ACS 5.2 및 WLC를 사용하여 PEAP 및 EAP-FAST 구성

소개

이 문서에서는 ACS(Access Control Server) 5.2와 같은 외부 RADIUS 서버를 사용하여 EAP(Extensible Authentication Protocol) 인증을 위한 WLC(Wireless LAN Controller)를 구성하는 방법에 대해 설명합니다.

사전 요구 사항

요구 사항

이 구성을 시도하기 전에 다음 요구 사항을 충족해야 합니다.

• WLC 및 LAP(Lightweight Access Point)에 대한 기본적인 지식 보유

• AAA 서버에 대한 기능 지식 보유

• 무선 네트워크 및 무선 보안 문제에 대한 철저한 지식 보유

사용되는 구성 요소

이 문서의 정보는 다음 소프트웨어 및 하드웨어 버전을 기반으로 합니다.

• 펌웨어 릴리스 7.0.220.0을 실행하는 Cisco 5508 WLC

• Cisco 3502 Series LAP

• Intel 6300-N 드라이버 버전 14.3을 사용하는 Microsoft Windows 7 기본 신청자

• 버전 5.2를 실행하는 Cisco Secure ACS

• Cisco 3560 Series 스위치

이 문서의 정보는 특정 랩 환경의 디바이스를 토대로 작성되었습니다. 이 문서에 사용된 모든 디바이스는 초기화된(기본) 컨피그레이션으로 시작되었습니다. 현재 네트워크가 작동 중인 경우, 모든 명령어의 잠재적인 영향을 미리 숙지하시기 바랍니다.

표기 규칙

문서 규칙에 대한 자세한 내용은 Cisco 기술 팁 규칙을 참조하십시오.

구성

이 섹션에는 이 문서에서 설명하는 기능을 구성하기 위한 정보가 표시됩니다.

참고: 명령 조회 도구(등록된 고객만 해당)를 사용하여 이 섹션에 사용된 명령에 대한 자세한 내용을 확인하십시오.

네트워크 다이어그램

이 문서에서는 다음 네트워크 설정을 사용합니다.

다음은 이 다이어그램에서 사용되는 구성 요소의 구성 세부 정보입니다.

• ACS(RADIUS) 서버의 IP 주소는 192.168.150.24입니다.

• WLC의 관리 및 AP 관리자 인터페이스 주소는 192.168.75.44입니다.

• DHCP 서버는 192.168.150.25 주소를 지정합니다.

• VLAN 253은 이 컨피그레이션 전체에서 사용됩니다. 두 사용자 모두 동일한 SSID "goa"에 연결합니다. 그러나 user1은 EAP-FAST를 사용하여 PEAP-MSCHAPv2 및 user2를 사용하여 인증하도록 구성됩니다.

• 사용자는 VLAN 253에 할당됩니다.

  • VLAN 253: 192.168.153.x/24. 게이트웨이: 192.168.153.1

  • VLAN 75: 192.168.75.x/24. 게이트웨이: 192.168.75.1

가정

• 스위치는 모든 레이어 3 VLAN에 대해 구성됩니다.

• DHCP 서버에 DHCP 범위가 할당됩니다.

• 네트워크의 모든 디바이스 간에 레이어 3 연결이 존재합니다.

• LAP가 이미 WLC에 조인되었습니다.

• 각 VLAN에는 /24 마스크가 있습니다.

• ACS 5.2에 자체 서명 인증서가 설치되어 있습니다.

구성 단계

이 컨피그레이션은 다음 세 단계로 구분됩니다.

1. RADIUS 서버를 구성합니다.

2. WLC를 구성합니다.

3. 무선 클라이언트 유틸리티를 구성합니다.

RADIUS 서버 구성

RADIUS 서버 컨피그레이션은 다음 4단계로 구성됩니다.

1. 네트워크 리소스를 구성합니다.

2. 사용자를 구성합니다.

3. 정책 요소를 정의합니다.

4. 액세스 정책을 적용합니다.

ACS 5.x는 정책 기반 액세스 제어 시스템입니다. 즉, ACS 5.x는 4.x 버전에서 사용되는 그룹 기반 모델 대신 규칙 기반 정책 모델을 사용합니다.

ACS 5.x 규칙 기반 정책 모델은 이전 그룹 기반 접근 방식에 비해 더 강력하고 유연한 액세스 제어를 제공합니다.

이전 그룹 기반 모델에서 그룹은 다음과 같은 세 가지 유형의 정보를 포함하고 하나로 묶기 때문에 정책을 정의합니다.

• ID 정보 - 이 정보는 AD 또는 LDAP 그룹의 멤버십 또는 내부 ACS 사용자에 대한 정적 할당을 기반으로 할 수 있습니다.

• 기타 제한 사항 또는 조건 - 시간 제한, 장치 제한 등

• 권한 - VLAN 또는 Cisco IOS^® 권한 레벨

ACS 5.x 정책 모델은 다음 형식의 규칙을 기반으로 합니다.

• 조건이 있는 경우 결과

예를 들어, 그룹 기반 모델에 대해 설명한 정보를 사용합니다.

• identity-condition인 경우 restriction-condition과 authorization-profile입니다.

따라서 사용자가 네트워크에 액세스할 수 있는 조건 및 특정 조건이 충족될 때 허용되는 인증 레벨에 따라 유연하게 제한할 수 있습니다.

네트워크 리소스 구성

이 섹션에서는 RADIUS 서버의 WLC에 대해 AAA 클라이언트를 구성합니다.

이 절차에서는 WLC가 사용자 자격 증명을 RADIUS 서버에 전달할 수 있도록 RADIUS 서버에 AAA 클라이언트로 WLC를 추가하는 방법에 대해 설명합니다.

다음 단계를 완료하십시오.

1. ACS GUI에서 Network Resources(네트워크 리소스) > Network Device Groups(네트워크 디바이스 그룹) > Location(위치)으로 이동하고 Create(생성)를 클릭합니다(하단).

   

2. 필수 필드를 추가하고 Submit(제출)을 클릭합니다.

   

   이제 다음 화면이 표시됩니다.

   

3. Device Type(디바이스 유형) > Create(생성)를 클릭합니다.

   

4. Submit(제출)을 클릭합니다. 이제 다음 화면이 표시됩니다.

   

5. Network Resources(네트워크 리소스) > Network Devices and AAA Clients(네트워크 디바이스 및 AAA 클라이언트)로 이동합니다.

6. Create(생성)를 클릭하고 다음과 같이 세부사항을 입력합니다.

   

7. Submit(제출)을 클릭합니다. 이제 다음 화면이 표시됩니다.

   

사용자 구성

이 섹션에서는 ACS에서 로컬 사용자를 생성합니다. 사용자(user1 및 user2)는 모두 "무선 사용자"라는 그룹에 할당됩니다.

1. Users and Identity Stores(사용자 및 ID 저장소) > Identity Groups(ID 그룹) > Create(생성)로 이동합니다.

   

2. Submit(제출)을 클릭하면 페이지가 다음과 같이 표시됩니다.

   

3. 사용자 user1 및 user2를 생성하고 "무선 사용자" 그룹에 할당합니다.

   1. Users and Identity Stores(사용자 및 ID 저장소) > Identity Groups(ID 그룹) > Users(사용자) > Create(생성)를 클릭합니다.

      

   2. 마찬가지로 user2를 생성합니다.

      

   화면이 다음과 같이 표시됩니다.

   

정책 요소 정의

Permit Access가 설정되어 있는지 확인합니다.

액세스 정책 적용

이 섹션에서는 사용할 인증 방법 및 규칙 구성 방법을 선택하겠습니다. 이전 단계를 기반으로 규칙을 생성합니다.

다음 단계를 완료하십시오.

1. Access Policies(액세스 정책) > Access Services(액세스 서비스) > Default Network Access(기본 네트워크 액세스) > Edit(수정)로 이동합니다. "기본 네트워크 액세스".

   

2. 무선 클라이언트가 인증할 EAP 방법을 선택합니다. 이 예에서는 PEAP - MSCHAPv2 및 EAP-FAST를 사용합니다.

   

   

3. Submit(제출)을 클릭합니다.

4. 선택한 ID 그룹을 확인합니다. 이 예에서는 ACS에서 생성한 내부 사용자를 사용합니다. 변경 사항을 저장합니다.

   

5. 권한 부여 프로파일을 확인하려면 Access Policies(액세스 정책) > Access Services(액세스 서비스) > Default Network Access(기본 네트워크 액세스) > Authorization(권한 부여)으로 이동합니다.

   네트워크에 대한 사용자 액세스를 허용할 조건 및 인증된 후 어떤 권한 부여 프로파일(특성)을 전달할 것인지 여부에 따라 사용자 지정할 수 있습니다. 이 세분화는 ACS 5.x에서만 사용할 수 있습니다. 이 예에서는 Location(위치), Device Type(디바이스 유형), Protocol(프로토콜), Identity Group(ID 그룹), EAP Authentication Method(EAP 인증 방법)를 선택했습니다.

   

6. 확인을 클릭하고 변경 사항 저장을 클릭합니다.

7. 다음 단계는 규칙을 생성하는 것입니다. 정의된 규칙이 없으면 조건 없이 클라이언트가 액세스할 수 있습니다.

   Create(생성) > Rule-1을 클릭합니다. 이 규칙은 "Wireless Users(무선 사용자)" 그룹의 사용자를 위한 것입니다.

   

8. 변경 사항을 저장합니다. 화면이 다음과 같이 표시됩니다.

   

   사용자가 조건과 매칭하지 않도록 하려면 기본 규칙을 편집하여 "deny access"라고 하십시오.

9. 이제 서비스 선택 규칙을 정의하겠습니다. 수신 요청에 적용할 서비스를 결정하는 단순 또는 규칙 기반 정책을 구성하려면 이 페이지를 사용합니다. 이 예에서는 규칙 기반 정책이 사용됩니다.

   

WLC 구성

이 구성에는 다음 단계가 필요합니다.

1. 인증 서버의 세부 정보로 WLC를 구성합니다.

2. 동적 인터페이스(VLAN)를 구성합니다.

3. WLAN(SSID)을 구성합니다.

인증 서버의 세부 정보로 WLC 구성

RADIUS 서버와 통신하여 클라이언트 및 다른 모든 트랜잭션에 대해 인증할 수 있도록 WLC를 구성해야 합니다.

다음 단계를 완료하십시오.

1. 컨트롤러 GUI에서 Security(보안)를 클릭합니다.

2. RADIUS 서버의 IP 주소와 RADIUS 서버와 WLC 간에 사용되는 Shared Secret 키를 입력합니다.

   이 공유 암호 키는 RADIUS 서버에 구성된 키와 같아야 합니다.

   

동적 인터페이스(VLAN) 구성

이 절차에서는 WLC에서 동적 인터페이스를 구성하는 방법을 설명합니다.

다음 단계를 완료하십시오.

1. 동적 인터페이스는 컨트롤러 GUI의 Controller(컨트롤러) > Interfaces(인터페이스) 창에서 구성됩니다.

   

2. Apply를 클릭합니다.

   그러면 이 동적 인터페이스의 Edit(수정) 창(VLAN 253 here)으로 이동합니다.

3. 이 동적 인터페이스의 IP 주소 및 기본 게이트웨이를 입력합니다.

   

4. Apply를 클릭합니다.

5. 구성된 인터페이스는 다음과 같습니다.

   

WLAN(SSID) 구성

이 절차에서는 WLC에서 WLAN을 구성하는 방법에 대해 설명합니다.

다음 단계를 완료하십시오.

1. 컨트롤러 GUI에서 WLANs(WLANs) > Create New(새로 만들기)로 이동하여 새 WLAN을 생성합니다. New WLANs(새 WLANs) 창이 표시됩니다.

2. WLAN ID 및 WLAN SSID 정보를 입력합니다.

   WLAN SSID로 이름을 입력할 수 있습니다. 이 예에서는 goa를 WLAN SSID로 사용합니다.

   

3. Apply(적용)를 클릭하여 WLAN 탭의 Edit(편집) 창으로 이동합니다.

   

   

   

   

무선 클라이언트 유틸리티 구성

PEAP-MSCHAPv2(사용자1)

테스트 클라이언트에서는 14.3 드라이버 버전을 실행하는 Intel 6300-N 카드와 함께 Windows 7 네이티브 서 플리 컨 트를 사용합니다. 공급업체의 최신 드라이버를 사용하여 테스트하는 것이 좋습니다.

WZC(Windows Zero Config)에서 프로필을 생성하려면 다음 단계를 완료합니다.

1. 제어판 > 네트워크 및 인터넷 > 무선 네트워크 관리로 이동합니다.

2. Add 탭을 클릭합니다.

3. 네트워크 프로필 수동 생성을 클릭합니다.

   

4. WLC에 구성된 대로 세부 정보를 추가합니다.

   참고: SSID는 대/소문자를 구분합니다.

5. Next(다음)를 클릭합니다.

   

6. 설정을 다시 확인하려면 연결 설정 변경을 클릭합니다.

   

7. PEAP를 활성화했는지 확인합니다.

   

   

8. 이 예에서는 서버 인증서의 유효성을 검사하지 않습니다. 이 확인란을 선택하고 연결할 수 없는 경우 기능을 비활성화한 후 다시 테스트합니다.

   

9. 또는 Windows 자격 증명을 사용하여 로그인할 수도 있습니다. 그러나 이 예에서는 이 기능을 사용하지 않습니다. 확인을 클릭합니다.

   

10. 사용자 이름과 비밀번호를 구성하려면 고급 설정을 클릭합니다.

    

    

    

이제 클라이언트 유틸리티를 연결할 준비가 되었습니다.

EAP-FAST(사용자2)

테스트 클라이언트에서는 14.3 드라이버 버전을 실행하는 Intel 6300-N 카드와 함께 Windows 7 네이티브 서 플리 컨 트를 사용합니다. 공급업체의 최신 드라이버를 사용하여 테스트하는 것이 좋습니다.

WZC에서 프로필을 생성하려면 다음 단계를 완료합니다.

1. 제어판 > 네트워크 및 인터넷 > 무선 네트워크 관리로 이동합니다.

2. Add 탭을 클릭합니다.

3. 네트워크 프로필 수동 생성을 클릭합니다.

   

4. WLC에 구성된 대로 세부 정보를 추가합니다.

   참고: SSID는 대/소문자를 구분합니다.

5. Next(다음)를 클릭합니다.

   

6. 설정을 다시 확인하려면 연결 설정 변경을 클릭합니다.

   

7. EAP-FAST가 활성화되었는지 확인합니다.

   참고: 기본적으로 WZC에는 인증 방법으로 EAP-FAST가 없습니다. 타사 공급업체에서 유틸리티를 다운로드해야 합니다. 이 예에서는 Intel 카드이므로 시스템에 Intel PROSet이 설치되어 있습니다.

   

   

8. Enable automatic PAC provisioning(자동 PAC 프로비저닝 허용)을 활성화하고 Validate server certificate(서버 인증서 검증)가 선택되지 않았는지 확인합니다.

   

9. 사용자 자격 증명 탭을 클릭하고 user2의 자격 증명을 입력합니다. 또는 Windows 자격 증명을 사용하여 로그인할 수도 있습니다. 그러나 이 예에서는 이 기능을 사용하지 않습니다.

   

10. 확인을 클릭합니다.

    

이제 클라이언트 유틸리티가 사용자2에 연결할 준비가 되었습니다.

참고: user2가 인증하려고 하면 RADIUS 서버가 PAC를 보냅니다. 인증을 완료하려면 PAC를 수락합니다.

다음을 확인합니다.

이 섹션을 사용하여 컨피그레이션이 제대로 작동하는지 확인합니다.

Output Interpreter 도구(등록된 고객만 해당)(OIT)는 특정 show 명령을 지원합니다. OIT를 사용하여 show 명령 출력의 분석을 봅니다.

user1(PEAP-MSCHAPv2) 확인

WLC GUI에서 Monitor(모니터링) > Clients(클라이언트)로 이동하여 MAC 주소를 선택합니다.

WLC RADIUS 통계:

(Cisco Controller) >show radius auth statistics
Authentication Servers:
Server Index..................................... 1
Server Address................................... 192.168.150.24
Msg Round Trip Time.............................. 1 (msec)
First Requests................................... 8
Retry Requests................................... 0
Accept Responses................................. 1
Reject Responses................................. 0
Challenge Responses.............................. 7
Malformed Msgs................................... 0
Bad Authenticator Msgs........................... 0
Pending Requests................................. 0
Timeout Requests................................. 0
Unknowntype Msgs................................. 0
Other Drops...................................... 0

ACS 로그:

1. 적중 횟수를 보려면 다음 단계를 완료하십시오.

   1. 인증 후 15분 내에 로그를 확인 하는 경우 적중 횟수를 새로 고침 해야 합니다.

      

   2. 같은 페이지 하단에 Hit Count(히트 수) 탭이 있습니다.

      

2. Monitoring and Reports를 클릭하면 New 팝업 창이 나타납니다. Authentications -Radius -Today로 이동합니다. 또한 Details를 클릭하여 어떤 서비스 선택 규칙이 적용되었는지 확인할 수 있습니다.

   

사용자2 확인(EAP-FAST)

WLC GUI에서 Monitor(모니터링) > Clients(클라이언트)로 이동하여 MAC 주소를 선택합니다.

ACS 로그:

1. 적중 횟수를 보려면 다음 단계를 완료하십시오.

   1. 인증 후 15분 내에 로그를 확인 하는 경우 HIT 수를 새로 고침 해야 합니다.

      

   2. 같은 페이지 하단에 Hit Count(히트 수) 탭이 있습니다.

      

2. Monitoring and Reports를 클릭하면 New 팝업 창이 나타납니다. Authentications -Radius -Today로 이동합니다. 또한 Details를 클릭하여 어떤 서비스 선택 규칙이 적용되었는지 확인할 수 있습니다.

   

문제 해결

이 섹션에서는 컨피그레이션 문제를 해결하는 데 사용할 수 있는 정보를 제공합니다.

문제 해결 명령

Output Interpreter 도구(등록된 고객만 해당)(OIT)는 특정 show 명령을 지원합니다. OIT를 사용하여 show 명령 출력의 분석을 봅니다.

참고: debug 명령을 사용하기 전에 디버그 명령에 대한 중요 정보를 참조하십시오.

1. 문제가 발생하면 WLC에서 다음 명령을 실행합니다.

   • 디버그 클라이언트 <클라이언트의 mac 추가>

   • 디버그 aaa all 활성화

   • show client detail <mac addr> - 정책 관리자 상태를 확인합니다.

   • show radius auth statistics - 실패 사유를 확인합니다.

   • debug disable-all - 디버그 끄기

   • clear stats radius auth all - WLC에서 radius 통계를 지웁니다.

2. ACS에서 로그를 확인하고 실패 사유를 기록합니다.

관련 정보

• 기술 지원 및 문서 − Cisco Systems

Revision History