WLAN에서 WPA2/WPA3 엔터프라이즈(802.1X) 보안 활성화
RADIUS 서버를 사용한 고급 인증을 위해 WLAN에서 WPA2/WPA3 엔터프라이즈를 활성화합니다.
이 항목에서는 다양한 옵션에 대한 추가 정보와 함께 802.1x 보안을 활성화하고 RADIUS 서버를 추가하는 기본 단계를 안내합니다.
WLAN 보안 유형 설정 및 RADIUS 서버 추가
Juniper Mist는 WPA2 및 WPA3에 대해 IEEE 802.1X 보안을 지원합니다.
WPA3 또는 OWE는 6GHz에서 필수입니다. 6GHz를 채택한다는 것은 WPA3를 채택한다는 것을 의미합니다.
WLAN 보안 유형을 설정하고 RADIUS 서버를 추가하려면:
- Edit WLAN(WLAN 편집) 창의 Security(보안) 섹션에서 다음을 수행합니다.
- WPA3 또는 WPA2를 클릭합니다.
- 엔터프라이즈(802.1X)를 클릭합니다.
RADIUS 인증은 보안 섹션에서 WPA2/WPA3 및 엔터프라이즈(802.1X)를 선택한 경우에만 사용할 수 있습니다.
- Authentication Servers(인증 서버) 섹션에서 서버를 추가합니다.
- Add Server(서버 추가)를 클릭합니다.
- 확인 표시 버튼을 클릭합니다.
- Add Server(서버 추가)를 클릭합니다.
(선택 사항) 사이트 변수를 사용하여 서버 추가
사이트 변수를 사용하여 RADIUS 서버를 식별하면 특정 속성이 다르더라도 동일한 WLAN 구성을 다른 사이트의 AP에 쉽게 적용할 수 있습니다. 이 시나리오에서 사이트 A와 사이트 B가 서로 다른 RADIUS 서버를 사용한다고 가정합니다. 변수를 사용하여 WLAN 구성에서 RADIUS 서버를 추가합니다. 그런 다음 두 사이트 구성에서 변수를 다르게 정의합니다.
사이트 변수를 사용하여 서버를 추가하려면 다음을 수행합니다.
- 첫 번째 사이트에 대한 사이트 구성에서 사이트 변수를 정의합니다.
- RADIUS 서버의 IP 주소에 대한 변수 이름과 값을 입력한 다음 Save(저장)를 클릭합니다.
아래 그림과 같이 Variable(변수)을 입력합니다{{RADIUS_IP}}. 값에 실제 IP 주소를 입력합니다.
- 공유 암호에 대한 변수(예: {{RADIUS_Secret}})를 추가하고 이 서버의 실제 공유 암호를 값으로 입력합니다.
두 변수를 추가하면 사이트 구성 페이지의 사이트 변수 섹션에 나타납니다.
- RADIUS 서버의 IP 주소에 대한 변수 이름과 값을 입력한 다음 Save(저장)를 클릭합니다.
- WLAN 보안 유형을 설정하고 RADIUS 서버를 추가한 다음 서버 세부 정보에 대한 변수를 입력합니다.
예를 들어, RADIUS 서버 또는 CoA/DM 서버를 추가할 때 변수를 사용합니다.
이 예에서 호스트 이름은 {{RADIUS_IP}}이고 공유 암호는 {{RADIUS_Secret}}입니다.
(선택 사항) NAS 식별자 및 NAS IP 주소 추가
WLAN에서 802.1X 보안을 활성화할 때 NAS 식별자 또는 NAS IP 주소를 추가하여 RADIUS 서버로 전달되는 정보를 사용자 지정할 수 있습니다.
예를 들어, 사이트 ID(사이트 수준 WLAN) 또는 사이트 이름 변수(WLAN 템플릿)를 NAS 식별자로 입력할 수 있습니다. 이 접근 방식을 사용하면 모든 활동을 사이트와 연결하여 감사/계정 프로세스를 용이하게 하거나 사이트마다 다른 RADIUS 규칙을 만들 수 있습니다. 또 다른 예는 Mist 라는 단어를 NAS 식별자로 입력하는 것입니다. 이렇게 하면 Mist에서 오는 트래픽에 대해 다른 RADIUS 규칙 또는 게스트 포털 환경을 만들 수 있습니다.
NAS 식별자 필드를 비워 두면 WLAN ID가 NAS ID로 사용됩니다.
일반 텍스트와 변수를 입력할 수 있습니다. 이 필드에서 유효한 변수는 다음과 같습니다.
-
장치 이름 - {{DEVICE_NAME}}
-
모델 - {{DEVICE_MODEL}}
-
MAC 주소 - {{DEVICE_MAC}}
-
사이트 이름 - {{SITE_NAME}}
이 예제에서는 ID에서 텍스트와 변수를 모두 사용하는 방법을 보여 줍니다.
아래 그림과 같이 이 WLAN의 AP가 Access-Request를 전송하면 변수가 변환되어 AP를 식별합니다.
또는 NAS IP 주소를 지정합니다. 일반적으로 Mist는 AP의 실제 IP 주소를 통과합니다. 그러나 RADIUS 정책에서 참조할 수 있도록 모든 활동에 사용할 IP 주소를 지정할 수 있습니다.
Edit/Create WLAN(WLAN 편집/생성) 창에서 NAS 식별자 또는 NAS IP 주소를 추가할 수 있습니다.
(선택 사항) CoA/DM 서버 추가
WLAN에서 802.1X 보안을 활성화할 때 CoA/DM 서버를 추가할 수도 있습니다.
CoA(Change of Authorization)를 사용하면 초기 인증 이후 인증된 RADIUS 세션을 수정하여 변화하는 액세스 요구 사항을 충족할 수 있습니다. 예를 들어 관리자가 시작한 세션 재설정과 같은 사용 사례를 사용하도록 설정합니다.
자세한 내용은 CoA(Change of Authorization)를 참조하세요.
(선택 사항) RadSec 활성화
- WLAN 보안 유형을 설정하고 RADIUS 서버를 추가한 후 RadSec 서버를 추가합니다.
- Add Server(서버 추가)를 클릭하고 Hostname(호스트 이름)을 입력합니다.
- Add Server(서버 추가)를 클릭하고 Hostname(호스트 이름)을 입력합니다.
- 조직 설정에서 Mist 인증서를 가져옵니다.
- Juniper Mist 포털의 왼쪽 메뉴에서 조직 > 설정을 선택합니다.
- Mist Certificate(인증서)에서 View Certificate(인증서 보기)를 클릭합니다. 인증서를 복사합니다. 다음 단계에서 필요합니다.
- RadSec 서버로 이동하여 다음 작업을 완료하십시오.
- 복사한 Mist 인증서를 로드합니다.
- RadSec 서버에서 RadSec 인증서를 복사합니다. 다음 단계에서 필요합니다.
- 포털의 조직 설정(Organization Settings) 페이지로 돌아가Juniper Mist RadSec 인증서를 추가합니다.
- RadSec 인증서(RadSec Certificates)에서 RadSec 인증서 추가(Add a RadSec certificate)를 클릭합니다.
- RadSec 서버의 인증서 내용을 붙여넣습니다.
- Add(추가)를 클릭합니다.
- (선택 사항) 각 AP에 대해 Mist 생성하는 고유 인증서가 아닌, 자체 AP RadSec 인증서를 사용하려면 Add AP RadSec certificate(AP RadSec 인증서 추가)를 클릭한 다음 CA 인증서에 대한 프라이빗 키와 서명된 인증서를 입력합니다.
- 조직 설정 페이지의 오른쪽 상단에 있는 저장을 클릭합니다.