Cisco WLC Mac Filtering & ACS MAC 일괄 등록 및 삭제

Cisco WLC Mac Filtering & ACS MAC 일괄 등록 및 삭제

 

지난번 Cisco WLC(무선랜 컨트롤러)를 통한 무선 네트워크 생성 방법에 대해 알아봤었는데요.

오늘은 무선 접속을 위한 인증 방식 중 단말의 MAC Address 를 통한 인증 방식과 인증서버(ACS)에서의 MAC 관리 방법에 대해 알아보려 합니다.

 

 

2022.03.19 - [IT 이야기/네트워크(Network)] - Cisco WLC SSID신규 생성 방법_(1)네트워크 설정

 

2022.03.19 - [IT 이야기/네트워크(Network)] - Cisco WLC SSID신규 생성 방법_(2)WLC Interface 및 DHCP

 

2022.03.19 - [IT 이야기/네트워크(Network)] - Cisco WLC SSID 신규 생성 방법_(3)WLC SSID 및 인증설정

Cisco WLC SSID 신규 생성 방법_(3)WLC SSID 및 인증설정

 

 

 

Cisco ACS(인증서버)

무선 접속 보안에는 다양한 방법이 있습니다.

우리가 일반적으로 가장 많이 접하는 방식은 인증키 PSK 방식인데요.

식당이나 카페에서 Wi-Fi 비밀번호라고 적어놓은 방식이 바로 인증키를 이용한 무선 인증 방식입니다.

 

불특정 다수의 사용자에게 무선을 사용할 수 있도록 하기에는 좋은 방법이지만,

상대적으로 이 방식은 802.1x 인증 방식이나 MAC 필터링 방식보다는 보안성이 떨어집니다.

 

 

MAC Filtering 방법

MAC 주소라는 건 랜카드에 부여된 고유의 주소로서 허용된 단말기기 이외에는 다른 기기에서의 무선 접속을 차단하기 위한 좋은 방식입니다.

요즘 휴대폰에서는 이 MAC 주소를 외부에 노출하지 않기 위해 비공개 방식으로 전환하는 옵션을 제공하기도 합니다.

이럴 경우에는 단말 MAC 이 실제의 MAC 주소가 아닌 가상의 MAC으로 랜덤하게 변경되기 때문에 해당 옵션을 Disable 해둬야 합니다.

 

 

- WLC의 MAC Filtering

 

첫 번째 방법은 WLC(시스코 무선랜 컨트롤러) 자체에서 MAC Filtering 기능을 사용할 수 있습니다.

WLAN 생성 후 해당 WLAN의 Security 탭에서 설정이 가능합니다.

Security 탭의 Layer 2 탭에 보시면 Layer 2 Security 설정을 할 수 있고 해당 설정에서는 WPA, WEP, 802.1x, EAP 등을 지원합니다.

MAC 필터링 기능만 사용할 경우에는 위에서 보시는 것처럼 Security는 "None"으로 선택 후 MAC Filtering 항목을 체크하면 됩니다.

 

무선 SSID의 인증방식을 MAC 인증방식으로 설정했다면 그다음에는 단말의 MAC을 등록해야 합니다.

 

 

MAC Address 등록

 

상단의 SECURITY 탭으로 이동 후 좌측 메뉴에서 MAC Filtering을 선택합니다.

우측 상단의 New 버튼을 눌러 단말 MAC 주소를 등록할 수 있으며, 이곳에 등록된 단말만 무선 연결이 가능하게 됩니다.

MAC Address 형식은 "-" 이 아닌 ":" 로 입력해야 합니다.

 

•  WLC에서의 MAC 형식 : 00:11:22:ff:aa:bb  ( ":"으로 구분)

 

 

- 인증서버(ACS)를 통한 MAC Filtering (802.1x)

 

두 번째 방식은 Cisco 인증서버인 ACS(Secure Access Control Server) 를 통한 MAC 인증 방식입니다.

802.1x 인증은 AD(Active Directory) 에 등록된 사용자 계정과 패스워드를 입력해 인증을 하지만 MAC Filtering 에 체크를 하게 되면 인증서버에 등록된 MAC 주소를 이용해 인증절차를 거치게 됩니다.

 

 

인증서버는 WLANs 의 Security 탭 하위 항목 중 AAA Servers 에서 사전에 등록된 인증서버를 선택합니다.

 

인증서버는 SECURITY > RADIUS > Authentication 에서 사전 등록 가능합니다.

인증서버가 여러 대 있다면 여러 대의 인증서버를 등록할 수 있지만, 한 대만 있다면 한대만 등록해도 됩니다.

이곳에서는 인증서버를 사전에 등록만 하는 것이며, 실제 사용은 WLANs 의 Security 탭에서 사용하고자 하는 인증서버를 선택해서 사용합니다.

 

 

 

그러면 Cisco ACS(인증서버) 에서는 단말의 MAC 주소를 어디에 등록해야 할까요?

Users and Identity Stores > Internal Identity Stores > Hosts 에 단말의 MAC 주소를 등록합니다.

MAC 주소 등록 시 형식에 주의해야 하는데요.

WLC 의 MAC 등록 시에는 주소 사이 ":" 으로 구분했지만, ACS에서는 "-" 으로 구분합니다.

 

• ACS에서의 MAC 형식 : 00-11-AA-BB-CC-0F ("-"으로 구분)

 

 

728x90

 

인증서버에서의 MAC 주소 관리

 

인증서버(ACS) 에 등록된 MAC 주소는 개별 등록 및 삭제도 가능하지만 대량의 작업이 필요할 경우 CSV 파일을 통한 일괄 작업도 가능합니다.

 

 

- 등록된 MAC 주소 BACKUP

 

ACS에 등록된 단말의 MAC 주소는 만약을 대비해 주기적으로 백업받아 두시는 게 좋습니다.

 

백업 방법은 하단의 "Export" 버튼을 이용해 CSV 파일로 백업 가능합니다.

해당 파일은 보안을 위해 Password 설정을 옵션으로 제공합니다.

 

Export > Start Export > Save File

 

Start Export 버튼을 클릭하면 저장된 Host 정보를 csv 파일로 다운할 수 있는 절차가 진행됩니다.

 

진행 그래프가 다 완료된 다음에는 몇 개의 host 가 등록되어 있고 Export 에 성공한 host 개수와 실패한 개수를 Summay 정보로 확인할 수 있으며, Failed 된 Records 가 없다면 "Save File" 을 클릭해 엑셀로 열어볼 수 있는 CSV 파일을 다운받을 수 있습니다.

 

 

- 단말 주소(MAC) 일괄 등록 및 삭제

 

등록하거나 삭제해야 할 단말의 수가 많다면 File Operations 메뉴를 통해 일괄 작업을 제공합니다.

File Operations

• Add : 기존에 등록된 MAC 주소 외 추가로 단말을 등록할 경우
• Update : 기존 정보를 대체
• Delete : 현재 등록된 MAC 주소 중에서 삭제가 필요할 경우

 

추가하거나 삭제, 또는 업데이트 버튼을 선택 후 다음 버튼을 누릅니다.

 

 

항목마다 CSV 형식의 템플릿을 제공하는데요.

Export 로 백업해 놓은 파일과 템플릿을 확인해 필요한 작업을 CSV 파일 형식에 맞춰 정리합니다.

 

 

 

추가하거나 업데이트할 경우의 템플릿에는 단말 MAC 주소뿐만 아니라, Identity Group 과 Description 레코드도 포함되어 있지만, Delete 할 경우에는 단말의 MAC 주소 레코드만 템플릿에 포함되어 있습니다.

 

일괄 삭제를 진행해 보았습니다.

 

 

다운받은 템플릿 형식에 맞게 CSV 파일을 저장하였다면 해당 파일을 Import 시킵니다.

파일 업로드 후 Finish 버튼을 누르면 일괄 작업이 진행됩니다.

 

 

진행률 바가 완료되면 하단에 Log 를 보여주며, Summary 항목에서 전체 Record 수와 성공, 실패한 Record 를 확인할 수 있습니다.

만약 템플릿 형식에 맞지 않게 CSV 파일을 생성하였거나 문제가 있으면 실패할 수 있으니 로그를 잘 확인하여야 합니다.

OK 버튼을 눌러 마무리하고 파일 삭제나 업데이트가 이상 없이 잘 되었는지 한번 더 확인하면 됩니다.

 

이번 시간에는 Cisco 무선랜 컨트롤러에서 단말의 MAC 주소를 이용한 인증 방식과 인증서버(ACS) 에서의 MAC 주소 관리 방법에 대해 알아보았습니다.

 

 

 

♥읽어주셔서 감사합니다♥
티스토리 댓글과 공감♥은 로그인이 필요 없습니다.
로그인하시면 구독 가능합니다.