Catalyst 1300 스위치에서 다운로드 가능한 ACL 개요

다운로드 옵션

PDF (426.7 KB)
다양한 디바이스에서 Adobe Reader로 보기
ePub (227.1 KB)
iPhone, iPad, Android, Sony Reader 또는 Windows Phone의 다양한 앱에서 보기
Mobi (Kindle) (125.0 KB)
Kindle 디바이스에서 보기 또는 다양한 디바이스의 Kindle 앱에서 보기

업데이트:2025년 6월 24일

문서 ID:1750806081046281

편견 없는 언어

본 제품에 대한 문서 세트는 편견 없는 언어를 사용하기 위해 노력합니다. 본 설명서 세트의 목적상, 편견 없는 언어는 나이, 장애, 성별, 인종 정체성, 민족 정체성, 성적 지향성, 사회 경제적 지위 및 교차성에 기초한 차별을 의미하지 않는 언어로 정의됩니다. 제품 소프트웨어의 사용자 인터페이스에서 하드코딩된 언어, RFP 설명서에 기초한 언어 또는 참조된 서드파티 제품에서 사용하는 언어로 인해 설명서에 예외가 있을 수 있습니다. 시스코에서 어떤 방식으로 포용적인 언어를 사용하고 있는지 자세히 알아보세요.

이 번역에 관하여

Cisco는 전 세계 사용자에게 다양한 언어로 지원 콘텐츠를 제공하기 위해 기계 번역 기술과 수작업 번역을 병행하여 이 문서를 번역했습니다. 아무리 품질이 높은 기계 번역이라도 전문 번역가의 번역 결과물만큼 정확하지는 않습니다. Cisco Systems, Inc.는 이 같은 번역에 대해 어떠한 책임도 지지 않으며 항상 원본 영문 문서(링크 제공됨)를 참조할 것을 권장합니다.

kmgmt3829-overview-of-downloadable-acl-in-catalyst-1300-switch

목표

이 문서의 목적은 Catalyst 1300 스위치의 DACL(downloadable ACL) 기능에 대한 개요를 제공하는 것입니다.

적용 가능한 디바이스 | 소프트웨어 버전

Catalyst 1300 시리즈 | 4.1.6.54

소개

동적 ACL은 사용자 계정 그룹 구성원 자격, 시간 등과 같은 정책 또는 기준을 기반으로 스위치 포트에 할당되는 ACL입니다. 필터 ID 또는 다운로드 가능한 ACL(DACL)에 의해 지정된 로컬 ACL일 수 있습니다.

다운로드 가능한 ACL은 Cisco ISE 서버에서 생성 및 다운로드 되는 동적 ACL입니다. 사용자 ID 및 디바이스 유형에 따라 액세스 제어 규칙을 동적으로 적용합니다. DACL은 ACL을 위한 하나의 중앙 리포지토리를 가질 수 있으므로 각 스위치에서 수동으로 생성할 필요가 없다는 장점이 있습니다. 사용자가 스위치에 연결할 때 인증만 하면 되고 스위치는 Cisco ISE 서버에서 해당 ACL을 다운로드합니다.

DACL 고려 사항

Catalyst 1300 스위치에서 DACL을 사용할 때 몇 가지 고려해야 할 사항이 있습니다.

이 기능은 Catalyst 1300 스위치에서만 제공됩니다. Catalyst 1200 스위치에서는 지원되지 않습니다.
정책 맵이 적용된 인터페이스에서는 동적 ACL이 지원되지 않습니다.

스위치에서 ACL 규칙에 대한 액세스 요청을 보내지 않습니다.
신청자가 Authenticated(인증됨)이지만 Authorized(인증되지 않음) 상태로 설정됩니다.

동적 ACL은 IP Source Guard 및 (인터페이스 레벨) 보안 제품군 관련 구성과 함께 사용할 수 없습니다.
스태킹된 스위치에서 동적 ACL을 사용할 경우 몇 가지 사항을 고려해야 합니다.

액티브 유닛이 장애 조치되면 새 액티브 스위치에는 로컬 메모리에 저장된 DACL이 없으며 모든 DACL을 다시 다운로드해야 합니다.
클라이언트 시스템 인증의 일부로 할당된 인터페이스에 적용된 모든 규칙이 제거됩니다.

MAB(MAC 인증 우회)를 사용 중인 경우 MAC 인증 유형을 기본 EAP 방법이 아닌 RADIUS로 설정해야 합니다.
ACL 이름 길이

DACL: 64자
정적: 32자

동적 ACL은 모두 확장 ACL입니다.
DACL은 예상한 것보다 많은 TCAM 리소스를 사용합니다.
다운로드 가능한 ACL은 해당 ACL을 사용하는 포트가 없을 때 자동으로 삭제됩니다.
동적 ACL에 대해 생성된 기본 ACL은 동적 또는 다운로드 가능한 ACL을 사용하는 포트가 없을 때 자동으로 삭제됩니다.

DACL 다운로드 프로세스

표준 802.1x 인증으로 시작합니다.
클라이언트가 인증된 후

ISE 서버는 Cisco Vendor AVPair - ACS를 사용하여 RADIUS Access-Accept를 전송합니다. CiscoSecure-Defined-ACL = <ACL 이름>
스위치가 Cisco Vendor AVPair와 함께 RADIUS 액세스 요청을 보냅니다. aaa:event=acl-download
ISE 서버가 Cisco Vendor AVPair-ip:inacl#<ACE 항목의 수> = ACE를 사용하여 RADIUS 액세스 승인을 보냅니다.

A diagram of a computer system

AI-generated content may be incorrect.

다운로드 가능한 ACL 이름

스위치의 DACL에 다운로드 되고 할당 된 이름 이 ISE에서 생성 된 DACL와 동일 하지 않습니다.

예를 들어 ISE에서 Marketing_ACL이라는 DACL이 생성된 경우 다운로드할 때 DACL이 ISE로 표시될 수 #ACSACL#-IP-Marketing_ACL-57f6b0d4.

ISE 서버의 형식: <이름> - 예: 마케팅_ACL
C1300 스위치에 다운로드한 형식

#ACSACL#-IP-<name>-<number>
예: #ACSACL#-IP-Marketing_ACL-57f6b0d4

이름 세그먼트

#ACSACL# - ISE에서 추가된 접두사
IP - ACL(IP ACL)의 유형을 나타냅니다.
<name> - ISE에서 생성된 ACL의 이름입니다.
<number> - 버전 번호(ASCII 16진수)

이름 길이는 64자 이하여야 합니다.
Cisco-AVPair에서 캡슐화됨: ACS: CiscoSecure-Defined-ACL= <Downloaded Name>

결론

이제 Catalyst 1300 스위치의 다운로드 가능한 ACL에 대해 모두 알고 있으므로 이를 구성하는 단계는 Catalyst 1300 스위치의 다운로드 가능한 ACL 문서를 참조하십시오.

자세한 내용은 Catalyst 1300 관리 가이드 및 Cisco Catalyst 1300 Series 지원 페이지를 참조하십시오.

개정 이력

개정	게시 날짜	의견
1.0	24-Jun-2025	최초 릴리스