Cisco Cisco Identity Services Engine 1.3 Prospecto
보안
액세스 방법 가이드
이
설계에서 엔드포인트가 FlexConnect 지원 WLAN에 연결되면 엔드포인트는 LAP에서 컨트롤러로 이어지는
CAPWAP 터널을 통해 인증됩니다. 그러나 인증되고 나면 트래픽이 중앙 무선 컨트롤러를 통해 전환되지 않고
로컬로
로컬로
LAP에서 로컬 LAN으로 전환됩니다. 2개의 WLAN이 구성되어 있으며, 하나는 MAC 필터링을 사용하는
개방형
SSID이고 다른 하나는 WPA2/802.1X 지원 WLAN입니다. example_open SSID와 연결된 엔드포인트는
FlexConnect AP에 로컬로 정의된 VLAN 40으로 전환되는 반면, example_secure SSID와 연결된 엔드포인트는
VLAN 30으로 전환됩니다. example_open SSID와 연결된 엔드포인트는 WLC에 정의된 FlexConnect ACL을
사용하는
사용하는
인터넷 전용 액세스로 제한되며 이는 FlexConnect AP에 게시됩니다. 이 ACL은 권한 부여 중에
AireSpace RADIUS 특성을 사용하여 ISE의 세션에 적용됩니다.
FlexConnect 모드에서는 로컬 인증과 같은 추가 구성을 지원하지만 이러한 옵션은 ISE 통합의 일부로
다루어지지
다루어지지
않습니다. 또한 이 문서에서는 FlexConnect 모드에서의 ISE 통합에 필요한 구성에 대해 설명하지만,
프로파일링
및 자세한 게스트 액세스를 비롯하여 이 문서에서 다루지 않는 추가 구성도 있습니다. 이러한
구성에
대한 자세한 내용은 해당 방법 가이드를 참고하십시오.
사용되는
구성 요소
• Cisco ISE 1.2.0.899
• Cisco 2504 CUWN AireOS 7.5.102.0
• Cisco LWAP 3602(RADIUS를 사용하는 FlexConnect ACL은 레거시 및 메시 AP 모델인 1130, 1240,
1520 및 1550에서 지원되지 않습니다. FlexConnect 모드 및 AAA 재정의 기능에 대한 자세한 내용은
WLC 가이드
를
참고하십시오.)
• AD/DNS/DHCP 서버로 사용되는 MS Windows 2008 서버
참고
: 여기에 설명된 권한 부여에 따라 ACL을 사용하는 FlexConnect는 지원되는 AP 모델과 함께 AireOS
7.5.102.0 이상을 실행하는 WLC에서만 지원됩니다. 다른 WLC 및 AP 버전의 경우 대신 정적 VLAN 할당이
FlexConnect 그룹 수준에서 사용되어 트래픽을 제어할 수 있습니다. FlexConnect VLAN 할당 사용에 대해서는
다음
다음
URL의 BYOD 2.5 CVD에 설명되어 있습니다.
http://www.cisco.com/en/US/docs/solutions/Enterprise/Borderless_Networks/Unified_Access/BYOD_Wireless.html
스위치
구성
이
설계에서는 로컬 VLAN이 다른 WLAN을 사용하도록 매핑되어 있어야 하므로 LAP에 연결되는 인터페이스를
트렁크
포트로 구성해야 합니다.
Remote-Switch(config)#interface
GigabitEthernet x/y/z
Remote-Switch(config-if)#description AP
Remote-Switch(config-if)#switchport mode trunk
Remote-Switch(config-if)#switchport trunk native vlan 80
Remote-Switch(config-if)#no shut
WLC에 연결되는 인터페이스는 트렁크 인터페이스 또는 액세스 인터페이스일 수 있습니다. WLC가 중앙에서
사용자
사용자
트래픽을 전환하는 경우 로컬 모드로 구축된 AP와 마찬가지로 트렁크가 필요합니다. 이 문서에서는
flex-connect 모드 AP에 대해 중점적으로 다루므로 인터페이스는 액세스 포트로 구성됩니다.
Cisco Systems © 2016
4 페이지