802.1x 사용자 인증 포트를 설정하려면, 가장 먼저 사용자 장비의 802.1x 데몬을 활성화해야 합니 다. 사용자 장비의 802.1x 데몬을 활성화하려면 다음 명령어를 사용하십시오.
명령어 모 드 기 능
dot1x system-auth-control 802.1x 데몬을 활성화합니다.
no dot1x system-auth-control
Global
802.1x 데몬을 비활성화합니다.
8.1.2 인증 서버 설정
포트에 802.1x 사용자 인증을 설정하였다면 접속 권한을 가지고 있는 사용자에 대한 데이터를 가 지고 있는 RADIUS 서버가 존재하게 마련입니다. 사용자는 802.1x 사용자 인증 포트를 지정한 후 자신의 장비가 사용하게 될 RADIUS 서버의 IP 주소와 Key 값을 등록해야 합니다.
RADIUS servers A : 10.1.1.1 B : 20.1.1.1 C : 30.1.1.1
: : J : 100.1.1.1
【 그림 8-2 】Multi Authentication Server V5524 스위치
[ Authenticator ]
[ Supplicant ] [ Authentication server ]
RADIUS server PC
순서대로 인증 요청
응답 Default
RADIUS 서버로 지정
여러 개의 서버를 등록해 두면, 첫 번째로 등록한 RADIUS 서버부터 인증 요청을 시작하게 되고, 응답이 없을 때에는 두 번째 지정한 RADIUS 서버에게 인증을 요청하게 됩니다. 등록한 순서에 따 라 인증 요청을 시도하게 되며 응답을 한 서버는 응답을 한 시점부터 Default 서버가 됩니다.
Default 서버가 정해지면, 그 이후의 모든 인증 요청은 Default 서버가 된 RADIUS 서버에서부터 시 작합니다. 다시 Default 서버로부터 응답이 없어지면 다음으로 지정된 RADIUS 서버에 인증 요청을 시도합니다.
8.1.2.1 RADIUS 서버 등록
다음은 RADIUS 서버의 IP 주소와 Key 값을 등록할 때 사용하는 명령어입니다.
Authenticator에 RADIUS 서버를 등록하는 것처럼 RADIUS 서버에도 Authenticator를 등록해야 합니 다. 이 때 Authenticator와 RADIUS 서버는 서로의 IP 주소를 등록하는 것 외에도 서로를 인증해줄 별도의 데이터가 필요한데 이것을 Key라고 하며 각각 동일한 값을 넣어주어야 합니다.
명령어 모 드 기 능
dot1x radius-server
host {srv-name | srv-ip-address}
[auth-port auth-port-num] key value
RADIUS 서버의 IP 주소와 Key를 등록합니다.
no dot1x radius-server host {srv-name | srv-ip-address}
Global
등록했던 RADIUS 서버를 삭제합니다.
참 고
Key 값인 value로는 공백이나 특수 문자를 제외한 모든 문자를 사용할 수 있습니다.
참 고
인증에 사용되는 UDP 포트인 auth-port-num는 <0 – 65, 535> 사이에서 설정 가능합니다.
참 고
V5524 스위치는 Authentication Server가 되는 RADIUS 서버를 5개까지 지정할 수 있습니다.
8.1.2.2 RADIUS 서버 우선 순위 지정
사용자는 다음 명령어로 등록된 RADIUS 서버들의 우선 순위를 지정할 수 있습니다.
명령어 모 드 기 능
dot1x radius-server
move {srv-name | srv-ip-address} priority priority
Global 등록된 서버들의 우선 순위를 지정합니다.
참 고
priority는 <1 - 5> 사이에서 지정 가능합니다.
8.1.3 인증 모드 설정
V5524 스위치의 802.1x에서는 다음 명령어로 사용자가 포트 기반과 MAC 주소 기반 중에서 인증 모드를 선택할 수 있습니다.
명령어 모 드 기 능
dot1x auth-mode mac-base port-number MAC 주소 기반 802.1x 인증 방식을 선택합니다.
no dot1x auto-mode mac-base port-number
Global
포트 기반 802.1x 인증 방식을 선택합니다.
참 고
port-number는 한번에 여러 개를 입력할 수 있습니다. 각 입력값 사이를 빈칸 없이 쉼표(,)로 구분 하거나, 입력 범위의 처음과 마지막 값을 빈칸 없이 이음표(-)로 연결하여 복수의 port-number를 입력하십시오.
주 의
MAC 주소 기반의 802.1x 인증을 설정하기 전에 반드시 set mac-filter default-policy deny port-number 명령어로 인증 포트로 들어오는 모든 패킷을 차단하도록 하십시오.
8.1.4 인증 포트 설정
802.1x 인증 모드를 설정하였다면, 다음 명령어로 인증 포트를 선택하십시오.
명령어 모 드 기 능
dot1x nas-port port-number 802.1x 인증 포트를 지정합니다.
no dot1x nas-port port-number
Global
802.1x 인증 포트를 해제합니다.
참 고
port-number는 한번에 여러 개를 입력할 수 있습니다. 각 입력값 사이를 빈칸 없이 쉼표(,)로 구분 하거나, 입력 범위의 처음과 마지막 값을 빈칸 없이 이음표(-)로 연결하여 복수의 port-number를 입력하십시오.
8.1.5 인증 포트 상태 설정
V5524 스위치 802.1x에서는 다음 명령어로 인증 포트의 상태를 설정할 수 있습니다. force-authorized는 인증 성공, force-unforce-authorized는 인증 실패로 해당 포트의 상태를 부여하며, auto는 포트에서 요청이 있어야만 인증을 실시합니다.
명령어 모 드 기 능
dot1x port-control
{auto | force-authorized | force-unauthorized} port-number
인증 포트 상태를 설정합니다.
no dot1x port-control port-number
Global
설정한 인증 포트 상태를 해제합니다.
참 고
port-number는 한번에 여러 개를 입력할 수 있습니다. 각 입력값 사이를 빈칸 없이 쉼표(,)로 구분 하거나, 입력 범위의 처음과 마지막 값을 빈칸 없이 이음표(-)로 연결하여 복수의 port-number를 입력하십시오.
8.1.6 인증 시도 주기 설정
EAPOL-Start 메시지를 받은 Authenticator는 해당 Supplicant에게 802.1x 인증에 필요한 사용자 정 보를 요청합니다. 이 때 Supplicant로부터 응답이 없을 경우에는 주기적으로 정보를 요청하며 사용 자 인증을 시도합니다.
여기서 말하는 인증 시도란【 그림 8-1 】802.1x 사용자 인증 과정에서 EAP-Request/Identify에 해 당합니다.
V5524 스위치에 802.1x 인증 시도 주기를 설정하시려면 다음 명령어를 이용하십시오.
명령어 모 드 기 능
dot1x timeout tx-period interval port-number 인증 시도 주기를 설정합니다.
no dot1x timeout tx-period port-number
Global
인증 시도 주기를 해제합니다.
참 고
interval은 초 단위로 <1 – 65, 535> 사이에서 설정 가능합니다. 기본으로 설정되어 있는 값은 30초 입니다.
참 고
port-number는 한번에 여러 개를 입력할 수 있습니다. 각 입력값 사이를 빈칸 없이 쉼표(,)로 구분 하거나, 입력 범위의 처음과 마지막 값을 빈칸 없이 이음표(-)로 연결하여 복수의 port-number를 입력하십시오.
8.1.7 인증 요청 횟수 설정
802.1x의 인증 포트를 설정한 뒤에는 다음 명령어로 Authenticator가 되는 장비가 RADIUS 서버로 부터 인증을 받기까지 Authenticator의 인증 요청 횟수를 설정하십시오. 여기서 말하는 인증 요청이 란【 그림 8-1 】802.1x 사용자 인증 과정에서 Radius-Access-Request에 해당합니다.
명령어 모 드 기 능 dot1x radius-server retries req-num Global 인증 요청 횟수를 설정합니다.
참 고
req-num는 <1 – 10> 사이에서 설정 가능합니다. 디폴트로 설정된 인증 시도 요청 횟수는 3번입니 다.
8.1.8 인증 요청 주기 설정
802.1x의 인증 포트를 설정한 뒤에는 다음 명령어로 Authenticator가 되는 장비가 RADIUS 서버로 부터 인증을 받기까지 Authenticator의 인증 요청 주기를 설정하십시오. 여기서 말하는 인증 요청이 란【 그림 8-1 】802.1x 사용자 인증 과정에서 Radius-Access-Request에 해당합니다.
명령어 모 드 기 능
dot1x radius-server timeout interval Global 인증 요청 주기를 설정합니다.
참 고
Interval은 초 단위로, <1 – 120> 사이에서 설정 가능합니다. 디폴트로 설정된 인증 시도 요청 주기 는 초입니다.
8.1.9 인증 재시도 주기 설정
V5524 스위치의 802.1x는 다음 명령어로 인증에 실패하였을 때, 인증 재시도 주기를 설정할 수 있 습니다.
명령어 모 드 기 능
dot1x timeout quiet-period interval port-number 인증 재시도 주기를 설정합니다.
no timeout quiet-period port-number
Global
인증 재시도 주기를 해제합니다.
참 고
interval의 단위는 ms로, <1 – 65, 535> 사이에서 설정 가능합니다. 디폴트 설정값은 100ms(0.1초) 입니다.
참 고
port-number는 한번에 여러 개를 입력할 수 있습니다. 각 입력값 사이를 빈칸 없이 쉼표(,)로 구분 하거나, 입력 범위의 처음과 마지막 값을 빈칸 없이 이음표(-)로 연결하여 복수의 port-number를 입력하십시오.