목표
이 문서의 목적은 Catalyst 1300 스위치의 DACL(downloadable ACL) 기능에 대한 개요를 제공하는 것입니다.
적용 가능한 디바이스 | 소프트웨어 버전
- Catalyst 1300 시리즈 | 4.1.6.54
소개
동적 ACL은 사용자 계정 그룹 구성원 자격, 시간 등과 같은 정책 또는 기준을 기반으로 스위치 포트에 할당되는 ACL입니다. 필터 ID 또는 다운로드 가능한 ACL(DACL)에 의해 지정된 로컬 ACL일 수 있습니다.
다운로드 가능한 ACL은 Cisco ISE 서버에서 생성 및 다운로드 되는 동적 ACL입니다. 사용자 ID 및 디바이스 유형에 따라 액세스 제어 규칙을 동적으로 적용합니다. DACL은 ACL을 위한 하나의 중앙 리포지토리를 가질 수 있으므로 각 스위치에서 수동으로 생성할 필요가 없다는 장점이 있습니다. 사용자가 스위치에 연결할 때 인증만 하면 되고 스위치는 Cisco ISE 서버에서 해당 ACL을 다운로드합니다.
목차
DACL 고려 사항
Catalyst 1300 스위치에서 DACL을 사용할 때 몇 가지 고려해야 할 사항이 있습니다.
- 이 기능은 Catalyst 1300 스위치에서만 제공됩니다. Catalyst 1200 스위치에서는 지원되지 않습니다.
- 정책 맵이 적용된 인터페이스에서는 동적 ACL이 지원되지 않습니다.
- 스위치에서 ACL 규칙에 대한 액세스 요청을 보내지 않습니다.
- 신청자가 Authenticated(인증됨)이지만 Authorized(인증되지 않음) 상태로 설정됩니다.
- 동적 ACL은 IP Source Guard 및 (인터페이스 레벨) 보안 제품군 관련 구성과 함께 사용할 수 없습니다.
- 스태킹된 스위치에서 동적 ACL을 사용할 경우 몇 가지 사항을 고려해야 합니다.
- 액티브 유닛이 장애 조치되면 새 액티브 스위치에는 로컬 메모리에 저장된 DACL이 없으며 모든 DACL을 다시 다운로드해야 합니다.
- 클라이언트 시스템 인증의 일부로 할당된 인터페이스에 적용된 모든 규칙이 제거됩니다.
- MAB(MAC 인증 우회)를 사용 중인 경우 MAC 인증 유형을 기본 EAP 방법이 아닌 RADIUS로 설정해야 합니다.
- ACL 이름 길이
- 동적 ACL은 모두 확장 ACL입니다.
- DACL은 예상한 것보다 많은 TCAM 리소스를 사용합니다.
- 다운로드 가능한 ACL은 해당 ACL을 사용하는 포트가 없을 때 자동으로 삭제됩니다.
- 동적 ACL에 대해 생성된 기본 ACL은 동적 또는 다운로드 가능한 ACL을 사용하는 포트가 없을 때 자동으로 삭제됩니다.
DACL 다운로드 프로세스
- 표준 802.1x 인증으로 시작합니다.
- 클라이언트가 인증된 후
- ISE 서버는 Cisco Vendor AVPair - ACS를 사용하여 RADIUS Access-Accept를 전송합니다. CiscoSecure-Defined-ACL = <ACL 이름>
- 스위치가 Cisco Vendor AVPair와 함께 RADIUS 액세스 요청을 보냅니다. aaa:event=acl-download
- ISE 서버가 Cisco Vendor AVPair-ip:inacl#<ACE 항목의 수> = ACE를 사용하여 RADIUS 액세스 승인을 보냅니다.
다운로드 가능한 ACL 이름
스위치의 DACL에 다운로드 되고 할당 된 이름 이 ISE에서 생성 된 DACL와 동일 하지 않습니다.
예를 들어 ISE에서 Marketing_ACL이라는 DACL이 생성된 경우 다운로드할 때 DACL이 ISE로 표시될 수 #ACSACL#-IP-Marketing_ACL-57f6b0d4.
- ISE 서버의 형식: <이름> - 예: 마케팅_ACL
- C1300 스위치에 다운로드한 형식
- #ACSACL#-IP-<name>-<number>
- 예: #ACSACL#-IP-Marketing_ACL-57f6b0d4
- 이름 세그먼트
- #ACSACL# - ISE에서 추가된 접두사
- IP - ACL(IP ACL)의 유형을 나타냅니다.
- <name> - ISE에서 생성된 ACL의 이름입니다.
- <number> - 버전 번호(ASCII 16진수)
- 이름 길이는 64자 이하여야 합니다.
- Cisco-AVPair에서 캡슐화됨: ACS: CiscoSecure-Defined-ACL= <Downloaded Name>
결론
이제 Catalyst 1300 스위치의 다운로드 가능한 ACL에 대해 모두 알고 있으므로 이를 구성하는 단계는 Catalyst 1300 스위치의 다운로드 가능한 ACL 문서를 참조하십시오.
자세한 내용은 Catalyst 1300 관리 가이드 및 Cisco Catalyst 1300 Series 지원 페이지를 참조하십시오.