none
NAP 기능은 L2 switch 에서 EAP/PEAP 기능만 되면 되는거 아닌가요? RRS feed

  • 질문

  • NAP_802.1X_StepByStep.doc 이문서를 따라서 NAP 기능을 시험해보려구 합니다.

    PC 4대는 그렇다 치고 L2 switch 가 802.1x 를 지원하면 된다고 하는데,

    NAP 기능중 802.1x 에 해당하는 기능은 L2 switch 에서 EAP/PEAP 기능만 되면되나요?

     

    질문1)

    즉, 저희가 가진 L2 switch 는 802.1x 의 기본적인 EAP 와 PEAP 기능 그리고 VLAN 만 됩니다. 그런데 다른 문서를 읽어보면 Cisco 와 연동하여 EAP over UDP EAP over FAST 등을 쓰는것으로 나와있는데 EAP over UDP EAP over FAST 가 동작하지 않는다고 한다면, NAP 기능을 못쓰나요?

     

    질문 2)

    만약 쓸 수 있다면 왜 CIsco 와  MicroSoft 는 EAP over UDP  와 EAP over FAST 를 사용하여 Agent 랑 연동을 하는지 모르겠습니다.

    EAP over UDP 와 EAP over FAST 를 써야 하는 특별한 이유가 있나요?

     

    질문 3)

    기존 망에서 NAP 기능을 쓰려고 한다면 꼭 이렇게 EAP over UDP 와 EAP over FAST 를 지원하는 L2 Switch 를 따로 구매를 해야 하나요?????

     

    질문 4)

    만약 위의 프로토콜이 제약적인 이유로 NAP 기능중 일부만 쓸 수 있는것이라고 한다면 NAP 기능중 어떤 기능 때문에 EAP over UDP 와 EAP over FAST 를 쓰는것인가요???

     

    2007년 6월 13일 수요일 오전 1:09

모든 응답


  • 질문하신 요지는 시스코와 MS에서 추구하는 NAC(Network Access  Control)에 대해
    서로 추구하는 방식이 틀려 일어나는 오해입니다.


    [ 시스코사의 NAC ]

     

    EAP over UDP(EAPoUDP), EAPoUDP는 시스코 NAC에서만 호환되는 방식입니다.
      PEAP V1 = MS와 상대적으로 네트워크장비의 요구기능이 충족되어야 NAC기능을 설계할수있습니다.
            

    EAP-FAST 규약은 MS사의 PEAP V2에 대응하기위해 만들어진 것입니다.


    [ MS의 NAP ]

     

    802.1x Supplicant와 PEAP인증방식을 내장하는 형태입니다

    PEAP V2 = Endpoint(윈도우비스타), EP와 DP는 롱혼서버에 내장된 기능으로 구현합니다.
      즉 운영체제에 내장된 기능으로만 NAC가 구현되도록 설계한 것입니다.
      네트워크 장비의 영향은 최소화 할려는 전략이지요..

    즉 MS의 NAP API를 이용해서 제어하는 형태입니다.


      각자 진영끼리 차이점도 있지만, 현재는 NAC-NAP연동도 하고 있습니다.
      시스코NAC 로 구축하지 않는이상 굳이 시스코장비를 구입할 이유는 없습니다.

    클라이언트가 비스타 ,서버는 롱혼이면 됩니다 (-_-;Wink
     

    테스트 잘 되시면 회신도 부탁드립니다.
    2007년 6월 13일 수요일 오전 1:59
  •  

    답변 감사드립니다.

    위 질문에 덧 붙여 질문이 있는데요, 그렇다면 Cisco 장비 역시 NAP 를쓴다면 구지 EAP-FAST 규약 또는 EAP-UDP 와 같은 기술을 쓰지 않아도 되는거 아닐까요?

    CISCO 와 MS 가 동시에 개발하면서 NAP 를 쓰려고하는데 왜 기존의 L2 Switch 기능대신에 새로운 protocol 을 쓰려고 하는지가 궁금합니다.

     

    또하나는 EAP - FAST 규약이 PEAP V2 에 대응한다고 하는데 둘이 같이 연합해서 개발하지않나요? 물론 과거에 같이 개발을 안했기 때문에 나오는 규약이라고 한다면, MS 가 EAP - FAST 지원해서 Cisco 와 연동에 문제 없도록 만든다고 한다면, 구지 EAP - FAST 를 써야 하나요? PEAP v2 가 돌고 있으면 그냥 그걸 쓰면 될거 같은데요.

     

    제가 궁금한것은 Micro Soft 입장이라기 보단 왜 구지 Cisco 에서 기존의 L2 Switch 에서 제공되는것외의 새로운 protocol 을 쓰려고 하는지가 궁금해서 질문 올립니다.

    2007년 6월 13일 수요일 오전 2:27
  • 제 개인적인 생각으로는  

    서로간의 점유율을 높이기 위한 전략으로 보시면 될듯 합니다.

     

    MS진영과 시스코진영간의  NAC 점유율을 높이기위한 차별화 전략입니다.

    시스코방식이 표준화된다면 시스코장비로 네트워크를 도배를 해야 겠죠.

     

    MS진영방식이 퍼진다면 OS점유율이 더욱 올라가겠죠...

    OS만 구입하면 되기 때문에 - 네트워크 장비에 의존하지 않기때문에 -

    구축에대한 가격경쟁력이 엄청나죠...

    (  실제로 시장에서 그 기능하나 구현할려고  비싼 네트워크장비를 새로 다 교체할려고 할까요?  --Wink

     

    그렬려면 시스코에서는 나름대로  여러가지 표준에 넘어서는 매력적인 기능과 프로토콜을 

    추가해야 시장에서 먹히겠죠 :-)

     

    비스타와 롱혼이 시장지배력을 굳힐경우에 대한 대책으로 시스코사에서는

    NAP 연동도 하는것이 아닐까 싶습니다 , 반대로 MS도 마찬가지겠구요.

     

    2007년 6월 13일 수요일 오전 2:46
  • 답변 너무 감사드립니다.

    많은 도움되었습니다.

    더 자세히 공부해야겠네요 ^^

    즐거운 하루되세요

    2007년 6월 13일 수요일 오전 3:08
  •  

    영문 포럼에서 다음과 같은 메시지를 봤습니다.

    As I mentioned, additional functionalities, such as 'no auth' vLAN assignment, or 'auth failed' vLAN assignment, help your network more easily deal with clients that are not 802.1x capable, or clients that do not have proper credentials (guests).

     

    With the bare support I listed - EAP-via-RADIUS, vLAN assignment by RADIUS - one is able to deal with clients that do 802.1x/EAP with proper credentials only.

     

     

    여기서 "no autho" VLAN assignment 또는 "auth failed" vLAN assignment 라는게 어떤 뜻인지 잘모르겠네요 게다가 802.1x이 아닌 client 와 쉽게 연동된다? 또는 무슨 말인지.....

     

    위의 두문장이 이해가 안되는군요...

    이게 무슨말인지 알 수 있을까요???

    2007년 6월 15일 금요일 오전 12:44