Cisco Cisco Identity Services Engine 1.3 전단
Cisco Systems © 2016
6페이지
보안
액세스 방법 가이드
그림
1. ISE 프로파일링 정책 아키텍처 및 구성 요소
ISE 권한 부여 정책에 프로파일을 노출하려면 관리자는 일치하는 ID 그룹을 생성하기 위한 간단한 확인란을
통해 프로파일을 구성해야 합니다. 이 간단한 프로세스에서는 권한 부여 정책의 특정 조건으로 프로파일을
엔드포인트 ID 그룹 형태로 선택할 수 있습니다.
통해 프로파일을 구성해야 합니다. 이 간단한 프로세스에서는 권한 부여 정책의 특정 조건으로 프로파일을
엔드포인트 ID 그룹 형태로 선택할 수 있습니다.
새 특성이 학습되거나 이전에 학습된 특성이 덮어쓰여지면 프로파일이 변경될 수 있습니다. 이러한 변경
사항은 프로파일링 정책이 변경되어도 발생할 수 있습니다. 경우에 따라 일반 HP 디바이스에서 HP-Color-
LaserJet-4500과 같은 보다 구체적인 프로파일로 자동 전환될 수 있습니다. 한편, 관리자는 예외 작업 형태로
기본 정책을 우회하기 위한 작업을 수행해야 할 수 있습니다. 예외 작업을 통해 특성 수집 또는 상관 관계가 더
이상 할당된 프로파일 및 선택적 ID 그룹에 영향을 미치지 않도록 엔드포인트의 정적 할당을 특정 프로파일링
정책에 적용할 수 있습니다.
사항은 프로파일링 정책이 변경되어도 발생할 수 있습니다. 경우에 따라 일반 HP 디바이스에서 HP-Color-
LaserJet-4500과 같은 보다 구체적인 프로파일로 자동 전환될 수 있습니다. 한편, 관리자는 예외 작업 형태로
기본 정책을 우회하기 위한 작업을 수행해야 할 수 있습니다. 예외 작업을 통해 특성 수집 또는 상관 관계가 더
이상 할당된 프로파일 및 선택적 ID 그룹에 영향을 미치지 않도록 엔드포인트의 정적 할당을 특정 프로파일링
정책에 적용할 수 있습니다.
위의 각 경우마다(프로파일 전환 및 예외 작업) ISE에서 새로 할당된 프로파일을 기초로 엔드포인트에 새
액세스 정책을 적용하도록 허용하는 것이 좋습니다. RADIUS CoA(Change of Authorization)는 ISE에서 이러한
작업을 수행하기 위한 기능입니다. 엔드포인트가 연결된 디바이스에 액세스하기 위한 CoA 요청을 보내면
ISE에서 인증 및 권한 부여 정책을 기준으로 호스트를 다시 평가하도록 요구할 수 있습니다.
액세스 정책을 적용하도록 허용하는 것이 좋습니다. RADIUS CoA(Change of Authorization)는 ISE에서 이러한
작업을 수행하기 위한 기능입니다. 엔드포인트가 연결된 디바이스에 액세스하기 위한 CoA 요청을 보내면
ISE에서 인증 및 권한 부여 정책을 기준으로 호스트를 다시 평가하도록 요구할 수 있습니다.
시나리오
개요
네트워크
토폴로지
그림 4에서는 이 가이드에 사용된 네트워크 토폴로지를 개괄적으로 보여줍니다. 그림 1에 나와 있는 모든
시나리오는 전체 TrustSec 아키텍처의 일부에 해당하며, 이 문서에서는 프로파일링에 대한 유선 및 무선
사용자 시나리오를 중점적으로 살펴봅니다. 프로파일링 데이터를 고유한 엔드포인트와 상호 연결하는 데
필요한 VPN 게이트웨이의 MAC 주소 정보가 없으므로 ISE 프로파일링 서비스는 현재 원격 액세스 VPN 활용
사례에 지원되지 않습니다.
시나리오는 전체 TrustSec 아키텍처의 일부에 해당하며, 이 문서에서는 프로파일링에 대한 유선 및 무선
사용자 시나리오를 중점적으로 살펴봅니다. 프로파일링 데이터를 고유한 엔드포인트와 상호 연결하는 데
필요한 VPN 게이트웨이의 MAC 주소 정보가 없으므로 ISE 프로파일링 서비스는 현재 원격 액세스 VPN 활용
사례에 지원되지 않습니다.