목차

서론

요구 사항

적용 가능한 모델

PPSK with RADIUS 개요 (Unbound MAC)

RADIUS 서버 준비

RADIUS 서버 요구 사항

RADIUS 서버 워크플로

RADIUS 서버 구현

설정

결론

질문과 답변

소개

6GHz 대역(Wi-Fi 6E/7)의 도입으로 인해, 더 높은 보안 표준을 충족하기 위해 WPA3가 필요합니다. PPSK with RADIUS는 보다 안전하고 관리하기 쉬운 액세스 솔루션을 제공합니다. 각 클라이언트에 고유한 암호를 할당하고 RADIUS 서버를 통한 중앙 집중식 관리를 활용함으로써, 더 나은 사용자 격리와 유연한 액세스 제어가 가능해집니다.

6GHz 네트워크에는 WPA3가 필요하고, WPA3는 SAE 인증을 사용하므로, AP는 SAE 인증 과정에서 클라이언트와 연결된 PSK를 파악해야 합니다.

그러나 초기 연결 시, 인증 측에서는 해당 클라이언트에 대한 MAC-PSK 바인딩이 아직 설정되지 않은 상태입니다. 따라서 인증은 미리 설정된 바인딩에 의존할 수 없으며, 대신 Unbound MAC 프로세스를 통해 처리되어야 합니다. 인증이 성공적으로 완료된 후, 인증 측은 후속 연결을 위해 클라이언트의 MAC-PSK 바인딩을 설정할 수 있습니다.

이 문서에서는 6GHz 네트워크에서 PPSK with RADIUS(Unbound MAC)를 사용하여 구성하는 방법을 설명합니다.

필수 조건

• Omada 컨트롤러 v6.2.10 이상
• 6 GHz 주파수 대역을 지원하는 Omada Wi-Fi 7 액세스 포인트(Omada 컨트롤러 v6.2.10과 완전히 호환되는 펌웨어가 설치된 모델. 지원되는 모델 및 펌웨어 버전은 아래의 '적용 모델' 표를 참조하십시오.)
• WPA3를 지원하는 클라이언트
• 6GHz 네트워크용 RADIUS(Unbound MAC) 기반 PPSK with RADIUS를 지원하는 RADIUS 서버

(자세한 내용은 ‘RADIUS 서버 준비’ 섹션을 참조하십시오.)

적용 가능한 모델

PPSK with RADIUS (Unbound MAC) 개요

6GHz 네트워크(Wi-Fi 6E/7)에서는 더 높은 보안 표준을 충족하기 위해 WPA3가 필요합니다. 이 시나리오에서 서로 다른 사용자에게 고유한 Wi-Fi 암호(PPSK)를 할당하고 중앙 집중식 관리를 활성화할 경우, 인증은 RADIUS 서버를 통해 수행되어야 합니다.

그림에서 볼 수 있듯이, 관리자는 컨트롤러에서 SSID 및 관련 기능을 설정합니다. 액세스 포인트(AP)는 클라이언트 인증 요청을 RADIUS 서버로 전달하며, RADIUS 서버는 PPSK 관련 정보를 저장하고 자격증명 검증을 수행합니다. 인증이 성공하면 RADIUS 서버는 필요한 키 정보를 액세스 포인트로 반환합니다.

PPSK with RADIUS(Unbound MAC)는 클라이언트가 MAC 주소를 미리 바인딩하지 않고도 초기 인증을 완료할 수 있게 합니다. 클라이언트가 무선 네트워크에 연결하여 비밀번호를 입력하면, AP는 인증 요청을 RADIUS 서버로 전달하며, 서버에서 비밀번호를 검증하고 일치 여부를 확인합니다.

인증에 성공하면 시스템은 향후 연결을 위해 클라이언트의 MAC 주소를 해당 PPSK와 자동으로 연결하여, 보안을 유지하면서 액세스 효율성을 향상시킵니다.

RADIUS 서버 준비

RADIUS 서버 요구 사항

1. Unbound MAC 조회

• AP는 WPA2 PPSK Unbound 프로세스와 동일한 RADIUS Access-Request 메시지를 전송합니다.
• 서버는 다음을 수행할 수 있어야 합니다:
  • 올바른 PSK를 일치시킬 수 있어야 합니다
  • PMK가 포함된 Access-Accept 메시지를 반환하며, 이 메시지는 필요에 따라 AP로 다시 전송됩니다

2. MAC 및 PSK 바인딩 설정

• Unbound MAC 쿼리 프로세스가 완료되면:
  • 서버는 MAC 주소와 PSK 간의 바인딩을 자동으로 생성해야 합니다
• 이러한 바인딩은 이후의 바운드 MAC 쿼리를 처리하는 데 사용됩니다

3. 바운드 MAC 조회

• AP는 WPA2 PPSK 바운드 MAC 쿼리 프로세스와 동일한 RADIUS Access-Request 메시지를 전송합니다
• 서버가 일치하는 항목을 찾으면 다음을 수행해야 합니다:
  • Tunnel-Password 속성을 통해 올바른 PSK를 반환해야 합니다

4. 구현 시 고려 사항 (오픈소스 RADIUS용)

• 일부 RADIUS 서버(예: FreeRADIUS)는 Unbound MAC 조회를 기본적으로 지원하지 않습니다
• 다음과 같은 기능을 구현하려면 추가 개발이 필요할 수 있습니다:

• Unbound MAC 인증 지원
• MAC–PSK 바인딩 로직 구현
• 데이터베이스 기반 조회 메커니즘 통합

참고: RG Nets와 같은 상용 솔루션은 이러한 요구 사항을 충족하는 것으로 등록되었습니다. 오픈소스 솔루션의 경우 사용자 정의가 필요할 수 있습니다.

RADIUS 서버 워크플로

다음 워크플로는 PPSK with RADIUS(Unbound MAC)를 지원하는 모든 RADIUS 서버에 적용됩니다.

I. 클라이언트가 SSID에 처음 연결하면 AP는 RADIUS 서버에 Access-Request(Unbound MAC)를 전송합니다.

II. RADIUS 서버는 PPSK를 대조하여 Access-Accept 응답을 반환합니다.

III. 인증이 성공하면 RADIUS 서버는 클라이언트 MAC 주소와 PPSK 간의 바인딩을 설정합니다.

IV. 이후 연결 시, AP는 Access-Request(Bound MAC)를 전송하고, RADIUS 서버는 저장된 MAC-PSK 매핑을 기반으로 해당 PSK를 검색하여 인증을 완료합니다.

RADIUS 서버 구현

구현 방식은 RADIUS 서버가 Unbound MAC 인증을 기본적으로 지원하는지 여부에 따라 달라집니다.

I. 기본 지원 서버(예: RG Nets)

기본적으로 지원하는 RADIUS 서버의 경우:
• Unbound MAC 인증이 기본적으로 지원됩니다.
• PPSK 매칭 및 MAC–PSK 바인딩은 내부적으로 처리됩니다. 별도의 사용자 정의가 필요하지 않습니다.

II. 사용자 정의가 필요한 서버(예: FreeRADIUS)

기본 지원이 없는 RADIUS 서버의 경우, 위에서 설명한 워크플로를 구현하려면 추가적인 사용자 정의가 필요합니다:

• 첫 연결 시 PPSK 기반 매칭을 허용하려면 Unbound MAC 인증을 구현해야 합니다.
• PPSK 매칭은 일반적으로 스크립트나 데이터베이스 통합과 같은 외부 로직에 의존합니다.
• 후속 연결을 지원하려면 인증 성공 후 MAC–PSK 바인딩을 설정해야 합니다.
• 후속 인증은 클라이언트 MAC 주소를 사용하여 데이터베이스를 조회하는 방식으로 수행됩니다.

설정

1단계. RADIUS 프로필 설정

AP가 Omada 컨트롤러에서 관리되는 후, 사이트를 실행하고 사이트 뷰로 들어갑니다. 다음 경로로 이동합니다: 설정 > 네트워크 설정 > 프로필 > RADIUS 프로필. 새 RADIUS 프로필 생성을 클릭하여 RADIUS 서버에 바인딩된 프로필을 생성합니다. 필요한 경우, VLAN 할당을 활성화합니다.

참고: RADIUS 서버 설정(IP 주소, 인증 포트 및 인증 암호)이 서버 설정과 일치하는지 확인하십시오.

2단계. 무선 네트워크 생성. 경로: 설정 > 네트워크 설정 > 네트워크 설정 > WLAN으로 이동하여 '새 무선 네트워크 생성'을 클릭해 새 SSID를 생성합니다. SSID 이름을 설정하고, 필요한 대역(예: 2.4 GHz + 6 GHz, 5 GHz + 6 GHz 또는 2.4 GHz + 5 GHz + 6 GHz)을 선택한 다음, 보안 모드로 'PPSK with RADIUS'를 선택하고 1단계에서 구성한 RADIUS 프로필을 선택합니다. 또한 인증 유형은 'Generic RADIUS with unbound MAC'로 설정합니다. 필요에 따라 다른 설정을 구성한 다음, 적용을 클릭하여 설정을 저장합니다.

참고: 6 GHz PPSK SSID의 기능 제한 사항
I. 6 GHz PPSK SSID에서는 802.11r 옵션이 지원되지 않습니다. 이는 6 GHz PPSK가 PPSK with RADIUS(Unbound MAC)를 기반으로 작동하기 때문이며, 802.11r이 활성화되면 RADIUS 속성 처리에서 호환성 문제가 발생할 수 있습니다.

II. 6GHz PPSK SSID에서는 MLO 옵션이 지원되지 않습니다. MLO는 주파수 대역 전반에 걸쳐 일관된 보안 설정이 필요하지만, 이 시나리오에서는 적용할 수 없습니다.

PPSK with RADIUS 보안을 사용하여 (6 GHz를 포함한) 다중 대역 SSID를 생성할 경우, 시스템은 클라이언트 인증을 위해 6 GHz 대역이 아닌 대역에 추가적인 숨겨진 SSID를 자동으로 생성합니다.

• 2.4 GHz + 6 GHz: 2.4 GHz 대역에 숨겨진 SSID가 하나 생성됨
• 5 GHz + 6 GHz: 5 GHz 대역에 숨겨진 SSID 1개가 생성됩니다
• 2.4GHz + 5GHz + 6GHz: 2.4GHz 및 5GHz 대역 모두에 숨겨진 SSID가 생성됩니다.

PPSK는 지원하지만 6 GHz PPSK는 지원하지 않는 AP의 경우, SSID는 PPSK with RADIUS(Unbound MAC)가 적용된 WPA2 PPSK로만 적용됩니다. 설정을 적용한 후, '장치 > 설정 결과' 페이지로 이동하여 상태를 확인하십시오. 아래 그림과 같이 지원되지 않는 디바이스는 호환되지 않음으로 표시됩니다.

3단계. 클라이언트를 사용하여 2단계에서 생성된 SSID에 연결합니다. RADIUS 서버에 구성된 PPSK를 입력하여 인증을 완료합니다. 연결에 성공하면 인증된 클라이언트를 클라이언트 목록에서 확인할 수 있습니다.

참고:
다음 클라이언트 측 고려 사항이 연결 동작에 영향을 줄 수 있습니다
.• 클라이언트 제한 사항으로 인해 일부 기기(예: 특정 Windows 노트북)는 6GHz 대역에 연결하지 못할 수 있습니다. SSID를 삭제하고 다시 연결하면 문제가 해결될 수 있습니다.
• 경우에 따라 클라이언트가 첫 번째 시도에서 연결에 실패할 수 있습니다. 일반적으로 다시 연결하면 문제가 해결됩니다.
• 밴드 스티어링 및 로드 밸런싱 기능은 초기 연결 프로세스에 영향을 미치고 6GHz 대역에서의 PPSK 등록을 방해할 수 있습니다. 성공적인 등록을 보장하기 위해, 이러한 기능은 첫 번째 연결 시에는 적용되지 않을 수 있으나 이후에는 정상적으로 작동합니다.
• PPSK를 변경한 후, 클라이언트가 인증을 완료하려면 한 번 이상 연결해야 할 수 있습니다. 새로운 비밀번호는 다른 대역에서 사용하기 전에 먼저 6GHz 대역이 아닌 대역의 숨겨진 SSID를 통해 등록되어야 합니다.

결론

위의 단계를 따르면 6GHz 네트워크에 대한 RADIUS(Unbound MAC) 인증을 사용하는 PPSK with RADIUS를 네트워크 요구 사항에 맞게 구성할 수 있습니다.

각 기능 및 설정에 대한 자세한 내용은 다운로드 센터에서 해당 제품 설명서를 다운로드하여 확인하시기 바랍니다.

QA

Q1: 6GHz PPSK SSID에서 802.11r 옵션을 사용할 수 없는 이유는 무엇입니까?

A1: 802.11r은 RADIUS 기반 인증 프로세스에서 호환성 문제를 일으킬 수 있으므로 6GHz PPSK SSID에서는 지원되지 않습니다.

Q2: 6GHz PPSK SSID에서 MLO가 지원되지 않는 이유는 무엇입니까?

A2: MLO는 서로 다른 주파수 대역에서 일관된 보안 설정이 필요하기 때문에 지원되지 않습니다. 이 요구 사항은 6GHz 네트워크용 RADIUS(Unbound MAC)가 배포된 PPSK with RADIUS에서는 충족되지 않습니다.

Q3: 클라이언트가 연결에 실패하거나 여러 번 시도해야 하는 이유는 무엇입니까?

A3: 초기 연결 시 클라이언트가 인증 또는 등록 프로세스를 성공적으로 완료하지 못할 수 있습니다. 일반적으로 재연결하면 문제가 해결됩니다.

필요한 경우, Wi-Fi 네트워크를 삭제하고 다시 연결하면 클라이언트가 연결 프로세스를 강제로 재시작하게 되어 등록을 완료하거나 적절한 대역을 다시 선택할 수 있습니다.

여러 번 연결을 시도해도 문제가 지속되면, 클라이언트가 해당 Wi-Fi 네트워크에 대해 MAC 주소 무작위화 또는 유사한 개인 정보 보호 기능을 사용하고 있는지 확인하십시오. 해당 기능이 사용 가능한 경우, 이 Wi-Fi 네트워크에 대해 해당 기능을 비활성화하고 Wi-Fi에 다시 연결해 보십시오. 이렇게 하면 인증 안정성이 향상될 수 있습니다.

Q4: 첫 연결 시 밴드 스티어링이나 로드 밸런싱이 작동하지 않는 이유는 무엇입니까?
A4: 밴드 스티어링과 로드 밸런싱은 초기 연결 프로세스에 영향을 미치고 PPSK 등록을 방해할 수 있습니다. 성공적인 등록을 보장하기 위해, 이러한 기능은 첫 연결 시에는 적용되지 않을 수 있지만 클라이언트가 성공적으로 등록된 후에는 정상적으로 작동합니다.

Q5: PPSK를 변경한 후 왜 여러 번 연결해야 하나요?
A5: PPSK가 변경된 후, 클라이언트는 먼저 6GHz 대역이 아닌 숨겨진 SSID를 통해 등록 절차를 완료해야 합니다. 이 절차가 완료되기 전에 클라이언트가 바로 연결을 시도하면 인증이 거부될 수 있습니다. 재연결하면 등록 절차가 성공적으로 완료됩니다.

이 문서에는 기계 번역이 적용되었으며, 정확한 내용을 확인하려면 원본 영문 문서를 참고하시기 바랍니다.