DNAC에서 ISE의 보안 그룹 태그 구성

소개

이 문서에서는 Cisco DNA에서 ISE로 SGT(Security Group Tag)를 마이그레이션하는 절차에 대해 설명합니다.

사전 요구 사항

ISE는 Cisco DNA와 통합되어야 합니다.

요구 사항

Cisco에서는 다음 항목에 대한 지식을 권장합니다.

• ISE(Identity Services Engine)
• Cisco DNA 

사용되는 구성 요소

이 문서의 정보는 다음 소프트웨어 및 하드웨어 버전을 기반으로 합니다.

• ISE(Identity Services Engine) 버전 3.3 
• Cisco Cisco DNA

이 문서의 정보는 특정 랩 환경의 디바이스를 토대로 작성되었습니다. 이 문서에 사용된 모든 디바이스는 초기화된(기본) 컨피그레이션으로 시작되었습니다. 현재 네트워크가 작동 중인 경우 모든 명령의 잠재적인 영향을 미리 숙지하시기 바랍니다.

배경 정보

보안 그룹을 사용하면 전체 네트워크를 격리할 필요는 없지만 동일한 가상 네트워크 내에서 보안 정책을 적용해야 하는 애플리케이션 또는 비즈니스 요구 사항을 효과적으로 분리할 수 있습니다.

엔드포인트 또는 사용자에게 SGT(Security Group Tag)를 할당함으로써 정책을 시행하기 위한 논리적 그룹화가 생성됩니다.

SGT는 가상 네트워크만 사용하는 기존의 세그멘테이션과 달리 단일 가상 네트워크 내에서 특히 SD 액세스 환경에서 마이크로 세그멘테이션 기능을 제공합니다. 이를 통해 디바이스와 사용자를 논리적으로 분리하면서 동일한 네트워크에 남도록 할 수 있습니다. SGT 기술이 발전함에 따라 SGT는 더욱 동적이고 유연한 보안 정책을 위해 더욱 풍부한 컨텍스트와 목적을 지속적으로 제공합니다.

구성

1단계: Policy(정책) > Group-based Access Control(그룹 기반 액세스 제어) > Security groups(보안 그룹)로 이동합니다. 표시된 대로 마이그레이션 시작을 클릭합니다.

2단계: 팝업이 나타납니다. Yes(예)를 클릭합니다.

마이그레이션이 진행 중임을 보여줍니다.

3단계: Create security group(보안 그룹 생성)을 클릭하고 ISE로 푸시할 보안 그룹을 생성합니다.

처리된 후에는 추가된 보안 그룹이 표시됩니다.

다음을 확인합니다.

ISE에서 WorkCenters(작업 센터) > Trustsec > Security Groups(보안 그룹) 아래에 NewGuest SGT 태그가 다음과 같이 반영되었는지 확인합니다.

문제 해결

ISE에서 분석 로그

보안 그룹 태그 NewGuest가 생성되어 ISE에 게시되었습니다.

2025-06-08 16:45:55,671 INFO [pool-27182-thread-1][[]] cisco.cpm.nsf.impl.SecGroup -::::- UPS에 저장: 뉴게스트

2025-06-08 16:45:55,672 디버그 [pool-27182-thread-1][[]] cisco.cpm.nsf.impl.SecGroup -:::- ID 97f12c12-82ae-41c3-a20e-50c56e6bd304의 UPS 보안 그룹 NewGuest 생성

2025-06-08 16:45:55,673 INFO [pool-27182-thread-1][[]] cisco.cpm.nsf.impl.SecGroup -::::- SGT NewGuest has 0 default SGACLs

2025-06-08 16:45:55,673 INFO [pool-27182-thread-1][[]] cisco.cpm.nsf.impl.SecGroup -:::- SGT NewGuest에 0 SGACL 추가

2025-06-08 16:45:55,675 INFO [pool-27182-thread-1][[]] mnt.dbms.datadirect.impl.DatadirectServiceImpl -:::- getStatus 실행 - datadirectSettings

2025-06-08 16:45:55,676 INFO [pool-27182-thread-1][[]] mnt.dbms.datadirect.impl.DatadirectServiceImpl -:::- getStatus 실행 - datadirectSettings

2025-06-08 16:45:55,676 INFO [pool-27182-thread-1][[]] com.cisco.epm.jms.AQMessgeHandler -:::- 이벤트 [TxnCommit / commit] 및 메시지 클래스[com.cisco.cpm.deployment.replication.ups.UPSChangeSet]

보안 그룹 태그 NewGuest가 ISE 데이터베이스에 삽입되었습니다.

2025-06-08 16:45:55,678 디버그 [pool-27182-thread-1][[]] cisco.cpm.nsf.impl.NSFAdminUtil -:::::- 호스트 이름 kavinise33ppan

2025-06-08 16:45:55,679 디버그 [pool-27182-thread-1][[]] cisco.cpm.nsf.impl.NSFAdminUtil -:::::- 호스트 이름 kavinise33ppan

2025-06-08 16:45:55,681 INFO [pool-27182-thread-1][[]] cpm.trustsec.securitygroup.service.SgtNotificationRedirect -:::- UPS 작업 INSERT,INSERT에 대한 사후 커밋 가져오기

2025-06-08 16:45:55,681 디버그 [pool-27182-thread-1][[]] cpm.trustsec.securitygroup.service.SgtNotificationRedirect -::- SGT에 대한 NSF 알림을 생성했습니다. NewGuest ID 97f12c12-82ae-41c3-a20e-50c56e6bd304 작업 삽입

2025-06-08 16:45:55,681 INFO [pool-27182-thread-1][[]] acs.nsf.config.trustsec.CTSNotificatesService -::::- UPS 작업에 대한 사후 커밋 가져오기:

2025-06-08 16:45:55,681 INFO [pool-27182-thread-1][[]] acs.nsf.config.trustsec.CTSNotificatesService -::::- [ 클래스: 보안 그룹 데이터, 작업 유형: 삽입 ]

보안 그룹 태그 NewGuest가 ISE SGT 데이터베이스에서 생성 및 업데이트되었습니다.

2025-06-08 16:45:55,685 디버그 [pool-27182-thread-1][[]] cisco.cpm.nsf.impl.SecGroup -::::- 트랜잭션 종료:::: SGT 저장

2025-06-08 16:45:55,685 정보 [pool-27182-thread-1][[]] cisco.cpm.nsf.impl.SecGroup -::::- 생성된 SGT: 뉴게스트

2025-06-08 16:45:59,238 디버그 [com.cisco.cpm.prrt.impl.PrRTNotificationHandler@11d54366_DelayedSingle][]] cisco.cpm.prrt.impl.PrRTConconfigurator -:::- ProtocolRuntime: Sec 그룹 NewGuest 구성: 가치: 18, genId: 00, SGT 범위: 틀려