Cisco Cisco Identity Services Engine 1.2 产品宣传页
Cisco Systems © 2016
37페이지
보안
액세스 방법 가이드
참고: ISE DHCP 프로브는 DHCP 릴레이와 DHCP 프록시 모두에서 발생하는 트래픽을 구문 분석할 수
있습니다. 이러한 두 방법의 주요 차이점은 ip helper-address 명령을 통한 DHCP 릴레이는 트래픽을 여러
대상에 보낼 수 있다는 것입니다. 따라서 여러 개의 실제 DHCP 서버 및 ISE 정책 서비스 노드에서 DHCP 요청
사본을 수신할 수 있습니다. 반면, DHCP 프록시는 요청을 기본 DHCP 서버에만 보내며 올바른 응답을 받지
못할 경우 구성된 다른 DHCP 대상으로 폴백됩니다. ISE 노드를 실제 DHCP 서버로의 폴백을 허용하는 첫
번째 항목으로 구성할 수 있지만 그러한 구현에서는 엔드포인트에서 IP 주소를 얻는 데 필요한 시간이
지연됩니다. 이는 사용자 환경에 영향을 미칠 수 있지만 응답을 기다리는 클라이언트 시간이 초과될 수도
있습니다.
있습니다. 이러한 두 방법의 주요 차이점은 ip helper-address 명령을 통한 DHCP 릴레이는 트래픽을 여러
대상에 보낼 수 있다는 것입니다. 따라서 여러 개의 실제 DHCP 서버 및 ISE 정책 서비스 노드에서 DHCP 요청
사본을 수신할 수 있습니다. 반면, DHCP 프록시는 요청을 기본 DHCP 서버에만 보내며 올바른 응답을 받지
못할 경우 구성된 다른 DHCP 대상으로 폴백됩니다. ISE 노드를 실제 DHCP 서버로의 폴백을 허용하는 첫
번째 항목으로 구성할 수 있지만 그러한 구현에서는 엔드포인트에서 IP 주소를 얻는 데 필요한 시간이
지연됩니다. 이는 사용자 환경에 영향을 미칠 수 있지만 응답을 기다리는 클라이언트 시간이 초과될 수도
있습니다.
DHCP SPAN 프로브
DHCP SPAN 프로브는 트래픽이 SPAN(Switch Port Analyzer), RSPAN(Remote SPAN) 또는 Network TAP과 같은
방법을 사용하여 ISE 정책 서비스 노드의 인터페이스에 미러링되는 경우에 사용하도록 설계되었습니다. 이
방법은 기본적으로 DHCP 릴레이를 활용하는 기본 DHCP 프로브가 제공되지 않거나 사용할 수 없는 경우에
사용됩니다.
방법을 사용하여 ISE 정책 서비스 노드의 인터페이스에 미러링되는 경우에 사용하도록 설계되었습니다. 이
방법은 기본적으로 DHCP 릴레이를 활용하는 기본 DHCP 프로브가 제공되지 않거나 사용할 수 없는 경우에
사용됩니다.
모범
사례: 지정된 DHCP 트래픽 흐름에 대해 해당 트래픽에서 특성을 수집할 때 하나의 프로브만 선택해야 합니다. DHCP(IP Helper) 및 DHCP
SPAN 프로브 모두를 사용하여 같은 DHCP 트래픽에서 특성을 수집하는 경우 값이 제한됩니다.
사용
사용
가능한 경우, DHCP SPAN 프로브 대신 DHCP 프로브를 사용하는 것이 좋습니다. DHCP 릴레이를 통해 DHCP 패킷만 전송하면
DHCP 패킷에서 특성을 검사하고 구문 분석하기 위한 ISE 정책 서비스 노드의 전반적인 트래픽 부하가 줄어듭니다.
DHCP SPAN 프로브는 또한 로컬 서브넷 브로드캐스트에서 DHCP 트래픽을 캡처하는 데에도 사용할 수 있는
반면, DHCP 프로브를 사용하면 업스트림 게이트웨이에서 릴레이되는 DHCP 트래픽만 캡처할 수 있습니다.
이는 레이어 3 게이트웨이가 로컬 클라이언트의 DHCP 서버에도 해당하는 경우에 필요할 수 있습니다. Cisco
IOS DHCP 서버는 서브넷에 대한 DHCP를 지원하도록 구성된 경우 세그먼트에 대해 DHCP를 릴레이하지
않습니다.
반면, DHCP 프로브를 사용하면 업스트림 게이트웨이에서 릴레이되는 DHCP 트래픽만 캡처할 수 있습니다.
이는 레이어 3 게이트웨이가 로컬 클라이언트의 DHCP 서버에도 해당하는 경우에 필요할 수 있습니다. Cisco
IOS DHCP 서버는 서브넷에 대한 DHCP를 지원하도록 구성된 경우 세그먼트에 대해 DHCP를 릴레이하지
않습니다.
샘플 토폴로지에서는 SPAN 또는 Network TAP을 사용하여 WLC에 연결된 무선 클라이언트에서 정책 서비스
노드의 전용 인터페이스로 패킷을 복사하는 방법을 보여줍니다(그림 26에서 파란색으로 강조 표시됨). SPAN
대상 포트에는 PSN으로 이동하는 정상적인 트래픽의 송수신을 제한하는 특정한 속성이 있을 수 있으므로
전용 인터페이스가 필요합니다. 또한 미러링되는 트래픽은 RADIUS와 같은 PSN의 다른 중요한
인터페이스에서 혼잡을 유발하므로 권장되지 않습니다. SPAN 방식을 사용하면 SPAN 포트가 처리할 수 있는
것보다 더 많은 데이터를 SPAN 포트로 보내므로 패킷이 삭제되거나 중요한 트래픽이 지연될 수 있습니다.
노드의 전용 인터페이스로 패킷을 복사하는 방법을 보여줍니다(그림 26에서 파란색으로 강조 표시됨). SPAN
대상 포트에는 PSN으로 이동하는 정상적인 트래픽의 송수신을 제한하는 특정한 속성이 있을 수 있으므로
전용 인터페이스가 필요합니다. 또한 미러링되는 트래픽은 RADIUS와 같은 PSN의 다른 중요한
인터페이스에서 혼잡을 유발하므로 권장되지 않습니다. SPAN 방식을 사용하면 SPAN 포트가 처리할 수 있는
것보다 더 많은 데이터를 SPAN 포트로 보내므로 패킷이 삭제되거나 중요한 트래픽이 지연될 수 있습니다.
DHCP 특성
DHCP 및 DHCP SPAN 프로브는 모두 동일한 주요 프로파일링 특성을 ISE에 전달합니다. 그러한 특성의
일부는 다음과 같습니다.
일부는 다음과 같습니다.
dhcp-class-identifier
dhcp-user-class-id
dhcp-client-identifier
dhcp-message-type
dhcp-parameter-request-list
dhcp-requested-address
dhcp-user-class-id
dhcp-client-identifier
dhcp-message-type
dhcp-parameter-request-list
dhcp-requested-address