Chapter 34. 고급 네트워킹
34.1. 요약
이 장에서는 여러 가지 고급 네트워킹 주제를 다룹니다.
이 장을 읽고 나면 다음 사항을 알게 될 것입니다:
- 게이트웨이와 라우팅의 기본 사항.
- USB 테더링을 설정하는 방법.
- IEEE® 802.11 및 Bluetooth® 장치를 설정하는 방법.
- FreeBSD가 브리지 역할을 하도록 하는 방법.
- 네트워크 PXE 부팅을 설정하는 방법.
- FreeBSD에서 공통 주소 중복 프로토콜(CARP)의 기능을 활성화하고 활용하는 방법.
- FreeBSD에서 여러 VLAN을 구성하는 방법.
- 블루투스 헤드셋 구성하기.
이 장을 읽기 전에 먼저 다음 사항을 이해해야 합니다:
- /etc/rc 스크립트의 기본 사항을 이해합니다.
- 기본적인 네트워크 용어를 숙지합니다.
- FreeBSD의 기본 네트워크 구성을 이해합니다(FreeBSD 네트워크).
- 새로운 FreeBSD 커널을 구성하고 설치하는 방법을 알 수 있습니다(FreeBSD 커널 구성하기).
- 추가 서드파티 소프트웨어를 설치하는 방법을 알 수 있습니다(애플리케이션 설치하기: 패키지 및 포트).
34.2. 게이트웨이와 라우팅
라우팅은 한 시스템이 다른 시스템으로 가는 네트워크 경로를 찾을 수 있도록 하는 메커니즘입니다. 라우팅은 '목적지'와 '게이트웨이'를 나타내는 정의된 주소 쌍입니다. 경로는 지정된 목적지로 가려고 할 때 지정된 게이트웨이를 통해 패킷을 보내도록 지정합니다. 목적지에는 개별 호스트, 서브넷, "default"의 세 가지 유형이 있습니다. "default"는 다른 경로가 적용되지 않는 경우 사용됩니다. 또한 게이트웨이에는 개별 호스트, 인터페이스라고도 하는 링크, 이더넷 하드웨어(MAC) 주소의 세 가지 유형이 있습니다. 알려진 경로는 라우팅 테이블에 저장됩니다.
이 섹션에서는 라우팅 기본 사항에 대한 개요를 제공합니다. 그런 다음 FreeBSD 시스템을 라우터로 구성하는 방법을 시연하고 몇 가지 문제 해결 팁을 제공합니다.
34.2.1. 라우팅 기초
FreeBSD 시스템의 라우팅 테이블을 보려면 netstat(1)을 사용하세요:
% netstat -r
Routing tables
Internet:
Destination Gateway Flags Refs Use Netif Expire
default outside-gw UGS 37 418 em0
localhost localhost UH 0 181 lo0
test0 0:e0:b5:36:cf:4f UHLW 5 63288 re0 77
10.20.30.255 link#1 UHLW 1 2421
example.com link#1 UC 0 0
host1 0:e0:a8:37:8:1e UHLW 3 4601 lo0
host2 0:e0:a8:37:8:1e UHLW 0 5 lo0 =>
host2.example.com link#1 UC 0 0
224 link#1 UC 0 0
이 예제의 항목은 다음과 같습니다:
default
이 표의 첫 번째 경로는 default 경로를 지정합니다. 로컬 시스템이 원격 호스트에 연결해야 할 때 라우팅 테이블을 확인하여 알려진 경로가 존재하는지 확인합니다. 원격 호스트가 테이블의 항목과 일치하면 시스템은 해당 항목에 지정된 인터페이스를 사용하여 연결할 수 있는지 확인합니다.
목적지가 항목과 일치하지 않거나 알려진 경로가 모두 실패하면 시스템은 해당 항목을 기본 경로로 사용합니다. 로컬 영역 네트워크에 있는 호스트의 경우 기본 경로의 Gateway 필드는 인터넷에 직접 연결되어 있는 시스템으로 설정됩니다. 이 항목을 읽을 때 Flags 열에 게이트웨이가 사용 가능(UG)임을 나타내는지 확인합니다.
자체적으로 외부 세계의 게이트웨이로 작동하는 시스템의 기본 경로는 인터넷 서비스 제공업체(ISP)의 게이트웨이 시스템이 됩니다.
localhost
두 번째 경로는 localhost 경로입니다. localhost의 Netif 열에 지정된 인터페이스는 루프백 장치라고도 하는 lo0입니다. 이는 이 대상에 대한 모든 트래픽이 네트워크를 통해 전송되지 않고 내부에 있어야 함을 나타냅니다.
MAC 주소
0:e0: 로 시작하는 주소는 MAC 주소입니다. FreeBSD는 로컬 이더넷에서 호스트(예제에서는 test0)를 자동으로 식별하고 이더넷 인터페이스를 통해 해당 호스트에 대한 경로(re0)를 추가합니다. 이 유형의 경로에는 Expire 열에서 볼 수 있는 시간 제한이 있으며, 호스트가 특정 시간 동안 응답하지 않을 때 사용됩니다. 이 경우 이 호스트에 대한 경로는 자동으로 삭제됩니다. 이러한 호스트는 최단 경로 결정을 기반으로 로컬 호스트에 대한 경로를 계산하는 RIP(라우팅 정보 프로토콜)를 사용하여 식별됩니다.
subnet
FreeBSD는 로컬 서브넷에 대한 서브넷 경로를 자동으로 추가합니다. 이 예에서 10.20.30.255는 서브넷 10.20.30의 브로드캐스트 주소이고 example.com은 해당 서브넷과 연결된 도메인 이름입니다. 지정 link#1은 머신의 첫 번째 이더넷 카드를 나타냅니다.
로컬 네트워크 호스트와 로컬 서브넷은 routed(8)이라는 데몬에 의해 경로가 자동으로 구성됩니다. 이 데몬이 실행되지 않으면 관리자가 정적으로 정의한 경로만 존재합니다.
host
host1 줄은 이더넷 주소로 호스트를 나타냅니다. 이 호스트는 보내는 호스트이므로 FreeBSD는 이더넷 인터페이스가 아닌 루프백 인터페이스(lo0)를 사용한다는 것을 알고 있습니다.
두 개의 host2 줄은 ifconfig(8)을 사용하여 생성된 별칭을 나타냅니다. lo0 인터페이스 뒤의 ⇒ 기호는 루프백 주소 외에 별칭이 설정되었음을 나타냅니다. 이러한 경로는 해당 별칭을 지원하는 호스트에만 표시되며 로컬 네트워크의 다른 모든 호스트에는 해당 경로에 대한 link#1 줄이 있습니다.
224
마지막 줄(대상 서브넷 224)은 멀티캐스팅을 처리합니다.
각 경로의 다양한 속성은 Flags 열에서 볼 수 있습니다. 흔히 볼 수 있는 라우팅 테이블 플래그에는 이러한 플래그 중 일부와 그 의미가 요약되어 있습니다:
플래그 |
목적 |
U |
경로가 활성(up)입니다. |
H |
경로 대상은 단일 호스트입니다. |
G |
이 대상에 대한 모든 것을 이 게이트웨이로 보내면 이 게이트웨이에서 어디로 보낼지 알아냅니다. |
S |
이 경로는 정적으로 구성되었습니다. |
C |
이 경로를 기반으로 새 경로를 복제하여 머신이 연결할 수 있도록 합니다. 이 유형의 경로는 일반적으로 로컬 네트워크에 사용됩니다. |
W |
경로는 로컬 영역 네트워크(복제) 경로를 기반으로 자동 구성되었습니다. |
L |
경로에는 이더넷(링크) 하드웨어에 대한 참조가 포함됩니다. |
FreeBSD 시스템에서는 기본 게이트웨이의 IP 주소를 지정하여 /etc/rc.conf에서 기본 경로를 정의할 수 있습니다:
defaultrouter="10.20.30.1"
route를 사용하여 수동으로 경로를 추가할 수도 있습니다:
$ route add default 10.20.30.1
수동으로 추가한 경로는 재부팅 후에도 유지되지 않습니다. 네트워크 라우팅 테이블의 수동 조작에 대한 자세한 내용은 route(8)을 참조하세요.
34.2.2. 정적 경로로 라우터 구성하기
듀얼 홈 시스템인 경우 FreeBSD 시스템을 네트워크의 기본 게이트웨이 또는 라우터로 구성할 수 있습니다. 듀얼 홈 시스템은 적어도 두 개의 서로 다른 네트워크에 상주하는 호스트입니다. 일반적으로 각 네트워크는 별도의 네트워크 인터페이스에 연결되지만, IP 앨리어싱을 사용하여 각각 다른 서브넷에 있는 여러 주소를 하나의 물리적 인터페이스에 바인딩할 수 있습니다.
시스템이 인터페이스 간에 패킷을 전달하려면 FreeBSD를 라우터로 구성해야 합니다. 인터넷 표준과 좋은 엔지니어링 관행으로 인해 FreeBSD 프로젝트는 이 기능을 기본적으로 활성화하지 않지만 /etc/rc.conf에 이 줄을 추가하여 부팅 시 시작되도록 구성할 수 있습니다:
gateway_enable="YES" # Set to YES if this host will be a gateway
지금 라우팅을 사용하려면 sysctl(8) 변수 net.inet.ip.forwarding을 1로 설정하세요. 라우팅을 중지하려면 이 변수를 0으로 재설정하세요.
라우터의 라우팅 테이블에는 다른 네트워크에 도달하는 방법을 알 수 있도록 추가 경로가 필요합니다. 경로는 정적 경로를 사용하여 수동으로 추가하거나 라우팅 프로토콜을 사용하여 경로를 자동으로 학습할 수 있습니다. 정적 경로는 소규모 네트워크에 적합하며 이 섹션에서는 소규모 네트워크에 정적 라우팅 항목을 추가하는 방법을 설명합니다.
Note
대규모 네트워크의 경우, 정적 경로는 빠르게 확장할 수 없게 됩니다. FreeBSD는 라우팅 프로토콜인 RIP, 버전 1과 2, IRDP를 제공하는 표준 BSD 라우팅 데몬 routed(8)와 함께 제공됩니다. BGP 및 OSPF 라우팅 프로토콜에 대한 지원은 net/quagga 패키지 또는 포트를 사용하여 설치할 수 있습니다.
다음 네트워크를 생각해 보세요:
이 시나리오에서 라우터A는 나머지 인터넷에 대한 라우터 역할을 하는 FreeBSD 머신입니다. 기본 경로가 10.0.0.1로 설정되어 외부 세계와 연결할 수 있습니다. 라우터B는 이미 192.168.1.1을 기본 게이트웨이로 사용하도록 구성되어 있습니다.
정적 경로를 추가하기 전 라우터A의 라우팅 테이블은 다음과 같습니다:
$ netstat -nr
Routing tables
Internet:
Destination Gateway Flags Refs Use Netif Expire
default 10.0.0.1 UGS 0 49378 xl0
127.0.0.1 127.0.0.1 UH 0 6 lo0
10.0.0.0/24 link#1 UC 0 0 xl0
192.168.1.0/24 link#2 UC 0 0 xl1
현재 라우팅 테이블을 사용하면 라우터A에 192.168.2.0/24 네트워크에 대한 경로가 없습니다. 다음 명령은 192.168.1.2를 다음 홉으로 사용하여 라우터A의 라우팅 테이블에 Internal Net 2 네트워크를 추가합니다:
$ route add -net 192.168.2.0/24 192.168.1.2
이제 라우터A는 192.168.2.0/24 네트워크의 모든 호스트에 연결할 수 있습니다. 그러나 FreeBSD 시스템이 재부팅되면 라우팅 정보가 유지되지 않습니다. 정적 경로를 영구적으로 유지해야 하는 경우 /etc/rc.conf에 추가하세요:
# Add Internal Net 2 as a persistent static route
static_routes="internalnet2"
route_internalnet2="-net 192.168.2.0/24 192.168.1.2"
static_routes 구성 변수는 공백으로 구분된 문자열 목록으로, 각 문자열은 경로 이름을 참조합니다. route_internalnet2 변수에는 해당 경로 이름에 대한 정적 경로가 포함됩니다.
static_routes에 둘 이상의 문자열을 사용하면 여러 개의 정적 경로가 생성됩니다. 다음은 192.168.0.0/24 및 192.168.1.0/24 네트워크에 대한 정적 경로를 추가하는 예제입니다:
static_routes="net1 net2"
route_net1="-net 192.168.0.0/24 192.168.0.1"
route_net2="-net 192.168.1.0/24 192.168.1.1"
34.2.3. 문제 해결
주소 공간이 네트워크에 할당되면 서비스 제공업체는 네트워크의 모든 트래픽이 해당 사이트의 링크로 전송되도록 라우팅 테이블을 구성합니다. 그렇다면 외부 사이트는 네트워크의 ISP에 패킷을 보낼지 어떻게 알 수 있을까요?
할당된 모든 주소 공간을 추적하고 인터넷 백본 또는 전국 및 전 세계 인터넷 트래픽을 전송하는 주요 간선 회선에 대한 연결 지점을 정의하는 시스템이 있습니다. 각 백본 머신에는 특정 네트워크의 트래픽을 특정 백본 캐리어로, 그리고 거기에서 특정 네트워크에 도달할 때까지 서비스 제공업체 체인을 따라 내려가는 마스터 테이블 세트의 사본이 있습니다.
서비스 제공업체는 백본 사이트에 자신이 사이트의 연결 지점, 즉 내부 경로임을 알리는 것이 서비스 제공업체의 임무입니다. 이를 경로 전파라고 합니다.
간혹 경로 전파에 문제가 발생하여 일부 사이트에 연결할 수 없는 경우가 있습니다. 라우팅이 고장난 위치를 파악하는 데 가장 유용한 명령은 traceroute 입니다. ping이 실패할 때 유용합니다.
traceroute를 사용할 때는 연결할 원격 호스트의 주소를 포함하세요. 출력에는 시도 경로를 따라 게이트웨이 호스트가 표시되며, 결국 대상 호스트에 도달하거나 연결 부족으로 인해 종료됩니다. 자세한 내용은 traceroute(8)을 참조하세요.
34.2.4. 멀티캐스트 고려 사항
FreeBSD는 기본적으로 멀티캐스트 애플리케이션과 멀티캐스트 라우팅을 모두 지원합니다. 멀티캐스트 애플리케이션은 FreeBSD에서 실행하기 위해 특별한 구성이 필요하지 않습니다. 멀티캐스트 라우팅을 지원하려면 다음 옵션을 커스텀 커널에 컴파일해야 합니다:
options MROUTING
멀티캐스트 라우팅 데몬인 mrouted는 net/mrouted 패키지 또는 포트를 사용하여 설치할 수 있습니다. 이 데몬은 DVMRP 멀티캐스트 라우팅 프로토콜을 구현하며 터널과 DVMRP를 설정하기 위해 /usr/local/etc/mrouted.conf를 편집하여 구성합니다. mrouted를 설치하면 map-mbone 및 mrinfo와 관련 매뉴얼 페이지도 설치됩니다. 구성 예제는 이를 참조하세요.
Note
많은 멀티캐스트 설치에서 DVMRP는 대부분 PIM 프로토콜로 대체되었습니다. 자세한 내용은 pim(4)를 참조하세요.
34.3. 가상 호스트
하나의 서버가 네트워크에 여러 서버로 표시되는 가상 사이트 호스팅은 FreeBSD의 일반적인 용도입니다. 이는 단일 인터페이스에 여러 네트워크 주소를 할당하여 이루어집니다.
주어진 네트워크 인터페이스에는 하나의 "실제" 주소가 있으며, "별칭" 주소는 얼마든지 가질 수 있습니다. 이러한 별칭은 일반적으로 이 예에서 보는 것처럼 /etc/rc.conf에 별칭 항목을 배치하여 추가합니다:
$ sysrc ifconfig_fxp0_alias0="inet xxx.xxx.xxx.xxx netmask xxx.xxx.xxx.xxx"
alias 항목은 alias0, alias1 등과 같은 일련번호를 사용하여 alias0으로 시작해야 합니다. 구성 프로세스는 첫 번째 누락된 번호에서 중지됩니다.
별칭 넷마스크 계산은 중요합니다. 주어진 인터페이스에 대해 네트워크의 넷마스크를 올바르게 나타내는 주소가 하나 있어야 합니다. 이 네트워크에 속하는 다른 모든 주소는 255.255.255.255 또는 0xffffffff로 표현되는 모두 1로 구성된 넷마스크를 가져야 합니다.
예를 들어, fxp0 인터페이스가 두 개의 네트워크에 연결되어 있는 경우를 생각해 보겠습니다: 넷마스크가 255.255.255.0인 10.1.1.0과 넷마스크가 255.255.255.240인 202.0.75.16입니다. 시스템은 10.1.1.1 ~ 10.1.1.5 및 202.0.75.17 ~ 202.0.75.20 범위에 나타나도록 구성해야 합니다. 주어진 네트워크 범위의 첫 번째 주소에만 실제 넷마스크가 있어야 합니다. 나머지 모든 주소(10.1.1.2 ~ 10.1.1.5 및 202.0.75.18 ~ 202.0.75.20)는 255.255.255.255의 넷마스크로 구성해야 합니다.
다음 /etc/rc.conf 항목은 이 시나리오에 맞게 어댑터를 올바르게 구성합니다:
$ sysrc ifconfig_fxp0="inet 10.1.1.1 netmask 255.255.255.0"
$ sysrc ifconfig_fxp0_alias0="inet 10.1.1.2 netmask 255.255.255.255"
$ sysrc ifconfig_fxp0_alias1="inet 10.1.1.3 netmask 255.255.255.255"
$ sysrc ifconfig_fxp0_alias2="inet 10.1.1.4 netmask 255.255.255.255"
$ sysrc ifconfig_fxp0_alias3="inet 10.1.1.5 netmask 255.255.255.255"
$ sysrc ifconfig_fxp0_alias4="inet 202.0.75.17 netmask 255.255.255.240"
$ sysrc ifconfig_fxp0_alias5="inet 202.0.75.18 netmask 255.255.255.255"
$ sysrc ifconfig_fxp0_alias6="inet 202.0.75.19 netmask 255.255.255.255"
$ sysrc ifconfig_fxp0_alias7="inet 202.0.75.20 netmask 255.255.255.255"
이를 더 간단하게 표현하는 방법은 공백으로 구분된 IP 주소 범위 목록을 사용하는 것입니다. 첫 번째 주소에는 지정된 서브넷 마스크가 지정되고 추가 주소에는 255.255.255.255의 서브넷 마스크가 지정됩니다.
$ sysrc ifconfig_fxp0_aliases="inet 10.1.1.1-5/24 inet 202.0.75.17-20/28"
34.4. 무선 고급 인증
FreeBSD는 무선 네트워크에 연결하는 다양한 방법을 지원합니다. 이 섹션에서는 무선 네트워크에 대한 고급 인증을 수행하는 방법을 설명합니다.
무선 네트워크에 연결하고 기본 인증을 하려면 네트워크 장의 무선 네트워크에 연결 및 인증 섹션에서 방법을 설명합니다.
34.4.1. EAP-TLS를 사용한 WPA
두 번째 WPA 사용 방법은 802.1X 백엔드 인증 서버를 사용하는 것입니다. 이 경우 보안 수준이 낮은 WPA 개인과 구분하기 위해 WPA를 WPA 엔터프라이즈라고 합니다. WPA Enterprise의 인증은 EAP(확장 인증 프로토콜)를 기반으로 합니다.
EAP에는 암호화 방법이 제공되지 않습니다. 대신 EAP는 암호화된 터널 안에 내장되어 있습니다. EAP 인증 방법은 여러 가지가 있지만 EAP-TLS, EAP-TTLS 및 EAP-PEAP가 가장 일반적입니다.
EAP-TLS(전송 계층 보안을 사용한 EAP)는 Wi-Fi Alliance에서 인증한 최초의 EAP 방법이기 때문에 잘 지원되는 무선 인증 프로토콜입니다. EAP-TLS를 실행하려면 모든 시스템에 설치된 CA(인증 기관)의 인증서, 인증 서버용 서버 인증서, 각 무선 클라이언트에 대한 클라이언트 인증서 등 세 개의 인증서가 필요합니다. 이 EAP 방식에서는 인증 서버와 무선 클라이언트가 각각의 인증서를 제시하여 서로를 인증한 다음, 이 인증서가 조직의 CA에 의해 서명되었는지 확인합니다.
이전과 마찬가지로 구성은 /etc/wpa_supplicant.conf를 통해 이루어집니다:
network={
ssid="freebsdap" - 1
proto=RSN - 2
key_mgmt=WPA-EAP - 3
eap=TLS - 4
identity="loader" - 5
ca_cert="/etc/certs/cacert.pem" - 6
client_cert="/etc/certs/clientcert.pem" - 7
private_key="/etc/certs/clientkey.pem" - 8
private_key_passwd="freebsdmallclient" - 9
}
- 이 필드는 네트워크 이름(SSID)을 나타냅니다.
- 이 예에서는 WPA2라고도 하는 RSN IEEE® 802.11i 프로토콜을 사용합니다.
- key_mgmt 줄은 사용할 키 관리 프로토콜을 나타냅니다. 이 예에서는 EAP 인증을 사용하는 WPA입니다.
- 이 필드는 연결에 대한 EAP 방법을 나타냅니다.
- identity 필드에는 EAP의 ID 문자열이 포함됩니다.
- ca_cert 필드는 CA 인증서 파일의 경로명을 나타냅니다. 이 파일은 서버 인증서를 확인하는 데 필요합니다.
- client_cert 줄은 클라이언트 인증서 파일의 경로명을 제공합니다. 이 인증서는 네트워크의 각 무선 클라이언트마다 고유합니다.
- private_key 필드는 클라이언트 인증서 개인 키 파일의 경로 이름입니다.
- private_key_passwd 필드에는 개인 키의 암호 구문이 포함됩니다.
그런 다음 /etc/rc.conf에 다음 줄을 추가합니다:
wlans_ath0="wlan0"
ifconfig_wlan0="WPA DHCP"
다음 단계는 인터페이스를 불러오는 것입니다:
$ service netif start
Starting wpa_supplicant.
DHCPREQUEST on wlan0 to 255.255.255.255 port 67 interval 7
DHCPREQUEST on wlan0 to 255.255.255.255 port 67 interval 15
DHCPACK from 192.168.0.20
bound to 192.168.0.254 -- renewal in 300 seconds.
wlan0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> mtu 1500
ether 00:11:95:d5:43:62
inet 192.168.0.254 netmask 0xffffff00 broadcast 192.168.0.255
media: IEEE 802.11 Wireless Ethernet DS/11Mbps mode 11g
status: associated
ssid freebsdap channel 1 (2412 Mhz 11g) bssid 00:11:95:c3:0d:ac
country US ecm authmode WPA2/802.11i privacy ON deftxkey UNDEF
AES-CCM 3:128-bit txpower 21.5 bmiss 7 scanvalid 450 bgscan
bgscanintvl 300 bgscanidle 250 roam:rssi 7 roam:rate 5 protmode CTS
wme burst roaming MANUAL
wpa_supplicant(8) 및 ifconfig(8)를 사용하여 인터페이스를 수동으로 불러올 수도 있습니다.
34.4.2. EAP-TTLS를 사용한 WPA
EAP-TLS를 사용하면 인증 서버와 클라이언트 모두 인증서가 필요합니다. EAP-TTLS를 사용하면 클라이언트 인증서는 선택 사항입니다. 이 방법은 방문자에게 클라이언트 측 인증서가 없는 경우에도 안전한 SSL 터널을 생성하는 웹 서버와 유사합니다. EAP-TTLS는 인증 데이터의 안전한 전송을 위해 암호화된 TLS 터널을 사용합니다.
필요한 구성은 /etc/wpa_supplicant.conf에 추가할 수 있습니다:
network={
ssid="freebsdap"
proto=RSN
key_mgmt=WPA-EAP
eap=TTLS - 1
identity="test" - 2
password="test" - 3
ca_cert="/etc/certs/cacert.pem" - 4
phase2="auth=MD5" - 5
}
- 이 필드는 연결에 대한 EAP 방법을 지정합니다.
- ID 필드에는 암호화된 TLS 터널 내부의 EAP 인증을 위한 ID 문자열이 포함됩니다.
- password 필드에는 EAP 인증을 위한 암호가 포함됩니다.
- ca_cert 필드는 CA 인증서 파일의 경로명을 나타냅니다. 이 파일은 서버 인증서를 확인하는 데 필요합니다.
- 이 필드는 암호화된 TLS 터널에서 사용되는 인증 방법을 지정합니다. 이 예에서는 MD5-Challenge가 포함된 EAP가 사용됩니다. "내부 인증" 단계는 종종 "phase2"라고 합니다.
다음으로 /etc/rc.conf에 다음 줄을 추가합니다:
wlans_ath0="wlan0"
ifconfig_wlan0="WPA DHCP"
다음 단계는 인터페이스를 불러오는 것입니다:
$ service netif start
Starting wpa_supplicant.
DHCPREQUEST on wlan0 to 255.255.255.255 port 67 interval 7
DHCPREQUEST on wlan0 to 255.255.255.255 port 67 interval 15
DHCPREQUEST on wlan0 to 255.255.255.255 port 67 interval 21
DHCPACK from 192.168.0.20
bound to 192.168.0.254 -- renewal in 300 seconds.
wlan0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> mtu 1500
ether 00:11:95:d5:43:62
inet 192.168.0.254 netmask 0xffffff00 broadcast 192.168.0.255
media: IEEE 802.11 Wireless Ethernet DS/11Mbps mode 11g
status: associated
ssid freebsdap channel 1 (2412 Mhz 11g) bssid 00:11:95:c3:0d:ac
country US ecm authmode WPA2/802.11i privacy ON deftxkey UNDEF
AES-CCM 3:128-bit txpower 21.5 bmiss 7 scanvalid 450 bgscan
bgscanintvl 300 bgscanidle 250 roam:rssi 7 roam:rate 5 protmode CTS
wme burst roaming MANUAL
34.4.3. EAP-PEAP를 사용한 WPA
<Note>
PEAPv0/EAP-MSCHAPv2는 가장 일반적인 PEAP 방식입니다. 이 장에서는 이 방법을 지칭할 때 PEAP라는 용어를 사용합니다.
Protected EAP(PEAP)는 EAP-TTLS의 대안으로 설계되었으며 EAP-TLS 다음으로 가장 많이 사용되는 EAP 표준입니다. 운영 체제가 혼합된 네트워크에서는 PEAP가 EAP-TLS 다음으로 가장 많이 지원되는 표준이어야 합니다.
PEAP는 서버 측 인증서를 사용하여 클라이언트와 인증 서버 사이에 암호화된 TLS 터널을 생성하여 클라이언트를 인증하고 이후 인증 정보 교환을 보호한다는 점에서 EAP-TTLS와 유사합니다. PEAP 인증은 사용자 이름을 투명하게 브로드캐스트하고 암호만 암호화된 TLS 터널로 전송한다는 점에서 EAP-TTLS와 다릅니다. EAP-TTLS는 사용자 이름과 비밀번호 모두에 TLS 터널을 사용합니다.
EAP-PEAP 관련 설정을 구성하려면 /etc/wpa_supplicant.conf에 다음 줄을 추가합니다:
network={
ssid="freebsdap"
proto=RSN
key_mgmt=WPA-EAP
eap=PEAP - 1
identity="test" - 2
password="test" - 3
ca_cert="/etc/certs/cacert.pem" - 4
phase1="peaplabel=0" - 5
phase2="auth=MSCHAPV2" - 6
}
- 이 필드는 연결에 대한 EAP 방법을 지정합니다.
- ID 필드에는 암호화된 TLS 터널 내부의 EAP 인증을 위한 ID 문자열이 포함됩니다.
- password 필드에는 EAP 인증을 위한 암호가 포함됩니다.
- ca_cert 필드는 CA 인증서 파일의 경로명을 나타냅니다. 이 파일은 서버 인증서를 확인하는 데 필요합니다.
- 이 필드에는 인증의 첫 번째 단계인 TLS 터널에 대한 매개변수가 포함되어 있습니다. 사용하는 인증 서버에 따라 인증에 사용할 특정 레이블을 지정합니다. 대부분의 경우, 라벨은 peaplabel=0을 사용하여 설정하는 "클라이언트 EAP 암호화"가 됩니다. 자세한 내용은 wpa_supplicant.conf(5)에서 확인할 수 있습니다.
- 이 필드는 암호화된 TLS 터널에서 사용되는 인증 프로토콜을 지정합니다. PEAP의 경우 auth=MSCHAPV2입니다.
/etc/rc.conf에 다음을 추가합니다:
wlans_ath0="wlan0"
ifconfig_wlan0="WPA DHCP"
그런 다음 인터페이스를 불러옵니다:
$ service netif start
Starting wpa_supplicant.
DHCPREQUEST on wlan0 to 255.255.255.255 port 67 interval 7
DHCPREQUEST on wlan0 to 255.255.255.255 port 67 interval 15
DHCPREQUEST on wlan0 to 255.255.255.255 port 67 interval 21
DHCPACK from 192.168.0.20
bound to 192.168.0.254 -- renewal in 300 seconds.
wlan0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> mtu 1500
ether 00:11:95:d5:43:62
inet 192.168.0.254 netmask 0xffffff00 broadcast 192.168.0.255
media: IEEE 802.11 Wireless Ethernet DS/11Mbps mode 11g
status: associated
ssid freebsdap channel 1 (2412 Mhz 11g) bssid 00:11:95:c3:0d:ac
country US ecm authmode WPA2/802.11i privacy ON deftxkey UNDEF
AES-CCM 3:128-bit txpower 21.5 bmiss 7 scanvalid 450 bgscan
bgscanintvl 300 bgscanidle 250 roam:rssi 7 roam:rate 5 protmode CTS
wme burst roaming MANUAL
34.5. 무선 Ad-hoc 모드
애드혹 모드라고도 하는 IBSS 모드는 지점 간 연결을 위해 설계되었습니다. 예를 들어, 머신 A와 B 사이에 애드혹 네트워크를 설정하려면 두 개의 IP 주소와 하나의 SSID를 선택합니다.
A에서:
$ ifconfig wlan0 create wlandev ath0 wlanmode adhoc
$ ifconfig wlan0 inet 192.168.0.1 netmask 255.255.255.0 ssid freebsdap
$ ifconfig wlan0
wlan0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> metric 0 mtu 1500
ether 00:11:95:c3:0d:ac
inet 192.168.0.1 netmask 0xffffff00 broadcast 192.168.0.255
media: IEEE 802.11 Wireless Ethernet autoselect mode 11g <adhoc>
status: running
ssid freebsdap channel 2 (2417 Mhz 11g) bssid 02:11:95:c3:0d:ac
country US ecm authmode OPEN privacy OFF txpower 21.5 scanvalid 60
protmode CTS wme burst
adhoc 매개변수는 인터페이스가 IBSS 모드에서 실행 중임을 나타냅니다.
이제 B가 A를 감지할 수 있어야 합니다:
$ ifconfig wlan0 create wlandev ath0 wlanmode adhoc
$ ifconfig wlan0 up scan
SSID/MESH ID BSSID CHAN RATE S:N INT CAPS
freebsdap 02:11:95:c3:0d:ac 2 54M -64:-96 100 IS WME
출력의 I는 A가 임시 모드임을 확인합니다. 이제 B를 다른 IP 주소로 구성합니다:
$ ifconfig wlan0 inet 192.168.0.2 netmask 255.255.255.0 ssid freebsdap
$ ifconfig wlan0
wlan0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> metric 0 mtu 1500
ether 00:11:95:d5:43:62
inet 192.168.0.2 netmask 0xffffff00 broadcast 192.168.0.255
media: IEEE 802.11 Wireless Ethernet autoselect mode 11g <adhoc>
status: running
ssid freebsdap channel 2 (2417 Mhz 11g) bssid 02:11:95:c3:0d:ac
country US ecm authmode OPEN privacy OFF txpower 21.5 scanvalid 60
protmode CTS wme burst
이제 A와 B는 모두 정보를 교환할 준비가 되었습니다.
34.5.1. FreeBSD 호스트 액세스 포인트
FreeBSD는 하드웨어 AP를 구입하거나 애드혹 네트워크를 실행할 필요가 없는 액세스 포인트(AP) 역할을 할 수 있습니다. 이는 FreeBSD 머신이 인터넷과 같은 다른 네트워크의 게이트웨이 역할을 할 때 특히 유용할 수 있습니다.
No Comments