Layer 2 Authentication / Access Control
Given a scenario – Configure / Troubleshoot / Monitor
0️⃣ 시험에서 L2 인증 시나리오는 이렇게 나온다
문제는 거의 항상 이런 식이다.
- 인증 서버 장애 시에도 기존 사용자는 유지해야 한다
- RADIUS 장애 중 신규 사용자는 제한적으로 허용해야 한다
- 인증은 성공했는데 VLAN이 바뀌지 않는다
- 단말 이동 시 재인증이 필요하다 / 필요 없다
- 서버 복구 후 동작이 이상하다
👉 핵심은 **“인증 결과를 캐시할 것인가, 다시 물을 것인가”**다.
1️⃣ 1단계: 이건 Auth Fail인가? Server Fail인가?
반드시 먼저 이 질문부터 한다
“자격 증명이 틀린 건가, 서버가 죽은 건가?”
- Authentication Fail
- 비밀번호 틀림
- MAC 미등록
- → 차단 / Guest VLAN
- Server Fail
- RADIUS 응답 없음
- 타임아웃
- → Fallback / Cache 정책
시험에서 이 구분 못 하면 바로 오답이다.
2️⃣ 2단계: 기존 인증 사용자는 어떻게 할 것인가? (use-cache)
🔹 use-cache의 정체
use-cache는
RADIUS 서버 장애 시
“과거에 인증 성공했던 결과를 계속 사용할지”를 정하는 옵션이다.
즉:
- 인증 결과 로컬 캐시 사용 여부
🔹 언제 use-cache를 쓰나? (시험 핵심)
이 조건이면 무조건 use-cache가 답이다.
- “Previously authenticated users must remain connected”
- “Do not disrupt existing sessions during server outage”
- “Minimize user impact when RADIUS is unavailable”
👉 use-cache
🔹 use-cache가 안 맞는 경우
- 보안 최우선
- 서버 다운 시 전부 차단해야 함
→ use-cache ❌
3️⃣ 3단계: sustain / permit / move의 차이 (여기서 점수 갈린다)
이건 서버 장애(Server Fail) 상황에서의 포트 동작 방식이다.
① sustain
정의
기존 인증 상태를 그대로 유지
- 이미 인증된 단말:
- 계속 Authorized
- 신규 단말:
- 기본 정책 따름 (보통 차단 또는 Guest)
언제 쓰나 (시험 문장)
- “Maintain current authenticated state”
- “Keep existing users connected”
👉 sustain
② permit
정의
인증 서버 장애 시
인증 없이 포트를 허용
- 모든 단말:
- 인증 없이 접근 가능
언제 쓰나
- 공장/병원/긴급망
- 가용성 최우선
시험 문장:
- “Allow network access even if authentication server fails”
→ permit
⚠ 함정:
- 보안 매우 약함
③ move
정의
서버 장애 시
단말을 다른 VLAN으로 이동
- 제한 VLAN
- Quarantine VLAN
- Guest VLAN
언제 쓰나
- 제한적 접근만 허용
- Captive Portal 연계
시험 문장:
- “Provide limited access during server outage”
→ move
4️⃣ sustain / permit / move 한 번에 비교 (암기용)
옵션기존 사용자신규 사용자보안
| sustain | 유지 | 정책 따름 | 중 |
| permit | 허용 | 허용 | 낮음 |
| move | 제한 VLAN | 제한 VLAN | 중~높음 |
5️⃣ 4단계: 단말 이동 시 재인증이 필요한가? (monitor/troubleshoot 포인트)
시험에서 이렇게 나온다.
- “User moves to a different port”
- “Authentication state is reused”
이때 판단:
- 같은 인증 세션 유지 요구
→ use-cache + sustain - 포트 이동 시 반드시 재인증
→ cache 사용 ❌
6️⃣ 5단계: 서버 복구 후 동작
이건 monitor 문제로 자주 나온다.
질문
“서버가 살아났을 때 즉시 재인증해야 하나?”
정답 사고:
- 즉시 재인증 요구 ❌
- 세션 타이머 만료 시 재인증 ⭕
시험 문장:
- “Authentication resumes after server recovery”
→ 정상 동작
7️⃣ 시험 시나리오 예시 정리 (실전형)
문제 유형 1
RADIUS 장애 중에도
기존 사용자는 끊기면 안 된다
정답 조합:
- use-cache
- sustain
문제 유형 2
서버 장애 시
모든 장비가 최소한의 접근은 해야 한다
정답:
- permit
문제 유형 3
서버 장애 시
게스트 네트워크로만 보내라
정답:
- move
문제 유형 4
서버 장애 중 신규 단말은 제한하되
기존 단말은 유지
정답:
- use-cache + sustain
8️⃣ 시험에서 바로 쓰는 만능 문장
“Since the issue is caused by an authentication server failure rather than an authentication failure, the correct solution is to apply a server-fail fallback policy using cached authentication results.”
Layer 2 Authentication – Given a scenario 최종 체크리스트
문제 읽으면서 이 순서로 생각해라.
- Auth fail vs Server fail?
- 기존 사용자 유지 필요?
- 신규 사용자 허용 범위?
- use-cache 필요한가?
- sustain / permit / move 중 무엇인가?
요약
- use-cache: 과거 인증 결과 재사용
- sustain: 기존 상태 유지
- permit: 전부 허용
- move: 제한 VLAN 이동