Cisco Cisco Identity Services Engine 1.3 전단
Cisco Systems © 2016
38페이지
보안
액세스 방법 가이드
host-name
domain-name
client-fqdn
domain-name
client-fqdn
DHCP는 MAC 주소(dhcp-client-identifier)와 IP 주소(dhcp-requested-address)를 모두 제공하므로 ISE ARP 캐시
표에 대한 IP-MAC 주소 바인딩도 설정할 수 있습니다. 이는 MAC 주소 대신 IP 주소를 사용하는 다른
프로브를 지원하는 데 유용합니다. 특정 엔드포인트에 대해 제공하는 특성을 적용하고 ISE 데이터베이스에
저장하려면 IP 주소를 MAC 주소에 따라 특정 엔드포인트와 상호 연결해야 합니다.
표에 대한 IP-MAC 주소 바인딩도 설정할 수 있습니다. 이는 MAC 주소 대신 IP 주소를 사용하는 다른
프로브를 지원하는 데 유용합니다. 특정 엔드포인트에 대해 제공하는 특성을 적용하고 ISE 데이터베이스에
저장하려면 IP 주소를 MAC 주소에 따라 특정 엔드포인트와 상호 연결해야 합니다.
dhcp-client-identifier 및 dhcp-requested-address 외에 다른 키 특성에는 dhcp-class-identifier, dhcp-user-class-id 및
dhcp-parameters-request-list가 있습니다. 클래스 식별자는 주로 플랫폼 또는 OS 정보를 전달하는 데 사용됩니다.
클래스 식별자 및 사용자 클래스 ID는 각각 Mac OS 및 Microsoft Windows와 같은 일부 클라이언트 운영
체제에서 프로파일링을 위한 고유한 기업 식별자로 사용되거나 DHCP 서버에서 고유한 범위 값을 반환하도록
사용자 지정할 수 있습니다.
dhcp-parameters-request-list가 있습니다. 클래스 식별자는 주로 플랫폼 또는 OS 정보를 전달하는 데 사용됩니다.
클래스 식별자 및 사용자 클래스 ID는 각각 Mac OS 및 Microsoft Windows와 같은 일부 클라이언트 운영
체제에서 프로파일링을 위한 고유한 기업 식별자로 사용되거나 DHCP 서버에서 고유한 범위 값을 반환하도록
사용자 지정할 수 있습니다.
dhcp-parameters-request-list는 디바이스 유형에 대해 잠재적으로 고유한 표시기를 제공합니다. 요청된
매개변수의 값과 시퀀스는 대개 단일 또는 제한된 디바이스 유형 집합에 고유합니다. 예를 들어 dhcp-
parameters-request-list 값인 1, 3, 6, 15, 119, 252는 iPad, iPod 또는 iPhone과 같은 Apple iOS 디바이스를
나타냅니다.
매개변수의 값과 시퀀스는 대개 단일 또는 제한된 디바이스 유형 집합에 고유합니다. 예를 들어 dhcp-
parameters-request-list 값인 1, 3, 6, 15, 119, 252는 iPad, iPod 또는 iPhone과 같은 Apple iOS 디바이스를
나타냅니다.
표준 호스트 이름, 도메인 이름 또는 FQDN(정규화된 도메인 이름) 명명 규칙이 특정 엔드포인트에 구축된
경우 이들 특성은 그러한 항목을 분류하는 데 사용될 수 있습니다. 예를 들어 모든 Windows XP 클라이언트에
jsmith-winxp와 같은 이름이 할당된 경우 Windows XP 엔드포인트를 분류하기 위한 조건에서 host-name 특성
또는 client-fqdn 특성을 사용할 수 있습니다. 마찬가지로, jsmith-corp-dept와 같이 기업 엔드포인트의 host-
name을 채우는 규칙이 있는 경우 이 특성을 사용하여 기업 자산을 검증할 수 있습니다.
경우 이들 특성은 그러한 항목을 분류하는 데 사용될 수 있습니다. 예를 들어 모든 Windows XP 클라이언트에
jsmith-winxp와 같은 이름이 할당된 경우 Windows XP 엔드포인트를 분류하기 위한 조건에서 host-name 특성
또는 client-fqdn 특성을 사용할 수 있습니다. 마찬가지로, jsmith-corp-dept와 같이 기업 엔드포인트의 host-
name을 채우는 규칙이 있는 경우 이 특성을 사용하여 기업 자산을 검증할 수 있습니다.
프로파일 특성을 ID와 혼동하지 않도록 주의해야 합니다. 특성에서 엔드포인트가 특정 유형임을 나타내는
특정 신뢰도 레벨을 추가할 수 있습니다. 예를 들어 프로파일링에 권한 부여 정책을 사용하여 직원에 대한
전체 액세스 권한을 거부할 수 있습니다. 이 경우 PC의 host-name 특성(일치하는 엔드포인트 ID 그룹으로
표시됨)에 예상 값이 포함되지 않습니다.
특정 신뢰도 레벨을 추가할 수 있습니다. 예를 들어 프로파일링에 권한 부여 정책을 사용하여 직원에 대한
전체 액세스 권한을 거부할 수 있습니다. 이 경우 PC의 host-name 특성(일치하는 엔드포인트 ID 그룹으로
표시됨)에 예상 값이 포함되지 않습니다.
일반적으로 DHCP는 다양한 프로파일링 이점을 제공하며, 대부분의 엔드포인트는 자세한 플랫폼 정보와 함께
DHCP“지문”을 제공하므로 특정 환경에서 상당 부분의 엔드포인트를 분류하기 위한 토대가 됩니다.
DHCP“지문”을 제공하므로 특정 환경에서 상당 부분의 엔드포인트를 분류하기 위한 토대가 됩니다.
DHCP 및 DHCP SPAN 프로브 구성
DHCP 프로브를 사용하려면 DHCP 릴레이 또는 DHCP 프록시 패킷을 프로파일링 서비스용으로 구성된 ISE
PSN으로 전송하도록 액세스 디바이스(또는 레이어 2 전용 액세스 디바이스의 다음 홉 게이트웨이)를
구성해야 합니다. DHCP SPAN 프로브를 사용하려면 네트워크에서 전용 인터페이스를 통해 네트워크
트래픽(DHCP만 포함하도록 필터링된 트래픽 하위 집합이 선호됨) 사본을 ISE PSN으로 전송해야 합니다.
PSN으로 전송하도록 액세스 디바이스(또는 레이어 2 전용 액세스 디바이스의 다음 홉 게이트웨이)를
구성해야 합니다. DHCP SPAN 프로브를 사용하려면 네트워크에서 전용 인터페이스를 통해 네트워크
트래픽(DHCP만 포함하도록 필터링된 트래픽 하위 집합이 선호됨) 사본을 ISE PSN으로 전송해야 합니다.
DHCP 기반 프로브를 효과적으로 사용하기 위한 또 다른 요구 사항은 대상 엔드포인트가 DHCP를 사용하여 IP
주소를 가져와야 한다는 것입니다. 이는 당연한 것으로 보일 수 있지만, 다수의 고객은 고정 IP 주소가
할당되어 있는 클라이언트리스 디바이스를 보유하고 있을 수 있습니다. 이 경우 엔드포인트에서 특정 IP
주소를 유지할 수 있도록 정적 DHCP 예약 항목을 구축할 수 있으며, 그와 동시에 DHCP를 통해 IP 주소를 중앙
집중식으로 관리하고 ISE 프로파일링을 지원할 수 있습니다.
주소를 가져와야 한다는 것입니다. 이는 당연한 것으로 보일 수 있지만, 다수의 고객은 고정 IP 주소가
할당되어 있는 클라이언트리스 디바이스를 보유하고 있을 수 있습니다. 이 경우 엔드포인트에서 특정 IP
주소를 유지할 수 있도록 정적 DHCP 예약 항목을 구축할 수 있으며, 그와 동시에 DHCP를 통해 IP 주소를 중앙
집중식으로 관리하고 ISE 프로파일링을 지원할 수 있습니다.