이 문서에서는 WLC(Wireless LAN Controller)에서 다양한 유형의 레이어 1, 레이어 2 및 레이어 3 인증 방법을 구성하는 방법을 설명하는 컨피그레이션 예를 제공합니다.
이 구성을 시도하기 전에 다음 요구 사항을 충족해야 합니다.
LAP(Lightweight Access Point) 및 Cisco WLC의 구성 지식
802.11i 보안 표준에 대한 지식
이 문서의 정보는 다음 소프트웨어 및 하드웨어 버전을 기반으로 합니다.
펌웨어 릴리스 6.0.182.0을 실행하는 Cisco 4400 WLC
Cisco 1000 Series LAP
펌웨어 릴리스 2.6을 실행하는 Cisco 802.11a/b/g Wireless Client Adapter
Cisco Secure ACS 서버 버전 3.2
이 문서의 정보는 특정 랩 환경의 디바이스를 토대로 작성되었습니다.이 문서에 사용된 모든 디바이스는 초기화된(기본) 컨피그레이션으로 시작되었습니다.현재 네트워크가 작동 중인 경우, 모든 명령어의 잠재적인 영향을 미리 숙지하시기 바랍니다.
문서 규칙에 대한 자세한 내용은 Cisco 기술 팁 표기 규칙을 참고하십시오.
Cisco UWN(Unified Wireless Network) 보안 솔루션은 잠재적으로 복잡할 수 있는 레이어 1, 레이어 2 및 레이어 3 802.11 AP(Access Point) 보안 구성 요소를 WLAN(무선 LAN)별로 시스템 전체의 보안 정책을 사용자 지정하는 간단한 정책 관리자로 번들합니다.Cisco UWN 보안 솔루션은 간단하고 통합적이며 체계적인 보안 관리 툴을 제공합니다.
이러한 보안 메커니즘은 WLC에서 구현할 수 있습니다.
연속 실패 횟수를 기준으로 클라이언트 액세스를 제한합니다.
None Authentication(없음 인증) - Layer 2 Security(레이어 2 보안) 드롭다운 목록에서 이 옵션을 선택하면 WLAN에서 No Layer 2 인증이 수행됩니다.이는 802.11 표준의 개방형 인증과 동일합니다.
고정 WEP - WEP(Static Wired Equivalent Privacy)의 경우 특정 WLAN의 모든 AP 및 클라이언트 무선 NIC는 동일한 암호화 키를 사용해야 합니다.각 전송 스테이션은 전송 전에 WEP 키로 각 프레임의 본문을 암호화하고 수신 스테이션은 수신 시 동일한 키를 사용하여 해독합니다.
802.1x - 802.1x 기반 인증을 사용하도록 WLAN을 구성합니다.IEEE 802.1X를 사용하면 보호된 네트워크에 대한 사용자 트래픽을 인증하고 제어하고 동적으로 다양한 암호화 키를 사용할 수 있는 효과적인 프레임워크가 제공됩니다.802.1X는 EAP(Extensible Authentication Protocol)라는 프로토콜을 유선 및 WLAN 미디어에 연결하고 여러 인증 방법을 지원합니다.
고정 WEP + 802.1x - 이 레이어 2 보안 설정을 사용하면 802.1x 및 고정 WEP를 모두 사용할 수 있습니다.클라이언트는 고정 WEP 또는 802.1x 인증을 사용하여 네트워크에 연결할 수 있습니다.
WPA(Wi-Fi Protected Access) —WPA 또는 WPA1 및 WPA2는 WLAN 시스템에 대한 데이터 보호 및 액세스 제어를 제공하는 Wi-Fi Alliance의 표준 기반 보안 솔루션입니다.WPA1은 IEEE 802.11i 표준과 호환되지만 표준이 승인되기 전에 구현되었습니다.WPA2는 승인된 IEEE 802.11i 표준을 구현하는 Wi-Fi Alliance입니다.
기본적으로 WPA1은 데이터 보호를 위해 TKIP(Temporal Key Integrity Protocol) 및 MIC(Message Integrity Check)를 사용합니다.WPA2는 AES-CCMP(Cipher Block Chaining Message Authentication Code Protocol)와 함께 카운터 모드를 사용하여 강력한 고급 암호화 표준 암호화 알고리즘을 사용합니다. WPA1과 WPA2는 기본적으로 인증된 키 관리에 802.1X를 사용합니다.그러나 다음 옵션도 사용할 수 있습니다.PSK, CCKM 및 CCKM+802.1x.CCKM을 선택하면 Cisco는 CCKM을 지원하는 클라이언트만 허용합니다.CCKM+802.1x를 선택하면 Cisco는 비 CCKM 클라이언트도 허용합니다.
CKIP—Cisco CKIP(Key Integrity Protocol)는 802.11 미디어 암호화를 위한 Cisco 전용 보안 프로토콜입니다.CKIP는 키 순열, MIC 및 메시지 시퀀스 번호를 사용하여 인프라 모드에서 802.11 보안을 개선합니다.소프트웨어 릴리스 4.0은 고정 키를 사용하여 CKIP를 지원합니다.이 기능이 올바르게 작동하려면 WLAN에 대해 Aironet 정보 요소(IE)를 활성화해야 합니다.WLAN에 지정된 CKIP 설정은 연결을 시도하는 모든 클라이언트에 대해 필수입니다.CKIP 키 순열 및 MMH MIC에 대해 WLAN이 구성된 경우 클라이언트는 두 가지를 모두 지원해야 합니다.WLAN이 이러한 기능 중 하나에만 구성된 경우 클라이언트는 이 CKIP 기능만 지원해야 합니다.WLC는 고정 CKIP만 지원합니다(예: 고정 WEP).WLC는 802.1x(동적 CKIP)의 CKIP를 지원하지 않습니다.
None(없음) - Layer 3 보안 드롭다운 목록에서 이 옵션을 선택하면 WLAN에서 레이어 3 인증이 수행되지 않습니다.
참고: No Layer 3 인증 및 No Layer 2 인증에 대한 컨피그레이션 예제는 None Authentication(없음 인증) 섹션에 설명되어 있습니다.
웹 정책(웹 인증 및 웹 통과) - 웹 인증은 일반적으로 게스트 액세스 네트워크를 구축하려는 고객이 사용합니다.게스트 액세스 네트워크에서는 초기 사용자 이름 및 비밀번호 인증이 있지만 후속 트래픽에는 보안이 필요하지 않습니다.일반적인 구축에는 T-Mobile 또는 Starbucks와 같은 "핫스팟" 위치가 포함될 수 있습니다.
Cisco WLC에 대한 웹 인증이 로컬로 수행됩니다.인터페이스를 생성한 다음 WLAN/SSID(Service Set Identifier)를 해당 인터페이스와 연결합니다.
웹 인증은 신청자 또는 클라이언트 없이 간단한 인증을 제공합니다.웹 인증은 데이터 암호화를 제공하지 않습니다.웹 인증은 일반적으로 "핫스팟" 또는 캠퍼스 대기 중 연결에 대한 간단한 게스트 액세스로 사용됩니다.
웹 패스스루는 무선 사용자가 인터넷에 연결할 때 인증하지 않고도 허용 가능한 사용 정책 페이지로 리디렉션되는 솔루션입니다.이 리디렉션은 WLC 자체에서 처리합니다.유일한 요구 사항은 웹 패스스루에 대한 WLC를 구성하는 것입니다. 이는 자격 증명을 입력하지 않고도 기본적으로 웹 인증입니다.
VPN Passthrough(VPN 통과) - VPN Passthrough(VPN 통과)는 클라이언트가 특정 VPN 서버에서만 터널을 설정할 수 있도록 하는 기능입니다.따라서 구성된 VPN 서버 및 다른 VPN 서버 또는 인터넷에 안전하게 액세스해야 하는 경우 컨트롤러에서 VPN 패스스루를 활성화하면 이 작업이 불가능합니다.
다음 섹션에서는 각 인증 메커니즘에 대한 컨피그레이션 예를 제공합니다.
WLAN 및 인증 유형을 구성하기 전에 기본 작업을 위해 WLC를 구성하고 LDAP를 WLC에 등록해야 합니다.이 문서에서는 WLC가 기본 작동을 위해 구성되었으며 LAP가 WLC에 등록되었다고 가정합니다.LAP의 기본 작동을 위해 WLC를 설정하려는 새 사용자는 WLC(Wireless LAN Controller)에 대한 LAP(Lightweight AP) 등록을 참조하십시오.
무선 클라이언트는 WLAN 네트워크 액세스를 위한 연속 실패 횟수를 기반으로 액세스를 제한할 수 있습니다.클라이언트 제외는 기본적으로 이러한 조건에서 발생합니다.이러한 값은 변경할 수 없습니다.
연속 802.11 인증 실패(5회 연속, 6회 시도 제외)
연속 802.11 연결 실패(연속 5회, 6차 시도 제외)
연속 802.1x 인증 실패(3회 연속, 4회 시도 제외)
외부 정책 서버 오류
다른 디바이스에 이미 할당된 IP 주소 사용 시도(IP 도난 또는 IP 재사용)
연속 웹 인증(3회 연속, 4회 시도 제외)
Client Exclusion Policies(클라이언트 제외 정책)를 찾으려면 상단 메뉴에서 Security(보안)를 클릭한 다음 페이지 왼쪽 탐색에서 Wireless Protection Policies(무선 보호 정책) > Client Exclusion Policies(클라이언트 제외 정책)를 선택합니다.
제외 타이머를 구성할 수 있습니다.컨트롤러당 제외 옵션을 활성화하거나 비활성화할 수 있습니다.WLAN당 제외 타이머를 활성화 또는 비활성화할 수 있습니다.
단일 사용자 이름에 대한 최대 동시 로그인 수는 기본적으로 0입니다. 0에서 8 사이의 값을 입력할 수 있습니다. 이 매개변수는 SECURITY > AAA > 사용자 로그인 정책에서 설정할 수 있으며 단일 클라이언트 이름에 대한 최대 동시 로그인 수를 1~8 사이 또는 0 = 무제한으로 지정할 수 있습니다.예를 들면 다음과 같습니다.
이 예에서는 인증 없이 구성된 WLAN을 보여줍니다.
참고: 이 예제는 No Layer 3 인증에도 적용됩니다.
이 설정에 대한 WLC를 구성하려면 다음 단계를 완료합니다.
WLAN을 생성하려면 컨트롤러 GUI에서 WLANs를 클릭합니다.
WLANs 창이 나타납니다.이 창에는 컨트롤러에 구성된 WLAN이 나열됩니다.
새 WLAN을 구성하려면 Go(이동)를 클릭합니다.
WLAN에 대한 매개변수를 입력합니다.이 예에서는 이 WLAN에 대한 컨피그레이션을 보여줍니다.
Apply를 클릭합니다.
WLAN > Edit(수정) 창에서 WLAN에 해당하는 매개변수를 정의합니다.
Security(보안) 탭을 클릭하고 Layer 2 및 Layer 3 보안에 대해 None(없음)을 선택합니다.
참고: WLAN이 활성화되려면 상태를 활성화해야 합니다.이를 활성화하려면 General(일반) 탭 아래 Status(상태) 확인란을 선택합니다.
이렇게 하면 이 WLAN에 대한 인증 없음이 활성화됩니다.
설계 요구 사항에 따라 다른 매개변수를 선택합니다.이 예에서는 기본값을 사용합니다.
Apply를 클릭합니다.
이 설정에 대한 무선 LAN 클라이언트를 구성하려면 다음 단계를 완료합니다.
참고: 이 문서에서는 펌웨어 3.5를 실행하는 Aironet 802.11a/b/g 클라이언트 어댑터를 사용하며 ADU 버전 3.5의 클라이언트 어댑터 컨피그레이션에 대해 설명합니다.
새 프로필을 생성하려면 ADU에서 Profile Management 탭을 클릭합니다.
New(새로 만들기)를 클릭합니다.
프로파일 관리(일반) 창이 표시되면 다음 단계를 완료하여 프로파일 이름, 클라이언트 이름 및 SSID를 설정합니다.
프로파일 이름 필드에 프로파일 이름을 입력합니다.
이 예에서는 NoAuthentication을 프로파일 이름으로 사용합니다.
Client Name(클라이언트 이름) 필드에 클라이언트 이름을 입력합니다.
클라이언트 이름은 WLAN 네트워크에서 무선 클라이언트를 식별하는 데 사용됩니다.이 컨피그레이션에서는 클라이언트 이름에 클라이언트 1을 사용합니다.
Network Names(네트워크 이름)에서 이 프로파일에 사용할 SSID를 입력합니다.
SSID는 WLC에서 구성한 SSID와 동일합니다.이 예의 SSID는 NullAuthentication입니다.
보안 탭을 클릭합니다.
Set Security Options(보안 옵션 설정)에서 None(없음) 라디오 버튼을 클릭한 다음 OK(확인)를 클릭합니다.
SSID가 활성화되면 무선 클라이언트는 인증 없이 WLAN에 연결됩니다.
이 예에서는 고정 WEP로 구성된 WLAN을 보여 줍니다.
이 설정에 대한 WLC를 구성하려면 다음 단계를 완료합니다.
WLAN을 생성하려면 컨트롤러 GUI에서 WLANs를 클릭합니다.
WLANs 창이 나타납니다.이 창에는 컨트롤러에 구성된 WLAN이 나열됩니다.
새 WLAN을 구성하려면 New(새로 만들기)를 클릭합니다.
WLAN ID 및 WLAN SSID를 입력합니다.
이 예에서 WLAN의 이름은 StaticWEP 이고 WLAN ID는 2입니다.
Apply를 클릭합니다.
WLAN > Edit(수정) 창에서 WLAN에 해당하는 매개변수를 정의합니다.
레이어 2 드롭다운 목록에서 고정 WEP를 선택합니다.
이렇게 하면 이 WLAN에 대해 고정 WEP가 활성화됩니다.
정적 WEP 매개 변수에서 WEP 키 크기 및 키 인덱스를 선택하고 고정 WEP 암호화 키를 입력합니다.
키 크기는 40비트 또는 104비트입니다.키 인덱스는 1에서 4 사이일 수 있습니다. 각 WLAN에 고유한 WEP 키 인덱스 하나를 적용할 수 있습니다.WEP 키 인덱스는 4개뿐이므로 고정 WEP 레이어 2 암호화를 위해 WLAN을 4개만 구성할 수 있습니다.이 예에서는 104비트 WEP가 사용되고 사용된 WEP 키는 1234567890abcdef입니다.
Radius 서버가 인증을 위해 구성되어 있는지 확인합니다.Radius 서버는 AAA > Radius > Authentication에 있는 Security 탭에서 구성할 수 있습니다.구성된 후에는 인증을 위해 WLAN에 Radius 서버를 할당해야 합니다.WLANs(WLANs) > Security(보안) > AAA Servers(AAA 서버)로 이동하여 인증을 위해 WLAN에 Radius 서버를 할당합니다.
이 예에서 10.77.244.196은 Radius 서버입니다.
설계 요구 사항에 따라 다른 매개변수를 선택합니다.
이 예에서는 기본값을 사용합니다.
Apply를 클릭합니다.
참고: WEP는 항상 16진수(16진수)로 표시됩니다. ASCII로 WEP 키를 입력하면 ASCII WEP 문자열이 16진수로 변환되어 패킷을 암호화하는 데 사용됩니다.일부 공급업체는 패딩을 수행하지만 다른 공급업체는 패딩하지 않으므로 16진수를 ASCII로 변환하기 위해 공급업체가 수행하는 표준 방법은 없습니다.따라서 공급업체 간 호환성을 극대화하려면 WEP 키에 16진수를 사용합니다.
참고: WLAN에 대해 공유 키 인증을 활성화하려면 고정 WEP 매개변수 아래에서 공유 키 인증 허용 확인란을 선택합니다.이렇게 하면 클라이언트가 공유 키 인증을 위해 구성된 경우 공유 키 인증 후 패킷의 WEP 암호화가 WLAN에서 발생합니다.
이 설정에 대해 무선 LAN 클라이언트를 구성하려면 다음 단계를 완료하십시오.
새 프로필을 생성하려면 ADU에서 Profile Management 탭을 클릭합니다.
New(새로 만들기)를 클릭합니다.
프로파일 관리(일반) 창이 표시되면 다음 단계를 완료하여 프로파일 이름, 클라이언트 이름 및 SSID를 설정합니다.
프로파일 이름 필드에 프로파일 이름을 입력합니다.
이 예에서는 StaticWEP를 프로파일 이름으로 사용합니다.
Client Name(클라이언트 이름) 필드에 클라이언트 이름을 입력합니다.
클라이언트 이름은 WLAN 네트워크에서 무선 클라이언트를 식별하는 데 사용됩니다.이 컨피그레이션에서는 클라이언트 이름에 클라이언트 2를 사용합니다.
Network Names(네트워크 이름)에서 이 프로파일에 사용할 SSID를 입력합니다.
SSID는 WLC에서 구성한 SSID와 동일합니다.이 예에서 SSID는 StaticWEP입니다.
보안 탭을 클릭합니다.
보안 옵션 설정 아래에서 사전 공유 키(고정 WEP)를 선택합니다.
구성을 클릭하고 WEP 키 크기와 WEP 키를 정의합니다.
이 키는 이 WLAN에 대해 WLC에 구성된 WEP 키와 일치해야 합니다.
Apply를 클릭합니다.
SSID가 활성화되면 무선 클라이언트가 WLAN에 연결되고 고정 WEP 키를 사용하여 패킷이 암호화됩니다.
이 예에서는 802.1x 인증으로 구성된 WLAN을 보여줍니다.
이 설정에 대한 WLC를 구성하려면 다음 단계를 완료합니다.
WLAN을 생성하려면 컨트롤러 GUI에서 WLANs를 클릭합니다.
WLANs 창이 나타납니다.이 창에는 컨트롤러에 구성된 WLAN이 나열됩니다.
새 WLAN을 구성하려면 New(새로 만들기)를 클릭합니다.
이 예에서 WLAN의 이름은 802.1x이고 WLAN ID는 3입니다. 프로파일 이름도 추가해야 합니다.
Apply를 클릭합니다.
WLAN > Edit(수정) 창에서 WLAN에 해당하는 매개변수를 정의합니다.
Layer 2 드롭다운 목록에서 802.1x를 선택합니다.
참고: WEP 암호화는 802.1x에서만 사용할 수 있습니다.암호화에 40비트 또는 104비트를 선택하고 Layer 3 보안이 None(없음)으로 설정되어 있는지 확인합니다.
이렇게 하면 이 WLAN에 대해 802.1x 인증이 활성화됩니다.
RADIUS 서버 매개 변수 아래에서 클라이언트 자격 증명을 인증하는 데 사용할 RADIUS 서버를 선택합니다.
설계 요구 사항에 따라 다른 매개변수를 선택합니다.
이 예에서는 기본값을 사용합니다.
Apply를 클릭합니다.
참고:
레이어 2 보안에 802.1x를 선택하면 CCKM을 사용할 수 없습니다.
레이어 2 보안을 위해 WPA 1 또는 WPA 2를 선택한 경우 다음 옵션이 인증 키 관리 아래에 나타납니다.
802.1x+CCKM - 이 옵션을 선택하면 CCKM 또는 비 CCKM 클라이언트가 모두 지원됩니다(CCKM 옵션).
802.1x - 이 옵션을 선택하면 802.1x 클라이언트만 지원됩니다.
CCKM - 이 옵션을 선택하면 CCKM 클라이언트만 지원되며, 여기서 클라이언트는 인증을 위해 외부 서버로 전송됩니다.
PSK - 이 옵션을 선택하면 WLC 및 클라이언트에 사전 공유 키가 사용됩니다.또한 모든 표준은 사전 표준 이전에 사용하도록 설정됩니다.예를 들어, 동시에 사용할 경우 WPA/WPA2는 CCKM보다 우선합니다.
클라이언트를 확인하는 데 사용되는 EAP 인증 유형은 RADIUS 서버 및 무선 클라이언트에 구성된 EAP 유형에 따라 다릅니다.WLC에서 802.1x가 활성화되면 WLC는 모든 유형의 EAP 패킷이 LAP, 무선 클라이언트 및 RADIUS 서버 간에 전달되도록 허용합니다.
이러한 문서는 일부 EAP 인증 유형에 대한 구성 예를 제공합니다.
이 설정에 대해 무선 LAN 클라이언트를 구성하려면 다음 단계를 완료하십시오.
새 프로필을 생성하려면 ADU에서 Profile Management 탭을 클릭합니다.
New(새로 만들기)를 클릭합니다.
프로파일 관리(일반) 창이 표시되면 다음 단계를 완료하여 프로파일 이름, 클라이언트 이름 및 SSID를 설정합니다.
프로파일 이름 필드에 프로파일 이름을 입력합니다.
이 예에서는 EAPAuth를 프로필 이름으로 사용합니다.
Client Name(클라이언트 이름) 필드에 클라이언트 이름을 입력합니다.
클라이언트 이름은 WLAN 네트워크에서 무선 클라이언트를 식별하는 데 사용됩니다.이 컨피그레이션에서는 클라이언트 이름에 클라이언트 3을 사용합니다.
Network Names(네트워크 이름)에서 이 프로파일에 사용할 SSID를 입력합니다.
SSID는 WLC에서 구성한 SSID와 동일합니다.이 예에서 SSID는 802.1x입니다.
보안 탭을 클릭합니다.
802.1x 라디오 버튼을 클릭합니다.
802.1x EAP Type 드롭다운 목록에서 사용된 EAP 유형을 선택합니다.
선택한 EAP 유형에 대한 매개변수를 구성하려면 Configure를 클릭합니다.
Apply를 클릭합니다.
SSID가 활성화되면 무선 클라이언트는 802.1x 인증을 사용하여 WLAN에 연결합니다.동적 WEP 키는 세션에 사용됩니다.
이 예에서는 고정 WEP + 802.1x 인증으로 구성된 WLAN을 보여 줍니다.
이 설정에 대한 WLC를 구성하려면 다음 단계를 완료합니다.
WLAN을 생성하려면 컨트롤러 GUI에서 WLANs를 클릭합니다.
WLANs 창이 나타납니다.이 창에는 컨트롤러에 구성된 WLAN이 나열됩니다.
새 WLAN을 구성하려면 New(새로 만들기)를 클릭합니다.
WLAN ID 및 WLAN SSID를 입력합니다.
이 예에서 WLAN의 이름은 WEP+802.1x이고 WLAN ID는 4입니다.
Apply를 클릭합니다.
WLAN > Edit(수정) 창에서 WLAN에 해당하는 매개변수를 정의합니다.
Layer 2 드롭다운 목록에서 Static-WEP+802.1x를 선택합니다.
이렇게 하면 이 WLAN에 대해 고정 WEP 및 802.1x 인증이 모두 활성화됩니다.
RADIUS 서버 매개변수에서 802.1x를 사용하여 클라이언트 자격 증명을 인증하는 데 사용할 RADIUS 서버를 선택하고 이전 예와 같이 RADIUS 서버를 구성합니다.
고정 WEP 매개 변수에서 WEP 키 크기 및 키 인덱스를 선택하고 이전 이미지에 표시된 대로 고정 WEP 암호화 키를 입력합니다.
설계 요구 사항에 따라 다른 매개변수를 선택합니다.
이 예에서는 기본값을 사용합니다.
무선 클라이언트 구성 방법에 대한 자세한 내용은 802.1x 인증을 위한 무선 클라이언트 구성 및 정적 WEP를 위한 무선 클라이언트 구성 섹션을 참조하십시오.
클라이언트 프로파일이 생성되면 고정 WEP에 대해 구성된 클라이언트가 LAP와 연결됩니다.네트워크에 연결하려면 SSID WEP+802.1x를 사용합니다.
마찬가지로 802.1x 인증을 사용하도록 구성된 무선 클라이언트는 EAP를 사용하여 인증되고 동일한 SSID WEP+802.1x로 네트워크에 액세스합니다.
이 예에서는 802.1x로 WPA로 구성된 WLAN을 보여 줍니다.
이 설정에 대한 WLC를 구성하려면 다음 단계를 완료합니다.
WLAN을 생성하려면 컨트롤러 GUI에서 WLANs를 클릭합니다.
WLANs 창이 나타납니다.이 창에는 컨트롤러에 구성된 WLAN이 나열됩니다.
새 WLAN을 구성하려면 Go(이동)를 클릭합니다.
유형 및 프로파일 이름을 선택합니다.이 예에서 WLAN의 이름은 WPA이고 WLAN ID는 5입니다.
Apply를 클릭합니다.
WLAN > Edit(수정) 창에서 WLAN에 해당하는 매개변수를 정의합니다.
보안 탭을 클릭하고 레이어 2 탭을 클릭한 다음 레이어 2 보안 드롭다운 목록에서 WPA1+WPA2를 선택합니다.
WPA1+WPA2 매개 변수에서 WPA1 정책 확인란을 선택하여 WPA1을 활성화하거나 WPA2를 활성화하려면 WPA2 정책 확인란을 선택하고 WPA1 및 WPA2를 모두 활성화하려면 두 확인란을 모두 선택합니다.
기본값은 WPA1 및 WPA2에 대해 모두 비활성화되어 있습니다. WPA1 및 WPA2를 모두 비활성화한 상태로 두면 액세스 포인트는 선택한 인증 키 관리 방법에만 해당 신호에 광고하고 응답 정보 요소에 대해 알립니다.
AES 확인란을 선택하여 AES 데이터 암호화를 활성화하거나 TKIP 확인란을 선택하여 WPA1, WPA2 또는 둘 모두에 대해 TKIP 데이터 암호화를 활성화합니다.
기본값은 WPA1용 TKIP 및 WPA2용 AES입니다.
Auth Key Mgmt(인증 키 관리) 드롭다운 목록에서 다음 주요 관리 방법 중 하나를 선택합니다.
802.1X - 이 옵션을 선택하면 802.1x 클라이언트만 지원됩니다.
CCKM - 이 옵션을 선택하면 CCKM 클라이언트만 지원되며, 여기서 클라이언트는 인증을 위해 외부 서버로 전송됩니다.
PSK - 이 옵션을 선택하면 WLC 및 클라이언트에 사전 공유 키가 사용됩니다.또한 모든 표준은 사전 표준 이전에 사용하도록 설정됩니다.예를 들어, 동시에 사용할 경우 WPA/WPA2는 CCKM보다 우선합니다.
802.1X+CCKM - 이 옵션을 선택하면 CCKM 또는 비 CCKM 클라이언트가 모두 지원됩니다(CCKM 옵션).
이 예에서는 802.1x를 사용합니다.
참고: PSK를 선택한 경우 PSK 형식 드롭다운 목록에서 ascii 또는 16진수를 선택한 다음 빈 필드에 사전 공유 키를 입력합니다.WPA 사전 공유 키는 8~63자의 ASCII 텍스트 문자 또는 64자의 16진수 문자를 포함해야 합니다.
Apply(적용)를 클릭하여 변경 사항을 적용합니다.
이 설정에 대한 무선 LAN 클라이언트를 구성하려면 다음 단계를 완료합니다.
ADU의 Profile Management(프로필 관리) 창에서 New(새로 만들기)를 클릭하여 새 프로필을 생성합니다.
General 탭을 클릭하고 클라이언트 어댑터가 사용할 프로파일 이름과 SSID를 입력합니다.
이 예에서는 프로파일 이름과 SSID가 WPA입니다.SSID는 WPA에 대해 WLC에서 구성한 SSID와 일치해야 합니다.
Security(보안) 탭에서 WPA/WPA2/CCKM 라디오 버튼을 클릭하고 WPA/WPA2/CCKM EAP 유형 드롭다운 목록에서 적절한 EAP 유형을 선택합니다.이 단계에서는 WPA를 활성화합니다.
Configure를 클릭하여 선택한 EAP 유형에 해당하는 EAP 설정을 정의합니다.
확인을 클릭합니다.
참고: 이 프로파일이 활성화되면 클라이언트는 802.1x를 사용하여 인증되고 인증이 성공하면 클라이언트가 WLAN에 연결됩니다.클라이언트가 TKIP 암호화(WPA1에서 사용하는 기본 암호화) 및 EAP 인증을 사용하는지 확인하려면 ADU 현재 상태를 확인합니다.
이 예에서는 CKIP로 구성된 WLAN을 보여줍니다.
이 설정에 대한 WLC를 구성하려면 다음 단계를 완료합니다.
WLAN을 생성하려면 컨트롤러 GUI에서 WLANs를 클릭합니다.
WLANs 창이 나타납니다.이 창에는 컨트롤러에 구성된 WLAN이 나열됩니다.
새 WLAN을 구성하려면 New(새로 만들기)를 클릭합니다.
유형 및 프로파일 이름을 선택합니다.이 예에서 WLAN의 이름은 CKIP이고 WLAN ID는 6입니다.
WLAN > Edit(수정) 창에서 WLAN에 해당하는 매개변수를 정의합니다.
Layer 2 드롭다운 목록에서 CKIP를 선택합니다.
이 단계에서는 이 WLAN에 대해 CKIP를 활성화합니다.
CKIP 매개 변수에서 키 크기와 키 인덱스를 선택하고 고정 암호화 키를 입력합니다.
키 크기는 40비트, 104비트 또는 128비트입니다.키 인덱스는 1에서 4 사이일 수 있습니다. 고유한 WEP 키 인덱스 하나를 각 WLAN에 적용할 수 있습니다.WEP 키 인덱스는 4개만 있으므로 고정 WEP 레이어 2 암호화를 위해 WLAN을 4개만 구성할 수 있습니다.
CKIP의 경우 MMH Mode 옵션, Key Permation 옵션 또는 둘 다 선택합니다.
참고: CKIP가 정상적으로 작동하려면 이러한 매개변수 중 하나 또는 둘 모두를 선택해야 합니다.이러한 매개변수를 선택하지 않으면 WLAN은 비활성 상태로 유지됩니다.
이 예에서는 104비트 키가 사용되고 키는 1234567890abc입니다.
설계 요구 사항에 따라 다른 매개변수를 선택합니다.
이 예에서는 기본값을 사용합니다.
Apply를 클릭합니다.
참고: CKIP는 1100, 1130 및 1200 AP에서 작동하지만 AP 1000은 작동하지 않습니다.이 기능이 작동하려면 Aironet IE를 활성화해야 합니다.CKIP는 암호화 키를 16바이트로 확장합니다.
이 설정에 대해 무선 LAN 클라이언트를 구성하려면 다음 단계를 완료하십시오.
새 프로필을 생성하려면 ADU에서 Profile Management 탭을 클릭한 다음 New를 클릭합니다.
프로파일 관리(일반) 창이 표시되면 다음 단계를 완료하여 프로파일 이름, 클라이언트 이름 및 SSID를 설정합니다.
프로파일 이름 필드에 프로파일 이름을 입력합니다.
이 예에서는 CKIP를 프로파일 이름으로 사용합니다.
Client Name(클라이언트 이름) 필드에 클라이언트 이름을 입력합니다.
클라이언트 이름은 WLAN 네트워크에서 무선 클라이언트를 식별하는 데 사용됩니다.이 컨피그레이션에서는 클라이언트 이름에 Client6을 사용합니다.
Network Names(네트워크 이름)에서 이 프로파일에 사용할 SSID를 입력합니다.
SSID는 WLC에서 구성한 SSID와 동일합니다.이 예에서 SSID는 CKIP입니다.
보안 탭을 클릭합니다.
보안 옵션 설정에서 사전 공유 키(고정 WEP)를 선택하고 구성을 클릭한 다음 WEP 키 크기와 WEP 키를 정의합니다.
이러한 값은 이 WLAN에 대해 WLC에 구성된 WEP 키와 일치해야 합니다.
확인을 클릭합니다.
SSID가 활성화되면 무선 클라이언트가 LAP 및 WLC와 협상하여 CKIP를 사용하여 패킷을 암호화합니다.
WLAN 네트워크에서 웹 인증을 활성화하는 방법에 대한 자세한 내용은 Wireless LAN Controller 웹 인증 컨피그레이션 예를 참조하십시오.
WLAN에서 외부 웹 인증 및 웹 통과 인증을 구성하는 방법에 대한 자세한 내용은 External Web Authentication with Wireless LAN Controller Configuration Example을 참조하십시오.
WLAN 네트워크에서 웹 통과를 활성화하는 방법에 대한 자세한 내용은 Wireless LAN Controller Web Passthrough 구성 예를 참조하십시오.
스플래시 페이지 메커니즘은 클라이언트 인증에 사용되는 WLC 버전 5.0에 도입된 레이어 3 보안 메커니즘입니다.자세한 내용은 무선 LAN 컨트롤러 스플래시 페이지 리디렉션 컨피그레이션 예를 참조하십시오.
WLAN에서 VPN 패스스루를 구성하는 방법에 대한 자세한 내용은 Client VPN over Wireless LAN with WLC Configuration Example(WLC 컨피그레이션을 통한 Client VPN over Wireless LAN)을 참조하십시오.
이러한 debug 명령을 사용하여 컨피그레이션 문제를 해결할 수 있습니다.
웹 인증을 위한 디버깅:
debug mac addr <client-MAC-address xx:xx:xx:xx:xx:xx> - 클라이언트에 대한 MAC 주소 디버깅을 구성합니다.
debug aaa all enable - 모든 AAA 메시지의 디버깅을 구성합니다.
debug pem state enable - 정책 관리자 상태 컴퓨터의 디버그를 구성합니다.
debug pem events enable - 정책 관리자 이벤트의 디버그를 구성합니다.
debug dhcp message enable - DHCP(Dynamic Host Configuration Protocol) 클라이언트 활동에 대한 디버깅 정보를 표시하고 DHCP 패킷의 상태를 모니터링하려면 이 명령을 사용합니다.
debug dhcp packet enable - DHCP 패킷 레벨 정보를 표시하려면 이 명령을 사용합니다.
debug pm ssh-appgw enable - 애플리케이션 게이트웨이의 디버그를 구성합니다.
debug pm ssh-tcp enable - 정책 관리자 tcp 처리의 디버그를 구성합니다.
WEP용 디버그:AP에서 수행되므로 WEP에 대한 디버그 기능이 없습니다. debug dot11 모두를 활성화합니다.
802.1X/WPA/RSN/PMK 캐싱을 위한 디버그:
debug mac addr <client-MAC-address xx:xx:xx:xx:xx:xx> - 클라이언트에 대한 MAC 주소 디버깅을 구성합니다.
debug dot1x all enable - 802.1X 디버깅 정보를 표시하려면 이 명령을 사용합니다.
debug dot11 all enable - 라디오 함수의 디버깅을 활성화하려면 이 명령을 사용합니다.
debug pem events enable - 정책 관리자 이벤트의 디버그를 구성합니다.
debug pem state enable - 정책 관리자 상태 시스템의 디버그를 구성합니다.
debug dhcp message enable - DHCP(Dynamic Host Configuration Protocol) 클라이언트 활동에 대한 디버깅 정보를 표시하고 DHCP 패킷의 상태를 모니터링하려면 이 명령을 사용합니다.
debug dhcp packet enable - DHCP 패킷 레벨 정보를 표시하려면 이 명령을 사용합니다.
debug mobility handoff enable (intra-switch roaming) - 모빌리티 패킷의 디버그를 구성합니다.
show client detail <mac> - mac 주소별로 클라이언트에 대한 자세한 정보를 표시합니다.WLAN 및 RADIUS 세션 시간 초과 컨피그레이션을 확인합니다.
개정 | 게시 날짜 | 의견 |
---|---|---|
1.0 |
09-Jul-2010 |
최초 릴리스 |