Cisco Cisco AnyConnect Secure Mobility Client v4.x Leaflet

의 ISE UI에서 최초 규정 준수 검사 이후 엔드포인트가 다음 보안상태 규정 준수를 검사할 때까지의
기간을 지정할 수 있습니다. 규정 준수 상태는 사용자가 하나의 통신 인터페이스에서 다른 통신 인터
페이스로 전환하는 경우에도 유지되어야 합니다.

보안상태 리스를 사용하면 세션이 ISE에서 유효한 경우 엔드포인트는 보안상태를 알 수 없는 상
태에서 규정 준수 상태로 바뀌어야 합니다.

참고

VLAN 모니터링 및 전환

일부 사이트에서는 다른 VLAN 또는 서브넷을 사용하여 기업 그룹 및 액세스 수준에 대해 네트워크
를 파티션합니다. ISE에서의 CoA(change of authorization: 권한 부여 변경)는 VLAN 변경사항을 지정
합니다. 또한 세션 종료와 같은 관리자 작업으로 인해 변경이 발생합니다. VPN 연결 동안 VLAN 변
경사항을 지원하려면 ISE Posture 프로파일에서 다음 설정을 구성하십시오.

• VLAN Detection Interval(VLAN 감지 간격) — 에이전트가 VLAN 전환을 감지하는 빈도 및 모니

터링 비활성화 여부를 결정합니다. 이 간격이 0을 제외한 값으로 설정된 경우 VLAN 모니터링
이 활성화됩니다. 이 값을 Mac OS X용으로 최소한 5로 설정하십시오.

VLAN 모니터링은 예상치 않은 VLAN 변경사항을 감지하기 위해 Mac에서만 필요하지만 Windows
와 Mac OS X 모두에서 구현됩니다. VPN이 연결되었거나 acise(기본 AnyConnect ISE 프로세스)
가 실행 중이지 않은 경우 자동으로 비활성화됩니다. 유효한 범위는 0초에서 900초입니다.

• Enable Agent IP Refresh(에이전트 IP 새로 고침 활성화) — 선택하지 않은 경우 ISE는 네트워크

전환 지연 값을 에이전트에 전송합니다. 이 설정을 선택한 경우 ISE는 에이전트에 DHCP 릴리스
를 전송하고 값을 갱신하며 에이전트는 최신 IP 주소를 검색하기 위해 IP 새로 고침을 수행합니
다.

• DHCP Release Delay(DHCP 릴리스 지연) 및 DHCP Renew Delay(DHCP 갱신 지연) — IP 새로 고

침 및 Enable Agent IP Refresh(에이전트 IP 새로 고침 활성화) 설정과 함께 사용됩니다. Enable
Agent IP Refresh(에이전트 IP 새로 고침 활성화) 확인란을 선택하고 이 값이 0이 아닌 경우, 에이
전트는 릴리스 지연 시간(초) 동안 대기하고 IP 주소를 새로 고치며 갱신 지연 시간(초) 동안 대
기합니다. VPN이 연결되어 있는 경우 IP 새로 고침은 자동으로 비활성화됩니다.

• Network Transition Delay(네트워크 전환 지연) — VLAN 모니터링이 Enable Agent IP Refresh(에

이전트 IP 새로 고침 활성화) 확인란에서 에이전트에 의해 비활성화 또는 활성화된 경우 사용됩
니다. 이러한 지연은 VLAN이 사용되지 않는 경우 버퍼를 추가하며 에이전트가 서버로부터의
정확한 상태를 대기하도록 적절한 시간을 제공합니다. ISE는 에이전트에 이 값을 전송합니다.
ISE UI의 전역 설정에서 네트워크 전환 지연 값을 설정한 경우, ISE Posture 프로파일 편집기의
값은 이 값을 덮어씁니다.

ASA는 VLAN 변경사항을 지원하지 않기 때문에 클라이언트가 ASA를 통해 ISE에 연결된 경우
이러한 설정이 적용되지 않습니다.

참고

   Cisco AnyConnect Secure Mobility Client 관리자 설명서, 릴리스 4.0

보안상태(Posture) 구성

VLAN 모니터링 및 전환