이 문서에서는 Cisco ISE(Identity Services Engine)에서 서로 다른 SSID(Service Set Identifier)를 구별하도록 권한 부여 정책을 구성하는 방법에 대해 설명합니다. 조직에서 다양한 목적으로 무선 네트워크에 여러 SSID를 사용하는 것은 매우 일반적입니다.가장 일반적인 목적 중 하나는 직원을 위한 기업 SSID와 조직 방문자를 위한 게스트 SSID를 갖는 것입니다.
이 설명서에서는 다음을 가정합니다.
WLC(Wireless LAN Controller)가 설정되고 관련된 모든 SSID에 대해 작동합니다.
인증은 ISE와 관련된 모든 SSID에서 작동합니다.
이 시리즈의 기타 문서
이 문서에 대한 특정 요건이 없습니다.
이 문서의 정보는 다음 소프트웨어 및 하드웨어 버전을 기반으로 합니다.
Wireless LAN Controller 릴리스 7.3.101.0
Identity Services Engine 릴리스 1.1.2.145
이전 버전에도 이러한 기능이 모두 있습니다.
이 문서의 정보는 특정 랩 환경의 디바이스를 토대로 작성되었습니다.이 문서에 사용된 모든 디바이스는 초기화된(기본) 컨피그레이션으로 시작되었습니다.현재 네트워크가 작동 중인 경우, 모든 명령어의 잠재적인 영향을 미리 숙지하시기 바랍니다.
문서 규칙에 대한 자세한 내용은 Cisco 기술 팁 규칙을 참조하십시오.
이 섹션에서는 이 문서에 설명된 기능을 구성하는 정보를 제공합니다.
참고: 명령 조회 도구(등록된 고객만 해당)를 사용하여 이 섹션에 사용된 명령에 대한 자세한 내용을 확인하십시오.
이 문서에서는 다음 구성을 사용합니다.
방법 1:Airespace-WLAN-ID
방법 2:Called-Station-ID
한 번에 하나의 컨피그레이션 방법만 사용해야 합니다.두 컨피그레이션이 동시에 구현되면 ISE에서 처리하는 금액이 증가하여 규칙 가독성에 영향을 미칩니다.이 문서에서는 각 컨피그레이션 방법의 장점과 단점을 검토합니다.
방법 1:Airespace-WLAN-ID
WLC에 생성된 모든 WLAN(Wireless Local Area Network)에는 WLAN ID가 있습니다.WLAN ID가 WLAN 요약 페이지에 표시됩니다.
클라이언트가 SSID에 연결되면 ISE에 대한 RADIUS 요청에 Airespace-WLAN-ID 특성이 포함됩니다.이 단순 특성은 ISE에서 정책 결정을 내리는 데 사용됩니다.이 특성의 한 가지 단점은 WLAN ID가 여러 컨트롤러의 SSID 분산에서 일치하지 않는 경우입니다.구축에 대해 설명하는 경우 방법 2로 진행합니다.
이 경우 Airespace-Wlan-Id가 조건으로 사용됩니다.원하는 결과를 얻기 위해 단순 조건(단독으로) 또는 복합 조건(다른 속성과 함께)으로 사용할 수 있습니다.이 문서에서는 두 활용 사례를 모두 다룹니다.위의 두 SSID를 사용하여 이 두 규칙을 생성할 수 있습니다.
A) 게스트 사용자는 게스트 SSID에 로그인해야 합니다.
B) 회사 사용자는 Active Directory(AD) 그룹 "Domain Users(도메인 사용자)"에 있어야 하며 회사 SSID에 로그인해야 합니다.
규칙 A
규칙 A에는 한 가지 요건이 있으므로 위의 값을 기준으로 단순 조건을 작성할 수 있습니다.
ISE에서 Policy(정책) > Policy Elements(정책 요소) > Conditions(조건) > Authorization(권한 부여) > Simple Conditions(단순 조건)로 이동하여 새 조건을 생성합니다.
Name 필드에 조건 이름을 입력합니다
Description 필드에 설명을 입력합니다(선택 사항).
Attribute 드롭다운 목록에서 Airespace > Airespace-WLAN-Id—[1]를 선택합니다.
Operator(운영자) 드롭다운 목록에서 Equals(같음)를 선택합니다.
Value 드롭다운 목록에서 2를 선택합니다.
저장을 클릭합니다.
규칙 B
규칙 B에는 두 가지 요구 사항이 있으므로 위의 값을 기준으로 복합 조건을 작성할 수 있습니다.
ISE에서 Policy(정책) > Policy Elements(정책 요소) > Conditions(조건) > Authorization(권한 부여) > Compound Conditions(복합 조건)로 이동하여 새 조건을 생성합니다.
이름 필드에 조건 이름을 입력합니다.
Description 필드에 설명을 입력합니다(선택 사항).
Create New Condition (Advance Option)을 선택합니다.
Attribute 드롭다운 목록에서 Airespace > Airespace-WLAN-Id—[1]를 선택합니다.
Operator(운영자) 드롭다운 목록에서 Equals(같음)를 선택합니다.
Value 드롭다운 목록에서 1을 선택합니다.
오른쪽에 있는 장비를 클릭하고 Add Attribute/Value(특성/값 추가)를 선택합니다.
Attribute 드롭다운 목록에서 AD1 > External Groups를 선택합니다.
Operator(운영자) 드롭다운 목록에서 Equals(같음)를 선택합니다.
값 드롭다운 목록에서 필요한 그룹을 선택합니다.이 예에서는 도메인 사용자로 설정됩니다.
저장을 클릭합니다.
참고: 이 문서에서는 Policy(정책) > Policy Elements(정책 요소) > Results(결과) > Authorization(권한 부여) > Authorization Profiles(권한 부여 프로파일)에 구성된 간단한 권한 부여 프로파일을 사용합니다.액세스 허용으로 설정되지만 구축의 필요에 맞게 조정할 수 있습니다.
이제 조건이 있으므로 권한 부여 정책에 적용할 수 있습니다.Policy(정책) > Authorization(권한 부여)으로 이동합니다.목록에서 규칙을 삽입할 위치를 결정하거나 기존 규칙을 수정합니다.
게스트 규칙
기존 규칙의 오른쪽에 있는 아래쪽 화살표를 클릭하고 Insert a new rule을 선택합니다.
게스트 규칙의 이름을 입력하고 ID 그룹 필드를 Any로 설정합니다.
Conditions(조건)에서 더하기 기호를 클릭하고 Select Existing Condition from Library(라이브러리에서 기존 조건 선택)를 클릭합니다.
Condition Name(조건 이름)에서 Simple Condition(단순 조건) > GuestSSID를 선택합니다.
Permissions(권한)에서 게스트 사용자에 적합한 권한 부여 프로파일을 선택합니다.
완료를 클릭합니다.
기업 규칙
기존 규칙의 오른쪽에 있는 아래쪽 화살표를 클릭하고 Insert a new rule을 선택합니다.
회사 규칙의 이름을 입력하고 ID 그룹 필드를 Any로 설정합니다.
Conditions(조건)에서 더하기 기호를 클릭하고 Select Existing Condition from Library(라이브러리에서 기존 조건 선택)를 클릭합니다.
Condition Name(조건 이름)에서 Compound Condition(복합 조건) > CorporateSSID를 선택합니다.
Permissions(권한)에서 회사 사용자에 적합한 권한 부여 프로파일을 선택합니다.
완료를 클릭합니다.
참고: Policy List(정책 목록) 하단의 Save(저장)를 클릭하기 전까지는 이 화면에서 변경된 사항이 구축에 적용되지 않습니다.
방법 2:Called-Station-ID
RADIUS Called-Station-ID 특성에서 SSID 이름을 전송하도록 WLC를 구성할 수 있으며, 이는 ISE의 조건으로 사용될 수 있습니다.이 특성의 장점은 WLC에서 WLAN ID가 어떤 것으로 설정되었는지에 관계없이 이 특성을 사용할 수 있다는 것입니다.기본적으로 WLC는 Called-Station-ID 속성에서 SSID를 전송하지 않습니다.WLC에서 이 기능을 활성화하려면 Security(보안) > AAA > RADIUS > Authentication(인증)으로 이동하여 Call Station ID Type(통화 스테이션 ID 유형)을 AP MAC Address:SSID로 설정합니다.이렇게 하면 Called-Station-ID의 형식이 <MAC of the AP to>:<SSID Name>으로 설정됩니다.
WLAN 요약 페이지에서 어떤 SSID Name(SSID 이름)이 전송될지 확인할 수 있습니다.
Called-Station-Id 속성은 AP의 MAC 주소도 포함하므로 ISE 정책의 SSID 이름과 일치시키는 데 REGEX(Regular Expression)가 사용됩니다.조건 컨피그레이션의 연산자 'Matches'는 Value 필드에서 REGEX를 읽을 수 있습니다.
REGEX 예
'Starts with'—예를 들어, ^(Acme)의 REGEX 값을 사용합니다.*—이 조건은 CERTIFICATE:Organization MATCHES 'Acme'로 구성됩니다("Acme"로 시작하는 조건이 있는 일치).
'Ends with'—예를 들어, .*(mktg)$의 REGEX 값을 사용합니다. 이 조건은 CERTIFICATE:Organization MATCHES 'mktg'로 구성됩니다("mktg"로 끝나는 조건이 있는 일치).
'Contains'—예를 들어, REGEX 값 .*(1234)을 사용합니다.* 이 조건은 CERTIFICATE:Organization MATCHES '1234'로 구성됩니다(Eng1234, 1234Dev 및 Corp1234Mktg와 같은 "1234"가 포함된 조건이 있는 일치).
'does not start with'—예를 들어, REGEX 값 ^(?!LDAP)을 사용합니다.*—이 조건은 CERTIFICATE:Organization MATCHES 'LDAP'로 구성됩니다(usLDAP 또는 CorpLDAPmktg와 같이 "LDAP"로 시작하지 않는 조건과 일치).
Called-Station-ID는 SSID 이름으로 끝나므로 이 예에서 사용할 REGEX는 .*(:<SSID NAME>)$입니다.컨피그레이션을 진행하는 동안 이 점에 유의하십시오.
위의 두 SSID를 사용하여 다음 요구 사항을 가진 두 규칙을 생성할 수 있습니다.
A) 게스트 사용자는 게스트 SSID에 로그인해야 합니다.
B) 회사 사용자는 AD 그룹 "Domain Users(도메인 사용자)"에 있어야 하며 회사 SSID에 로그인해야 합니다.
규칙 A
규칙 A에는 한 가지 요건이 있으므로 위의 값을 기준으로 단순 조건을 작성할 수 있습니다.
ISE에서 Policy(정책) > Policy Elements(정책 요소) > Conditions(조건) > Authorization(권한 부여) > Simple Conditions(단순 조건)로 이동하여 새 조건을 생성합니다.
이름 필드에 조건 이름을 입력합니다.
Description 필드에 설명을 입력합니다(선택 사항).
Attribute 드롭다운 목록에서 Radius -> Called-Station-ID—[30]를 선택합니다.
Operator 드롭다운 목록에서 Matches를 선택합니다.
Value 드롭다운 목록에서 .*(:Guest)$를 선택합니다.대/소문자를 구분합니다.
저장을 클릭합니다.
규칙 B
규칙 B에는 두 가지 요구 사항이 있으므로 위의 값을 기준으로 복합 조건을 작성할 수 있습니다.
ISE에서 Policy(정책) > Policy Elements(정책 요소) > Conditions(조건) > Authorization(권한 부여) > Compound Conditions(복합 조건)로 이동하여 새 조건을 생성합니다.
이름 필드에 조건 이름을 입력합니다.
Description 필드에 설명을 입력합니다(선택 사항).
Create New Condition (Advance Option)을 선택합니다.
Attribute 드롭다운 목록에서 Radius -> Called-Station-Id—[30]를 선택합니다.
Operator 드롭다운 목록에서 Matches를 선택합니다.
Value 드롭다운 목록에서 .*(:Corporate)$를 선택합니다.대/소문자를 구분합니다.
오른쪽에 있는 장비를 클릭하고 Add Attribute/Value(특성/값 추가)를 선택합니다.
Attribute 드롭다운 목록에서 AD1 > External Groups를 선택합니다.
Operator(운영자) 드롭다운 목록에서 Equals(같음)를 선택합니다.
값 드롭다운 목록에서 필요한 그룹을 선택합니다.이 예에서는 도메인 사용자로 설정됩니다.
저장을 클릭합니다.
참고: 이 문서에서는 Policy(정책) > Policy Elements(정책 요소) > Results(결과) > Authorization(권한 부여) > Authorization Profiles(권한 부여 프로파일)에 구성된 간단한 권한 부여 프로파일을 사용합니다.액세스 허용으로 설정되지만 구축의 필요에 맞게 조정할 수 있습니다.
이제 조건이 구성되었으므로 권한 부여 정책에 적용합니다.Policy(정책) > Authorization(권한 부여)으로 이동합니다.적절한 위치의 목록에 규칙을 삽입하거나 기존 규칙을 수정합니다.
게스트 규칙
기존 규칙의 오른쪽에 있는 아래쪽 화살표를 클릭하고 Insert a new rule(새 규칙 삽입)을 선택합니다.
게스트 규칙의 이름을 입력하고 ID 그룹 필드를 Any로 설정합니다.
Conditions(조건)에서 더하기 기호를 클릭하고 Select Existing Condition from Library(라이브러리에서 기존 조건 선택)를 클릭합니다.
Condition Name(조건 이름)에서 Simple Condition(단순 조건) > GuestSSID를 선택합니다.
Permissions(권한)에서 게스트 사용자에 적합한 권한 부여 프로파일을 선택합니다.
완료를 클릭합니다.
기업 규칙
기존 규칙의 오른쪽에 있는 아래쪽 화살표를 클릭하고 Insert a new rule(새 규칙 삽입)을 선택합니다.
회사 규칙의 이름을 입력하고 ID 그룹 필드를 Any로 설정합니다.
Conditions(조건)에서 더하기 기호를 클릭하고 Select Existing Condition from Library(라이브러리에서 기존 조건 선택)를 클릭합니다.
Condition Name(조건 이름)에서 Compound Condition(복합 조건) > CorporateSSID를 선택합니다.
Permissions(권한)에서 회사 사용자에 적합한 권한 부여 프로파일을 선택합니다.
완료를 클릭합니다.
Policy(정책) 목록 하단의 Save(저장)를 클릭합니다.
참고: Policy List(정책 목록) 하단의 Save(저장)를 클릭하기 전까지는 이 화면에서 변경된 사항이 구축에 적용되지 않습니다.
현재 이 구성에 대해 사용 가능한 확인 절차가 없습니다.
이 섹션에서는 컨피그레이션 문제를 해결하는 데 사용할 수 있는 정보를 제공합니다.
정책이 제대로 생성되었는지 확인하고 ISE가 적절한 특성을 수신하는지 확인하려면 사용자에 대한 통과 또는 실패 한 인증에 대한 자세한 인증 보고서를 검토합니다.Operations(작업) > Authentications(인증)를 선택한 다음 인증에 대한 Details(세부사항) 아이콘을 클릭합니다.
먼저 Authentication Summary(인증 요약)를 확인합니다.사용자에게 제공된 권한 부여 프로파일을 포함하는 인증의 기본 사항을 표시합니다.
정책이 올바르지 않으면 Authentication Details(인증 세부사항)에서 Airespace-WLAN-ID를 표시하고 WLC에서 보낸 Called-Station-ID를 표시합니다.그에 따라 규칙을 조정합니다.Authorization Policy Matched Rule(권한 부여 정책 일치 규칙)은 인증이 원하는 규칙과 일치하는지 여부를 확인합니다.
이러한 규칙은 일반적으로 잘못 구성됩니다.컨피그레이션 문제를 표시하려면 인증 세부사항에 표시된 것과 규칙을 일치시킵니다.Other Attributes(기타 특성) 필드에 특성이 표시되지 않으면 WLC가 올바르게 구성되었는지 확인합니다.