Cisco Cisco Identity Services Engine 1.3 전단
Cisco Systems © 2016
93페이지
보안
액세스 방법 가이드
ISE 프로파일링에 맞게 Device Sensor 구성
Device Classifier는 MAC-OUI의 정보 및 프로토콜(예: CDP, LLDP 및 DHCP)을 수집하여 디바이스를
식별합니다. CDP 및 LLDP 정보를 수집하려면 Catalyst 스위치에서 CDP 및 LLDP를 활성화해야 합니다. DHCP
옵션 정보를 DC에 제공하려면 스위치에서 DHCP 스누핑 기능을 활성화해야 합니다. Cisco Wireless LAN
Controller는 현재 DHCP 데이터만 지원합니다. 그런 다음 애널라이저(ISE)에 전송할 특정한 특성 및 옵션을
지정하는 필터를 정의할 수 있습니다. 센서 데이터를 ISE에 전송하려면 액세스 디바이스에서 RADIUS 계정
관리가 활성화되어 있어야 합니다. ISE에서 RADIUS 프로브가 활성화되고 적절히 구성되어 있어야 합니다.
식별합니다. CDP 및 LLDP 정보를 수집하려면 Catalyst 스위치에서 CDP 및 LLDP를 활성화해야 합니다. DHCP
옵션 정보를 DC에 제공하려면 스위치에서 DHCP 스누핑 기능을 활성화해야 합니다. Cisco Wireless LAN
Controller는 현재 DHCP 데이터만 지원합니다. 그런 다음 애널라이저(ISE)에 전송할 특정한 특성 및 옵션을
지정하는 필터를 정의할 수 있습니다. 센서 데이터를 ISE에 전송하려면 액세스 디바이스에서 RADIUS 계정
관리가 활성화되어 있어야 합니다. ISE에서 RADIUS 프로브가 활성화되고 적절히 구성되어 있어야 합니다.
참고: 센서 데이터를 ISE에 전달하려면 RADIUS 계정 관리가 필요합니다. 그러나 센서 데이터를 수집하여
ISE에 전송하기 위해 RADIUS 인증 및 권한 부여가 필요하지는 않습니다. 그러므로 모니터 모드에서도 조직이
아직 RADIUS 인증을 활성화할 준비가 되어 있지 않으면 네트워크 검색 단계에서 사전 ISE 구축에 Device
Sensor를 사용할 수 있습니다. 이는 Cisco NAC Appliance와 함께 ISE 프로파일링 서비스를 사용하는 구축
환경(RADIUS 액세스 제어가 구축되어 있지 않음)으로 확장 지원됩니다.
ISE에 전송하기 위해 RADIUS 인증 및 권한 부여가 필요하지는 않습니다. 그러므로 모니터 모드에서도 조직이
아직 RADIUS 인증을 활성화할 준비가 되어 있지 않으면 네트워크 검색 단계에서 사전 ISE 구축에 Device
Sensor를 사용할 수 있습니다. 이는 Cisco NAC Appliance와 함께 ISE 프로파일링 서비스를 사용하는 구축
환경(RADIUS 액세스 제어가 구축되어 있지 않음)으로 확장 지원됩니다.
ISE에서 RADIUS 프로브 활성화
Step 9
RADIUS 프로브 활성화 단계는
프로브를 적절히 활성화하고 구성하는 방법은 해당 섹션을 참조하십시오.
Step 10
해당 섹션에 제공된 지침에 대한 한 가지 예외는 RADIUS 기반 인증 및 권한 부여를 사용하지 않는
구축 환경에서 Device Sensor를 사용하는 것과 관련이 있습니다. 이 시나리오에서는 액세스
디바이스가 ISE에 추가되지 않았습니다. 그러나 RADIUS 계정 관리가 ISE와 통신해야 하므로
Administration(관리)Network Resources(네트워크 리소스)Network Devices(네트워크
디바이스)에서 Device Sensor를 지원하는 모든 액세스 디바이스를 추가해야 합니다.
구축 환경에서 Device Sensor를 사용하는 것과 관련이 있습니다. 이 시나리오에서는 액세스
디바이스가 ISE에 추가되지 않았습니다. 그러나 RADIUS 계정 관리가 ISE와 통신해야 하므로
Administration(관리)Network Resources(네트워크 리소스)Network Devices(네트워크
디바이스)에서 Device Sensor를 지원하는 모든 액세스 디바이스를 추가해야 합니다.
Step 11
ISE에 입력한 IP 주소는 RADIUS 전송을 위해 액세스 디바이스에서 제공하는 값과 일치해야 합니다.
또한 RADIUS 공유 키는 액세스 디바이스에 구성된 값과 일치해야 합니다. 이러한 단계는 Device
Sensor에서 RADIUS 계정 관리 패킷을 수신할 수 있도록 지원하는 데 필요합니다.
또한 RADIUS 공유 키는 액세스 디바이스에 구성된 값과 일치해야 합니다. 이러한 단계는 Device
Sensor에서 RADIUS 계정 관리 패킷을 수신할 수 있도록 지원하는 데 필요합니다.
Cisco 유선 스위치에서 프로파일링 프로토콜 활성화
엔드포인트에서 CDP, LLDP 또는 DHCP 특성을 수집하려면 액세스 스위치에서 연결된 특성을 읽고 수집할 수
있도록 이러한 프로토콜을 활성화해야 합니다.
있도록 이러한 프로토콜을 활성화해야 합니다.
Step 12
Device Sensor가 지원되는 액세스 스위치의 명령 콘솔에 액세스합니다.
Step 13
CDP를 지원하기 위한 스위치를 활성화합니다.
Step 14
CDP는 기본적으로 Cisco 스위치에서 전역적으로 활성화되어 있습니다. 비활성화되어 있는 경우
다음 전역 명령을 사용하여 활성화하십시오.
다음 전역 명령을 사용하여 활성화하십시오.
cat3750x(config)# cdp run
Step 15
CDP는 기본적으로 각 스위치 포트에서 활성화되어 있습니다. 비활성화되어 있는 경우 다음
인터페이스 명령을 사용하여 활성화하십시오.
인터페이스 명령을 사용하여 활성화하십시오.
cat3750x(config-if)# cdp enable