Skip to Content
05. SecurityAAA Configuration on Cisco Switch

Cisco 스위치에서 AAA 구성

학습 목차

  1. RADIUS 서버 구성
  2. 스위치 구성
  3. 클라이언트 구성

이 강의에서는 Cisco Catalyst 스위치를 AAA와 802.1X를 사용한 포트 기반 인증으로 구성하는 방법을 살펴봅니다. AAA(Authentication, Authorization, Accounting) 또는 802.1X에 대해 모르신다면 먼저 AAA와 802.1X 소개 강의를 보시는 것이 좋습니다.

다음 토폴로지를 사용합니다.

토폴로지

RADIUS 서버를 사용한 802.1X 예제를 보여드리겠습니다. 인증 서버로는 Elektron RADIUS 서버를 사용하겠습니다. 설치가 쉽고 멋진 GUI를 가지고 있기 때문입니다.

1. RADIUS 서버 구성

RADIUS 서버 설정 - 1 RADIUS 서버 설정 - 2

Elektron 같은 RADIUS 서버를 사용하면 Windows Server 설치, Active Directory 구성, 수많은 체크박스 확인, Linux에서 FreeRADIUS와 씨름하는 시간을 절약할 수 있습니다. RADIUS 서버를 구성할 때는 공유 비밀번호를 만들어야 합니다.

공유 비밀번호 설정

간단하게 “radiuspass”를 사용하겠습니다. Next를 클릭하면 다음 화면이 나타납니다.

다양한 인증 방법이 있습니다. 예를 들면:

  • 사용자 이름과 비밀번호만
  • 사용자 이름, 비밀번호, 그리고 서버에 디지털 인증서
  • 사용자 이름, 비밀번호, 그리고 서버와 클라이언트 모두에 디지털 인증서

운영 네트워크에서는 이미 네트워크 내에 인증 기관이 있을 수 있습니다. 이 데모에서는 인증서에 신경 쓰지 않지만, 향후 사용해보고 싶을 경우를 대비해 어쨌든 생성하겠습니다. 다음 단계에서는 RADIUS 서버 이름을 구성하고, 디지털 인증서를 원하면 그에 관한 몇 가지 질문을 받게 됩니다. 완료되면 Elektron 메인 화면이 표시됩니다.

Elektron 메인 화면 1 Elektron 메인 화면 2

기본적으로 모든 것이 즉시 작동해야 하므로 아무것도 건드릴 필요가 없습니다. 사용자 계정을 추가해 봅시다.

새 사용자 계정을 만들겠습니다. Authentication > Elektron Accounts를 클릭하고 메뉴의 녹색 더하기 기호를 클릭합니다.

사용자 계정 추가 1 사용자 계정 추가 2

새 사용자 계정은 Alice로 만들겠습니다. 비밀번호는 “safe”로 하고, 어떤 그룹에도 속하게 하지 않겠습니다. OK를 클릭합니다.

기본적으로 Elektron은 자체 데이터베이스 대신 Windows 사용자 이름을 확인합니다. 로컬 데이터베이스를 사용하도록 구성해야 합니다. Authentication Domains를 클릭하고 Default Authentication Domain을 클릭합니다.

인증 도메인 설정

이를 Elektron Accounts로 변경하고 OK를 클릭합니다. Elektron RADIUS 서버에서 해야 할 일은 이게 전부입니다. 이제 스위치를 살펴봅시다!

2. 스위치 구성

먼저, SW1과 Elektron RADIUS 서버가 서로 통신할 수 있도록 해야 합니다. 관리 인터페이스(VLAN 1)를 사용하고 IP 주소를 구성합니다.

SW1(config)# interface vlan 1
SW1(config-if)# ip address 192.168.1.100 255.255.255.0

이제 AAA를 활성화해야 합니다.

SW1(config)# aaa new-model

이는 중요한 명령입니다. aaa new-model을 사용해 우리에게 필요한 다양한 AAA 명령을 모두 잠금 해제합니다. RADIUS 서버를 구성합시다.

RADIUS 서버 구성

본 강의는 NetworkLessons.com의 미리보기 버전입니다. 전체 내용은 멤버십 가입 후 확인 가능합니다.

포럼 답글

system

훌륭한 글입니다, Rene 감사합니다.

mazc13

저는 이런 것을 찾고 있었어요… 감사합니다.

sakeb1660

다른 사용자가 다른 비밀번호를 설정하려면 어떻게 구성할 수 있나요?

ReneMolenaar

안녕 Sakeb,

이는 RADIUS 서버에서 할 수 있습니다. 제 예제에서는 사용자 계정(Alice)을 하나만 만들었지만, 여기서 사용자별로 계정을 만들 수 있습니다.

Rene

hansderoode

안녕 Rene,

저는 SW 버전 15의 IE3000 스위치를 사용하고 있는데, dot1x port-control auto 명령이 존재하지 않습니다. 다음 옵션이 있습니다:

ASW1(config-if)#dot1x ?
  authenticator   Configure authenticator parameters
  credentials     Credentials profile configuration
  default         Configure Dot1x with default values for this port
  max-reauth-req  Max No. of Reauthentication Attempts
  max-req         Max No. of Retries
  max-start       Max No. of EAPOL-Start requests
  pae             Set 802.1x interface pae type
  supplicant      Configure supplicant parameters
  timeout         Various Timeouts

default를 시도해 봤지만…

… 포럼에서 계속 읽기

68개의 추가 답글이 있습니다. 커뮤니티 포럼을 방문해 질문하거나 토론에 참여하세요.

출처: networklessons.com - AAA Configuration on Cisco Switch

태그: 802.1X, AAA, Security

AAA Authentication on Cisco IOSAAA Local Command Authorization