Cisco Cisco Identity Services Engine 1.3 전단
Cisco Systems © 2016
29페이지
보안
액세스 방법 가이드
여러 정책 서비스 노드에서 SNMP 쿼리가 활성화되어 있는 경우, 지정된 네트워크 디바이스를 폴링하도록
특정 PSN이 구성되어 있지 않다면 네트워크 디바이스의 SNMP 폴링이 사용 가능한 모든 PSN 간에
분산됩니다.
특정 PSN이 구성되어 있지 않다면 네트워크 디바이스의 SNMP 폴링이 사용 가능한 모든 PSN 간에
분산됩니다.
이와 같이 폴링되는 쿼리 중에 ISE에서 IP-MAC ARP 캐시 표를을 작성할 수 있도록 ARP(Address Resolution
Protocol) 표 정보도 수집됩니다. 엔드포인트가 레이어 2 전용 스위치 포트에 연결된 환경에서는 엔드포인트에
대한 ARP 표 정보가 포함되어 있는 경우 업스트림 레이어 3 디바이스(예: 브랜치 라우터 또는 레이어 3 분산
스위치)를 ISE 네트워크 액세스 디바이스로 구성하는 것이 좋습니다. DHCP 프로브가 IP-MAC 바인딩
데이터를 수집할 수 없는 경우 또는 액세스 디바이스에 RADIUS가 구성되어 있지 않은 구축 환경에서는 IP-
MAC 바인딩 정보를 제공해야 할 수 있습니다. 토폴로지 예(그림 21)에서는 무선 클라이언트 또는 다운스트림
레이어 2 스위치(표시되지 않음)를 위한 ARP 정보를 확보하기 위해 Cisco Catalyst 6500 Series 스위치가 폴링될
수 있습니다.
Protocol) 표 정보도 수집됩니다. 엔드포인트가 레이어 2 전용 스위치 포트에 연결된 환경에서는 엔드포인트에
대한 ARP 표 정보가 포함되어 있는 경우 업스트림 레이어 3 디바이스(예: 브랜치 라우터 또는 레이어 3 분산
스위치)를 ISE 네트워크 액세스 디바이스로 구성하는 것이 좋습니다. DHCP 프로브가 IP-MAC 바인딩
데이터를 수집할 수 없는 경우 또는 액세스 디바이스에 RADIUS가 구성되어 있지 않은 구축 환경에서는 IP-
MAC 바인딩 정보를 제공해야 할 수 있습니다. 토폴로지 예(그림 21)에서는 무선 클라이언트 또는 다운스트림
레이어 2 스위치(표시되지 않음)를 위한 ARP 정보를 확보하기 위해 Cisco Catalyst 6500 Series 스위치가 폴링될
수 있습니다.
인터페이스
쿼리
인터페이스 쿼리는 RADIUS 계정 관리 시작 패킷(RADIUS 프로브 필요) 또는 SNMP LinkUp/MAC Notification
트랩(SNMP 트랩 프로브 필요)에 의해 트리거됩니다.
트랩(SNMP 트랩 프로브 필요)에 의해 트리거됩니다.
모범
사례: 구축을 간소화하고 SNMP 트랩으로 인한 트래픽 오버헤드를 줄이기 위해서는 가능하면 RADIUS 프로브를 사용하여 RADIUS 계정 관리
시작
메시지를 기반으로 SNMP 쿼리를 트리거하십시오.
시스템 쿼리에서는 액세스 디바이스 MIB를 읽는 반면, 인터페이스 쿼리에서는 MIB 또는 트랩을 수신하는
특정 인터페이스만 관련된 MIB 부분을 요청합니다. 이와 같이 트리거되는 쿼리는 액세스 디바이스에서 다음
데이터를 검색합니다.
특정 인터페이스만 관련된 MIB 부분을 요청합니다. 이와 같이 트리거되는 쿼리는 액세스 디바이스에서 다음
데이터를 검색합니다.
인터페이스 데이터(ifIndex, ifDesc 등)
포트 및 VLAN 데이터
세션 데이터(인터페이스 유형이 이더넷인 경우)
CDP 데이터(Cisco 디바이스)
LLDP 데이터
포트 및 VLAN 데이터
세션 데이터(인터페이스 유형이 이더넷인 경우)
CDP 데이터(Cisco 디바이스)
LLDP 데이터
트리거되는 인터페이스 쿼리 중에 수집되는 주요 프로파일링 특성에는 CDP(Cisco Discovery Protocol) 및
LLDP(Link Layer Discovery Protocol) 표가 있습니다. CDP 및 LLDP는 스위치가 연결된 엔드포인트의 특성을
동적으로 학습하도록 허용하는 링크 프로토콜입니다. IP 비디오 장비, 네트워크 인프라 및 Cisco
어플라이언스를 비롯한 다양한 디바이스에서 이러한 프로토콜을 지원합니다. 대부분의 주요 IP 전화기
제조업체는 CDP 또는 LLDP를 지원합니다. 따라서 이 정보 자체만을 기준으로 다수의 엔드포인트를 분류할
수 있습니다. 또한 광범위한 클라이언트 운영 체제에서 최소한의 비용이나 무상으로 사용할 수 있는
CDP/LLDP 에이전트가 많이 있습니다.
LLDP(Link Layer Discovery Protocol) 표가 있습니다. CDP 및 LLDP는 스위치가 연결된 엔드포인트의 특성을
동적으로 학습하도록 허용하는 링크 프로토콜입니다. IP 비디오 장비, 네트워크 인프라 및 Cisco
어플라이언스를 비롯한 다양한 디바이스에서 이러한 프로토콜을 지원합니다. 대부분의 주요 IP 전화기
제조업체는 CDP 또는 LLDP를 지원합니다. 따라서 이 정보 자체만을 기준으로 다수의 엔드포인트를 분류할
수 있습니다. 또한 광범위한 클라이언트 운영 체제에서 최소한의 비용이나 무상으로 사용할 수 있는
CDP/LLDP 에이전트가 많이 있습니다.
다음 출력에서는 연결된 엔드포인트에 대한 CDP 데이터를 수집하는 SNMP 쿼리를 사용하여 수집할 수 있는
정보 유형 샘플을 보여줍니다.
정보 유형 샘플을 보여줍니다.