WLC 및 NGS(NAC Guest Server) 통합 가이드

소개

이 문서에서는 NAC 게스트 서버 및 무선 LAN 컨트롤러를 통합하는 지침을 제공합니다.

사전 요구 사항

요구 사항

이 문서에 대한 특정 요건이 없습니다.

사용되는 구성 요소

이 문서의 정보는 다음 소프트웨어 및 하드웨어 버전을 기반으로 합니다.

• Cisco WLC(Wireless LAN Controller) 4.2.61.0

• Catalyst 3560(IOS^® 버전 12.2(25)SEE2

• Cisco ADU 버전 4.0.0.279

• NAC Guest Server 버전 1.0

이 문서의 정보는 특정 랩 환경의 디바이스를 토대로 작성되었습니다. 이 문서에 사용된 모든 디바이스는 초기화된(기본) 컨피그레이션으로 시작되었습니다. 현재 네트워크가 작동 중인 경우, 모든 명령어의 잠재적인 영향을 미리 숙지하시기 바랍니다.

표기 규칙

문서 규칙에 대한 자세한 내용은 Cisco 기술 팁 표기 규칙을 참고하십시오.

배경 정보

Cisco NAC Guest Server는 게스트, 방문자, 계약업체, 컨설턴트 또는 고객에게 임시 네트워크 액세스를 제공하는 완전한 프로비저닝 및 보고 시스템입니다. 게스트 서버는 게스트 액세스를 위한 종속 포털 및 적용 지점을 제공하는 Cisco NAC Appliance 또는 Cisco Wireless LAN Controller와 함께 작동합니다.

Cisco NAC Guest Server를 사용하면 권한을 가진 모든 사용자가 임시 게스트 계정을 쉽게 만들고 게스트를 스폰서할 수 있습니다. Cisco NAC Guest Server는 스폰서, 게스트 계정을 생성하는 사용자의 전체 인증을 수행하고, 스폰서가 출력, 이메일 또는 SMS를 통해 게스트에 계정 세부 정보를 제공할 수 있도록 허용합니다. 사용자 계정 생성에서 게스트 네트워크 액세스에 이르는 전체 환경이 감사 및 보고를 위해 저장됩니다.

게스트 어카운트가 생성되면 Cisco NAC Appliance Manager(Clean Access Manager) 내에서 프로비저닝되거나 Cisco NAC Guest Server의 기본 제공 데이터베이스에 저장됩니다. 게스트 서버의 내장형 데이터베이스를 사용하는 경우 Cisco Wireless LAN Controller와 같은 외부 네트워크 액세스 디바이스는 RADIUS(Remote Authentication Dial In User Service) 프로토콜을 사용하여 게스트 서버에 대해 사용자를 인증할 수 있습니다.

Cisco NAC Guest Server는 어카운트가 생성될 때 지정된 시간 동안 게스트 어카운트를 프로비저닝합니다. 어카운트가 만료되면 게스트 서버는 Cisco NAC Appliance Manager에서 직접 어카운트를 삭제하거나 NAD가 사용자를 제거하기 전에 어카운트에 남아 있는 유효 시간을 NAD(네트워크 액세스 디바이스)에 알리는 RADIUS 메시지를 보냅니다.

Cisco NAC Guest Server는 중앙 관리 인터페이스를 통해 보고서를 수행할 수 있도록 게스트 계정 생성에서 계정의 게스트 사용에 이르는 전체 감사 추적을 통합하여 중요한 게스트 네트워크 액세스 어카운팅을 제공합니다.

게스트 액세스 개념

Cisco NAC Guest Server는 게스트 액세스를 제공하는 데 필요한 구성 요소를 설명하는 데 여러 용어를 사용합니다.

게스트 사용자

게스트 사용자는 네트워크에 액세스하기 위해 사용자 계정이 필요한 사람입니다.

후원자

스폰서는 게스트 사용자 계정을 생성하는 사람입니다. 이 사람은 대개 네트워크 액세스를 제공하는 조직의 직원입니다. 또한 후원자는 특정 - 3 - 특정 직무 역할의 개인 또는 Microsoft Active Directory (AD) 와 같은 회사 디렉토리에 대해 인증 할 수 있는 모든 직원일 수 있습니다.

네트워크 시행 디바이스

이러한 디바이스는 네트워크 액세스를 제공하는 네트워크 인프라 구성 요소입니다. 또한 네트워크 시행 디바이스는 게스트 사용자를 종속 포털로 유도하며, 여기에서 게스트 계정 세부 정보를 입력할 수 있습니다. 게스트가 임시 사용자 이름 및 비밀번호를 입력하면 네트워크 시행 디바이스가 게스트 서버에서 생성한 게스트 계정에 대해 해당 자격 증명을 확인합니다.

게스트 서버

이 서버는 모든 게스트 액세스를 연결하는 Cisco NAC Guest Server입니다. 게스트 서버는 게스트 어카운트를 생성하는 스폰서, 게스트에 전달되는 어카운트 세부 정보, 네트워크 시행 디바이스에 대한 게스트 인증, 게스트 서버에 대한 게스트의 네트워크 시행 디바이스 확인 등을 함께 연결합니다. 또한 Cisco NAC Guest Server는 네트워크 시행 디바이스의 어카운팅 정보를 통합하여 단일 지점에서 게스트 액세스 보고서를 제공합니다.

NGS에 대한 자세한 설명서는 CCO에서 확인할 수 있습니다.

http://www.cisco.com/en/US/docs/security/nac/guestserver/configuration_guide/10/nacguestserver.html

실습 토폴로지 개요

WLC(Wireless LAN Controller) 구성

WLC를 구성하려면 다음 단계를 수행합니다.

1. 컨트롤러 및 액세스 포인트를 초기화합니다.

2. 컨트롤러 인터페이스를 구성합니다.

3. RADIUS를 구성합니다.

4. WLAN 설정을 구성합니다.

초기화

초기 컨피그레이션에서는 하이퍼터미널과 같은 콘솔 연결을 사용하고 설정 프롬프트에 따라 로그인 및 인터페이스 정보를 채웁니다. reset system 명령도 이러한 프롬프트를 시작합니다.

Welcome to the Cisco Wizard Configuration Tool
Use the '-' character to backup
System Name [Cisco_44:36:c3]: WLC
Enter Administrative User Name (24 characters max): admin
Enter Administrative Password (24 characters max): admin
Service Interface IP Address Configuration [none][DHCP]: <ENTER>
Enable Link Aggregation (LAG) [yes][NO]:no
Management Interface IP Address: 10.10.51.2
Management Interface Netmask: 255.255.255.0
Management Interface Default Router: 10.10.51.1
Management Interface VLAN Identifier (0 = untagged): 0
Management Interface Port Num [1 to 2]: 1
Management Interface DHCP Server IP Address: 10.10.51.1
AP Transport Mode [layer2][LAYER3]: layer3
AP Manager Interface IP Address: 10.10.51.3
AP-Manager is on Management subnet, using same values
AP Manager Interface DHCP Server (10.10.5<X>.1):<ENTER>
Virtual Gateway IP Address: 1.1.1.1
Mobility/RF Group Name: mobile-1
Enable Symmetric Mobility Tunneling: No
Network Name (SSID): wireless-1
Allow Static IP Addresses [YES][no]:<ENTER>
Configure a RADIUS Server now? [YES][no]:<ENTER>
Enter the RADIUS Server's Address: 10.1.1.12
Enter the RADIUS Server's Port [1812]:<ENTER>
Enter the RADIUS Server's Secret: cisco
Enter Country Code (enter 'help' for a list of countries) [US]:<ENTER>
Enable 802.11b Network [YES][no]:<ENTER>
Enable 802.11a Network [YES][no]:<ENTER>
Enable 802.11g Network [YES][no]:<ENTER>
Enable Auto-RF [YES][no]:<ENTER>
Configure a NTP server now? [YES][no]: no
Configure the system time now? [YES][no]: yes
Enter the date in MM/DD/YY format: mm/dd/yy
Enter the time in HH:MM:SS format: hh:mm:ss

Cisco NAC 게스트 서버

Cisco NAC Guest Server는 게스트, 계약자 등과 같은 클라이언트에 임시 네트워크 액세스를 제공하는 프로비저닝 및 보고 솔루션입니다. Cisco NAC Guest Server는 Cisco Unified Wireless Network 또는 Cisco NAC Appliance 솔루션과 연동합니다. 이 문서에서는 Cisco NAC Guest Server를 Cisco WLC와 통합하는 단계를 안내합니다. 이 단계에서는 게스트 사용자 계정을 생성하고 게스트의 임시 네트워크 액세스를 확인합니다.

다음 단계에 따라 통합을 완료합니다.

1. Cisco NAC Guest Server를 WLC에 인증 서버로 추가합니다.

   1. WLC(https://10.10.51.2, admin/admin)로 이동하여 이를 구성합니다.

   2. Security(보안) > RADIUS > Authentication(인증)을 선택합니다.

      

   3. 새로 만들기를 선택합니다.

   4. Cisco NAC Guest Server의 IP 주소(10.1.1.14)를 추가합니다.

   5. 공유 암호를 추가합니다.

   6. 공유 암호를 확인합니다.

      

   7. 적용을 선택합니다.

      

2. Cisco NAC Guest Server를 WLC에 어카운팅 서버로 추가합니다.

   1. Security(보안) > RADIUS > Accounting(계정 관리)을 선택합니다.

      

   2. 새로 만들기를 선택합니다.

   3. Cisco NAC Guest Server의 IP 주소(10.1.1.14)를 추가합니다.

   4. 공유 암호를 추가합니다.

   5. 공유 암호를 확인합니다.

      

   6. 적용을 선택합니다.

      

3. NAC 게스트 서버를 사용하도록 WLAN(wireless-x)을 수정합니다.

   1. WLAN(wireless-x)을 편집합니다.

   2. 보안 탭을 선택합니다.

   3. 웹 인증을 사용하려면 Layer 2 Security를 None으로 변경하고 Layer 3 Security를 선택합니다.

      

   4. Security(보안) 탭에서 AAA Servers(AAA 서버)를 선택합니다.

   5. Server 1(서버 1) 상자에서 RADIUS 서버(10.1.1.14)를 선택합니다.

   6. Server 1(서버 1) 상자에서 Accounting Server(계정 관리 서버)(10.1.1.14)를 선택합니다.

      

   7. 고급 탭을 선택합니다.

   8. Allow AAA Override(AAA 재정의 허용)를 활성화합니다. 이렇게 하면 NAC Guest Appliance에서 클라이언트당 세션 시간 초과를 설정할 수 있습니다.

      

      참고: SSID에서 AAA 재정의가 활성화된 경우 게스트 사용자 로그인 시 세션 시간 제한으로 NGS에서 게스트 사용자의 남은 수명이 WLC에 푸시됩니다.

   9. Apply(적용)를 선택하여 WLAN 컨피그레이션을 저장합니다.

      

4. 컨트롤러가 Cisco NAC Guest Server에서 Radius 클라이언트로 추가되었는지 확인합니다.

   1. NAC Guest Server(https://10.1.1.14/admin)로 이동하여 이를 구성합니다.

      참고: URL에 /admin을 지정하면 Administration(관리) 페이지가 나타납니다.

      

   2. Radius Clients를 선택합니다.

   3. Add Radius(Radius 추가)를 선택합니다.

   4. Radius 클라이언트 정보를 입력 합니다.

      • 이름: WLC 시스템 이름을 입력합니다.

      • IP 주소: WLC의 IP 주소(10.10.51.2)를 입력합니다.

      • 1단계에서 입력한 것과 동일한 공유 암호를 입력합니다.

      • 공유 암호를 확인합니다.

      • 설명을 입력합니다.

      • Add Radius Client(Radius 클라이언트 추가)를 선택합니다.

        

   5. 변경 사항을 적용하려면 Radius 서비스를 다시 시작하십시오.

   6. Radius Clients를 선택합니다.

   7. Restart Radius 상자에서 Restart를 선택합니다.

      

5. Cisco NAC Guest Server에서 로컬 사용자, 즉 Lobby Ambassador를 생성합니다.

   1. Local Users(로컬 사용자)를 선택합니다.

   2. Add User(사용자 추가)를 선택합니다.

      참고: 모든 필드를 입력해야 합니다.

   3. First Name(이름): lobby(로비)를 입력합니다.

   4. 성: Ambassador를 입력합니다.

   5. Username(사용자 이름): lobby(로비)를 입력합니다.

   6. Password(비밀번호): 비밀번호를 입력합니다.

   7. 그룹을 기본값으로 둡니다.

   8. 이메일 주소(lobby@xyz.com)를 입력합니다.

   9. Add User(사용자 추가)를 선택합니다.

      

6. Local User(로컬 사용자)로 로그인하고 게스트 계정을 생성합니다.

   1. NAC Guest Server(https://10.1.1.14)로 이동하여 5단계에서 생성한 사용자 이름/비밀번호로 로그인하고 다음을 구성합니다.

      

   2. 게스트 사용자 계정에 대해 생성을 선택합니다.

      참고: 모든 필드를 입력해야 합니다.

   3. 이름을 입력합니다.

   4. 성을 입력합니다.

   5. 회사를 입력합니다.

   6. 이메일 주소를 입력합니다.

      참고: 이메일 주소는 사용자 이름입니다.

   7. 계정 종료: 시간을 입력합니다.

   8. Add User(사용자 추가)를 선택합니다.

      

7. 게스트 WLAN에 연결하고 게스트 사용자로 로그인합니다.

   1. 무선 클라이언트를 게스트 WLAN(wireless-x)에 연결합니다.

   2. 웹 브라우저를 열어 웹 인증 로그인 페이지로 리디렉션합니다.

      참고: 또는 https://1.1.1.1/login.html를 입력하여 로그인 페이지로 리디렉션합니다.

   3. 6단계에서 생성한 게스트 사용자 이름을 입력합니다.

   4. 6단계에서 자동으로 생성된 비밀번호를 입력합니다.

   5. 텔넷을 통해 WLC에 연결하고 show client detail 명령으로 세션 시간 제한이 설정되었는지 확인합니다.

   6. 세션 시간 초과가 만료되면 게스트 클라이언트의 연결이 끊기고 ping이 중지됩니다.

      

참고: Wireless LAN Controller, WLC에서 NAC Guest Server(NGS)로의 웹 인증을 설정하려면 웹 인증 속성에서 PAP 모드 인증을 사용해야 합니다. 웹 인증 정책을 CHAP로 설정하면 NGS에서 CHAP가 지원되지 않으므로 인증이 실패합니다.

관련 정보

• Cisco NAC Appliance - Clean Access Manager 설치 및 컨피그레이션 가이드, 릴리스 4.1(3)
• Cisco NAC Appliance 스위치 및 무선 LAN 컨트롤러 지원
• Cisco Wireless LAN Controller 컨피그레이션 가이드, 릴리스 7.0.116.0
• (비디오) Cisco ISE(Identity Services Engine)와 WLC(Wireless LAN Controller)의 통합
• NAC(Clean Access): 게스트 액세스 구성
• 구축 설명서: Cisco Wireless LAN Controller를 사용한 Cisco 게스트 액세스, 릴리스 4.1
• 기술 지원 및 문서 − Cisco Systems