이 문서의 목적은 Cisco Catalyst 1300 스위치와 Cisco ISE(Identity Service Engine)에서 DACL(Downloadable Access Control List)이 어떻게 작동하는지 설명하는 것입니다.
동적 ACL은 사용자 계정 그룹 구성원 자격, 시간 등과 같은 정책 또는 기준을 기반으로 스위치 포트에 할당되는 ACL입니다. 필터 ID 또는 다운로드 가능한 ACL(DACL)에 의해 지정된 로컬 ACL일 수 있습니다.
다운로드 가능 한 ACL는 Cisco ISE 서버에서 작성 하고 다운로드 하는 동적 ACL입니다. 사용자 ID 및 디바이스 유형에 따라 액세스 제어 규칙을 동적으로 적용합니다. DACL은 ACL을 위한 하나의 중앙 리포지토리를 가질 수 있으므로 각 스위치에서 수동으로 생성할 필요가 없다는 장점이 있습니다. 사용자가 스위치에 연결할 때 인증만 하면 되고 스위치는 Cisco ISE 서버에서 해당 ACL을 다운로드합니다.
이 글에서는 첫 번째 활용 사례에 대해 자세히 설명합니다.
Catalyst 1300 스위치에 로그인하고 Security(보안) > RADIUS Client(RADIUS 클라이언트) 메뉴로 이동합니다.
RADIUS Accounting(RADIUS 어카운팅)의 경우 Port Based Access Control(포트 기반 액세스 제어) 옵션을 선택합니다.
RADIUS Table(RADIUS 테이블)에서 더하기 아이콘을 클릭하여 Cisco ISE 서버를 추가합니다.
Cisco ISE 서버 세부 정보를 입력 하고 적용을 클릭 합니다.
사용 유형은 802.1x로 선택해야 합니다.
Security(보안) > 802.1X Authentication(802.1X 인증) > Properties(속성) 메뉴로 이동합니다.
포트 기반 인증을 활성화 하려면 확인 란을 클릭 합니다.
Authentication Method(인증 방법) 아래에서 RADIUS를 선택하고 Apply(적용)를 클릭합니다.
Security(보안) > 802.1X Authentication(802.1X 인증) > Port Authentication(포트 인증) 메뉴로 이동합니다. 노트북 컴퓨터가 연결된 포트를 선택하고 수정 아이콘을 클릭합니다. 이 예제에서는 GE8을 선택합니다.
관리 포트 제어를 자동으로 선택하고 802.1x 기반 인증을 활성화합니다. 적용을 클릭합니다.
ISE 컨피그레이션은 Cisco Business 지원 범위를 벗어납니다. 자세한 내용은 ISE 관리 가이드를 참조하십시오.
이 문서의 구성은 Cisco Catalyst 1300 Series 스위치와 함께 사용할 수 있는 다운로드 가능한 ACL의 예입니다.
Cisco ISE 서버에 로그인하고 Administration(관리) > Network Resources(네트워크 리소스) > Network Devices(네트워크 디바이스)로 이동하여 Catalyst 스위치 디바이스를 추가합니다.
사용자 ID 그룹을 생성하려면 Groups(그룹) 탭으로 이동하여 User Identity Groups(사용자 ID 그룹)를 추가합니다.
Administration(관리) > Identity Management(ID 관리) > Identities(ID) 메뉴로 이동하여 사용자를 정의하고 사용자를 그룹에 매핑합니다.
Policy(정책) > Policy Elements(정책 요소) > Results(결과) 메뉴로 이동합니다. Authorization(권한 부여)에서 Downloadable ACLs(다운로드 가능한 ACL)를 클릭합니다.
Add(추가) 아이콘을 클릭하여 다운로드 가능한 ACL을 생성합니다.
Name(이름), Description(설명)을 구성하고, IP 버전을 선택하고, DACL Content(DACL 콘텐츠) 필드에 다운로드 가능한 ACL을 구성할 ACE(액세스 제어 항목)를 입력합니다. 저장을 클릭합니다.
IP ACL만 지원되며 소스는 ANY여야 합니다. ISE의 ACL에서는 IPv4만 지원됩니다. ACL을 다른 소스와 함께 입력하면 ISE에 관한 한 구문이 정상이지만 스위치에 적용하면 실패합니다.
ISE 정책 집합 내에서 DACL 및 기타 정책을 논리적으로 연결하는 데 사용할 권한 부여 프로파일을 생성합니다.
이렇게 하려면 정책 > 정책 구성 요소 > 결과 > 인증 > 인증 프로파일로 이동 하고 추가를 클릭 합니다.
Authorization Profile(권한 부여 프로파일) 페이지에서 다음을 구성합니다.
저장을 클릭합니다.
인증 및 권한 부여 정책의 논리적 그룹인 정책 집합을 구성하려면 Policy(정책) > Policy Sets(정책 집합) 메뉴를 클릭합니다.
정책 집합 목록을 볼 때 다음을 볼 수 있습니다.
정책 집합을 생성하려면 add(추가) 버튼을 클릭합니다.
정책 세트 이름을 정의합니다.
Conditions(조건)에서 add(추가) 버튼을 클릭합니다. 그러면 이 인증 프로파일이 사용될 위치를 정의할 수 있는 Conditions Studio가 열립니다. 이 예에서는 172.19.1.250 및 wired_802.1x 트래픽인 Radius-NAS-IP-Address(스위치)에 적용되었습니다.
Allowed Protocols to the Default Network Access(기본 네트워크 액세스에 대해 허용되는 프로토콜)를 구성하고 Save(저장)를 클릭합니다.
보기에서 화살표 아이콘을 클릭하여 네트워크 설정 및 요구 사항에 따라 인증 및 권한 부여 정책을 구성하거나 기본 설정을 선택할 수 있습니다. 이 예에서는 Authorization policy(권한 부여 정책)를 클릭합니다.
정책을 추가하려면 더하기 아이콘을 클릭합니다.
Rule Name을 입력합니다.
Conditions(조건)에서 더하기 아이콘을 클릭하고 ID 그룹을 선택합니다. Use(사용)를 클릭합니다.
필요한 프로파일을 적용하고 Save(저장)를 클릭합니다.
클라이언트 노트북 컴퓨터에서 Network Connections(네트워크 연결) > Ethernet(이더넷)으로 이동하고 Properties(속성)를 클릭합니다.
Authentication(인증) 탭을 클릭하고 802.1X 인증이 활성화되었는지 확인합니다.
Additional Settings(추가 설정)에서 User authentication as authentication mode(인증 모드로 사용자 인증)를 선택합니다. Save Credentials(자격 증명 저장)를 클릭하고 OK(확인)를 클릭합니다.
Settings(설정)를 클릭하고 Verify the server's identity by validating the certificate(인증서를 검증하여 서버 ID 확인) 옆에 있는 확인란의 선택이 취소되었는지 확인합니다. OK(확인)를 클릭합니다.
Services(서비스)에서 Wired AutoConfig 설정을 활성화합니다.
사용자가 인증되면 다운로드 가능한 ACL을 확인할 수 있습니다.
Catalyst 1300 스위치에 로그인하고 Access Control(액세스 제어) > IPv4-Based ACL(IPv4 기반 ACL) 메뉴로 이동합니다.
IPv4 기반 ACL 테이블에 다운로드한 ACL이 표시됩니다.
다운로드 가능한 ACL은 편집할 수 없습니다.
또 다른 확인 방법은 IPv4 기반 ACE로 이동하여 ACL Name 드롭다운 메뉴에서 다운로드 가능한 ACL을 선택하고 Go를 클릭하는 것입니다. ISE에서 구성된 규칙이 표시됩니다.
Security(보안) > 802.1 Authentication(802.1 인증) > Authenticated Hosts(인증된 호스트) 메뉴로 이동합니다. 인증된 사용자를 확인할 수 있습니다. Authenticated Sessions(인증된 세션)를 클릭하여 자세한 내용을 확인합니다.
CLI에서 show ip access-lists interface 명령과 인터페이스 ID를 실행합니다.
이 예에서는 기가비트 이더넷 3에 적용된 ACL 및 ACE를 볼 수 있습니다.
명령을 사용하여 ISE 연결 및 ACL 다운로드와 관련된 설정을 볼 수도 있습니다
show dot1x sessions interface <ID> 상세 정보. 상태, 802.1x 인증 상태 및 다운로드된 ACL을 볼 수 있습니다.
여기 있어요! 이제 다운로드 가능한 ACL이 Cisco ISE를 사용하는 Cisco Catalyst 1300 스위치에서 어떻게 작동하는지 알 수 있습니다.
자세한 내용은 Catalyst 1300 관리 가이드 및 Cisco Catalyst 1300 Series 지원 페이지를 참조하십시오.
개정 | 게시 날짜 | 의견 |
---|---|---|
1.0 |
18-Jun-2025 |
최초 릴리스 |