소개
이 문서에서는 기능 및 보안 적용과 아무런 상관없는 대규모 캠퍼스 구축에 대해 설명합니다.Cisco의 엔드포인트 보안 솔루션인 ISE(Identity Services Engine)는 외부 ID 소스와의 통합을 통해 이러한 요구 사항을 해결합니다.
50개 이상의 지리적 위치, 4000개 이상의 다양한 사용자 프로필, 60만 개 이상의 엔드포인트를 갖춘 대규모 네트워크의 경우, 기존의 IBN 솔루션은 모든 기능에 따라 확장되는 기능뿐만 아니라 다른 관점에서 보아야 합니다.오늘날의 전통적인 대규모 네트워크의 IBN(Intent-Based Network) 솔루션은 기능뿐만 아니라 확장성과 관리 용이성에 대한 추가적인 관심이 필요합니다.
사전 요구 사항
요구 사항
다음 주제에 대한 지식을 보유하고 있으면 유용합니다.
- Dot1x/MAB 인증
- Cisco ISE(Identity Service Engine)
- Cisco TrustSec(CTS)
사용되는 구성 요소
이 문서의 정보는 다음 소프트웨어 및 하드웨어 버전을 기반으로 합니다.
- Cisco ISE(Identity Services Engine) 버전 2.6 패치 2 및 버전 3.0
- Windows AD(Active Directory) Server 2008 릴리스 2
- Microsoft SQL Server 2012
이 문서의 정보는 특정 랩 환경의 디바이스를 토대로 작성되었습니다.이 문서에 사용된 모든 디바이스는 초기화된(기본) 컨피그레이션으로 시작되었습니다.네트워크가 작동 중인 경우 모든 컨피그레이션의 잠재적인 영향을 이해해야 합니다.
배경 정보
IBN(Identity Based Network) 솔루션에서 기본 요소는 AAA(Supplicant, Authenticator and Authentication) 서버입니다.서 플리 컨 트는 네트워크 액세스 시도 시 자격 증명을 제공 하는 엔드 포인트의 상담원 입니다.인증자 또는 NAS(Network Access Server)는 AAA 서버로 자격 증명을 전달하는 네트워크 스위치 및 WLC로 구성된 액세스 레이어입니다.인증 서버는 ID 저장소에 대해 사용자 인증 요청을 검증하고 액세스 수락 또는 액세스 거부를 통해 권한을 부여합니다.ID 저장소는 AAA 서버 또는 외부 전용 서버에 있을 수 있습니다.
이 그림에서는 기본 IBN 요소를 보여 줍니다.

RADIUS는 인증 및 권한 부여가 함께 결합된 UDP(User Datagram Protocol) 기반 프로토콜입니다.엔터프라이즈 캠퍼스를 위한 Cisco IBN 솔루션에서 ISE의 PSN(Policy Service Node) 페르소나는 엔터프라이즈 ID 스토어에 대해 엔드포인트를 인증하고 조건에 따라 권한을 부여하는 AAA 서버 역할을 합니다.
Cisco ISE에서 인증 및 권한 부여 정책은 이러한 요구 사항을 충족하도록 구성됩니다.인증 정책은 유무선 미디어 유형 및 사용자 검증을 위한 EAP 프로토콜로 구성됩니다.권한 부여 정책은 VLAN 또는 다운로드 가능한 ACL 또는 SGT(Secure Group Tag)일 수 있는 다양한 엔드포인트와 네트워크 액세스 결과에 대한 기준을 정의하는 조건으로 구성됩니다. 이는 ISE가 구성할 수 있는 정책의 최대 스케일 번호입니다.
이 표는 Cisco ISE 정책 규모를 보여줍니다.
특성 |
배율 수 |
최대 인증 규칙 수 |
1000(정책 설정 모드) |
최대 권한 부여 규칙 수 |
3,000(정책 설정 모드) 3200 Authz 프로파일 |
기술 트렌드
세그먼테이션은 실제 에지 네트워크에 대한 필요 없이 오늘날 엔터프라이즈 네트워크의 핵심 보안 요소 중 하나가 되었습니다.엔드포인트는 내부 네트워크와 외부 네트워크 간에 로밍할 수 있습니다.세그멘테이션은 특정 세그먼트에 대한 보안 공격을 억제하여 네트워크를 포괄하는 데 도움이 됩니다.Cisco ISE의 TrustSec의 도움을 받아 오늘날의 SDA(Software-Defined Access) 솔루션은 고객의 비즈니스 모델을 기반으로 세분화하여 VLAN 또는 IP 서브넷과 같은 네트워크 요소에 대한 종속성을 방지할 수 있습니다.
문제
500개 이상의 서로 다른 엔드포인트 프로필을 가진 대규모 엔터프라이즈 네트워크에 대한 ISE 정책 컨피그레이션을 통해 권한 부여 정책의 수가 관리 불가능한 지점으로 증가할 수 있습니다.Cisco ISE가 이러한 사용자 프로필 볼륨에 대응하도록 전용 권한 부여 조건을 지원하더라도 관리자가 이러한 많은 수의 정책을 관리해야 하는 문제가 있습니다.
또한 고객은 관리 오버헤드를 피하기 위해 전용 정책 대신 공통 권한 부여 정책을 요구할 수 있으며, 기준에 따라 엔드포인트에 대한 네트워크 액세스를 차별화할 수 있습니다.
예를 들어 AD(Active Directory)를 진실의 소스로 사용하는 엔터프라이즈 네트워크를 고려하며 엔드포인트의 고유한 차별화 요소는 AD의 특성 중 하나입니다.이러한 경우, 기존의 정책 컨피그레이션 방식은 각 고유한 엔드포인트 프로필에 대해 더 많은 권한 부여 정책을 가집니다.
이 방법에서 각 엔드포인트 프로파일은 domain.com 아래의 AD 특성으로 구분됩니다.따라서 전용 권한 부여 정책을 구성해야 합니다.
이 표는 기존 AuthZ 정책을 보여줍니다.
ABC 정책 |
AnyConnect가 User-AND-Machine-Both-Passed인 경우 및 AD 그룹이 domain.com/groups/ABC과 같은 경우 그런 다음 SGT:C2S-ABC AND VLAN:1021 |
DEF-정책 |
AnyConnect가 User-AND-Machine-Both-Passed인 경우 및 AD 그룹이 domain.com/groups/DEF과 같은 경우 그런 다음 SGT:C2S-DEF 및 VLAN:1022 |
GHI-정책 |
AnyConnect가 User-AND-Machine-Both-Passed인 경우 및 AD 그룹이 domain.com/groups/GHI과 같은 경우 그런 다음 SGT:C2S-GHI 및 VLAN:1023 |
XYZ 정책 |
AnyConnect가 User-AND-Machine-Both-Passed인 경우 및 AD 그룹이 domain.com/groups/XYZ과 같은 경우 그런 다음 SGT:C2S-XYZ 및 VLAN:1024 |
제안 솔루션
Cisco ISE에서 지원되는 최대 권한 부여 정책 수에 대한 보안 침해를 피하기 위해, 제안된 솔루션은 각 엔드포인트에서 해당 특성에서 가져온 권한 부여 결과를 승인하는 외부 DB를 사용하는 것입니다.예를 들어, AD가 권한 부여를 위해 외부 DB로 사용되는 경우, 사용되지 않는 사용자 특성(예: 부서 또는 핀 코드)을 참조하여 SGT 또는 VLAN으로 매핑된 인증된 결과를 제공할 수 있습니다.
이는 Cisco ISE를 외부 DB와 통합하거나 사용자 지정 특성으로 구성된 ISE의 내부 DB 내에서 통합함으로써 달성할 수 있습니다.이 섹션에서는 다음 2가지 시나리오의 구축에 대해 설명합니다.
참고:두 옵션 모두에서 DB는 사용자 ID를 포함하지만 DOT1X 엔드포인트의 비밀번호는 포함하지 않습니다.DB는 권한 부여 지점으로만 사용됩니다.인증은 여전히 대부분의 경우 AD(Active Directory) 서버에 있는 고객의 ID 저장소가 될 수 있습니다.
외부 DB를 사용한 컨피그레이션
Cisco ISE는 엔드 포인트 자격 증명 확인을 위해 외부 DB와 통합 됩니다.
이 표는 검증된 외부 ID 소스를 보여줍니다.
외부 ID 소스 |
OS/버전 |
Active Directory |
Microsoft Windows Active Directory 2003 |
— |
Microsoft Windows Active Directory 2003 R2 |
— |
Microsoft Windows Active Directory 2008 |
— |
Microsoft Windows Active Directory 2008 R2 |
— |
Microsoft Windows Active Directory 2012 |
— |
Microsoft Windows Active Directory 2012 R2 |
— |
Microsoft Windows Active Directory 2016 |
— |
LDAP 서버 |
SunONE LDAP 디렉토리 서버 |
버전 5.2 |
OpenLDAP 디렉토리 서버 |
버전 2.4.23 |
모든 LDAP v3 호환 서버 |
— |
토큰 서버 |
RSA ACE/서버 |
6.x 시리즈 |
RSA 인증 관리자 |
7.x 및 8.x 시리즈 |
모든 RADIUS RFC 2865 호환 토큰 서버 |
— |
SAML(Security Assertion Markup Language) SSO(Single Sign-On) |
Microsoft Azure |
— |
OAM(Oracle Access Manager) |
버전 11.1.2.2.0 |
OIF(Oracle Identity Federation) |
버전 11.1.1.2.0 |
PingFederate 서버 |
버전 6.10.0.4 |
PingOne 클라우드 |
— |
보안 인증 |
8.1.1 |
모든 SAMLv2 호환 ID 제공자 |
— |
ODBC(Open Database Connectivity) ID 소스 |
Microsoft SQL Server(MS SQL) |
Microsoft SQL Server 2012 |
Oracle |
Enterprise Edition 릴리스 12.1.0.2.0 |
PostgreSQL |
9 |
사이베이스 |
16 |
내SQL |
6.3 |
소셜 로그인(게스트 사용자 계정용) |
페이스북 |
— |
ODBC 샘플 구성
Microsoft SQL에서 이 구성을 수행하여 솔루션을 구축합니다.
1단계. SQL Server Management Studio(시작 메뉴 > Microsoft SQL Server)를 열어 데이터베이스를 만듭니다.

2단계. 이름을 입력하고 데이터베이스를 생성합니다.

3단계. 필요한 열이 있는 새 테이블을 엔드포인트의 매개 변수로 생성하여 권한을 부여합니다.

4단계. 사용자 이름이 있는지 확인하는 절차를 생성합니다.

5단계. 테이블에서 속성(SGT)을 가져오는 절차를 생성합니다.

이 문서에서 Cisco ISE는 Microsoft SQL 솔루션과 통합되어 대규모 엔터프라이즈 네트워크의 권한 확장 요구 사항을 충족합니다.
솔루션 워크플로(ISE 2.7 이하)
이 솔루션에서 Cisco ISE는 AD(Active Directory) 및 Microsoft SQL과 통합됩니다.AD는 권한 부여를 위해 인증 ID 저장소 및 MS SQL로 사용됩니다.인증 프로세스 중에 NAD(Network Access Device)는 IBN 솔루션의 AAA 서버인 PSN에 사용자 자격 증명을 전달합니다.PSN은 Active Directory ID 저장소를 사용하여 엔드포인트 자격 증명을 확인하고 사용자를 인증합니다.권한 부여 정책은 MS SQL DB를 참조하여 SGT/VLAN과 같이 사용자 ID를 참조로 사용하는 권한 있는 결과를 가져옵니다.


장점
이 솔루션에는 다음과 같은 이점이 있어 유연성이 향상됩니다.
- Cisco ISE는 외부 DB가 제공하는 가능한 모든 추가 기능을 활용할 수 있습니다.
- 이 솔루션은 Cisco ISE 확장 제한에 의존하지 않습니다.
단점
이 솔루션에는 다음과 같은 단점이 있습니다.
- 외부 DB를 엔드포인트 자격 증명으로 채우려면 추가 프로그래밍이 필요합니다.
- 외부 DB가 PSN과 같이 로컬에서 존재하지 않는 경우 이 솔루션은 엔드포인트 AAA 데이터 흐름에서 3번째 장애 지점으로 만드는 WAN에 의존합니다.
- 외부 DB 프로세스 및 절차를 유지하려면 추가 지식이 필요합니다.
- user-id를 DB에 수동으로 구성하여 발생한 오류를 고려해야 합니다.
외부 DB 샘플 구성
이 문서에서 Microsoft SQL은 권한 부여 지점으로 사용되는 외부 DB로 표시됩니다.
1단계. Administration(관리) > External Identity Source(외부 ID 소스) > ODBC 메뉴에서 Cisco ISE에 ODBC ID 저장소를 생성하고 연결을 테스트합니다.


2단계. ODBC 페이지의 Stored Procedures(저장 프로시저) 탭으로 이동하여 Cisco ISE에서 생성된 프로시저를 구성합니다.

3단계. 확인을 위해 ODBC ID 원본에서 사용자 ID의 특성을 가져옵니다.


4단계. 권한 부여 프로파일을 생성하고 구성합니다.Cisco ISE에서 Policy(정책) > Results(결과) > Authorization profile(권한 부여 프로파일) > Advance Attributes Settings(고급 특성 설정)로 이동하고 특성을 Cisco:cisco-av-pair로 선택합니다. 값을 <name of ODBC database>:sgt로 선택한 다음 저장합니다.

5단계. 권한 부여 정책을 생성하고 구성합니다.Cisco ISE에서 Policy(정책) > Policy sets(정책 집합) > Authorization Policy(권한 부여 정책) > Add(추가)로 이동합니다. ID 소스가 SQL 서버인 상태로 조건을 지정합니다.이전에 생성한 권한 부여 프로파일로 결과 프로파일을 선택합니다.

6단계. 사용자가 인증되고 권한이 부여되면 로그에는 확인을 위해 사용자에게 할당된 sgt가 포함됩니다.

솔루션 워크플로(ISE 2.7 게시)
ISE 2.7 이후, 권한 부여 특성은 Vlan, SGT, ACL과 같은 ODBC에서 가져올 수 있으며 이러한 특성은 정책에서 사용할 수 있습니다.
이 솔루션에서 Cisco ISE는 Microsoft SQL과 통합됩니다.MS SQL은 인증 및 권한 부여를 위한 ID 저장소로 사용됩니다.엔드포인트의 자격 증명이 PSN에 제공되면 MS SQL DB에 대한 자격 증명을 검증합니다.권한 부여 정책은 MS SQL DB를 참조하여 사용자 ID가 참조로 사용되는 SGT/VLAN과 같은 인증된 결과를 가져옵니다.

외부 DB 샘플 구성
이 문서에서 앞서 제공된 절차를 따라 사용자 이름, 비밀번호, VLAN ID 및 SGT와 함께 MS SQL DB를 생성합니다.
1단계. Administration(관리) > External Identity Source(외부 ID 소스) > ODBC 메뉴에서 Cisco ISE에 ODBC ID 저장소를 생성하고 연결을 테스트합니다.

2단계. ODBC 페이지의 Stored Procedures(저장 프로시저) 탭으로 이동하여 Cisco ISE에서 생성된 프로시저를 구성합니다.

3단계. 확인을 위해 ODBC ID 원본에서 사용자 ID의 특성을 가져옵니다.


4단계. 권한 부여 프로파일을 생성하고 구성합니다.Cisco ISE에서 Policy > Results > Authorization profile > Advance Attributes Settings로 이동하여 특성을 Cisco:cisco-av-pair로 선택합니다. 값을 <name of ODBC database>:sgt로 선택합니다. Common Tasks(일반 작업)에서 ID/Name이 있는 VLAN을 <ODBC 데이터베이스 이름>:vlan으로 선택하고 저장합니다.

5단계. 권한 부여 정책을 생성하고 구성합니다.Cisco ISE에서 Policy(정책) > Policy sets(정책 집합) > Authorization Policy(권한 부여 정책) > Add(추가)로 이동합니다. ID 소스가 SQL 서버인 상태로 조건을 지정합니다.이전에 생성한 권한 부여 프로파일로 결과 프로파일을 선택합니다.

내부 DB 사용
Cisco ISE 자체에는 권한 부여를 위해 사용자 ID를 가질 수 있는 내장 DB가 있습니다.
솔루션 워크플로
이 솔루션에서 Cisco ISE의 내부 DB는 권한 부여 지점으로 사용되고 Active Directory(AD)는 인증 소스로 계속 사용됩니다.엔드포인트의 사용자 ID는 SGT 또는 VLAN과 같은 인증된 결과를 반환하는 사용자 지정 특성과 함께 Cisco ISE DB에 포함됩니다.엔드포인트의 자격 증명이 PSN에 제공되면 엔드포인트의 자격 증명이 Active Directory ID 저장소로 유효한지 확인하고 엔드포인트를 인증합니다.권한 부여 정책은 ISE DB를 참조하여 사용자 ID가 참조로 사용되는 SGT/VLAN과 같은 인증된 결과를 가져옵니다.

장점
이 솔루션에는 다음과 같은 이점이 있어 유연한 솔루션이 됩니다.
- Cisco ISE DB는 내장된 솔루션이므로 외부 DB 솔루션과 달리 3번째 실패 지점이 없습니다.
- Cisco ISE 클러스터는 모든 페르소나 간의 실시간 동기화를 보장하므로 PSN은 PAN에서 실시간으로 모든 사용자 ID 및 사용자 지정 특성을 푸시하므로 WAN 종속성이 없습니다.
- Cisco ISE는 외부 DB가 제공하는 가능한 모든 추가 기능을 활용할 수 있습니다.
- 이 솔루션은 Cisco ISE 확장 제한에 의존하지 않습니다.
단점
이 솔루션에는 다음과 같은 단점이 있습니다.
- Cisco ISE DB가 보류할 수 있는 최대 사용자 ID 수는 300,000입니다.
- user-id를 DB에 수동으로 구성하여 발생한 오류를 고려해야 합니다.
내부 DB 샘플 컨피그레이션
사용자 지정 사용자 특성을 사용하여 내부 ID 저장소의 모든 사용자에 대해 사용자별 VLAN 및 SGT를 구성할 수 있습니다.
1단계. 각 사용자의 VLAN 및 SGT 값을 나타내는 새 사용자 정의 속성을 생성합니다. 관리 > ID 관리 > 설정 > 사용자 정의 속성으로 이동합니다. 이 표에 표시된 대로 새 사용자 정의 속성을 생성합니다.
ISE DB 테이블은 사용자 지정 특성과 함께 표시됩니다.
속성 이름 |
데이터 유형 |
매개변수(길이) |
기본값 |
vlan |
문자열 |
100 |
C2S(기본 VLAN 이름) |
sgt |
문자열 |
100 |
cts:security-group-tag=0003-0(기본 SGT 값) |
- 이 시나리오에서 VLAN 값은 vlan 이름을 나타내고 sgt 값은 SGT의 cisco av 쌍 특성을 16진수로 나타냅니다.

2단계. 각 사용자의 vlan 및 sgt 값을 암시하는 사용자 지정 특성이 있는 권한 부여 프로파일을 생성합니다. 정책 > 정책 요소 > 결과 > 권한 부여 > 권한 부여 프로파일 > 추가로 이동합니다. 고급 속성 설정 아래에 언급된 속성을 추가합니다.
이 표는 내부 사용자에 대한 AuthZ 프로파일을 보여줍니다.
특성 |
가치 |
Cisco:cisco-av-pair |
InternalUser:sgt |
Radius:Tunnel-Private-Group-ID |
내부 사용자:vlan |
Radius:Tunnel-Medium-Type |
802 |
Radius:터널 유형 |
VLAN |
이미지에 표시된 대로 내부 사용자의 경우, Internal_user 프로파일은 각각 InternalUser:sgt & InternalUser:vlan으로 구성된 SGT 및 VLAN으로 구성됩니다.

3단계. 권한 부여 정책을 생성하고, Policy(정책) > Policy Sets(정책 세트) > Policy-1 > Authorization(권한 부여)으로 이동합니다. 아래에 언급된 조건과 함께 권한 부여 정책을 생성하고 해당 권한 부여 프로파일에 매핑합니다.
이 표는 내부 사용자에 대한 AuthZ 정책을 보여줍니다.
규칙 이름 |
조건 |
결과 인증 프로파일 |
내부_사용자_인증 |
Network Access.EapChainingResults가 사용자 및 머신 모두에 성공한 경우 |
내부 사용자 |
시스템_전용_인증 |
MyAD.ExternalGroups가 gdc.security.com/Users/Domain 컴퓨터와 같은 경우 |
액세스 허용 |

4단계. 사용자 세부사항 및 각각의 사용자 지정 특성이 csv 템플릿에 있는 사용자 지정 특성으로 대량 사용자 ID를 생성합니다. Administration(관리) > Identity Management(ID 관리) > Identities(ID) > Users(사용자) > Import(가져오기) > Choose the file(파일) > Import(가져오기)로 이동하여 csv를 가져옵니다.

이 그림은 사용자 지정 특성 세부 정보를 가진 샘플 사용자를 보여줍니다.사용자를 선택하고 편집을 클릭하여 해당 사용자에게 매핑된 사용자 지정 특성 세부 정보를 봅니다.

5단계:라이브 로그를 확인합니다.


Result(결과) 섹션을 확인하여 Vlan 및 SGT 특성이 Access-Accept의 일부로 전송되었는지 확인합니다.

결론
이 솔루션을 통해 일부 대기업 고객은 요구 사항에 맞게 확장할 수 있습니다.사용자 ID의 추가/삭제와 함께 주의해야 합니다.오류가 트리거되면 정품을 사용하는 사용자에게 무단 액세스하거나 그 반대로 이어질 수 있습니다.
관련 정보
ODBC를 통해 MS SQL을 사용하여 Cisco ISE를 구성합니다.
https://www.cisco.com/c/en/us/support/docs/security/identity-services-engine-21/200544-Configure-ISE-2-1-with-MS-SQL-using-ODBC.html
용어집
AAA |
인증 권한 부여 계정 관리 |
광고 |
Active Directory |
인증 |
인증 |
인증 |
Ahthorization(권한 부여) |
DB |
데이터 베이스 |
DOT1X |
802.1X |
이븐 |
ID 기반 네트워크 |
ID |
ID 데이터베이스 |
ISE |
Identity Services Engine |
MnT |
모니터링 및 문제 해결 |
msSQL |
Microsoft SQL |
ODBC |
DataBase 연결 열기 |
팬 |
정책 관리 노드 |
PSN |
정책 서비스 노드 |
SGT |
보안 그룹 태그 |
SQL |
구조화된 쿼리 언어 |
VLAN |
가상 LAN |
WAN |
광역 네트워크 |