Netpro Expert 24호

'시스코 클린 액세스'로 네트워크 접근 제어

시스코 네트워킹 전문가 커넥션은 네트워킹 솔루션과 제품, 기술에 관한 질문과 제언, 정보를 공유하는 정보 제공의 장이다. 다음은 시스코의 닉 총이 주도한 '네트워크 접근 제어'란 주제로 '전문가 포럼에 물어보기(Ask the Expert forum)'에서 발췌한 질문과 대답이다. 기사 전문은 cisco.com/packet/173_10a1을 방문하면 된다. 온라인 토론에 참여하고 싶으면 cisco.com/discuss/networking을 주소창에 입력하면 된다.


시스코 네트워크 디바이스 없이도 시스코 클린 액세스 사용이 가능한가요? LAN의 어느 부분에 시스코 클린 액세스를 인스톨해야 하며, 어떤 컴퍼넌트가 필요합니까?

시스코 클린 액세스는 시스코 스위치나 라우터가 있건 없건 네트워크를 지원할 수 있습니다. 타 회사 네트워크의 경우, 가상 게이트웨이(레이어 2)나 실제 IP 게이트웨이(레이어 3) 중 하나로, 인라인 모드안에 시스코 클린 액세스 서버를 구축할 수 있습니다. 에지 네트워크나 중앙 스위치에서 서버를 구축할 수도 있습니다. 대부분의 경우, 에지 스위치와 코어 스위치 사이를 연결하는 시스코 클린 액세스나 에지 스위치가 802.1q를 사용해 연결된 곳에 코어 스위치를 놓아둔 경우를 볼 수 있죠. 클린 액세스에는 관리자, 서버, 고객이라는 세 컴퍼넌트가 있습니다. 더 상세한 내용은 cisco.com/go/cca에 올라와 있는 문서를 참조하십시오.

웹 로그인 대신 클린 액세스 에이전트를 배치하려면 어떤 방법이 있나요? 에이전트가 자동 업데이트되는지요.

내부에 업데이트 서버나 소프트웨어 구축 툴이 있다면, 시스코 다운로드 코너에서 에이전트를 다운받은 다음, 회사 업데이트 서버로 업로드하십시오. 사용자에게 업데이트를 제공하려면 일반적인 업데이트 방식을 사용하면 됩니다. 아니면 실제 웹 로그인 페이지에서 '링크' 버튼을 만들 수도 있습니다. 그런 다음 "에이전트를 다운로드 하려면 이 곳을 클릭하라" 같은 링크를 만드십시오. 그러면 사용자들은 로그인 전에 다운로드할 수 있습니다. (2005년 5월 20일 나온) 3.5.1 릴리즈 시스코 클린 액세스는 클린 액세스 에이전트 고객 소프트웨어의 자동 업데이트를 편리하게 해줍니다. 에이전트의 최신 버전이 나올 때마다, 클린 액세스 에이전트는 사용자 정보를 알려주고 자동 업그레이드를 실행시켜줍니다.

제한 인원 1,500명의 유저를 초과할 수 있나요? 또 클린 액세스 매니저나 클린 액세스 서버가 스위치를 관리해주나요? 얼마나 많은 스위치가 서버/관리자를 대역폭에서 관리할 수 있나요?

1,500명이라는 제한 인원은 에이전트에 의한 상황 평가와 함께 1GB 메모리, 단일 펜티엄 프로세서, 동시 발생하는 유저 로그온을 통해 실험실에서 나온 예상입니다. 시스코는 가이드라인을 지켜줄 것을 권고합니다. 아웃 오브 밴드의 경우 관리자는 스위치를 컨트롤합니다. 서버는 인증과 상황 평가, 치료 서비스 기능을 제공합니다. 시스코는 관리자 측에 20대의 서버를 권유하고 있습니다.

현행 클린 액세스 서비스를 통해 이뤄지는 멀티캐스트 트래픽은 가상 게이트웨이, 실제 IP 게이트웨이, NAT(Network Address Translation) 모드를 갖춘 클린 액세스 서버와 함께 작동될 수 있나요? 아웃-오브-밴드 구축은 어떻게 실행됩니까.

멀티캐스트를 지원하는데는 다양한 옵션이 있습니다. 인밴드의 경우, VLAN 매핑을 사용해 가상 게이트웨이를 설정하십시오. 아웃-오브-밴드의 경우, 인증/검역 기간에 멀티캐스트 트래픽을 얻는다면 VLAN 매핑과 가상 게이트웨이도 사용할 수 있습니다. 멀티캐스트 트래픽이 post-auth/post posture assessment라면, auth/quarantine 기간 동안 30서브넷용 실제 IP를 사용할 수 있습니다. 그 후, 클린 액세스 서버가 바이패스 되면 멀티캐스트 트래픽은 액세스 VLAN을 통해 이동합니다.

클린 액세스 에이전트는 클린 액세스 서버와 동일한 레이어 2 네트워크 상에 있어야 하나요? VPN 유저가 지원됩니까?

(2005년 7월에 나온) 릴리즈 3.5.3에서 효과적인 클린 액세스 서버는 인밴드 환경 설정을 통해 멀티홉(multihop) IP 에이전트뿐만 아니라, 동일한 레이어 2 네트워크 상에 있는 클린 액세스 에이전트도 지원할 수 있습니다. 시스코 VPN 사용 시 VPN 유저들은 추가 SSO(single sign-on) 기능과 동일한 지원을 받습니다.


NICK CHONG,
닉 총(NICK CHONG)은 시스코 클린 액세스 제품의 기술 마케팅 이사다. 그는 기술 네트워킹 경험과 IP 라우팅, SNA 네트워킹, 네트워크 침입 감지 시스템, 네트워크 액세스 컨트롤 분야에 15년 이상 종사해 왔다. 이메일 주소는 nchong@cisco.com이다.


맨위로

Cisco에 문의하세요



Packet 지난 호 보기