Omada 컨트롤러의 스위치로 802.1X 액세스 인증 시스템을 구축하는 방법

정보성 텍스트

설정 가이드

인증

북마크

04-20-2026

33557

소개

802.1X 액세스 인증 시스템은 클라이언트에 인증 액세스를 제공하는 솔루션으로 이더넷 환경에서 널리 사용됩니다. 802.1X 액세스 인증은 "포트"를 기반으로 하며, 이는 클라이언트에 대한 액세스 제어 및 AAA 인증이 NAS(네트워크 액세스 서버)의 "포트"를 기반으로 함을 의미합니다. 클라이언트가 NAS의 포트에 연결하여 RADIUS 서버의 인증을 통과하면, 클라이언트는 NAS에 속한 리소스에 액세스할 수 있지만, 그 반대의 경우는 불가능합니다.

참고: 이 문서에서 NAS(네트워크 액세스 서버)는 802.1X 시스템에서 802.1X 인증자 역할을 하는 Omada 스위치를 의미합니다. RADIUS 서버 소프트웨어를 실행하는 컴퓨터나 서버는 802.1X 시스템에서 802.1X 인증 서버 역할을 합니다. 아래는 802.1X 액세스 인증 시스템의 예시입니다.

802.1X 인증 프로세스를 설명하는 다이어그램입니다.

아래 토폴로지에서 볼 수 있듯이, 스위치의 포트 1은 802.1X 인증 요청자에 대한 인증을 제공하는 RADIUS 서버에 연결되어 있습니다. 포트 23은 인터넷에 연결된 라우터인 업링크 포트에 연결되어 있습니다. 스위치는 시스템의 NAS 역할뿐만 아니라 802.1X 인증자 역할도 수행합니다. 그리고 우리에게 필요한 것은 RADIUS 서버의 인증을 통과한 합법적인 사용자만이 스위치를 통해 인터넷에 접속할 수 있도록 허용하는 시스템입니다.

이 문서에 사용된 네트워크 토폴로지 다이어그램입니다.

요구 사항

Omada 컨트롤러 (Omada 네트워크 애플리케이션 / 하드웨어 컨트롤러 / Omada 클라우드 기반 컨트롤러, V6.0 이상)
Omada 스위치(Omada 캠퍼스 스위치 / Omada 어그리게이션 스위치 / Omada 액세스 맥스 스위치 / Omada 액세스 프로 스위치 / Omada 액세스 플러스 스위치 / Omada 액세스 스위치)

설정

RADIUS 서버 구축

이 문서에서는 FreeRADIUS를 예로 들어 로컬 컴퓨터에 RADIUS 서버를 구축하는 방법을 설명합니다.

1단계. Ubuntu에 FreeRadius 설치. FreeRadius는 sudo apt install freeradius 명령을 사용하여 온라인으로 설치하거나, FreeRadius 설치 가이드인 Building FreeRADIUS에 따라 소스 파일로 빌드하여 설치할 수 있습니다.

2단계. FreeRadius용 clients.conf 설정. 외부 컴퓨터에서 테스트하려면 /etc/freeradius/clients.conf 파일을 편집하여 항목을 추가합니다. 예제가 많으며 구문은 간단합니다:

client tplink {

ipaddr = 192.168.0.100

secret = testing123

}

3단계. 사용자와 비밀번호를 정의합니다. /etc/freeradius/users 파일을 편집하고 첫 번째 항목으로 예제 사용자 계정을 생성합니다. 즉, 파일 맨 위에 다음과 같이 작성합니다:

admin Cleartext-Password := "admin"

위 파일의 설정을 저장하고 FreeRadius 서버를 시작하면 "Ready to process requests" 메시지가 표시되며, 이는 FreeRadius 서버 설치가 성공적으로 완료되었음을 의미합니다:

서비스가 활성화된 상태에서 정상적으로 실행되는 FreeRADIUS 서버입니다.

컨트롤러에서 802.1X 설정

1단계. RADIUS 프로필 설정.

컨트롤러에 로그인하여 Network Settings > Profile > RADIUS Profile로 이동한 후, Create New RADIUS Profile을 클릭하고 이름 필드에 RADIUS 서버 이름을 입력합니다. Authentication Server IP/URL에 RADIUS 서버의 IP 주소를, Authentication Port에 RADIUS 포트 값을 입력합니다. Authentication Password에 RADIUS 서버의 공유 키를 입력합니다. 설정이 완료되면 Save를 클릭하여 설정을 저장합니다.

새 프로필이 만들어지는 RADIUS 프로필 설정 페이지입니다.

RADIUS 프로필 설정을 구성했습니다.

VLAN 할당 : VLAN 할당 기능은 해당 장치가 이 기능을 지원하는 경우에만 적용됩니다. 이 기능을 정상적으로 사용하려면 장치를 최신 펌웨어 버전으로 업그레이드하는 것이 좋습니다. 클라이언트가 RADIUS 서버 또는 RADIUS
핫스팟을 통해 포털에서 인증되는 경우 현재 VLAN 할당 기능은 지원되지 않습니다. 동적 VLAN이 기본
네트워크의 VLAN과 동일한 경우 네트워크 이상 현상이 발생할 수 있습니다. 외부 RADIUS 서버에서는 이 설정을 구성하지 마십시오.

Message Authenticator 요구 : 이 옵션은 장치가 이 기능을 지원하는 경우에만 적용됩니다. 이 옵션을 활성화하면 장치는 RADIUS 응답 메시지에 유효한 Message Authenticator 속성이 포함되도록 요구합니다.
참고: 비 EAP 인증 메시지(예: PAP 및 CHAP)에는 일반적으로 Message Authenticator 속성이 포함되지 않으므로, 이 옵션을 활성화하면 인증 실패가 발생할 수 있습니다.

RadSec: RadSec은 장치가 이 기능을 지원하는 경우에만 적용됩니다. 이 기능이 제대로 작동하도록 하려면 장치를 최신 펌웨어 버전으로 업그레이드하는 것이 좋습니다. 장치 목록에 이 기능을 지원하지 않는 구형 장치가 있는 경우, 이 기능이 활성화되지 않은 백업 서버를 설정하는 것이 좋습니다.

RADIUS 계정: RADIUS 계정 기능은 모니터링 및 과금 목적으로 사용자 세션 활동(예: 로그인 시간, 지속 시간, 데이터 사용량)을 추적하고 기록하는 기능입니다.

RADIUS 프록시: 이 옵션은 EAP PPSK, EAP MAC 기반 인증, EAP WPA-엔터프라이즈 및 EAP 802.1X 모드에서만 지원됩니다. RadSec 기능은 지원하지 않습니다.

RADIUS CoA: 이 기능을 활성화하면 TP-Link 장치는 RADIUS 동적 인증 서버 역할을 수행하며, RADIUS 서버에서 전송한 RADIUS CoA 및 Disconnect 메시지에 응답합니다. 이 옵션은 EAP PPSK, EAP MAC 기반 인증, EAP WPA-엔터프라이즈 및 802.1X에서만 지원됩니다.

여러 개의 RADIUS 서버를 구성하려면 + 새 인증 서버 추가 버튼을 클릭하세요.

서버를 여러 개 구성하면 RADIUS 이중화를 구현할 수 있습니다. 일부 서버에 장애가 생기거나 서버와 통신할 수 없을 경우에 다른 서버를 사용하여 인증 기능의 중단을 방지할 수 있습니다. 최대 4개의 인증 서버를 구성할 수 있습니다.

이중화를 구현하기 위해 새로운 인증 서버를 추가합니다.

인증 서버 2를 구성하거나 삭제 아이콘을 클릭하여 제거하세요.

두 번째 인증 서버를 구성했습니다.

참고: 인증 서버 이중화, 호스트 이름이 설정된 인증 서버(FQDNs), RadSec, RADIUS CoA를 사용하려면 스위치 펌웨어가 Omada 컨트롤러 V6.1.0 이상의 버전이어야 합니다.
Message-Authenticator 요구를 사용하려면 Omada 컨트롤러 V6.2.0 이상과 호환되는 버전의 스위치 펌웨어가 필요합니다.

2단계. 802.1X 인증을 설정합니다. 네트워크 설정 > 인증 > 802.1X로 이동합니다.

802.1X 설정 페이지의 위치입니다.

802.1X 버튼을 켭니다. RADIUS 프로필 열에서 1단계에서 생성한 RADIUS 서버를 선택하고 나머지 항목은 원하는 대로 설정합니다. 그런 다음 +추가 버튼을 클릭하여 802.1X를 활성화할 장치를 선택합니다.

스위치 802.1X 설정이 설정되었습니다.

참고 1: 'MAC 기반'은 해당 포트에 연결된 모든 장치가 네트워크에 액세스하기 전에 개별 인증을 받아야 함을 의미합니다. 반면 '포트 기반'은 한 포트에 연결된 모든 장치 중 하나라도 해당 포트의 인증을 통과하면 네트워크에 액세스할 수 있음을 의미합니다.

참고 2: Controller V6.2 이상 버전에서 호환되는 스위치 펌웨어를 사용하는 경우, 'MAC 기반'을 선택하면서 VLAN 할당을 활성화할 수 있습니다.

NAS ID: 인증을 위해 네트워크 액세스 서버 식별자(NAS ID)를 구성합니다. 802.1X가 활성화된 스위치에서 RADIUS 서버로 전송되는 인증 요청 패킷에는 NAS ID가 포함됩니다. RADIUS 서버는 NAS ID를 기반으로 사용자를 서로 다른 그룹으로 분류한 다음, 그룹별로 다른 정책을 적용할 수 있습니다.

인증 프로토콜: 스위치와 RADIUS 서버 간 메시지 교환에 사용할 인증 프로토콜을 선택합니다. 클라이언트와 RADIUS 서버 간의 중계자 역할을 하는 스위치는 양측을 위해 메시지를 전달합니다. 스위치는 EAP 패킷을 사용하여 클라이언트와 메시지를 교환하고, 지정된 인증 프로토콜에 따라 메시지를 처리한 후 RADIUS 서버로 전달합니다.

PAP: EAP 패킷은 다른 프로토콜(예: RADIUS) 패킷으로 변환되어 RADIUS 서버로 전송됩니다.
EAP: EAP 패킷은 다른 프로토콜(예: RADIUS) 패킷에 캡슐화되어 인증 서버로 전송됩니다. 이 인증 메커니즘을 사용하려면 RADIUS 서버가 EAP 속성을 지원해야 합니다.

인증 유형: 802.1X 인증 유형을 선택합니다.

포트 기반: 포트에 연결된 클라이언트가 인증에 성공하면, 다른 클라이언트는 인증 없이도 해당 포트를 통해 네트워크에 액세스할 수 있습니다.
MAC 기반: 포트에 연결된 클라이언트는 개별적으로 인증을 받아야 합니다. RADIUS 서버는 MAC 주소를 통해 클라이언트를 구별합니다.

VLAN 할당: 이 기능을 사용하면 RADIUS 서버가 VLAN 설정을 포트에 동적으로 전송할 수 있습니다. 포트가 인증된 후, RADIUS 서버는 해당 포트에 연결된 클라이언트의 사용자 이름을 기반으로 VLAN을 할당합니다. 사용자 이름과 VLAN 간의 매핑 정보는 이미 RADIUS 서버 데이터베이스에 저장되어 있어야 합니다.

게스트 VLAN: 인증에 실패하거나 시간 초과된 게스트 클라이언트에 대해 VLAN을 할당합니다.

MAB 형식: 컨트롤러가 인증에 사용할 클라이언트 MAC 주소 형식을 선택합니다. 그런 다음 RADIUS 서버에서 클라이언트의 사용자 이름으로 지정된 형식의 MAC 주소를 구성합니다.

3단계. 802.1X를 활성화할 장치를 선택한 다음, 왼쪽의 × 또는 빈 공간을 클릭하여 돌아갑니다. 또한 오른쪽 상단 모서리에서 장치 표시 모드를 토폴로지 보기(Topology View) 또는 목록 보기(List View) 중 하나로 전환할 수 있습니다.

토폴로지 화면에서 802.1X 인증을 활성화하도록 선택된 장치가 보이는 이미지입니다.

목록 화면에서 802.1X 인증을 활성화하도록 선택된 장치가 보이는 이미지입니다.

참고: Agile 스위치는 802.1X 인증을 지원하지 않으므로 여기에서 선택할 수 없습니다.

인증 모드와 포트를 선택하십시오. 완료되면 저장을 클릭하여 설정을 적용하십시오.

802.1X 인증을 활성화하기 위해 선택한 포트가 보이는 이미지입니다.

인증 모드: 802.1X 전용, MAB 전용 또는 둘 다 중에서 선택할 수 있습니다. '둘 다'를 선택하면 해당 포트가 MAB 및 802.1X 인증을 모두 지원합니다. 802.1X 인증이 시작되지 않거나 실패할 경우, 포트는 30초마다 자동으로 MAB 인증을 시작합니다.