SSID는 밴드별 분리하지 말고 가급적 용도별 분리 (e.g. Corporate, IOT, Guest)
SSID는 가급적 4개 이하로 설정(SSID가 많아지면 채널 사용률 증가로 인해 전체적 무선 성능 저하됨), High-density 환경에서는 1개 권장
802.11b Data Rates는 비활성화(1, 2, 5.5, 11 Mbps 비활성화 -> 6, 12, 24 Mbps 필수)
For 802.1x SSID
[호환성 중시] WPA2-Enterprise / AKM: 802.1x / FT: Disabled or Adpative(Cisco) / MFP: Disabled or Optional
[밸런스] WPA2/WPA3-Enterprise / AKM: 802.1x + FT / FT: Enabled / MFP: Optional
[보안 중시] WPA3-Enterprise / AKM: 802.1x-SHA2 + FT / FT: Enabled / MFP: Required (6 Ghz 필수)
For PSK SSID
[호환성 중시] WPA2-Personal / AKM: PSK / FT: Disabled / MFP: Disabled or Optional
[밸런스] WPA2/WPA3-Personal / AKM: PSK + SAE / FT: Disabled / MFP: Optional
[보안 중시] WPA3-Personal / AKM: SAE 또는 SAE-H2E / FT: Disabled / MFP: Required (6 Ghz의 경우 SAE-H2E 필수)
1. WPA3 및 WPA3 Transition Mode 사용 시 기존 디바이스의 호환성 문제를 확인 후 전환하는 것이 권장됨. WPA3 Transition Mode의 경우 기존 레거시 디바이스를 위해 WPA2도 송출하지만 오래된 드라이버나 잘못 작성된 드라이버로 인해 제대로 인식하지 못하고 연결하지 못하는 문제가 있을 수 있음.
2. 802.1x 배포가 불가능한 디바이스를 대상으로 PSK SSID를 사용하는 경우라면 대체적으로 최신 보안 프로토콜을 지원하지 않으며 호환성 문제가 발생할 것이 높으므로 WPA3-SAE 보다 WPA2-PSK(WPA3 Transition Mode의 경우 대체적으로 드라이버가 오래되고 제대로 작성되지 않은 경우 호환성 문제가 발생할 수 있음으로 사용 권장 안함)를 사용하는 것을 권장함.
3. 6 Ghz의 경우 WPA3-SAE-H2E를 사용해야 하는데 WPA-SAE 지원 디바이스 중 H2E까지 지원하는 디바이스는 적기 때문에 가급적 802.1x 배포를 사용하는 것이 호환성과 보안, 두 마리 토끼를 잡는 효율적 선택임.
4. PSK 환경에서 FT 사용은 큰 인증 시간 감소 효과가 없으며 호환성 문제가 발생할 가능성을 높이기 때문에 사용하지 않는 것을 권장함.
# Cisco C9800 v17.12부터 WPA2/WPA3 전환 모드에서도 하나의 WLAN 프로파일에 6 Ghz 라디오 구성 가능
For IOT SSID (2.4 Ghz Only) - 802.11ax(HE) IE Disabled
[호환성 중시] WPA2-Personal / AKM: PSK / MFP: Disabled or Optional
- 2.4 Ghz만 지원하는 일부 IOT 디바이스 연결에 영향을 미치는 옵션
5/6 Ghz를 동시 송출하는 경우, 802.11ax(HE) IE를 송출하는 경우, WPA3 Transition Mode를 사용하는 경우, FT AKM을 동시 송출하는 경우
[!] 6 Ghz band의 경우 WPA3 필수 사용 이므로 WPA3을 지원하지 않는 레거시 디바이스를 위해 다음 2가지 방법 중 사용
[방법 1] 6 Ghz SSID는 WPA3으로 설정하고 레거시 디바이스용 2.4 Ghz / 5 Ghz SSID를 동일하게 하여 WPA2 송출하는 방법
| Band | SSID | Security | Pros. Cons. |
| 2.4 Ghz + 5 Ghz | Corporate | WPA2 (그대로 유지) OR WPA3 Transition Mode로 변경 |
1. 기존 SSID를 사용하므로 클라이언트 측에 추가 관리 요소 없음 |
| 6 Ghz | Corporate | WPA3 | 1. 6 Ghz와 기존 2.4/5 Ghz 밴드 간 로밍 불가(전체 인증 수행) 2. 기존 밴드를 WPA3 Transition Mode로 변경했을 때 일부 레거시 디바이스의 연결 불가 3. 기존 밴드를 WPA2로 유지했을 경우 최신 디바이스가 기존 밴드 연결 시 구형 보안 프로토콜 사용 |
* WPA3 Transition Mode 사용 시 WPA2 레거시 클라이언트 중 일부가 연결이 안되는 문제가 있으므로 내부 테스트 후 적용
[방법 2] WPA3용 SSID를 별도로 둔 채 레거시 디바이스용 WPA2 SSID를 신규로 생성
| Band | SSID | 보안 | Pros. Cons. |
| 2.4 GHz + 5 Ghz | Corporate | WPA2 | 1. 기존 네트워크에 영향 없음 2. 밴드 간 완전한 로밍 3. WPA3 지원 디바이스는 WPA3 전용 네트워크에 연결하므로 보안 위협 요소 없음 |
| (2.4 Ghz +) 5 Ghz + 6 Ghz | Corporate-WPA3 | WPA3 | 1. 새로운 SSID를 추가해야 함 2. 사용자가 두 개의 SSID 중에 적절한 SSID를 사용하지 않을 수 있음 3. IT 무선 프로파일 배포해야 하는 업무가 늘어남 |
* 6 Ghz band의 보안 요구 사항
Open Enhanced(OWE), SAE-H2E, 802.1x-SHA2 그리고 MFP 필수 (Open, WPA2, SAE-H2P는 미지원)
'네트워크(Network) > Network 101' 카테고리의 다른 글
| Wi-Fi 최적 채널 설정 (1) | 2024.01.12 |
|---|---|
| WPA3-Enterprise (0) | 2022.02.13 |
| Fragattacks (0) | 2021.05.12 |
| Diffie-Hellman Groups (DH Groups) (0) | 2021.05.07 |
| TR-069(Technical Report 069) (0) | 2021.05.07 |
