Skip to Content
05. Security07. AAA Configuration on Cisco Switch

Cisco 스위치에서 AAA 구성

이 강의에서는 Cisco Catalyst 스위치를 AAA와 802.1X를 사용한 포트 기반 인증으로 구성하는 방법을 살펴봅니다. AAA(Authentication, Authorization, Accounting) 또는 802.1X에 대해 모르신다면 먼저 AAA와 802.1X 소개 강의를 보시는 것이 좋습니다.

다음 토폴로지를 사용합니다.

05_AAA Configuration on Cisco Switch_img_p01_01

RADIUS 서버를 사용한 802.1X 예제를 보여드리겠습니다. 인증 서버로는 Elektron RADIUS 서버를 사용하겠습니다. 설치가 쉽고 멋진 GUI를 가지고 있기 때문입니다.

1. RADIUS 서버 구성

05_AAA Configuration on Cisco Switch_img_p02_01 05_AAA Configuration on Cisco Switch_img_p02_02

Elektron 같은 RADIUS 서버를 사용하면 Windows Server 설치, Active Directory 구성, 수많은 체크박스 확인, Linux에서 FreeRADIUS와 씨름하는 시간을 절약할 수 있습니다. RADIUS 서버를 구성할 때는 공유 비밀번호를 만들어야 합니다.

05_AAA Configuration on Cisco Switch_img_p03_01

간단하게 “radiuspass”를 사용하겠습니다. Next를 클릭하면 다음 화면이 나타납니다.

다양한 인증 방법이 있습니다. 예를 들면:

  • 사용자 이름과 비밀번호만
  • 사용자 이름, 비밀번호, 그리고 서버에 디지털 인증서
  • 사용자 이름, 비밀번호, 그리고 서버와 클라이언트 모두에 디지털 인증서

운영 네트워크에서는 이미 네트워크 내에 인증 기관이 있을 수 있습니다. 이 데모에서는 인증서에 신경 쓰지 않지만, 향후 사용해보고 싶을 경우를 대비해 어쨌든 생성하겠습니다. 다음 단계에서는 RADIUS 서버 이름을 구성하고, 디지털 인증서를 원하면 그에 관한 몇 가지 질문을 받게 됩니다. 완료되면 Elektron 메인 화면이 표시됩니다.

05_AAA Configuration on Cisco Switch_img_p04_01 05_AAA Configuration on Cisco Switch_img_p04_02

기본적으로 모든 것이 즉시 작동해야 하므로 아무것도 건드릴 필요가 없습니다. 사용자 계정을 추가해 봅시다.

새 사용자 계정을 만들겠습니다. Authentication > Elektron Accounts를 클릭하고 메뉴의 녹색 더하기 기호를 클릭합니다.

05_AAA Configuration on Cisco Switch_img_p05_01 05_AAA Configuration on Cisco Switch_img_p05_02

새 사용자 계정은 Alice로 만들겠습니다. 비밀번호는 “safe”로 하고, 어떤 그룹에도 속하게 하지 않겠습니다. OK를 클릭합니다.

기본적으로 Elektron은 자체 데이터베이스 대신 Windows 사용자 이름을 확인합니다. 로컬 데이터베이스를 사용하도록 구성해야 합니다. Authentication Domains를 클릭하고 Default Authentication Domain을 클릭합니다.

05_AAA Configuration on Cisco Switch_img_p06_01

이를 Elektron Accounts로 변경하고 OK를 클릭합니다. Elektron RADIUS 서버에서 해야 할 일은 이게 전부입니다. 이제 스위치를 살펴봅시다!

2. 스위치 구성

먼저, SW1과 Elektron RADIUS 서버가 서로 통신할 수 있도록 해야 합니다. 관리 인터페이스(VLAN 1)를 사용하고 IP 주소를 구성합니다.

SW1(config)# interface vlan 1
SW1(config-if)# ip address 192.168.1.100 255.255.255.0

이제 AAA를 활성화해야 합니다.

SW1(config)# aaa new-model

이는 중요한 명령입니다. aaa new-model을 사용해 우리에게 필요한 다양한 AAA 명령을 모두 잠금 해제합니다. RADIUS 서버를 구성합시다.

05_AAA Configuration on Cisco Switch_img_p07_02 
SW1(config)# radius server ELEKTRON
SW1(config-radius-server)# address ipv4 192.168.1.200 auth-port 1812 acct-port 1813
SW1(config-radius-server)# key radiuspass

RADIUS 서버 이름(ELEKTRON)은 자유롭게 정할 수 있습니다. key는 Elektron에서 만든 공유 비밀번호(radiuspass)와 일치해야 합니다.

다음으로 802.1X에 RADIUS 그룹을 사용하도록 인증 리스트를 만듭니다.

SW1(config)# aaa authentication dot1x default group radius

그리고 스위치 전역에서 802.1X 시스템 인증을 활성화합니다.

SW1(config)# dot1x system-auth-control

이 명령이 없으면 인터페이스 단에서 dot1x port-control을 설정해도 인증이 동작하지 않습니다.

이제 802.1X를 적용할 인터페이스를 구성합시다. 클라이언트(Alice)가 fa0/1에 연결될 것입니다.

SW1(config)# interface fa0/1
SW1(config-if)# switchport mode access
SW1(config-if)# authentication port-control auto
SW1(config-if)# dot1x pae authenticator
  • switchport mode access: 802.1X는 access 포트에서만 동작합니다.
  • authentication port-control auto: 포트를 Unauthorized 상태로 두고 인증 성공 시 Authorized로 전환합니다. 다른 옵션으로 force-authorized(항상 허용, 기본값), force-unauthorized(항상 차단)가 있습니다.
  • dot1x pae authenticator: 스위치가 Authenticator 역할을 한다고 명시합니다.

참고: 구형 IOS에서는 dot1x port-control auto 명령을 사용했습니다. 현재 대부분의 Catalyst IOS/IOS-XE는 Authentication Manager 기반의 authentication port-control auto 로 통일되어 있으며, 구형 문법도 하위 호환됩니다. IE3000 같은 산업용 스위치는 이미지에 따라 명령이 다를 수 있으니 ?로 확인하세요.

3. 클라이언트 구성

Windows 10/11 클라이언트 기준:

  1. 서비스 관리자에서 Wired AutoConfig 서비스를 자동 시작으로 변경 후 시작합니다.
  2. 이더넷 어댑터 속성 → 인증 탭에서 “IEEE 802.1X 인증 사용”을 체크합니다.
  3. 네트워크 인증 방법으로 Microsoft: Protected EAP (PEAP) 또는 Microsoft: EAP-MSCHAP v2 를 선택합니다.
  4. 추가 설정에서 사용자 이름과 비밀번호(Alice / safe)를 입력합니다.

케이블을 꽂으면 인증 팝업이 뜨거나, 저장된 자격 증명으로 자동 인증됩니다.

4. 검증

스위치에서 포트 상태를 확인합니다.

SW1# show authentication sessions interface fa0/1
            Interface:  FastEthernet0/1
          MAC Address:  0050.7966.6800
         IP Address:  Unknown
          User-Name:  Alice
             Status:  Authz Success
             Domain:  DATA
     Security Policy:  Should Secure
     Security Status:  Unsecure
      Oper host mode:  single-host
    Oper control dir:  both
       Authorized By:  Authentication Server
       Vlan Policy:  N/A
     Session timeout:  N/A
        Idle timeout:  N/A
   Common Session ID:  C0A80164000000060002C738
      Acct Session ID:  0x00000007
           Handle:  0x4E000006
  • Status: Authz Success 면 인증 성공.
  • 실패 시 debug dot1x all, debug radius authentication으로 트러블슈팅합니다.
  • Elektron 로그에서도 Access-Accept가 기록되었는지 확인하세요.

인증 실패 클라이언트가 연결된 포트는 계속 Unauthorized 상태로 남아 일반 트래픽이 모두 차단됩니다.

5. 결론

  • 스위치에서 802.1X를 사용하려면 aaa new-model → RADIUS 서버 정의 → aaa authentication dot1x 리스트 → dot1x system-auth-control → 인터페이스 authentication port-control auto 순으로 구성합니다.
  • 포트는 인증 전까지 EAPOL 외 모든 트래픽을 차단합니다.
  • 클라이언트(supplicant)는 OS 기본 기능 또는 Cisco AnyConnect NAM 같은 전용 소프트웨어로 설정합니다.
  • 실패 시나리오에 대비해 폴백 VLAN(authentication event fail action authorize vlan X) 이나 Guest VLAN 을 구성하면 운영이 한결 편합니다.

출처: networklessons.com - AAA Configuration on Cisco Switch

태그: 802.1X, AAA, Security

06. AAA Authentication on Cisco IOS08. AAA Local Command Authorization