Catalyst SD-WAN GUI에 대한 외부 인증으로 ISE 구성

다운로드 옵션

  • PDF     (1.5 MB)
    다양한 디바이스에서 Adobe Reader로 보기
업데이트:2025년 9월 23일
문서 ID:224982

편견 없는 언어

본 제품에 대한 문서 세트는 편견 없는 언어를 사용하기 위해 노력합니다. 본 설명서 세트의 목적상, 편견 없는 언어는 나이, 장애, 성별, 인종 정체성, 민족 정체성, 성적 지향성, 사회 경제적 지위 및 교차성에 기초한 차별을 의미하지 않는 언어로 정의됩니다. 제품 소프트웨어의 사용자 인터페이스에서 하드코딩된 언어, RFP 설명서에 기초한 언어 또는 참조된 서드파티 제품에서 사용하는 언어로 인해 설명서에 예외가 있을 수 있습니다. 시스코에서 어떤 방식으로 포용적인 언어를 사용하고 있는지 자세히 알아보세요.

이 번역에 관하여

Cisco는 전 세계 사용자에게 다양한 언어로 지원 콘텐츠를 제공하기 위해 기계 번역 기술과 수작업 번역을 병행하여 이 문서를 번역했습니다. 아무리 품질이 높은 기계 번역이라도 전문 번역가의 번역 결과물만큼 정확하지는 않습니다. Cisco Systems, Inc.는 이 같은 번역에 대해 어떠한 책임도 지지 않으며 항상 원본 영문 문서(링크 제공됨)를 참조할 것을 권장합니다.

    소개

    이 문서에서는 Cisco Catalyst SD-WAN GUI 관리를 위한 외부 인증으로 Cisco ISE(Identity Services Engine)를 구성하는 방법에 대해 설명합니다.

    사전 요구 사항

    요구 사항

    Cisco에서는 다음 항목에 대해 알고 있는 것이 좋습니다.

    • TACACS+ 프로토콜
    • Cisco ISE 장치 관리
    • Cisco Catalyst SD-WAN 관리
    • Cisco ISE 정책 평가

    사용되는 구성 요소

    이 문서의 정보는 다음 소프트웨어 및 하드웨어 버전을 기반으로 합니다.

    • Cisco ISE(Identity Services Engine) 버전 3.4 패치 2
    • Cisco Catalyst SD-WAN 버전 20.15.3

    이 문서의 정보는 특정 랩 환경의 디바이스를 토대로 작성되었습니다. 이 문서에 사용된 모든 디바이스는 초기화된(기본) 컨피그레이션으로 시작되었습니다. 현재 네트워크가 작동 중인 경우 모든 명령의 잠재적인 영향을 미리 숙지하시기 바랍니다.

    시작하기 전에

    Cisco vManage Release 20.9.1부터 새로운 태그가 인증에 사용됩니다.

    • 비디오 사용자 그룹: Viptela-Group-Name 대신 사용자 그룹 정의를 사용합니다.
    • Viptela-Resource-Group: 리소스 그룹 정의를 참조하십시오.

    구성 - TACACS+ 사용

    TACACS+를 사용하여 Catalyst SD-WAN 구성

    절차 

    단계 1. (선택 사항) 사용자 지정 역할을 정의합니다.

    요구 사항을 충족하는 사용자 지정 역할을 구성합니다. 대신 기본 사용자 역할을 사용할 수 있습니다. 이 작업은 Catalyst SD-WAN 탭에서 수행할 수 있습니다. Administration(관리) > Users and Access(사용자 및 액세스) > Roles(역할).

    두 가지 사용자 지정 역할 생성:

    1. 관리자 역할: 수퍼 관리자
    2. 읽기 전용 역할: 읽기 전용

    이 작업은 Catalyst SD-WAN 탭에서 수행할 수 있습니다. Administration(관리) > Users and Access(사용자 및 액세스) > Roles(역할) > Add Role(역할 추가)을 클릭합니다.

    Admin Role (super-admin)관리자 역할(수퍼 관리자)Read-Only Role (readonly)읽기 전용 역할(읽기 전용)

    2단계. TACACS+(CLI)를 사용하여 외부 인증을 구성합니다.

    vManger CLI - TACACS+ ConfigurationvManger CLI - TACACS+ 컨피그레이션

    TACACS+용 ISE 구성

    1단계. Device Admin Service를 활성화합니다.
    이 작업은 Administration(관리) > System(시스템) > Deployment(구축) > Edit (ISE PSN Node)(편집(ISE PSN 노드)>Enable Device Admin Service(디바이스 관리 서비스 활성화)에서 수행할 수 있습니다.

    Enable Device Admin Service장치 관리 서비스 사용

    2단계. Catalyst SD-WAN을 ISE의 네트워크 디바이스로 추가합니다.

    이 작업은 Administration(관리) > Network Resources(네트워크 리소스) > Network Devices(네트워크 디바이스) 탭에서 수행할 수 있습니다.

    절차

    a. (Catalyst SD-WAN) 네트워크 디바이스 이름 및 IP를 정의합니다.
    b. (선택 사항) 정책 집합 조건에 대해 디바이스 유형을 분류합니다.
    c. TACACS+ 인증 설정을 활성화합니다.
    d. TACACS+ 공유 암호를 설정합니다.

    ISE Network Device (Catalyst SD-WAN) for TACACS+TACACS+용 ISE 네트워크 디바이스(Catalyst SD-WAN)

    3단계. 각 Catalyst SD-WAN 역할에 대한 TACACS+ 프로파일을 생성합니다.

    TACACS+ 프로파일 생성:

    1. Catalyst_SDWAN_Admin: 수퍼 관리자 사용자의 경우
    2. Catalyst_SDWAN_ReadOnly 읽기 전용 사용자용

    이 작업은 Work Centers(작업 센터) > Device Administration(디바이스 관리) > Policy Elements(정책 요소) > Results(결과) > TACACS Profiles(TACACS 프로필) > Add(추가) 탭에서 수행할 수 있습니다.

    TACACS+ Profile - (Catalyst_SDWAN_Admin)TACACS+ 프로파일 - (Catalyst_SDWAN_Admin)TACACS+ Profile - (Catalyst_SDWAN_ReadOnly)TACACS+ 프로파일 - (Catalyst_SDWAN_ReadOnly)

    4단계. 사용자 그룹 생성 로컬 사용자를 구성원으로 추가합니다.

    이 작업은 Work Centers(작업 센터) > Device Administration(디바이스 관리) > User Identity Groups(사용자 ID 그룹) 탭에서 수행할 수 있습니다.

    두 개의 사용자 ID 그룹 생성:

    1. Super_Admin_Group
    2. 읽기 전용_그룹

    User Identity Group - (Super_Admin_Group)사용자 ID 그룹 - (Super_Admin_Group)User Identity Group - (ReadOnly_Group)사용자 ID 그룹 - (ReadOnly_Group)

    5단계. (선택 사항) TACACS+ 정책 세트를 추가합니다.

    이 작업은 Work Centers(작업 센터) > Device Administration(디바이스 관리) > Device Admin Policy Sets(디바이스 관리 정책 집합) 탭에서 수행할 수 있습니다.

    절차

    a. Actions(작업)를 클릭하고 선택합니다(위에 새 행 삽입).

    b. 정책 집합 이름을 정의합니다.

    c. 이전에 생성한 Select Device Type(디바이스 유형 선택)으로 Policy Set Condition(정책 설정 조건)을 설정합니다(2단계 > b).

    d. Allowed 프로토콜을 설정합니다.

    e. 저장을 클릭합니다.

    f. 인증 및 권한 부여 규칙을 구성하려면 (>) Policy Set View를 클릭합니다.

    ISE Policy SetISE 정책 집합

    6단계. TACACS+ 인증 정책을 구성합니다.

    이 작업은 Work Centers(작업 센터) > Device Administration(디바이스 관리) > Device Admin Policy Sets(디바이스 관리 정책 집합) > Click(>) 탭에서 수행할 수 있습니다.

    절차

    a. Actions(작업)를 클릭하고 선택합니다(위에 새 행 삽입).

    b. 인증 정책 이름을 정의 합니다.

    c. Authentication Policy Condition(인증 정책 조건)을 설정하고 이전에 생성한 Device Type(디바이스 유형)을 선택합니다(2단계 > b).

    d. ID 소스에 대한 인증 정책 사용을 설정합니다.

    e. 저장을 클릭합니다.

    Authentication Policy Options인증 정책

    7단계. TACACS+ 권한 부여 정책을 구성합니다.

    이 작업은 Work Centers(작업 센터) > Device Administration(디바이스 관리) > Device Admin Policy Sets(디바이스 관리 정책 집합) > Click (>)(클릭) 탭에서 수행할 수 있습니다.

    각 Catalyst SD-WAN 역할에 대한 권한 부여 정책을 생성하려면 이 단계를 수행합니다.

    • Catalyst SD-WAN Authz(수퍼 관리자): 수퍼 관리자
    • Catalyst SD-WAN 인증(읽기 전용): 읽기 전용

    절차

    a. Actions(작업)를 클릭하고 선택합니다(위에 새 행 삽입).

    b. 권한 부여 정책 이름을 정의합니다.

    c. Authorization Policy Condition(권한 부여 정책 조건)을 설정하고 (4단계)에서 생성한 User Group(사용자 그룹)을 선택합니다.

    d. Authorization Policy(권한 부여 정책)Shell Profiles(셸 프로파일)를 설정하고 3단계에서 생성한 TACACS Profile(TACACS 프로파일)을 선택합니다.

    e. 저장을 클릭합니다.

    Authorization Policy권한 부여 정책

    TACACS+ 컨피그레이션 확인

    1- Catalyst SD-WAS 사용자 세션 표시 Catalyst SD-WAN: Administration(관리) > Users and Access(사용자 및 액세스) > User Sessions(사용자 세션).

    RADIUS를 통해 처음 로그인한 외부 사용자 목록을 볼 수 있습니다. 표시되는 정보에는 사용자 이름 및 역할이 포함됩니다.

    Catalyst SD-WAS User SessionsCatalyst SD-WAS 사용자 세션

    2- ISE - TACACS Live-Logs Operations(TACACS 라이브 로그 작업) > TACACS > Live-Logs(라이브 로그)

    Live-Logs라이브 로그

    Detailed Live-Logs - (readonly)자세한 라이브 로그 - (읽기 전용)Detailed Live-Logs - (super-admin)자세한 라이브 로그 - (수퍼 관리자)

    문제 해결

    현재 이 구성에 사용할 수 있는 특정 진단 정보가 없습니다.

    참조

    개정 이력

    개정 게시 날짜 의견
    1.0
    23-Sep-2025
    최초 릴리스
    TAC Authored

    Cisco 엔지니어가 작성

    • 칼레드 두마
      기술 컨설팅 엔지니어

    이 문서가 도움이 되셨습니까?

    Feedback피드백

    지원 문의

    이 문서가 적용되는 제품