<NAD>
conf t
vtp mode transparent
vlan 70
name User
vlan 230
name Admin
vlan 900
name Temp
exit
int range fa 1/0 - 15
shut
!
int range fa 1/8 - 9
desc ##DSW1_Uplink_Port##
switchport trunk encapsulation dot1q
switchport trunk allowed vlan 1,70,230,900,1002-1005
switchport trunk native vlan 70
switchport mode trunk
no shut
channel-group 1 mode on
!
int range fa 1/6 - 7
desc ##DSW2_Uplink_Port##
sw trunk en dot1q
sw trunk all vlan 1,70,230,900,1002-1005
sw trunk native vlan 70
sw mo trunk
no shut
channel-group 2 mode on
!
int vlan 230
ip add 10.10.230.3 255.255.255.0
!
int vlan 900
ip add 10.10.190.250 255.255.255.0
!
ip routing
ip route 0.0.0.0 0.0.0.0 10.10.190.253
<DSW1>
conf t
vlan 70
name User
vlan 900
name Temp
exit
int range fa 1/8 - 9
desc ##NAD_Connection##
sw trunk en dot1q
sw trunk all vlan 1,70,230,900,1002-1005
sw trunk native vlan 70
sw mo trunk
no shut
channel-group 3 mode on
!
int vlan 70
ip add 10.10.70.252 255.255.255.0
ip helper-address 10.10.250.1
standby 70 ip 10.10.70.254
standby 70 preempt
!
int vlan 900
ip add 10.10.190.252 255.255.255.0
standby 190 ip 10.10.190.254
standby 190 preempt
!
router ospf 1
net 10.10.70.252 0.0.0.0 area 0
!
<DSW2>
conf t
vlan 70
name User
vlan 900
name Temp
exit
int range fa 1/6 - 7
desc ##NAD_Connection##
sw trunk en dot1q
sw trunk all vlan 1,70,230,900,1002-1005
sw trunk native vlan 70
sw mo trunk
no shut
channel-group 3 mode on
!
int vlan 70
ip add 10.10.70.253 255.255.255.0
standby 70 ip 10.10.70.254
standby 70 priority 110
standby 70 track fa 1/0 50
standby 70 preempt delay minimum 30
ip helper-address 10.10.250.1
!
int vlan 900
ip add 10.10.190.253 255.255.255.0
standby 190 ip 10.10.190.254
standby 190 priority 110
standby 190 track fa 1/0 50
standby 190 preempt delay minimum 30
!
router ospf 1
net 10.10.70.253 0.0.0.0 area 0
!
-verify-
do sh int tr
do sh ip int br
do sh standby br
do sh ip ospf nei
==================================================================
## IEEE 802.1x(= dot1x) Authentication ##
- 유/무선 환경에서 End Device가 네트워크에 접근하는 경우
사용자의 인증 결과에 따라 네트워크 접근을 허용할지
혹은 차단할지를 결정할 수 있는 인증 방식이다.
- 오늘날에는 wireless(무선) 환경에서 주로 사용되고 있다.
- Dot1x 인증을 수행할 때 ‘EAP(Extensible Authentication
Protocol)’ 가 사용된다.
Dot1x 인증의 정확한 의미는 End Device와 Switch(혹은
무선 AP) 사이에서 인증 메시지(EAP)가 전송될 수 있도록
Frame의 구조와 절차를 정의한 것이다.
=> 이를 EAPoL(EAP over LAN)이라고 한다.
- End Device에서 Switch(무선AP)까지 EAPoL로 전송된 EAP
인증 메시지는 다시 Radius 방식으로 포장되어 ‘인증 서버’
에게 전달된다.
------------------------------------------------------------------------------------------------------------------------
<NAD>
conf t
aaa new-model
radius-server host 10.10.250.4 key ccie321
aaa authentication dot1x default group radius
aaa authorization network default group radius
ip radius source-interface vlan 900
dot1x system-auth-control
vlan 901
name Fail_VLAN
exit
int range fa 1/0 - 5
desc ##End_user_PC##
shut
switchport mode acc
switchport acc vlan 900
dot1x port-control auto
dot1x auth-fail max-attempts 3
dot1x auth-fail vlan 901
dot1x reauthentication
dot1x timeout reauth-period 3600
spanning-tree portfast
no shut
!
<2003서버>
-> 추가적으로 NAD에대한 client추가
-> 이후 포트 추가를 해줘서 NAD에서 do test aaa group radius admin100 cisco123 legacy
한다.
------------------------------------------------------------------------------------------------------------------------
<XP윈도우 설정>
services.msc-> 여기로 들어가서 서비스를 중지및 시작을 해주어야한다.(아래참고)
->Automatic Updates 중지 -> Radius랑은 상관없지만 윈도우 자동업데이트를 방지하기위해
중지한다. 이유는 주기적으로 업데이트를 하면 시스템 느림 현상
이 발생할 수 있기 때문이다.
wired AutoConfig 실행-> 속성으로 들어가 켜질때마다 자동으로 실행할 수 있게끔 설정.
-> 서비스 실행 및 중지 설정이 끝나면 인터넷 연결이 실패가 됬을 것이다.
이때 로컬영역3 으로 들어가 자동으로 IP할당 받기한다.
->이후 새롭게 생긴 인증 텝 속성으로 들어가
IEEE 802.1X 인증 사용을 체크하고 인증
방법은 MD5로 설정한다. 그럼 새롭게 자격 증명
입력 란이 나온다.
***dot1x initialize int fa 1/0 -> 인증초기화방법 (윈도우 xp에서 사용자
인증화면 나타내기 위한방법)
shutdown
'공부 > 서버운영관리' 카테고리의 다른 글
| ICT보안실무_FTP (0) | 2020.11.01 |
|---|---|
| ICT보안실무_PPP인증방식 (0) | 2020.11.01 |
| ICT보안실무_AAA (0) | 2020.11.01 |
| ICT보안실무_Sys_Log (0) | 2020.11.01 |
| ICT보안실무_Mail Protocol (0) | 2017.06.11 |
댓글