Cisco Cisco Identity Services Engine 1.3 전단
Cisco Systems © 2016
144페이지
보안
액세스 방법 가이드
OUI
RADIUS
RADIUS 인증
브라우저 사용자
에이전트
에이전트
HTTP
중앙 정책 서비스 노드
클러스터로 권한 부여 정책
포스처 리디렉션
클러스터로 권한 부여 정책
포스처 리디렉션
Apple iDevice Employee_Personal
(802.1X/CWA)
DHCP 클래스 식별자
및 MAC-IP 매핑
및 MAC-IP 매핑
DHCP
로컬 레이어 3 스위치 SVI의 IP
Helper
Helper
MAC 주소
RADIUS(MAC
주소 검색)
주소 검색)
RADIUS 인증
MAC-IP 매핑을 위해
요청된 IP 주소
요청된 IP 주소
DHCP
로컬 정책 서비스 노드에 대한
DHCP 서버 포트의 RSPAN
DHCP 서버 포트의 RSPAN
MAC-IP 매핑을 위한
ARP 캐시 확보(선택
사항)
ARP 캐시 확보(선택
사항)
SNMP 쿼리
RADIUS 계정 관리 시작에
의해 트리거됨
의해 트리거됨
디바이스 X Critical_Device_X
(MAB)
대상 포트/IP에 대한
트래픽
트래픽
NetFlow
Distribution 6500 스위치에서
중앙 정책 서비스 노드로
NetFlow 내보내기
중앙 정책 서비스 노드로
NetFlow 내보내기
프로파일링
모범 사례 및 권장 사항 요약
다음은 ISE 프로파일링에 대한 모범 사례 및 권장 사항을 요약한 것입니다.
데이터 수집을 최적화할 수 있는 경우 Device Sensor를 사용합니다.
가능하면, 지정된 엔드포인트에 대한 프로파일 데이터를 동일한 정책 서비스 노드로 전송해야
합니다. 그렇지 않으면, 엔드포인트 데이터가 과도하게 업데이트되고 여러 PSN의 경합이 발생할
수 있습니다.
수 있습니다.
대부분의 경우 ISE는 이런 상황을 자동으로 처리합니다.
RADIUS 계정 관리 시작 또는 SNMP 트랩 패킷을 수신하는 동일한 PSN에 의해 SNMP 쿼리가
RADIUS 계정 관리 시작 또는 SNMP 트랩 패킷을 수신하는 동일한 PSN에 의해 SNMP 쿼리가
실행됩니다.
URL 리디렉션으로 발생하는 HTTP 트래픽은 RADIUS 세션을 처리하는 PSN으로 전송됩니다.
DHCP Helper는 여러 PSN으로 보내질 수 있으므로 특정 액세스 디바이스를 위해 RADIUS용으로
DHCP Helper는 여러 PSN으로 보내질 수 있으므로 특정 액세스 디바이스를 위해 RADIUS용으로
구성된 동일 PSN으로 보내는 것이 좋습니다.
DNS 쿼리는 IP 주소를 학습하는 동일 PSN을 통해 전송됩니다. 이 PSN은 일반적으로 RADIUS
세션을 처리하고, RADIUS 계정 관리의 Framed-IP-Address, DHCP의 dhcp-requested-address 또는
cdpCacheAddress의 트리거된 SNMP 쿼리 중 하나에서 IP 주소를 수신하는 PSN입니다.
cdpCacheAddress의 트리거된 SNMP 쿼리 중 하나에서 IP 주소를 수신하는 PSN입니다.
트리거된 NMAP 검사는 프로파일링 데이터를 수신하여 정책 규칙을 일치하게 하는 동일 PSN을
통해 제공됩니다. 예를 들어 NMAP 작업이 OUI 일치에 따라 프로파일 규칙 조건에 할당된 경우
RADIUS, DHCP 또는 다른 프로브를 통해 엔드포인트 MAC 주소를 수신하는 첫 번째 PSN은
NMAP 검사를 제공하는 PSN이 됩니다.
RADIUS, DHCP 또는 다른 프로브를 통해 엔드포인트 MAC 주소를 수신하는 첫 번째 PSN은
NMAP 검사를 제공하는 PSN이 됩니다.