이번 시간에는 알카텔 스위치 NAC와 연동 시 문제점에 대해서 알아보도록 하겠습니다.
1. NAC 장비 연동 시 문제점
알카텔 스위치 OS 시리즈는 NAC장비와 IP관리기 연동할때 문제가 있습니다.
ARP spoofing을 이용하여 사용자를 차단하는 IP관리기 or NAC Solution의 경우 AOS의 보안 기능에 의해서 차단부분의 연동에 문제가 발생하기 때문에 2가지의 설정이 꼭 필요합니다. AOS에서는 보안 기능에 의해서 정상적으로 차단하게 됨 . 연동을 위해서는 아래의 2가지 설정 확인이 필요합니다.
1. ARP Poison 기능 Disable
: AlcatelDebug.cfg를 이용하여 debug set ipedArpPoisionLrn 1 설정 필요 (스위치 Reboot 필요)
2. Anti-spoofing 기능 Disable
: 펌웨어 644.502.R01, 643.717.R01이상의 build부터는 Anti-spoofing 기능이 추가되었음.
Antispoofing 기능이 running 되는 경우 ip dos anti-spoofing disable 설정 필요.
IP 관리기에서 G-ARP를 이용해서 스위치의 ARP 변경을 시도하는 방식의 경우 AOS 7.x에서는 기본값 ARP poison enable 유지 권장
★ 펌웨어 버전별 유의 사항
- 731.R01과 이전 버전 732. GA ~ 732.459.R01까지는 정상 또는 732.689.R01 이후 버전
- 732.459.R01 ~ 7.3.2.654.R01 사이 버전에서는 연동 문제 발생 (732.689.R01에서 해결 됨)
IP 관리기에서 G-ARP를 이용해서 스위치의 ARP 변경을 시도하는 방식의 경우 AOS 7.x & 8.x에서는 기본
값 ARP poison enable 유지 권장.
- Unicast ARP(Unicast ARP Request or Reply)를 이용한 NAC의 경우, AOS 7.x & 8.x 장비에서는 ARP poison enable 설정 그리고 NAC에서는 ARP Reply 방식의 조합으로 구성해야 함.
- ARP poison disable한 경우에는 Probe에서 단말로 보낸 Unicast ARP Request or Reply에 의해 스위치의 ARP가 변경이 될 수 있음.
◇ AOS 7.x -> OS10K, OS6900용 AOS
- 732.R01, 734.R01, 734.R02
◇ AOS 8.x -> OS6860/E용 AOS
- 811.R01, 821.R01, 831.R01
◇ AOS 831.R01 -> 새로운 통합 AOS OS10K, OS6900, OS6860/E, OS6865, OS9907 지원
알카텔 스위치에서 NAC 장비와 연동시 발생하는 문제점 해결 방안입니다.
저의 글을 읽어 주셔서 감사합니다. 오늘도 즐거운 하루 보내세요.
댓글