Catalyst 3550 Series 스위치 및 ACS 버전 4.2의 802.1x 유선 인증 컨피그레이션 예

다운로드 옵션

  • PDF     (504.8 KB)
    다양한 디바이스에서 Adobe Reader로 보기
  • ePub     (190.8 KB)
    iPhone, iPad, Android, Sony Reader 또는 Windows Phone의 다양한 앱에서 보기
  • Mobi (Kindle)     (185.4 KB)
    Kindle 디바이스에서 보기 또는 다양한 디바이스의 Kindle 앱에서 보기
업데이트:2013년 9월 30일
문서 ID:116506

편견 없는 언어

본 제품에 대한 문서 세트는 편견 없는 언어를 사용하기 위해 노력합니다. 본 설명서 세트의 목적상, 편견 없는 언어는 나이, 장애, 성별, 인종 정체성, 민족 정체성, 성적 지향성, 사회 경제적 지위 및 교차성에 기초한 차별을 의미하지 않는 언어로 정의됩니다. 제품 소프트웨어의 사용자 인터페이스에서 하드코딩된 언어, RFP 설명서에 기초한 언어 또는 참조된 서드파티 제품에서 사용하는 언어로 인해 설명서에 예외가 있을 수 있습니다. 시스코에서 어떤 방식으로 포용적인 언어를 사용하고 있는지 자세히 알아보세요.

이 번역에 관하여

Cisco는 전 세계 사용자에게 다양한 언어로 지원 콘텐츠를 제공하기 위해 기계 번역 기술과 수작업 번역을 병행하여 이 문서를 번역했습니다. 아무리 품질이 높은 기계 번역이라도 전문 번역가의 번역 결과물만큼 정확하지는 않습니다. Cisco Systems, Inc.는 이 같은 번역에 대해 어떠한 책임도 지지 않으며 항상 원본 영문 문서(링크 제공됨)를 참조할 것을 권장합니다.

소개

이 문서에서는 유선 인증을 위한 Cisco ACS(Access Control Server) 버전 4.2 및 RADIUS(Remote Access Dial In User Service) 프로토콜의 기본 IEEE 802.1x 컨피그레이션 예를 제공합니다.

사전 요구 사항

요구 사항

Cisco에서는 다음 사항을 권장합니다.

  • ACS와 스위치 간 IP 연결 가능성을 확인합니다.
  • UDP(User Datagram Protocol) 포트 1645 및 1646이 ACS와 스위치 간에 열려 있는지 확인합니다.

사용되는 구성 요소

이 문서의 정보는 다음 소프트웨어 및 하드웨어 버전을 기반으로 합니다.

  • Cisco Catalyst 3550 Series Switches
  • Cisco Secure ACS 버전 4.2

이 문서의 정보는 특정 랩 환경의 디바이스를 토대로 작성되었습니다. 이 문서에 사용된 모든 디바이스는 초기화된(기본) 컨피그레이션으로 시작되었습니다. 현재 네트워크가 작동 중인 경우, 모든 명령어의 잠재적인 영향을 미리 숙지하시기 바랍니다.

구성

스위치 설정 예시

  1. RADIUS 서버 및 사전 공유 키를 정의하려면 다음 명령을 입력합니다.
    Switch(config)# radius-server host 192.168.1.3  key  cisco123


  2. 802.1x 기능을 활성화하려면 다음 명령을 입력합니다.
    Switch(config)# dot1x system-auth-control


  3. AAA(Authentication, Authorization, and Accounting) 및 RADIUS 인증 및 권한 부여를 전역적으로 활성화하려면 다음 명령을 입력합니다.

    참고: RADIUS 서버에서 특성을 전달해야 하는 경우 이 작업이 필요합니다. 그렇지 않으면 건너뛸 수 있습니다.



    Switch(config)# aaa new-model
    Switch(config)# aaa authentication dot1x default group radius
    awitch(Config)# aaa authorization network default group radius
    Switch(Config)# aaa accounting dot1x default start-stop group radius


    Switch(config-if)# switchport mode acces
    Switch(config-if)# switchport access vlan  
        
    Switch(config-if)# authentication port-control auto (12.2.50 SE and later)
    Switch(config-if)# dot1x port-control auto (12.2.50 SE and below)
    Switch(config-if)# dot1x pae authenticator (version 12.2(25)SEE and below)
    Switch(config-if)# dot1x timeout quiet-period  
        
    Switch(config-if)# dot1x timeout tx-period

ACS 컨피그레이션

  1. ACS에서 스위치를 AAA 클라이언트로 추가하려면 Network Configuration(네트워크 컨피그레이션) > Add entry AAA client(항목 AAA 클라이언트 추가)로 이동하여 다음 정보를 입력합니다.
    • IP 주소: <IP>
    • 공유 암호: <key>
    • 다음을 사용하여 인증: Radius(Cisco IOS®/PIX 6.0)




  2. 인증 설정을 구성하려면 System Configuration(시스템 구성) > Global Authentication Setup(전역 인증 설정)으로 이동하여 Allow MS-CHAP Version 2 Authentication(MS-CHAP 버전 2 인증 허용) 확인란이 선택되었는지 확인합니다.



  3. 사용자를 구성하려면 메뉴에서 User Setup(사용자 설정)을 클릭하고 다음 단계를 완료합니다.
    • 사용자 정보 Network-Admin <username>을 입력합니다.
    • Add/Edit를 클릭합니다.
    • Real Name: Network-Admin <descriptive name>을 입력합니다.
    • 설명을 추가합니다. <원하는 항목>.
    • Password Authentication: ACS Internal Database(비밀번호 인증: ACS 내부 데이터베이스)를 선택합니다.
    • 비밀번호를 입력합니다. ....... <password>.
    • 비밀번호를 확인합니다: <password>.
    • Submit(제출)을 클릭합니다.


다음을 확인합니다.

아웃풋 인터프리터 툴(등록 고객 전용)은 특정 show 명령을 지원합니다. show 명령 출력의 분석을 보려면 아웃풋 인터프리터 툴을 사용합니다.

컨피그레이션이 제대로 작동하는지 확인하려면 다음 명령을 입력합니다.

  • dot1x 표시 
  • show dot1x 요약 
  • show dot1x 인터페이스 
  • show authentication sessions interface <interface>
  • show authentication interface <interface>
Switch(config)# show dot1x
_________________________________________________
Sysauthcontrol              Enabled
Dot1x Protocol Version            3
_________________________________________________
Switch(config)# show dot1x summary
_________________________________________________
Interface       PAE     Client          Status
_________________________________________________
Fa0/4           AUTH
_________________________________________________
Switch(config)# show dot1x interface fa0/4 detail
_________________________________________________
Dot1x Info for FastEthernet0/4
_________________________________________________
PAE                       = AUTHENTICATOR
PortControl               = FORCE_AUTHORIZED
ControlDirection          = Both
HostMode                  = SINGLE_HOST
QuietPeriod               = 5
ServerTimeout             = 0
SuppTimeout               = 30
ReAuthMax                 = 2
MaxReq                    = 2
TxPeriod                  = 10

문제 해결

이 섹션에서는 컨피그레이션 문제를 해결하기 위해 사용할 수 있는 debug 명령을 제공합니다.

참고: debug 명령 사용하기 전에 Debug 명령에 대한 중요 정보 참조하십시오.

  • 모두 dot1x 디버그
  • 모든 인증 디버그
  • debug radius(디버그 레벨에서 radius 정보 제공)
  • debug aaa authentication (debug for authentication)
  • debug aaa authorization(권한 부여를 위한 디버그)

개정 이력

개정 게시 날짜 의견
1.0
09-Sep-2013
최초 릴리스
TAC Authored

Cisco 엔지니어가 작성

  • Minakshi Kumar
    Cisco TAC Engineer.

이 문서가 도움이 되셨습니까?

Feedback피드백

지원 문의