다음을 통해 공유

무선 액세스 배포 계획

무선 액세스를 배포하기 전에 다음과 같은 항목을 계획해야 합니다.

  • 네트워크에서 무선 AP(액세스 지점)의 설치

  • 무선 클라이언트 구성 및 액세스

다음 섹션에서는 이러한 계획 단계에 자세히 설명 합니다.

무선 AP 설치 계획

무선 네트워크 액세스 솔루션을 디자인할 때 다음을 수행 해야 합니다.

  1. 무선 Ap를 지원 해야 하는 표준은 무엇입니까를 결정 합니다.
  2. 무선 서비스를 제공 하려는 검사 영역 확인
  3. 무선 Ap를 찾을 위치를 결정합니다

또한 무선 AP 및 무선 클라이언트에 대한 IP 주소 체계를 계획해야 합니다. 관련 정보는 아래 NPS에서 무선 AP의 구성 계획 섹션을 참조하세요.

표준에 대한 무선 AP 지원 확인

일관성과 배포 및 AP 관리의 용이성을 위해 동일한 브랜드 및 모델의 무선 AP를 배포하는 것이 좋습니다.

배포하는 무선 AP는 다음을 지원해야 합니다.

  • IEEE 802.1X

  • RADIUS 인증

  • 무선 인증 및 암호화. 가장 선호도가 가장 낮은 순서로 나열됩니다.

    1. WPA2-Enterprise with AES

    2. WPA2-Enterprise with TKIP

    3. WPA-Enterprise with AES

    4. WPA-Enterprise with TKIP

참고 항목

W p a 2를 배포 하려면 무선 네트워크 어댑터 및 지 원하는 WPA2 무선 Ap를 사용 해야 합니다. 그렇지 않으면 WPA-엔터프라이즈를 사용합니다.

또한 네트워크에 대 한 향상 된 보안을 제공 하려면 무선 Ap 다음과 같은 보안 옵션을 지원 해야 합니다.

  • DHCP 필터링합니다. 무선 AP 무선 클라이언트가 DHCP 서버로 구성 되어 있는 경우에서 DHCP 브로드캐스트 메시지의 전송을 방지 하기 위해 IP 포트에서 필터링 해야 합니다. 무선 AP는 클라이언트가 UDP 포트 68에서 네트워크로 IP 패킷을 보내는 것을 차단해야 합니다.

  • DNS 필터링합니다. 무선 AP는 클라이언트가 DNS 서버로 수행되지 않도록 IP 포트를 필터링해야 합니다. 무선 AP는 클라이언트가 TCP 또는 UDP 포트 68에서 네트워크로 IP 패킷을 보내는 것을 차단해야 합니다.

  • 클라이언트 격리 무선 액세스 지점에서 클라이언트 격리 기능을 제공하는 경우, 이 기능을 활성화하여 ARP(주소 확인 프로토콜) 스푸핑 악용 가능성을 방지해야 합니다.

무선 사용자에 대한 적용 범위 영역 식별

각 건물에 대한 각 층의 아키텍처 도면을 사용하여 무선 커버리지를 제공하려는 영역을 식별합니다. 예를 들어 적절한 사무실, 회의실, 로비, 카페테리아 또는 안마당을 식별합니다.

도면에 의료 장비, 무선 비디오 카메라, 2.4~2.5GHz 산업, 과학 및 의료(ISM) 범위에서 작동하는 무선 전화기, Bluetooth 지원 장치 등 무선 신호를 방해하는 모든 장치를 표시합니다.

도면에 무선 신호를 방해할 수 있는 건물의 측면을 표시합니다. 건물의 건설에 사용되는 금속 물체는 무선 신호에 영향을 미칠 수 있습니다. 예를 들어 엘리베이터, 난방 및 에어컨 덕트, 콘크리트 지지 대들보 등과 같은 일반적인 물체는 신호 전파를 방해할 수 있습니다.

무선 AP 무선 주파수 감쇠를 일으킬 수 있는 원본에 대한 자세한 내용은 AP 제조업체를 참조하세요. 대부분의 AP는 신호 강도, 오류 속도 및 데이터 처리량을 확인하는 데 사용할 수 있는 테스트 소프트웨어를 제공합니다.

무선 AP를 설치할 위치 결정

아키텍처 도면에서 무선 AP를 충분한 무선 커버리지를 제공할 만큼 가깝게 배치하되 서로 간섭하지 않을 정도로 충분히 떨어져 배치합니다.

AP 안테나를 차단 하는 건물의 측면 무선 신호를 및 인터페이스 다른 소스 및 필요한 간격 Ap AP의 형식에 따라 다릅니다. 무선 AP 배치는 각 무선 AP 모든 인접 한 무선 AP에서 300 피트 이상 되지 않도록 표시할 수 있습니다. 배치에 대한 AP 사양 및 지침은 무선 AP 제조업체의 설명서를 참조하세요.

아키텍처 도면의 지정된 위치에 무선 AP를 일시적으로 설치합니다. 그런 다음 각 검사 영역 내에서 신호 강도 확인 및 장착 되어 802.11 무선 어댑터는 일반적으로 제공 되는 사이트 조사 소프트웨어 무선 어댑터와 함께 랩톱을 사용 합니다.

여기서 신호 강도 낮은 검사 영역에서 검사 영역에 대 한 신호 강도 향상, 필요한 정보, 재배치 또는 신호 인터페이스 소스를 제거 하려면 추가 무선 Ap를 설치 하기 위해 AP를 놓습니다.

모든 무선 AP의 최종 배치를 나타내도록 아키텍처 도면을 업데이트합니다. 정확한 AP 배치 맵을 사용하면 나중에 문제 해결 작업 중 또는 AP를 업그레이드하거나 교체하려는 경우에 도움이 됩니다.

무선 AP와 NPS RADIUS 클라이언트 구성 계획

NPS를 사용 하 여 개별적으로 또는 그룹 무선 Ap를 구성할 수 있습니다.

많은 Ap를 포함 하는 큰 무선 네트워크를 배포 하는 경우 그룹에서 Ap를 구성 하려면 훨씬 쉽습니다. Ap NPS에서 RADIUS 클라이언트 그룹을 추가 하려면 이러한 속성을 가진 Ap를 구성 해야 합니다.

  • 무선 Ap는 동일한 IP 주소 범위의 IP 주소로 구성 됩니다.

  • 무선 Ap 모두 동일한 공유 암호도 구성 됩니다.

PEAP 빠른 다시 연결 사용 계획

802.1X 인프라에서 무선 액세스 지점은 RADIUS 서버에 대한 RADIUS 클라이언트로 구성됩니다. PEAP 빠른 다시 연결이 배포되면 두 개 이상의 액세스 지점 간에 로밍하는 무선 클라이언트는 각 새 연결을 사용하여 인증할 필요가 없습니다.

PEAP 빠른 다시 연결은 인증 요청이 새 액세스 지점에서 원래 클라이언트 연결 요청에 대한 인증 및 권한 부여를 수행한 NPS로 전달되기 때문에 클라이언트와 인증자 간의 인증에 대한 응답 시간을 줄입니다.

PEAP 클라이언트와 NPS는 모두 이전에 캐시된 TLS(전송 계층 보안) 연결 속성(이 컬렉션의 이름을 TLS 핸들이라고 함)을 사용하기 때문에 NPS는 클라이언트에 다시 연결할 수 있는 권한이 있는지 빠르게 확인할 수 있습니다.

Important

빠른 다시 연결이 제대로 작동하려면 AP를 동일한 NPS의 RADIUS 클라이언트로 구성해야 합니다.

원래 NPS를 사용할 수 없게 되거나 클라이언트가 RADIUS 클라이언트로 구성된 액세스 지점으로 다른 RADIUS 서버로 이동하는 경우 클라이언트와 새 인증자 간에 전체 인증이 발생해야 합니다.

무선 AP 구성

다음 목록에는 802.1X 지원 무선 AP에서 일반적으로 구성되는 항목이 요약되어 있습니다.

참고 항목

항목 이름은 브랜드 및 모델에 따라 다를 수 있으며 다음 목록의 이름과 다를 수 있습니다. 구성 관련 세부 정보는 무선 AP 설명서를 참조하세요.

  • SSID(서비스 집합 ID). 무선 네트워크의 이름(예: ExampleWlan)이며, 무선 클라이언트에 보급되는 이름입니다. 혼동을 줄이기 위해 보급하도록 선택한 SSID는 무선 네트워크의 수신 범위 내에 있는 무선 네트워크에서 브로드캐스트되는 SSID와 일치하지 않아야 합니다.

    여러 무선 AP가 동일한 무선 네트워크의 일부로 배포되는 경우 동일한 SSID를 사용하여 각 무선 AP를 구성합니다. 여러 무선 AP가 동일한 무선 네트워크의 일부로 배포되는 경우 동일한 SSID를 사용하여 각 무선 AP를 구성합니다.

    특정 비즈니스 요구 사항을 충족하기 위해 서로 다른 무선 네트워크를 배포해야 하는 경우, 한 네트워크의 무선 AP는 다른 네트워크의 SSID와 다른 SSID를 브로드캐스트해야 합니다. 예를 들어 직원 및 게스트에 대 한 별도 무선 네트워크를 해야 할 경우으로 구성할 수 있습니다 네트워크의 무선 Ap 브로드캐스트를 설정 하는 SSID ExampleWLAN합니다. 그런 다음 게스트 네트워크의 경우 각 무선 AP의 SSID가 GuestWLAN을 브로드캐스트하도록 설정할 수 있습니다. 이러한 방식으로 직원과 게스트는 불필요한 혼동 없이 의도한 네트워크에 연결할 수 있습니다.

    일부 무선 AP에는 다중 네트워크 배포를 수용하기 위해 여러 SSID를 브로드캐스트할 수 있는 기능이 있습니다. 여러 SSID를 브로드캐스트할 수 있는 무선 AP는 배포 및 운영 유지 관리 비용을 줄일 수 있습니다.

  • 무선 인증 및 암호화합니다.

    무선 인증은 무선 클라이언트가 무선 액세스 지점과 연결하는 경우 사용되는 보안 인증입니다.

    무선 암호화는 무선 AP와 무선 클라이언트 간에 전송되는 통신을 보호하기 위해 무선 인증과 함께 사용되는 보안 암호화입니다.

  • 무선 AP IP 주소(고정). 각 무선 AP에서 고유한 정적 IP 주소를 구성 합니다. 서브넷의 DHCP 서버에서 처리를 하는 경우에 모든 AP IP 주소 범위 내에 DHCP 제외 범위는 DHCP 서버는 다른 컴퓨터 또는 디바이스에 동일한 IP 주소를 발급 하도록 시도 하지 않도록 확인 합니다. 제외 범위는 핵심 네트워크 가이드의 "새 DHCP 범위를 만들고 활성화하려면" 절차에 설명되어 있습니다. APs 그룹별로 NPS에서 RADIUS 클라이언트로 구성 하려는 경우 각 AP 그룹에 동일한 IP 주소 범위에서 IP 주소가 있어야 합니다.

  • DNS 이름합니다. 일부 무선 AP는 DNS 이름으로 구성할 수 있습니다. 고유한 이름으로 각 무선 AP를 구성합니다. 예를 들어, 다층 건물에 배포된 무선 AP가 있는 경우 3층에 배포된 처음 세 개의 무선 AP의 이름을 AP3-01, AP3-02, AP3-03으로 지정할 수 있습니다.

  • 무선 AP 서브넷 마스크합니다. 어느 부분이 IP 주소는 네트워크 ID와 어느 부분이 IP 주소는 호스트를 지정 하는 마스크를 구성 합니다.

  • AP DHCP 서비스합니다. 무선 AP에 DHCP 서비스가 기본 제공되는 경우 이를 사용하지 않도록 설정합니다.

  • RADIUS 공유 암호합니다. 어떤 상황에서 구성 해야 모든 Ap 그룹에 동일한 공유 암호-그룹에 NPS RADIUS 클라이언트를 구성 하려는 경우가 아니면 각 무선 AP에 대 한 암호를 공유 하는 고유한 RADIUS를 사용 합니다. 공유 암호는 적어도 22 자 대문자 둘 다의 임의 시퀀스 하 고 소문자, 숫자 및 문장 부호 이어야 합니다. 임의성을 보장하기 위해 임의의 문자 생성 프로그램을 사용하여 공유 암호를 만들 수 있습니다. 각 무선 AP에 대한 공유 암호를 기록하고 사무실 금고와 같은 안전한 위치에 저장하는 것이 좋습니다. NPS 콘솔에서 RADIUS 클라이언트를 구성할 때 각 AP의 가상 버전을 만듭니다. NPS의 각 가상 AP에서 구성하는 공유 암호는 실제 AP의 공유 암호와 일치해야 합니다.

  • RADIUS 서버 IP 주소합니다. 이 액세스 지점에 대한 연결 요청을 인증하고 권한을 부여하는 데 사용할 NPS의 IP 주소를 입력합니다.

  • UDP 포트. 기본적으로 NPS는 RADIUS 인증 메시지에는 UDP 포트 1812 및 1645를, RADIUS 계정 메시지에는 UDP 포트 1813 및 1646을 사용합니다. 기본 RADIUS UDP 포트 설정을 변경하지 않는 것이 좋습니다.

  • Vsa합니다. 일부 무선 AP는 전체 무선 AP 기능을 제공하기 위해 VSA(공급업체별 특성)가 필요합니다.

  • DHCP 필터링합니다. 무선 클라이언트가 UDP 포트 68에서 네트워크로 IP 패킷을 보내는 것을 차단하도록 무선 AP를 구성합니다. 무선 AP에 대한 설명서를 참조하여 DHCP 필터링을 구성합니다.

  • DNS 필터링합니다. 무선 클라이언트가 TCP 또는 UDP 포트 68에서 네트워크로 IP 패킷을 보내는 것을 차단하도록 무선 AP를 구성합니다. 무선 AP에 대한 설명서를 참조하여 DNS 필터링을 구성합니다.

무선 클라이언트 구성 및 액세스 계획

802.1X 인증 무선 액세스의 배포를 계획할 때는 몇 가지 클라이언트별 요소를 고려해야 합니다.

  • 여러 표준에 대 한 지원 계획합니다.

    무선 컴퓨터 사용 하는지 여부를 모두 동일한 버전의 Windows 또는 다른 운영 체제를 실행 하는 컴퓨터의 혼합 되는지 여부를 결정 합니다. 다른 경우 운영 체제에서 지원 되는 표준 간의 차이점을 이해 하는 확인 합니다.

    모든 무선 클라이언트 컴퓨터의 모든 무선 네트워크 어댑터가 동일한 무선 표준을 지원하는지 또는 다양한 표준을 지원해야 하는지 여부를 결정합니다. 예를 들어, 일부 네트워크 어댑터 하드웨어 드라이버는 WPA2-Enterprise 및 AES를 지원하고, 일부 드라이버는 WPA-Enterprise 및 TKIP만 지원하는지 여부를 확인합니다.

  • 클라이언트 인증 모드 계획합니다. 인증 모드는 Windows 클라이언트가 도메인 자격 증명을 처리하는 방법을 정의합니다. 무선 네트워크 정책에서 다음 세 가지 네트워크 인증 모드 중에서 선택할 수 있습니다.

    1. 사용자 재인증. 이 모드는 항상 컴퓨터의 현재 상태에 따라 보안 자격 증명을 사용 하 여 해당 인증이 수행 됩니다 지정 합니다. 컴퓨터에 로그온한 사용자가 없는 경우 컴퓨터 자격 증명을 사용하여 인증을 수행합니다. 사용자가 컴퓨터에 로그온한 경우에는 항상 사용자 자격 증명을 사용하여 인증을 수행합니다.

    2. 컴퓨터만. 컴퓨터는 컴퓨터 자격 증명을 사용 하 여 인증 모드를 지정 하는 전용 항상 수행 됩니다.

    3. 사용자 인증. 사용자 인증 모드는 사용자가 컴퓨터에 로그온 하는 경우에 해당 인증이 수행 됩니다 지정 합니다. 컴퓨터에 로그온한 사용자가 없으면 인증 시도가 수행되지 않습니다.

  • 무선 제한 계획합니다. 모든 무선 사용자에게 동일한 수준의 무선 네트워크 액세스를 제공할지 또는 일부 무선 사용자의 액세스를 제한할지 여부를 결정합니다. 특정 무선 사용자 그룹에 대해 NPS에서 제한을 적용할 수 있습니다. 예를 들어 정의할 수 있습니다 특정 일 및 시간 특정 그룹 무선 네트워크에 대 한 액세스를 허용 됩니다.

  • 새 무선 컴퓨터를 추가 하기 위한 메서드를 계획합니다. 무선 네트워크를 배포하기 전에 도메인에 가입된 무선 지원 컴퓨터의 경우, 컴퓨터가 802.1X로 보호되지 않는 유선 네트워크 세그먼트에 연결되어 있으면 도메인 컨트롤러에서 무선 네트워크(IEEE 802.11) 정책을 구성하고 무선 클라이언트에서 그룹 정책을 새로 고친 후에 무선 구성 설정이 자동으로 적용됩니다.

    그러나 도메인에 아직 가입하지 않은 컴퓨터의 경우 802.1X 인증 액세스에 필요한 설정을 적용하는 방법을 계획해야 합니다. 예를 들어, 다음 방법 중 하나를 사용 하 여 컴퓨터를 도메인에 가입을 사용할지를 결정 합니다.

    1. 802.1 X,으로 보호 되지 않는 유선된 네트워크의 세그먼트에 컴퓨터 연결 다음 컴퓨터를 도메인에 가입 합니다.

    2. 단계 및 컴퓨터를 도메인에 가입 하도록 허용 된 자신의 무선 부트스트랩 프로필을 추가 하는 데 필요한 설정으로 무선 사용자를 제공 합니다.

    3. 무선 클라이언트는 도메인에 가입 하려면 IT 담당자를 할당 합니다.

여러 표준에 대한 계획 지원

그룹 정책의 무선 네트워크(IEEE 802.11) 정책 확장은 다양한 배포 옵션을 지원하기 위한 광범위한 구성 옵션을 제공합니다.

지원하려는 표준으로 구성된 무선 AP를 배포한 다음 무선 네트워크(IEEE 802.11) 정책에서 여러 무선 프로필을 구성하여 각 프로필에 필요한 하나의 표준 세트를 지정할 수 있습니다.

예를 들어 네트워크에 WPA2-엔터프라이즈 및 AES를 지원하는 무선 컴퓨터, WPA-엔터프라이즈 및 AES를 지원하는 다른 컴퓨터, WPA-엔터프라이즈 및 TKIP만 지원하는 다른 컴퓨터가 있는 경우 이를 사용할지 여부를 결정해야 합니다.

  • 모든 컴퓨터가 지원하는 가장 약한 암호화 방법(이 경우 WPA-엔터프라이즈 및 TKIP)을 사용하여 모든 무선 컴퓨터를 지원하도록 단일 프로필을 구성합니다.
  • 두 개의 프로필을 구성하여 각 무선 컴퓨터에서 지원되는 최상의 보안을 제공합니다. 이 경우 가장 강력한 암호화(WPA2-엔터프라이즈 및 AES)를 지정하는 하나의 프로필과 더 약한 WPA-엔터프라이즈 및 TKIP 암호화를 사용하는 하나의 프로필을 구성할 수 있습니다. 이 예제에서는 WPA2-엔터프라이즈 및 AES를 사용하는 프로필을 기본 설정 순서에서 가장 높게 설정하는 것이 중요합니다. WPA2-엔터프라이즈 및 AES를 사용할 수 없는 컴퓨터는 기본 설정 순서에 따라 자동으로 다음 프로필로 건너뛰고 WPA-엔터프라이즈 및 TKIP를 지정하는 프로필을 처리합니다.

Important

컴퓨터 연결을 사용할 수는 첫 번째 프로필을 사용 하기 때문에 프로필의 정렬된 된 목록에서 더 높은 가장 안전한 표준 사용 하 여 프로필을 배치 해야 합니다.

무선 네트워크에 대한 제한된 액세스 계획

대부분의 경우 무선 사용자에게 무선 네트워크에 대한 다양한 수준의 액세스를 제공할 수 있습니다. 예를 들어 일부 사용자에게 제한되지 않은 액세스, 하루 중 어느 시간, 요일마다 액세스를 허용할 수 있습니다. 다른 사용자의 경우 월요일부터 금요일까지 코어 시간 동안만 액세스를 허용하고 토요일과 일요일에 액세스를 거부할 수 있습니다.

이 가이드에서는 무선 리소스에 대한 일반적인 액세스 권한이 있는 그룹에 모든 무선 사용자를 배치하는 액세스 환경을 만드는 지침을 제공합니다. Active Directory 사용자 및 컴퓨터 스냅인에서 하나의 무선 사용자 보안 그룹을 만든 다음 무선 액세스 권한을 부여할 모든 사용자를 해당 그룹의 구성원으로 만듭니다.

NPS 네트워크 정책을 구성할 때 권한 부여를 결정할 때 NPS에서 처리하는 개체로 무선 사용자 보안 그룹을 지정합니다.

그러나 배포에 다양한 수준의 액세스에 대한 지원이 필요한 경우 다음만 수행하면 됩니다.

  1. Active Directory 사용자 및 컴퓨터에서 추가 무선 보안 그룹을 만들 수 있는 둘 이상의 무선 사용자 보안 그룹을 만듭니다. 예를 들어, 근무 시간 동안 권한만 사용자에 게는 그룹 및 요구 사항과 일치 하는 다른 조건에 맞는 다른 그룹의 전체 액세스 권한을 가진 사용자를 포함 하는 그룹을 만들 수 있습니다.

  2. 만든 적절 한 보안 그룹에 사용자를 추가 합니다.

  3. 각 추가 무선 보안 그룹에 대 한 추가 NPS 네트워크 정책을 구성 하 고 조건 및 각 그룹에 대해 필요로 하는 제약 조건을 적용 하는 정책을 구성 합니다.

새 무선 컴퓨터를 추가하기 위한 계획 방법

새 무선 컴퓨터를 도메인에 가입한 다음 도메인에 로그온하는 기본 방법은 도메인 컨트롤러에 대한 액세스 권한이 있고 802.1X 인증 이더넷 스위치로 보호되지 않는 LAN 세그먼트에 유선 연결을 사용하는 것입니다.

그러나 경우에 따라 것 수행할 수 없습니다 컴퓨터를 가입 시킬 도메인 또는 이미 도메인에 가입 된 컴퓨터를 사용 하 여 자신의 첫 번째 로그온 시도가 대 한 유선된 연결을 사용 하 여 사용자에 대 한 유선된 연결을 사용 하도록 합니다.

무선 연결을 사용하여 컴퓨터를 도메인에 가입하거나 사용자가 도메인에 가입된 컴퓨터와 무선 연결을 사용하여 도메인에 처음 로그온하려면 먼저 무선 클라이언트가 다음 방법 중 하나를 사용하여 네트워크 도메인 컨트롤러에 액세스할 수 있는 세그먼트에서 무선 네트워크에 대한 연결을 설정해야 합니다.

  1. IT 직원의 구성원이 무선 컴퓨터를 도메인에 가입시킨 다음 Single Sign On 부트스트랩 무선 프로필을 구성합니다. 이 메서드를 사용 하는 IT 관리자 유선된 이더넷 네트워크에 무선 컴퓨터를 연결 하 고 컴퓨터를 도메인에 가입. 그런 다음 관리자는 사용자에게 컴퓨터를 배포합니다. 사용자가 컴퓨터를 시작할 때 사용자 로그온 프로세스에 대해 수동으로 지정한 도메인 자격 증명이 무선 네트워크에 대한 연결을 설정하고 도메인에 로그온하는 데 모두 사용됩니다.

  2. 사용자는 부트스트랩 무선 프로필을 사용하여 무선 컴퓨터를 수동으로 구성한 다음 도메인에 가입합니다. 이 메서드로 사용자는 IT 관리자의 지침에 따라 부트스트랩 무선 프로필의 무선 컴퓨터 수동으로 구성 합니다. 부트스트랩 무선 프로필을 통해 사용자는 무선 연결을 설정한 다음 컴퓨터를 도메인에 가입할 수 있습니다. 컴퓨터를 도메인에 가입하고 컴퓨터를 다시 시작한 후 사용자는 무선 연결 및 도메인 계정 자격 증명을 사용하여 도메인에 로그온할 수 있습니다.

무선 액세스를 배포 하려면 참조 무선 액세스 배포합니다.