정) 영역에서 이 예에서는 Manually Prompt for User Name and Password(사용자 이름 및 비밀번호 수동 프롬프트)를 선택하여 클라이언트가 네트워크에 연결하려고 시도하는 동안 올바른 사용자 이름과 비밀번호를 입력하라는 프롬프트가 표시됩니다.확인을 클릭합니다.

   

이 섹션을 사용하여 컨피그레이션이 제대로 작동하는지 확인합니다.

1. 클라이언트 프로파일을 만든 후 프로파일 관리 탭 아래에서 활성화를 클릭하여 프로파일 wpa-dot1x를 활성화합니다.LEAP 사용자 이름과 비밀번호를 입력하라는 프롬프트가 표시됩니다.이 예에서는 사용자 이름과 비밀번호를 user1으로 사용합니다. OK(확인)를 클릭합니다.

   

2. 클라이언트 인증을 성공적으로 확인할 수 있습니다.

   

라우터 CLI의 show dot11 연결 명령은 클라이언트 연결 상태에 대한 전체 세부 정보를 표시합니다.이제 DDoS 공격의 실제 사례를 살펴보겠습니다.

라우터#show dot11 연결

802.11 Client Stations on Dot11Radio0: 

SSID [leap] : 

MAC Address    IP address      Device        Name            Parent         State     
0040.96ac.e657 10.3.0.2        CB21AG/PI21AG WCS             self         EAP-Assoc

SSID [open] : 

SSID [pre-shared] : DISABLED, not associated with a configured VLAN

SSID [wpa-dot1x] : 

SSID [wpa-shared] : 


Others:  (not related to any ssid) 

문제 해결

문제 해결 명령

이러한 debug 명령을 사용하여 컨피그레이션 문제를 해결할 수 있습니다.

• debug dot11 aaa authenticator all - MAC 및 EAP 인증 패킷의 디버깅을 활성화합니다.

• debug radius authentication(디버그 radius 인증) - 서버와 클라이언트 간의 RADIUS 협상을 표시합니다.

• debug radius local-server packets - 전송 및 수신된 RADIUS 패킷의 내용을 표시합니다.

• debug radius local-server client - 실패한 클라이언트 인증에 대한 오류 메시지를 표시합니다.

관련 정보

• 무선 LAN 컨트롤러 인증 컨피그레이션 예
• 액세스 포인트에서 VLAN 구성
• 내부 DHCP 및 개방형 인증 컨피그레이션을 사용하는 1800 ISR 무선 라우터 예
• Cisco Wireless ISR and HWIC Access Point 컨피그레이션 가이드
• WEP 암호화 및 LEAP 인증 구성을 사용하여 ISR을 사용하는 무선 LAN 연결 예
• 기술 지원 및 문서 − Cisco Systems
• 인증 유형 구성
• WEP 암호화 및 LEAP 인증 구성을 사용하여 ISR을 사용하는 무선 LAN 연결 예

개정 이력