LAP를 사용하여 포트 기반 인증을 위해 ACS 5.2 구성

소개

이 문서에서는 ACS(Access Control Server) 5.2와 같은 RADIUS 서버에 대해 인증하기 위해 LAP(Lightweight Access Point)를 802.1x 신청자로 구성하는 방법에 대해 설명합니다.

사전 요구 사항

요구 사항

이 구성을 시도하기 전에 다음 요구 사항을 충족해야 합니다.

• WLC(Wireless LAN Controller) 및 LAP에 대한 기본적인 지식을 갖추십시오.

• AAA 서버에 대한 기능 지식이 있어야 합니다.

• 무선 네트워크 및 무선 보안 문제에 대해 철저히 숙지하십시오.

사용되는 구성 요소

이 문서의 정보는 다음 소프트웨어 및 하드웨어 버전을 기반으로 합니다.

• 펌웨어 릴리스 7.0.220.0을 실행하는 Cisco 5508 WLC

• Cisco 3502 Series LAP

• 버전 5.2를 실행하는 Cisco Secure ACS

• Cisco 3560 Series 스위치

이 문서의 정보는 특정 랩 환경의 디바이스를 토대로 작성되었습니다. 이 문서에 사용된 모든 디바이스는 초기화된(기본) 컨피그레이션으로 시작되었습니다. 현재 네트워크가 작동 중인 경우, 모든 명령어의 잠재적인 영향을 미리 숙지하시기 바랍니다.

표기 규칙

문서 규칙에 대한 자세한 내용은 Cisco 기술 팁 규칙을 참조하십시오.

배경 정보

LAP는 공장 출하 시 X.509 인증서(개인 키로 서명됨)를 설치했으며, 이는 제조 시 장치에 번들됩니다. LAP는 가입 프로세스에서 WLC를 사용하여 인증하기 위해 이 인증서를 사용합니다. 이 방법은 LAP를 인증하는 다른 방법을 설명합니다. WLC 소프트웨어를 사용하면 Cisco Aironet 액세스 포인트(AP)와 Cisco 스위치 간에 802.1x 인증을 구성할 수 있습니다. 이 경우 AP는 802.1x 신청자 역할을 하며 익명 PAC 프로비저닝으로 EAP-FAST를 사용하는 ACS(RADIUS 서버)에 대해 스위치에 의해 인증됩니다. 802.1x 인증을 위해 구성된 후에는 포트에 연결된 디바이스가 성공적으로 인증될 때까지 802.1x 트래픽 이외의 트래픽이 포트를 통과하도록 스위치가 허용하지 않습니다. AP는 WLC에 가입하기 전이나 WLC에 가입한 후 인증할 수 있습니다. 이 경우 LAP가 WLC에 조인된 후 스위치에 802.1x를 구성합니다.

구성

이 섹션에는 이 문서에서 설명하는 기능을 구성하기 위한 정보가 표시됩니다.

네트워크 다이어그램

이 문서에서는 다음 네트워크 설정을 사용합니다.

다음은 이 다이어그램에서 사용되는 구성 요소의 구성 세부 정보입니다.

• ACS(RADIUS) 서버의 IP 주소는 192.168.150.24입니다.

• WLC의 관리 및 AP 관리자 인터페이스 주소는 192.168.75.44입니다.

• DHCP 서버는 192.168.150.25 주소를 지정합니다.

• LAP는 VLAN 253에 배치됩니다.

• VLAN 253: 192.168.153.x/24. 게이트웨이: 192.168.153.10

• VLAN 75: 192.168.75.x/24. 게이트웨이: 192.168.75.1

가정

• 스위치는 모든 레이어 3 VLAN에 대해 구성됩니다.

• DHCP 서버에 DHCP 범위가 할당됩니다.

• 네트워크의 모든 디바이스 간에 레이어 3 연결이 존재합니다.

• LAP가 이미 WLC에 조인되었습니다.

• 각 VLAN에는 /24 마스크가 있습니다.

• ACS 5.2에 자체 서명 인증서가 설치되어 있습니다.

구성 단계

이 컨피그레이션은 다음 세 가지 범주로 구분됩니다.

1. LAP를 구성합니다.

2. 스위치를 구성합니다.

3. RADIUS 서버를 구성합니다.

LAP 구성

가정:

LAP는 옵션 43, DNS 또는 정적으로 구성된 WLC 관리 인터페이스 IP를 사용하여 WLC에 이미 등록되었습니다.

다음 단계를 완료하십시오.

1. WLC에서 LAP 등록을 확인하려면 Wireless > Access Points > All APs로 이동합니다.

   

2. 다음 두 가지 방법으로 모든 LAP에 대해 802.1x 자격 증명(즉, 사용자 이름/비밀번호)을 구성할 수 있습니다.

   • 글로벌

     이미 가입된 LAP의 경우, WLC에 가입하는 모든 LAP가 이러한 자격 증명을 상속하도록 자격 증명을 전역적으로 설정할 수 있습니다.

     

   • 개별

     AP당 802.1 x 프로필을 구성합니다. 이 예에서는 AP당 자격 증명을 구성합니다.

     1. Wireless(무선) > All APs(모든 AP)로 이동하여 관련 AP를 선택합니다.

     2. 802.1x Supplicant Credentials(802.1x 신청자 자격 증명) 필드에 사용자 이름 및 비밀번호를 추가합니다.

     

     참고: 로그인 자격 증명은 텔넷, SSH 또는 AP의 콘솔에 사용됩니다.

3. High Availability(고가용성) 섹션을 구성하고 Apply(적용)를 클릭합니다.

   

   참고: 저장되면 이러한 자격 증명은 WLC에서 보존되고 AP가 재부팅됩니다. LAP가 새 WLC에 조인할 때만 자격 증명이 변경됩니다. LAP는 새 WLC에 구성된 사용자 이름과 비밀번호를 가정합니다.

   AP가 아직 WLC에 가입하지 않은 경우 자격 증명을 설정하려면 LAP에 로그인해야 합니다. 활성화 모드에서 이 CLI 명령을 실행합니다.

   LAP#lwapp ap dot1x username <username> password <password>

   또는

   LAP#capwap ap dot1x username <username> password <password>

   참고: 이 명령은 복구 이미지를 실행하는 AP에만 사용할 수 있습니다.

   LAP의 기본 사용자 이름과 비밀번호는 cisco와 Cisco입니다.

스위치 구성

스위치는 LAP의 인증자 역할을 하며 RADIUS 서버에 대해 LAP를 인증합니다. 스위치에 호환 소프트웨어가 없으면 스위치를 업그레이드하십시오. 스위치 CLI에서 다음 명령을 실행하여 스위치 포트에서 802.1x 인증을 활성화합니다.

switch#configure terminal
switch(config)#dot1x system-auth-control
switch(config)#aaa new-model

!--- Enables 802.1x on the Switch.

switch(config)#aaa authentication dot1x default group radius
switch(config)#radius server host 192.168.150.24 key cisco

!--- Configures the RADIUS server with shared secret and enables switch to send !--- 802.1x information to the RADIUS server for authentication.

switch(config)#ip radius source-interface vlan 253

!--- We are sourcing RADIUS packets from VLAN 253 with NAS IP: 192.168.153.10.

switch(config)interface gigabitEthernet 0/11
switch(config-if)switchport mode access
switch(config-if)switchport access vlan 253
switch(config-if)mls qos trust dscp
switch(config-if)spanning-tree portfast

!--- gig0/11 is the port number on which the AP is connected.

switch(config-if)dot1x pae authenticator

!--- Configures dot1x authentication.

switch(config-if)dot1x port-control auto

!--- With this command, the switch initiates the 802.1x authentication.

참고: 동일한 스위치에 다른 AP가 있는 경우 802.1x를 사용하지 않으려면 포트를 802.1x용으로 구성되지 않은 상태로 유지하거나 다음 명령을 실행할 수 있습니다.

switch(config-if)authentication port-control force-authorized

RADIUS 서버 구성

LAP는 EAP-FAST로 인증됩니다. Cisco ACS 5.2를 사용하지 않는 경우 사용하는 RADIUS 서버가 이 EAP 방법을 지원하는지 확인합니다.

RADIUS 서버 컨피그레이션은 다음 4단계로 구성됩니다.

1. 네트워크 리소스를 구성합니다.

2. 사용자를 구성합니다.

3. 정책 요소를 정의합니다.

4. 액세스 정책을 적용합니다.

ACS 5.x는 정책 기반 ACS입니다. 즉, ACS 5.x는 4.x 버전에서 사용되는 그룹 기반 모델 대신 규칙 기반 정책 모델을 사용합니다.

ACS 5.x 규칙 기반 정책 모델은 이전 그룹 기반 접근 방식에 비해 더 강력하고 유연한 액세스 제어를 제공합니다.

이전 그룹 기반 모델에서 그룹은 다음과 같은 세 가지 유형의 정보를 포함하고 하나로 묶기 때문에 정책을 정의합니다.

• ID 정보 - 이 정보는 AD 또는 LDAP 그룹의 멤버십 또는 내부 ACS 사용자에 대한 정적 할당을 기반으로 할 수 있습니다.

• 기타 제한 또는 조건 - 시간 제한, 장치 제한 등

• 권한 - VLAN 또는 Cisco IOS^® 권한 레벨

ACS 5.x 정책 모델은 다음 형식의 규칙을 기반으로 합니다.

조건이 있는 경우 결과

예를 들어, 그룹 기반 모델에 대해 설명한 정보를 사용합니다.

identity-condition인 경우 restriction-condition과 authorization-profile입니다.

따라서 사용자가 네트워크에 액세스할 수 있는 조건과 특정 조건이 충족될 때 허용되는 인증 레벨을 제한할 수 있는 유연성을 제공합니다.

네트워크 리소스 구성

이 섹션에서는 RADIUS 서버의 스위치에 대해 AAA 클라이언트를 구성합니다.

이 절차에서는 스위치가 LDAP의 사용자 자격 증명을 RADIUS 서버에 전달할 수 있도록 RADIUS 서버에서 AAA 클라이언트로 스위치를 추가하는 방법에 대해 설명합니다.

다음 단계를 완료하십시오.

1. ACS GUI에서 Network Resources(네트워크 리소스)를 클릭합니다.

2. Network Device Groups를 클릭합니다.

3. 위치 > 생성(맨 아래)으로 이동합니다.

   

4. 필수 필드를 추가하고 Submit(제출)을 클릭합니다.

   

5. 창이 새로 고쳐집니다.

   

6. Device Type(디바이스 유형) > Create(생성)를 클릭합니다.

   

7. Submit(제출)을 클릭합니다. 완료되면 창이 새로 고쳐집니다.

   

8. Network Resources(네트워크 리소스) > Network Devices and AAA Clients(네트워크 디바이스 및 AAA 클라이언트)로 이동합니다.

9. Create(생성)를 클릭하고 다음과 같이 세부사항을 입력합니다.

   

10. Submit(제출)을 클릭합니다. 창이 새로 고쳐집니다.

    

사용자 구성

이 섹션에서는 이전에 구성된 ACS에서 사용자를 생성하는 방법을 살펴봅니다. "LAP users"라는 그룹에 사용자를 할당합니다.

다음 단계를 완료하십시오.

1. Users and Identity Stores(사용자 및 ID 저장소) > Identity Groups(ID 그룹) > Create(생성)로 이동합니다.

   

2. Submit(제출)을 클릭합니다.

   

3. 3502e를 생성하고 "LAP users" 그룹에 할당합니다.

4. Users and Identity Stores(사용자 및 ID 저장소) > Identity Groups(ID 그룹) > Users(사용자) > Create(생성)로 이동합니다.

   

5. 업데이트된 정보가 표시됩니다.

   

정책 요소 정의

Permit Access가 설정되어 있는지 확인합니다.

액세스 정책 적용

이 섹션에서는 LAP에 사용되는 인증 방법으로 EAP-FAST를 인증하도록 선택합니다. 그런 다음 이전 단계를 기반으로 규칙을 생성합니다.

다음 단계를 완료하십시오.

1. Access Policies(액세스 정책) > Access Services(액세스 서비스) > Default Network Access(기본 네트워크 액세스) > Edit(수정)로 이동합니다. "기본 네트워크 액세스".

   

2. EAP-FAST 및 익명 대역 내 PAC 프로비저닝을 활성화했는지 확인합니다.

   

   

3. Submit(제출)을 클릭합니다.

4. 선택한 ID 그룹을 확인합니다. 이 예에서는 내부 사용자(ACS에서 생성됨)를 사용하고 변경 사항을 저장합니다.

   

5. Access Policies(액세스 정책) > Access Services(액세스 서비스) > Default Network Access(기본 네트워크 액세스) > Authorization(권한 부여)으로 이동하여 권한 부여 프로파일을 확인합니다.

   사용자가 네트워크에 액세스할 수 있도록 허용할 조건 및 인증된 후 어떤 권한 부여 프로파일(특성)을 전달할 것인지 여부에 따라 사용자 지정할 수 있습니다. 이 세분화는 ACS 5.x에서만 사용할 수 있습니다. 이 예에서 Location(위치), Device Type(디바이스 유형), Protocol(프로토콜), Identity Group(ID 그룹) 및 EAP Authentication Method(EAP 인증 방법)가 선택됩니다.

   

6. 확인을 클릭하고 변경 사항 저장을 클릭합니다.

7. 다음 단계는 규칙을 생성하는 것입니다. 정의된 규칙이 없으면 조건 없이 LAP에 액세스할 수 있습니다.

8. 생성 > 규칙-1을 누릅니다. 이 규칙은 "LAP 사용자" 그룹의 사용자를 위한 것입니다.

   

9. Save Changes를 클릭합니다. 조건에 일치하는 사용자가 거부되지 않도록 하려면 기본 규칙을 편집하여 "Deny Access"라고 하십시오.

   

10. 마지막 단계는 서비스 선택 규칙을 정의하는 것입니다. 이 페이지에서는 수신 요청에 적용할 서비스를 결정하기 위해 단순 또는 규칙 기반 정책을 구성할 수 있습니다. 예를 들면 다음과 같습니다.

    

다음을 확인합니다.

스위치 포트에서 802.1x가 활성화되면 802.1x 트래픽을 제외한 모든 트래픽이 포트를 통해 차단됩니다. WLC에 이미 등록된 LAP의 연결이 해제됩니다. 성공한 802.1x 인증만 통과하도록 허용된 다른 트래픽입니다. 스위치에서 802.1x를 활성화한 후 WLC에 LAP를 성공적으로 등록하면 LAP 인증이 성공했음을 나타냅니다.

AP 콘솔:

*Jan 29 09:10:24.048: %DTLS-5-SEND_ALERT: Send FATAL : Close notify Alert to
   192.168.75.44:5246
*Jan 29 09:10:27.049: %DTLS-5-SEND_ALERT: Send FATAL : Close notify Alert to
   192.168.75.44:5247

!--- AP disconnects upon adding dot1x information in the gig0/11.

*Jan 29 09:10:30.104: %WIDS-5-DISABLED: IDS Signature is removed and disabled.
*Jan 29 09:10:30.107: %CAPWAP-5-CHANGED: CAPWAP changed state to DISCOVERY
*Jan 29 09:10:30.107: %CAPWAP-5-CHANGED: CAPWAP changed state to DISCOVERY
*Jan 29 09:10:30.176: %LINK-5-CHANGED: Interface Dot11Radio0, changed state to
   administratively down
*Jan 29 09:10:30.176: %LINK-5-CHANGED: Interface Dot11Radio1, changed state to
   administratively down
*Jan 29 09:10:30.186: %LINK-5-CHANGED: Interface Dot11Radio0, changed state to
   reset
*Jan 29 09:10:30.201: %LINK-3-UPDOWN: Interface Dot11Radio1, changed state to up
*Jan 29 09:10:30.211: %LINK-3-UPDOWN: Interface Dot11Radio0, changed state to up
*Jan 29 09:10:30.220: %LINK-5-CHANGED: Interface Dot11Radio1, changed state to
   reset
Translating "CISCO-CAPWAP-CONTROLLER"...domain server (192.168.150.25)
*Jan 29 09:10:36.203: status of voice_diag_test from WLC is false

*Jan 29 09:11:05.927: %DOT1X_SHIM-6-AUTH_OK: Interface GigabitEthernet0 authenticated [EAP-FAST] *Jan 29 09:11:08.947: %DHCP-6-ADDRESS_ASSIGN: Interface GigabitEthernet0 assigned DHCP address 192.168.153.106, mask 255.255.255.0, hostname 3502e


!--- Authentication is successful and the AP gets an IP.

Translating "CISCO-CAPWAP-CONTROLLER.Wlab"...domain server (192.168.150.25)
*Jan 29 09:11:37.000: %CAPWAP-5-DTLSREQSEND: DTLS connection request sent 
   peer_ip: 192.168.75.44 peer_port: 5246
*Jan 29 09:11:37.000: %CAPWAP-5-CHANGED: CAPWAP changed state to
*Jan 29 09:11:37.575: %CAPWAP-5-DTLSREQSUCC: DTLS connection created 
   successfully peer_ip: 192.168.75.44 peer_port: 5246
*Jan 29 09:11:37.578: %CAPWAP-5-SENDJOIN: sending Join Request to 192.168.75.44

*Jan 29 09:11:37.578: %CAPWAP-5-CHANGED: CAPWAP changed state to JOIN

*Jan 29 09:11:37.748: %CAPWAP-5-CHANGED: CAPWAP chan
wmmAC status is FALSEged state to CFG
*Jan 29 09:11:38.890: %LINK-3-UPDOWN: Interface Dot11Radio0, changed state to 
   down
*Jan 29 09:11:38.900: %LINK-5-CHANGED: Interface Dot11Radio0, changed state to 
   reset
*Jan 29 09:11:38.900: %CAPWAP-5-CHANGED: CAPWAP changed state to UP
*Jan 29 09:11:38.956: %CAPWAP-5-JOINEDCONTROLLER: AP has joined controller 
   5508-3
*Jan 29 09:11:39.013: %CAPWAP-5-DATA_DTLS_START: Starting Data DTLS handshake. 
   Wireless client traffic will be blocked until DTLS tunnel is established.
*Jan 29 09:11:39.013: %LINK-3-UPDOWN: Interface Dot11Radio0, changed state to up
*Jan 29 09:11:39.016: %LWAPP-3-CLIENTEVENTLOG: SSID goa added to the slot[0]
*Jan 29 09:11:39.028: %LINK-3-UPDOWN: Interface Dot11Radio1, changed state to 
   down
*Jan 29 09:11:39.038: %LINK-5-CHANGED: Interface Dot11Radio1, changed state to 
   reset
*Jan 29 09:11:39.054: %LINK-3-UPDOWN: Interface Dot11Radio1, changed state to up
*Jan 29 09:11:39.060: %LINK-3-UPDOWN: Interface Dot11Radio0, changed state to 
   down
*Jan 29 09:11:39.069: %LINK-5-CHANGED: Interface Dot11Radio0, changed state to 
   reset
*Jan 29 09:11:39.085: %LINK-3-UPDOWN: Interface Dot11Radio0, changed state to up
*Jan 29 09:11:39.135: %LWAPP-3-CLIENTEVENTLOG: SSID goa added to the slot[1]DTLS
   keys are plumbed successfully.
*Jan 29 09:11:39.151: %CAPWAP-5-DATA_DTLS_ESTABLISHED: Data DTLS tunnel 
   established.
*Jan 29 09:11:39.161: %WIDS-5-ENABLED: IDS Signature is loaded and enabled

!--- AP joins the 5508-3 WLC.

ACS 로그:

1. 적중 횟수 보기:

   인증 후 15분 이내에 로그를 확인 하는 경우 Hit Count(히트 수)를 새로 고침 해야 합니다. 같은 페이지의 하단에는 Hit Count 탭이 있습니다.

   

   

2. Monitoring and Reports를 클릭하면 새 팝업 창이 나타납니다. Authentications -RADIUS -Today를 클릭합니다. 또한 Details를 클릭하여 어떤 서비스 선택 규칙이 적용되었는지 확인할 수 있습니다.

   

문제 해결

현재 이 컨피그레이션에 사용할 수 있는 특정 문제 해결 정보가 없습니다.

관련 정보

• Cisco Secure Access Control System
• 기술 지원 및 문서 − Cisco Systems

개정 이력