Cisco Cisco Identity Services Engine 1.3 전단

48페이지

보안

액세스 방법 가이드

SPAN을 사용한 HTTP 프로브

URL 리디렉션 없이 HTTP 프로브를 사용하기 위한 선택적 방법은 SPAN, RSPAN 또는 Network TAP과 같은
방법을 사용하여 웹 트래픽을 ISE 정책 서비스 노드의 인터페이드로 복사하거나 미러링하는 것입니다. 이
방법은 URL 리디렉션이 불가능하거나 실행 가능하지 않을 때 기본적으로 사용됩니다.

모범

사례: RADIUS 기반 환경에서와 같이 적용 가능한 경우, URL 리디렉션은 HTTP SPAN보다 선호되는 방법입니다. 리디렉션 중에 키 User-Agent

특성만

캡처하면 HTTP 패킷에서 특성을 검사하고 구문 분석하기 위한 ISE 정책 서비스 노드의 전반적인 트래픽 부하가 줄어듭니다.

RADIUS 기반 인증을 사용하지 않는 Cisco NAC Appliance 구축 환경이나 RADIUS가 아직 액세스 디바이스에 구축되지 않은 엔드포인트
검색

단계에서와 같이 URL 리디렉션이 적용되지 않는 경우 기본 방법은 SPAN입니다. 그 이유는 요구 사항으로 RADIUS 또는 URL

리디렉션

없이도 User-Agent를 캡처할 수 있기 때문입니다.

그림 33의 샘플 토폴로지에서는 SPAN 또는 Network TAP을 사용하여 WLC에 연결된 무선 클라이언트에서
정책 서비스 노드의 전용 인터페이스로 패킷을 복사하는 방법을 보여줍니다(파란색으로 강조 표시됨). SPAN
대상 포트에는 PSN으로 이동하는 정상적인 트래픽의 송수신을 제한하는 특정한 속성이 있을 수 있으므로
전용 인터페이스가 필요합니다. 또한 미러링되는 트래픽은 RADIUS와 같은 PSN의 다른 중요한
인터페이스에서 혼잡을 유발하므로 권장되지 않습니다. SPAN 방식을 사용하면 SPAN 포트가 처리할 수 있는
것보다 더 많은 데이터를 SPAN 포트로 보내므로 패킷이 삭제되거나 중요한 트래픽이 지연될 수 있습니다.

HTTP 프로브 및 IP-MAC 주소 바인딩 요구 사항

HTTP 트래픽은 엔드포인트의 MAC 주소를 포함하지 않으므로, HTTP 프로브로 전송되는 데이터를 적절히
상호 연결하기 위해서는 ISE 정책 서비스 노드의 ARP 캐시 표에 이미 엔드포인트에 대한 IP-MAC 주소
바인딩이 있어야 합니다. 즉, 엔드포인트가 해당 MAC 주소로 ISE에 알려지지 않은 경우 또는 연결된 IP
주소가 없는 경우에는 학습된 User-Agent 특성을 적용할 수 있는 엔드포인트가 없으므로 HTTP 프로브에서
학습된 프로파일링 데이터가 삭제됩니다. 따라서 HTTP 데이터를 수집하기 전에 다른 프로브를 통해 IP-MAC
주소 바인딩을 학습해야 합니다. 이 정보를 제공하는 데 사용할 수 있는 프로브는 다음과 같습니다.

  RADIUS(Framed-IP-Address 특성을 통해)
  DHCP(dhcp-requested-address 특성을 통해)
  SNMP 쿼리(SNMP 폴링을 통해)

IP-MAC 바인딩 요구 사항에 대한 예외를 제공하는 특정한 HTTP 프로파일링 시나리오가 있습니다. 예를 들면
다음과 같습니다.

 클라이언트 프로비저닝을 사용한 URL 리디렉션
 Central WebAuth를 사용한 URL 리디렉션

클라이언트

프로비저닝을 사용한 URL 리디렉션

CP(클라이언트 프로비저닝)는 Posture 에이전트 및 NSP(Native Supplicant Provisioning) 서비스를 활성화할 수
있도록 에이전트 및 컨피그레이션 파일을 엔드포인트로 동적으로 다운로드하는 ISE 세션 서비스입니다.
클라이언트 프로비저닝에서는 URL 리디렉션을 사용합니다. CP 프로세스 중에 정책 서비스 노드는 사용자
에이전트를 통해 적용할 프로비저닝 정책을 파악하기 위한 클라이언트 OS를 판단해야 합니다. 예를 들어
엔드포인트가 Windows 클라이언트로 탐지되는 경우 포스처 지원을 위한 Windows 포스처 에이전트를