Cisco Cisco Identity Services Engine 1.3 Fascicule
보안
액세스 방법 가이드
71 단계 포트를 액세스 모드로 설정합니다. 이 명령을 실행하지 않으면 인터페이스가 'authentication' 관련
명령을
가져오지 않습니다.
SWITCH(config-if)#switchport mode access
SWITCH(config-if)#switchport access vlan 10
SWITCH(config-if)#switchport voice vlan 11
참고
: 사용자 이름과 비밀번호는 ISE가 활용 중인 ID 데이터베이스에서 유효한 어카운트일 필요는
없습니다
. ISE 노드가 성공한 인증에 대해 ACCESS-ACCEPT를 다시 보내든, 장애가 발생한
인증에
대해 ACCESS_REJECT를 다시 보내든 관계없이 스위치는 두 응답을 모두 RADIUS 데드
설정을
위한 라이브 서버의 유효한 응답으로 간주합니다. MS Active Directory 또는 LDAP와 같은
외부
ID 저장소를 사용하는 경우 여기서 유효한 어카운트를 제공할 수 있다는 이점이 있습니다.
유효한
어카운트를 사용하면 스위치가 백엔드 ID 저장소까지 전체를 테스트할 수 있으며, ISE
노드가
외부 ID 데이터베이스에 연결되어 있는지를 확인할 수 있습니다.
72 단계 (선택 사항) 디바이스 센서에 대해 CDP 및 LLDP를 활성화합니다(기본적으로 활성화되어야 함).
SWITCH(config-if)#cdp enable
SWITCH(config-if)#lldp receive
73 단계 (선택 사항) 네트워크에서 인증되지 않은 포트로 브로드캐스트 트래픽을 허용합니다. 이는 WoL
프로세스를
보완하므로 네트워크 관리 서버가 온디맨드 방식으로 클라이언트의 절전 모드를
해제할
수 있습니다. 또한 다른 호스트의 네트워크 요청이 없으면 자체적으로는 많은 트래픽을
생성하지
않는 특정 디바이스 유형에 대한 MAB 프로세스도 보완합니다.
SWITCH(config-if)#authentication control-direction in
74 단계 802.1x 인증에서 장애가 발생한 후 포트를 MAB로 이동할 수 있도록 합니다.
SWITCH(config-if)#authentication event fail action next-method
75 단계 (선택 사항) 인증 중에 RADIUS 서버를 사용할 수 없으면 포트에 열기/닫기 장애가 발생할 수
있도록
합니다. 포트에 열기 장애가 발생하도록 하려면 액세스 VLAN과 같은 VLAN을 할당합니다.
포트에
닫기 장애가 발생하도록 하려면 SVI가 없는 더미(dummy) VLAN을 할당합니다. 이렇게 하면
연결
가능한 RADIUS 서버가 없을 때 연결하는 디바이스에만 영향을 줍니다. 이 이벤트 전에 이미
연결된
디바이스는 영향을 받지 않습니다. DEFAULT-ACL은 이 포트에 계속 적용됩니다.
Cisco Systems © 2016
21 페이지