Cisco Cisco Identity Services Engine 1.3 Fascicule
Cisco Systems © 2016
131페이지
보안
액세스 방법 가이드
무선 엔드포인트에는“모니터 모드”가 없지만 802.1X, 웹 인증 또는 MAC 필터링을 사용하여 연결되는
엔드포인트를 분류하는 데 무선 프로파일링을 계속 사용할 수 있습니다. Cisco Wireless LAN Controller
Software Release 7.0.116.0부터 ISE는 무선 802.1X 엔드포인트 프로파일링을 지원합니다. WLC Release
7.2.103.0부터 ISE는 Central WebAuth를 사용하여 인증되는 엔드포인트를 포함하여 MAC 필터링을 사용한
무선 엔드포인트의 프로파일링을 지원합니다. 이는 이러한 WLAN 인증 방법으로 CoA 지원이 도입되었기
때문에 가능합니다.
엔드포인트를 분류하는 데 무선 프로파일링을 계속 사용할 수 있습니다. Cisco Wireless LAN Controller
Software Release 7.0.116.0부터 ISE는 무선 802.1X 엔드포인트 프로파일링을 지원합니다. WLC Release
7.2.103.0부터 ISE는 Central WebAuth를 사용하여 인증되는 엔드포인트를 포함하여 MAC 필터링을 사용한
무선 엔드포인트의 프로파일링을 지원합니다. 이는 이러한 WLAN 인증 방법으로 CoA 지원이 도입되었기
때문에 가능합니다.
7.2.103.0 이전 버전에서도 여전히 무선 클라이언트를 프로파일링할 수 있지만 ISE는 프로파일 전환에 CoA를
적용할 수 없습니다. 그러나 인벤토리(가시성) 용도를 위해 엔드포인트를 분류하고 선택적으로 엔드포인트 ID
그룹에 할당할 수 있습니다. 또한 무선 네트워크에 다시 연결할 때 현재 ID 그룹 할당에 따라 권한 부여 정책을
엔드포인트에 적용할 수 있습니다. 활성 세션 중에 프로파일 변경이 발견된 경우에는 권한 부여를 변경할 수
없습니다.
적용할 수 없습니다. 그러나 인벤토리(가시성) 용도를 위해 엔드포인트를 분류하고 선택적으로 엔드포인트 ID
그룹에 할당할 수 있습니다. 또한 무선 네트워크에 다시 연결할 때 현재 ID 그룹 할당에 따라 권한 부여 정책을
엔드포인트에 적용할 수 있습니다. 활성 세션 중에 프로파일 변경이 발견된 경우에는 권한 부여를 변경할 수
없습니다.
모범
사례:
위
그림에 표시된 통화 스테이션 ID 유형이 비 802.1X 클라이언트를 프로파일링할 수 있도록 시스템 MAC 주소로 설정되어 있는지
확인합니다
. 이렇게 하면 ISE가 엔드포인트를 데이터베이스에 추가하고 수신된 다른 프로파일 데이터를 알려진 MAC 주소를
기반으로
동일한 엔드포인트에 연결할 수 있게 됩니다.
가능하면 구축 초기 단계에 ISE 프로파일링을 구축합니다. ISE는 검색 프로세스를 시작하기 위한 네트워크
인증 또는 권한 부여 없이 유선 엔드포인트를 프로파일링할 수 있습니다. 이는 네트워크에 연결하려는
엔드포인트를 파악할 수 있는 가시성 측면에서 큰 도움이 됩니다. 이와 같은 초기 단계에서 네트워크 액세스를
위한 프로파일링이 필요한 특정 엔드포인트 유형이 아직 명확하지 않은 경우 ISE 프로파일링 정책은 바뀔 수
있습니다.
인증 또는 권한 부여 없이 유선 엔드포인트를 프로파일링할 수 있습니다. 이는 네트워크에 연결하려는
엔드포인트를 파악할 수 있는 가시성 측면에서 큰 도움이 됩니다. 이와 같은 초기 단계에서 네트워크 액세스를
위한 프로파일링이 필요한 특정 엔드포인트 유형이 아직 명확하지 않은 경우 ISE 프로파일링 정책은 바뀔 수
있습니다.
프로파일링에
미치는 액세스 정책 및 디바이스 컨피그레이션 영향
사용되는 802.1X 구축 모드(공개 인증과 닫힌 모드 비교) 및 액세스 디바이스에 구성된 인증 방법의
순서/우선순위에 따라 프로파일링 결과는 다를 수 있습니다. 예를 들어 포트가 닫힌 모드인 경우 포트에
권한이 부여될 때까지 DHCP 패킷을 전송할 수 없습니다. 특정 트래픽이 전송되지 않으면 프로브는
프로파일링을 결정하는 데 필요한 데이터를 수집할 수 없습니다. 공개 인증(모니터 모드 및 로임펙트 모드)을
사용하면 포트에 권한이 부여되기 전에 특정 트래픽이 통과할 수 있습니다. 어떤 시나리오에서든
프로파일링이 지원되지만 특정 구축 모드가 특성 수집의 시기 및 기능에 미치는 영향을 이해해야 합니다.
순서/우선순위에 따라 프로파일링 결과는 다를 수 있습니다. 예를 들어 포트가 닫힌 모드인 경우 포트에
권한이 부여될 때까지 DHCP 패킷을 전송할 수 없습니다. 특정 트래픽이 전송되지 않으면 프로브는
프로파일링을 결정하는 데 필요한 데이터를 수집할 수 없습니다. 공개 인증(모니터 모드 및 로임펙트 모드)을
사용하면 포트에 권한이 부여되기 전에 특정 트래픽이 통과할 수 있습니다. 어떤 시나리오에서든
프로파일링이 지원되지만 특정 구축 모드가 특성 수집의 시기 및 기능에 미치는 영향을 이해해야 합니다.
유연한 인증(FlexAuth)의 경우 인증 방법의 순서도 특성이 수집되는 시기와 권한 부여 시점에 할당되는
프로파일에 영향을 미칠 수 있습니다. 예를 들어 MAB 인증을 먼저 수행하도록 순서가 설정된 경우 802.1X가
모니터 또는 로임펙트 모드에 있으면 ISE에서 초기 연결 시에 원하는 정책을 할당하기에는 프로파일 데이터가
부족할 수 있습니다. MAB 조회가 수행되는 경우 엔드포인트는 여전히 알려지지 않은 그룹 또는 일반
프로파일링된 ID 그룹에 있을 수 있습니다. 802.1X를 먼저 수행하도록 순서가 설정된 경우 802.1X 시간이
초과되기 전에 DHCP 및 다른 프로파일링 특성을 수집할 수 있습니다. 그러면 초기 연결 중에 수집된 추가
특성에 따라 올바른 프로파일로 MAB 조회가 성공할 수 있습니다.
프로파일에 영향을 미칠 수 있습니다. 예를 들어 MAB 인증을 먼저 수행하도록 순서가 설정된 경우 802.1X가
모니터 또는 로임펙트 모드에 있으면 ISE에서 초기 연결 시에 원하는 정책을 할당하기에는 프로파일 데이터가
부족할 수 있습니다. MAB 조회가 수행되는 경우 엔드포인트는 여전히 알려지지 않은 그룹 또는 일반
프로파일링된 ID 그룹에 있을 수 있습니다. 802.1X를 먼저 수행하도록 순서가 설정된 경우 802.1X 시간이
초과되기 전에 DHCP 및 다른 프로파일링 특성을 수집할 수 있습니다. 그러면 초기 연결 중에 수집된 추가
특성에 따라 올바른 프로파일로 MAB 조회가 성공할 수 있습니다.
참고: 엔드포인트에 미치는 영향은 일반적으로 네트워크에 대한 첫 번째 연결로 제한됩니다. 엔드포인트가
완전히 프로파일링되면 ISE는 해당 ID 그룹 할당을 사용하여 네트워크에 대한 이후의 재연결 시점에
즉각적인 정책 일치를 수행할 수 있습니다.
완전히 프로파일링되면 ISE는 해당 ID 그룹 할당을 사용하여 네트워크에 대한 이후의 재연결 시점에
즉각적인 정책 일치를 수행할 수 있습니다.