Identity Services Engine을 사용한 무선 BYOD

소개

Cisco ISE(Identity Services Engine)는 Cisco TrustSec 솔루션에 인증 및 권한 부여 인프라를 제공하는 Cisco의 차세대 정책 서버입니다.또한 두 가지 중요한 서비스를 제공합니다.

• 첫 번째 서비스는 Cisco ISE가 다양한 정보 소스에서 수신하는 특성에 따라 엔드포인트 디바이스 유형을 자동으로 프로파일링하는 방법을 제공하는 것입니다.이 서비스(프로파일러라고 함)는 Cisco가 이전에 Cisco NAC 프로파일러 어플라이언스에 제공했던 것과 동등한 기능을 제공합니다.

• Cisco ISE가 제공하는 또 다른 중요한 서비스는 엔드포인트 규정 준수를 스캔하는 것입니다.예를 들어, AV/AS 소프트웨어 설치 및 정의 파일 유효성(Posture라고 함). Cisco는 이전에 Cisco NAC Appliance에서만 이 정확한 포스처 기능을 제공했습니다.

Cisco ISE는 동등한 수준의 기능을 제공하며 802.1X 인증 메커니즘과 통합됩니다.

WLC(무선 LAN 컨트롤러)와 통합된 Cisco ISE는 Apple iDevices(iPhone, iPad 및 iPod), Android 기반 스마트폰 및 기타 모바일 장치의 프로파일링 메커니즘을 제공할 수 있습니다.802.1X 사용자의 경우 Cisco ISE는 프로파일링 및 포스처 스캐닝과 같은 동일한 수준의 서비스를 제공할 수 있습니다.Cisco ISE의 게스트 서비스는 인증을 위해 웹 인증 요청을 Cisco ISE로 리디렉션하여 Cisco WLC와 통합할 수도 있습니다.

이 문서에서는 알려진 엔드포인트 및 사용자 정책에 따라 차별화된 액세스를 제공하는 등 BYOD(Bring Your Own Device)를 위한 무선 솔루션을 소개합니다.이 문서는 BYOD의 완전한 솔루션을 제공하지 않지만, 동적 액세스의 간단한 활용 사례를 보여 줍니다.다른 컨피그레이션 예로는 ISE 스폰서 포털을 사용하는 것이 있습니다. 권한 있는 사용자는 무선 게스트 액세스를 프로비저닝하기 위해 게스트를 후원할 수 있습니다.

사전 요구 사항

요구 사항

이 문서에 대한 특정 요건이 없습니다.

사용되는 구성 요소

이 문서의 정보는 다음 소프트웨어 및 하드웨어 버전을 기반으로 합니다.

• Cisco Wireless LAN Controller 2504 또는 2106(소프트웨어 버전 7.2.103)

• Catalyst 3560 - 포트 8개

• WLC 2504

• Identity Services Engine 1.0MR(VMware 서버 이미지 버전)

• Windows 2008 Server(VMware 이미지) — 512M, 20GB 디스크

  • Active Directory

  • DNS

  • DHCP

  • 인증서 서비스

토폴로지

표기 규칙

문서 규칙에 대한 자세한 내용은 Cisco 기술 팁 표기 규칙을 참고하십시오.

무선 LAN 컨트롤러 RADIUS NAC 및 CoA 개요

이 설정을 통해 WLC는 ISE RADIUS 서버에서 오는 URL 리디렉션 AV 쌍을 찾을 수 있습니다.이는 RADIUS NAC 설정이 활성화된 인터페이스에 연결된 WLAN에서만 가능합니다.URL 리디렉션을 위한 Cisco AV-Pair가 수신되면 클라이언트는 POSTURE_REQD 상태가 됩니다.이는 기본적으로 컨트롤러 내부에서 WEBAUTH_REQD 상태와 동일합니다.

ISE RADIUS 서버가 클라이언트가 Posture_Compliant라고 판단하면 CoA ReAuth를 실행합니다.Session_ID는 이를 결합하는 데 사용됩니다.이 새 AuthC(재인증)를 사용하면 URL-Redirect AV-Pairs를 보내지 않습니다.URL Redirect AV-Pairs가 없으므로 WLC는 클라이언트가 더 이상 Posture를 필요로 하지 않음을 알고 있습니다.

RADIUS NAC 설정이 활성화되지 않은 경우 WLC는 URL 리디렉션 VSA를 무시합니다.

CoA-ReAuth:RFC 3576 설정으로 활성화됩니다.이전에 지원되었던 기존 CoA 명령에 ReAuth 기능이 추가되었습니다.

RADIUS NAC 설정은 CoA가 작동하려면 필요하지만 이 기능과 함께 사용할 수 없습니다.

사전 상태 ACL:클라이언트가 POSTURE_REQ 상태이면 WLC의 기본 동작은 DHCP/DNS를 제외한 모든 트래픽을 차단하는 것입니다.사전 상태 ACL(url-redirect-acl AV-Pair에서 호출됨)이 클라이언트에 적용되며, 이 ACL에서 허용되는 것은 클라이언트가 연결할 수 있는 것입니다.

사전 인증 ACL과 VLAN 재정의:Access-VLAN과 다른 쿼런틴 또는 AuthC VLAN은 7.0MR1에서 지원되지 않습니다. 정책 서버에서 VLAN을 설정하면 전체 세션의 VLAN이 됩니다.첫 번째 AuthZ 이후에는 VLAN 변경이 필요하지 않습니다.

무선 LAN 컨트롤러 RADIUS NAC 및 CoA 기능 흐름

아래 그림은 클라이언트가 백엔드 서버에 인증되고 NAC 상태 검증에 대한 메시지 교환 세부 정보를 제공합니다.

1. 클라이언트는 dot1x 인증을 사용하여 인증합니다.

2. RADIUS Access Accept(RADIUS 액세스 수락)는 IP 주소 및 포트 허용 또는 격리 VLAN을 포함하는 포트 80 및 사전 인증 ACL에 대해 리디렉션된 URL을 전달합니다.

3. 클라이언트는 액세스 수락에 제공된 URL로 리디렉션되고 상태 검증이 완료될 때까지 새 상태가 됩니다.이 상태의 클라이언트는 ISE 서버에 접속하고 ISE NAC 서버에 구성된 정책에 대해 자신을 검증합니다.

4. 클라이언트의 NAC 에이전트가 상태 검증(포트 80으로의 트래픽)을 시작합니다.에이전트는 액세스 수락에 제공된 URL로 컨트롤러가 리디렉션되는 포트 80에 HTTP 검색 요청을 보냅니다.ISE는 클라이언트가 클라이언트에 직접 연결하고 응답하려는 것을 알고 있습니다.이렇게 하면 클라이언트가 ISE 서버 IP에 대해 알게 되고 지금부터 클라이언트는 ISE 서버와 직접 대화를 합니다.

5. ACL이 이 트래픽을 허용하도록 구성되어 있으므로 WLC는 이 트래픽을 허용합니다.VLAN 재정의의 경우 트래픽이 ISE 서버에 도달하도록 브리지됩니다.

6. ISE-client가 평가를 완료하면 재인증 서비스가 포함된 RADIUS CoA-Req가 WLC로 전송됩니다.이렇게 하면 (EAP-START를 전송하여) 클라이언트의 재인증이 시작됩니다. 재인증이 성공하면 ISE는 새 ACL(있는 경우)과 URL 리디렉션 없음 또는 액세스 VLAN으로 액세스 수락을 보냅니다.

7. WLC는 RFC 3576에 따라 CoA-Req 및 Disconnect-Req를 지원합니다.WLC는 RFC 5176에 따라 재인증 서비스를 위해 CoA-Req를 지원해야 합니다.

8. 다운로드 가능한 ACL 대신 WLC에서 사전 구성된 ACL이 사용됩니다.ISE 서버는 컨트롤러에 이미 구성된 ACL 이름을 전송합니다.

9. 이 설계는 VLAN 및 ACL 케이스 모두에 대해 작동해야 합니다.VLAN 재정의 시 포트 80이 리디렉션되고 격리 VLAN에서 나머지 트래픽을 허용(브리지)합니다.ACL의 경우 액세스 수락에서 받은 사전 인증 ACL이 적용됩니다.

이 그림은 이 기능 흐름을 시각적으로 보여줍니다.

ISE 프로파일링 개요

Cisco ISE 프로파일러 서비스는 엔터프라이즈 네트워크에 대한 적절한 액세스를 확인 및 유지 관리하기 위해 장치 유형에 관계없이 네트워크에 연결된 모든 엔드포인트의 기능을 검색, 검색 및 확인하는 기능을 제공합니다.기본적으로 네트워크에 있는 모든 엔드포인트의 특성 또는 특성 집합을 수집하고 프로필에 따라 분류합니다.

프로파일러는 다음 구성 요소로 구성됩니다.

• 센서에는 여러 프로브가 포함되어 있습니다.프로브는 네트워크 액세스 디바이스를 쿼리하여 네트워크 패킷을 캡처하고 엔드포인트에서 수집된 속성 및 해당 특성 값을 분석기로 전달합니다.

• 분석기는 구성된 정책 및 ID 그룹을 사용하여 엔드 포인트를 평가 하여 수집 된 특성 및 특성 값과 일치 하는 엔드 포인트를 평가 하고, 엔드 포인트를 지정 된 그룹에 분류 하고 Cisco ISE 데이터베이스에 일치 하는 프로필을 포함 하는 엔드 포인트를 저장 합니다.

모바일 디바이스 탐지의 경우 적절한 디바이스 식별을 위해 다음 프로브의 조합을 사용하는 것이 좋습니다.

• RADIUS(Calling-Station-ID):OUI(MAC 주소)를 제공합니다.

• DHCP(호스트 이름):호스트 이름 - 기본 호스트 이름에 디바이스 유형이 포함될 수 있습니다.예를 들면 다음과 같습니다.지스미스 이파드

• DNS(역방향 IP 조회):FQDN - 기본 호스트 이름에 디바이스 유형이 포함될 수 있습니다.

• HTTP(사용자 에이전트):특정 모바일 장치 유형에 대한 세부 정보

iPad의 이 예에서 프로파일러는 User-Agent 특성에서 웹 브라우저 정보 및 요청 메시지의 다른 HTTP 특성을 캡처하여 엔드포인트 특성 목록에 추가합니다.

내부 ID 사용자 생성

MS AD(Active Directory)는 단순한 개념 증명에 필요하지 않습니다.ISE는 액세스 및 세분화된 정책 제어를 위해 사용자 액세스를 차별화하는 기능을 포함하는 유일한 ID 저장소로 사용할 수 있습니다.

ISE 1.0 릴리스에서 AD 통합을 사용하여 ISE는 권한 부여 정책에서 AD 그룹을 사용할 수 있습니다.ISE 내부 사용자 저장소를 사용하는 경우(AD 통합 없음), 디바이스 ID 그룹과 함께 그룹을 정책에서 사용할 수 없습니다(ISE 1.1에서 해결할 것으로 확인된 버그). 따라서 장치 ID 그룹 외에 직원 또는 계약업체 등 개별 사용자만 차별화할 수 있습니다.

다음 단계를 완료하십시오.

1. https://ISEip 주소에 대한 브라우저 창을 엽니다.

2. Administration(관리) > Identity Management(ID 관리) > Identities(ID)로 이동합니다.

   

3. Users(사용자)를 선택한 다음 Add(Network Access User)를 클릭합니다. 다음 사용자 값을 입력하고 직원 그룹에 지정합니다.

   • 이름:직원

   • 암호:XXXX

   

   

4. Submit(제출)을 클릭합니다.

   • 이름:계약자

   • 암호:XXXX

5. 두 계정이 모두 생성되었는지 확인합니다.

   

ISE에 무선 LAN 컨트롤러 추가

ISE에 대한 RADIUS 요청을 시작하는 모든 디바이스는 ISE에서 정의를 가져야 합니다.이러한 네트워크 디바이스는 IP 주소를 기반으로 정의됩니다.ISE 네트워크 디바이스 정의는 IP 주소 범위를 지정할 수 있으므로 정의가 여러 실제 디바이스를 나타낼 수 있습니다.

RADIUS 통신에 필요한 것 이상의 ISE 네트워크 장치 정의는 SNMP 및 SSH와 같은 다른 ISE/장치 통신에 대한 설정을 포함합니다.

네트워크 디바이스 정의의 또 다른 중요한 측면은 네트워크 액세스 정책에서 이 그룹화를 활용할 수 있도록 디바이스를 적절히 그룹화하는 것입니다.

이 연습에서는 실습에 필요한 디바이스 정의가 구성됩니다.

다음 단계를 완료하십시오.

1. ISE에서 Administration(관리) > Network Resources(네트워크 리소스) > Network Devices(네트워크 디바이스)로 이동합니다.

   

2. Network Devices(네트워크 디바이스)에서 Add(추가)를 클릭합니다.IP 주소를 입력하고 mask Authentication Setting(인증 설정)을 선택한 다음 공유 암호에 대해 'cisco'를 입력합니다.

3. WLC 항목을 저장하고 목록에서 컨트롤러를 확인합니다.

   

무선 인증을 위한 ISE 구성

802.1x 무선 클라이언트를 인증하고 Active Directory를 ID 저장소로 사용하도록 ISE를 구성해야 합니다.

다음 단계를 완료하십시오.

1. ISE에서 Policy(정책) > Authentication(인증)으로 이동합니다.

2. 를 클릭하여 Dot1x > Wired_802.1X(-)를 확장합니다.

3. 기어 아이콘을 클릭하여 라이브러리에서 조건 추가.

   

4. 조건 선택 드롭다운에서 Compound Condition > Wireless_802.1X를 선택합니다.

   

5. Express 조건을 OR로 설정합니다.

6. after allow protocols 옵션을 확장하고 기본 Internal Users(내부 사용자)(기본값)를 적용합니다.

   

   

7. 다른 모든 항목은 기본값으로 둡니다.Save(저장)를 클릭하여 단계를 완료합니다.

부트스트랩 무선 LAN 컨트롤러

네트워크에 WLC 연결

Cisco 2500 Wireless LAN Controller 구축 가이드는 Cisco 2500 Series Wireless Controller 구축 가이드에도 있습니다.

시작 마법사를 사용하여 컨트롤러 구성

(Cisco Controller) 
 Welcome to the Cisco Wizard Configuration Tool Use the '-' character to backup
 Would you like to terminate autoinstall? [yes]: yes AUTO-INSTALL: process terminated 
-- no configuration loaded System Name [Cisco_d9:24:44] (31 characters max): 
   ISE-Podx Enter Administrative User Name (24 characters max): admin 
   Enter Administrative Password 
   (3 to 24 characters): Cisco123 
   Re-enter Administrative Password: Cisco123 
Management Interface IP Address: 10.10.10.5 
Management Interface Netmask: 255.255.255.0
Management Interface Default Router: 10.10.10.1
Management Interface VLAN Identifier (0 = untagged): 0
Management Interface Port Num [1 to 4]: 1
Management Interface DHCP Server IP Address: 10.10.10.10
 Virtual Gateway IP Address: 1.1.1.1
Mobility/RF Group Name: ISE
 Network Name (SSID): PODx
Configure DHCP Bridging Mode [yes][NO]: no
Allow Static IP Addresses [YES][no]: no
 Configure a RADIUS Server now? [YES][no]: no
Warning! The default WLAN security policy requires a RADIUS server.
Please see documentation for more details.
 Enter Country Code list (enter 'help' for a list of countries) [US]: US

Enable 802.11b Network [YES][no]: yes
Enable 802.11a Network [YES][no]: yes
Enable 802.11g Network [YES][no]: yes
Enable Auto-RF [YES][no]: yes
 Configure a NTP server now? [YES][no]: no
Configure the ntp system time now? [YES][no]: yes
Enter the date in MM/DD/YY format: mm/dd/yy
Enter the time in HH:MM:SS format: hh:mm:ss
Configuration correct? If yes, system will save it and reset. [yes][NO]: yes
 Configuration saved!
 Resetting system with new configuration...
Restarting system.

네이버 스위치 컨피그레이션

컨트롤러가 인접 스위치의 이더넷 포트(고속 이더넷 1)에 연결됩니다. 네이버 스위치 포트는 802.1Q 트렁크로 구성되며 트렁크의 모든 VLAN을 허용합니다.네이티브 VLAN 10을 사용하면 WLC의 관리 인터페이스를 연결할 수 있습니다.

802.1Q 스위치 포트 구성은 다음과 같습니다.

switchport
switchport trunk encapsulation dot1q 
switchport trunk native VLAN 10
switchport mode trunk
end

WLC에 인증 서버(ISE) 추가

802.1X 및 무선 엔드포인트용 CoA 기능을 활성화하려면 ISE를 WLC에 추가해야 합니다.

다음 단계를 완료하십시오.

1. 브라우저를 열고 Pod WLC에 연결합니다(보안 HTTP 사용) > https://wlc.

2. Security(보안) > Authentication(인증) > New(새로 만들기)로 이동합니다.

   

3. 다음 값을 입력합니다.

   • 서버 IP 주소:10.10.10.70(할당 확인)

   • 공유 암호:cisco

   • RFC 3576(CoA) 지원:사용(기본값)

   • 그 밖의 모든 것:기본값

4. Apply(적용)를 클릭하여 계속합니다.

5. RADIUS Accounting > ADD NEW를 선택합니다.

   

6. 다음 값을 입력합니다.

   • 서버 IP 주소:10.10.10.70

   • 공유 암호:cisco

   • 그 밖의 모든 것:기본값

7. Apply(적용)를 클릭한 다음 WLC에 대한 Configuration(컨피그레이션)을 저장합니다.

WLC 직원 동적 인터페이스 생성

WLC에 대한 새 동적 인터페이스를 추가하고 직원 VLAN에 매핑하려면 다음 단계를 완료합니다.

1. WLC에서 Controller(컨트롤러) > Interfaces(인터페이스)로 이동합니다.그런 다음 새로 만들기를 클릭합니다.

   

2. WLC에서 Controller(컨트롤러) > Interfaces(인터페이스)로 이동합니다.다음을 입력합니다.

   • 인터페이스 이름:직원

   • VLAN ID:11

   

3. 직원 인터페이스에 다음을 입력합니다.

   • 포트 번호:1

   • VLAN 식별자:11

   • IP 주소:10.10.11.5

   • 넷마스크:255.255.255.0

   • 게이트웨이:10.10.11.1

   • DHCP:10.10.10.10

   

4. 새 직원 동적 인터페이스가 생성되었는지 확인합니다.

   

WLC 게스트 동적 인터페이스 생성

WLC에 대한 새 동적 인터페이스를 추가하고 게스트 VLAN에 매핑하려면 다음 단계를 완료합니다.

1. WLC에서 Controller(컨트롤러) > Interfaces(인터페이스)로 이동합니다.그런 다음 새로 만들기를 클릭합니다.

2. WLC에서 Controller(컨트롤러) > Interfaces(인터페이스)로 이동합니다.다음을 입력합니다.

   • 인터페이스 이름:게스트

   • VLAN ID:12

   

3. 게스트 인터페이스에 대해 다음을 입력합니다.

   • 포트 번호:1

   • VLAN 식별자:12

   • IP 주소:10.10.12.5

   • 넷마스크:255.255.255.0

   • 게이트웨이:10.10.12.1

   • DHCP:10.10.10.10

   

4. 게스트 인터페이스가 추가되었는지 확인합니다.

   

802.1x WLAN 추가

WLC의 초기 부트스트랩에서 기본 WLAN이 생성되었을 수 있습니다.이 경우 설명서의 지침에 따라 무선 802.1X 인증을 지원하도록 수정하거나 새 WLAN을 만듭니다.

다음 단계를 완료하십시오.

1. WLC에서 WLAN > Create New로 이동합니다.

   

2. WLAN에 다음을 입력합니다.

   • 프로필 이름:포드1x

   • SSID:동일

   

3. WLAN 설정 > 일반 탭에서 다음을 사용합니다.

   • 무선 정책:모두

   • 인터페이스/그룹:관리

   • 그 밖의 모든 것:기본값

   

4. WLAN > 보안 탭 > 레이어 2에서 다음을 설정합니다.

   • 레이어 2 보안:WPA+WPA2

   • WPA2 정책/암호화:사용/AES

   • 인증 키 관리:802.1X

   

5. WLAN > Security(보안) 탭 > AAA Servers(AAA 서버)에서 다음을 설정합니다.

   • 라디오 서버 덮어쓰기 인터페이스:비활성화됨

   • 인증/계정 관리 서버:사용

   • 서버 1:10.10.10.70

   

6. WLAN > Advanced(고급) 탭에서 다음을 설정합니다.

   • AAA 재정의 허용:사용

   • NAC 상태:Radius NAC(선택)

   

7. WLAN > General(일반) 탭 > Enable WLAN(WLAN 활성화)(확인란)으로 돌아갑니다.

   

WLC 동적 인터페이스 테스트

유효한 직원 및 게스트 인터페이스를 빠르게 확인해야 합니다.임의의 디바이스를 사용하여 WLAN에 연결한 다음 WLAN 인터페이스 할당을 변경합니다.

1. WLC에서 WLAN > WLANs로 이동합니다.이전 연습에서 생성한 보안 SSID를 수정하려면 클릭합니다.

2. Interface/Interface Group을 Employee로 변경하고 Apply를 클릭합니다.

   

3. 올바르게 구성된 경우 디바이스는 직원 VLAN(10.10.11.0/24)에서 IP 주소를 수신합니다. 이 예에서는 새 IP 주소를 가져오는 iOS 디바이스를 보여줍니다.

   

4. 이전 인터페이스가 확인되면 WLAN 인터페이스 할당을 Guest로 변경한 다음 Apply(적용)를 클릭합니다.

   

5. 올바르게 구성된 경우 디바이스는 게스트 VLAN(10.10.12.0/24)에서 IP 주소를 수신합니다. 이 예에서는 새 IP 주소를 가져오는 iOS 디바이스를 보여줍니다.

   

6. 중요:인터페이스 할당을 원래 관리로 다시 변경합니다.

7. Apply(적용)를 클릭하고 WLC에 대한 Configuration(컨피그레이션)을 저장합니다.

iOS용 무선 인증(iPhone/iPad)

iPhone, iPad 또는 iPod와 같은 iOS 디바이스를 사용하여 인증된 SSID를 통해 내부 사용자(또는 통합 AD 사용자)를 WLC에 연결합니다.해당되지 않는 경우 이 단계를 건너뜁니다.

1. iOS 디바이스에서 WLAN 설정으로 이동합니다.WIFI를 활성화한 다음 이전 섹션에서 생성된 802.1X 활성 SSID를 선택합니다.

2. 연결하려면 다음 정보를 제공하십시오.

   • 사용자 이름:사원(내부 - 사원) 또는 계약자(내부 - 계약자)

   • 암호:XXXX

   

3. ISE 인증서를 수락하려면 클릭합니다.

   

4. iOS 디바이스가 관리(VLAN10) 인터페이스에서 IP 주소를 얻고 있는지 확인합니다.

   

5. WLC > 모니터 > 클라이언트에서 사용, 상태 및 EAP 유형을 포함한 엔드포인트 정보를 확인합니다.

   

6. 마찬가지로 클라이언트 정보는 ISE > 모니터 > 인증 페이지에서 제공할 수 있습니다.

   

7. 세션의 심층 정보를 보려면 세션으로 드릴다운하려면 Details 아이콘을 클릭합니다.

   

WLC에 상태 리디렉션 ACL 추가

포스처 리디렉션 ACL은 WLC에서 구성되며, 여기서 ISE는 포스처 클라이언트를 제한하는 데 사용됩니다.ACL은 ISE 간 트래픽을 효과적이고 적어도 허용합니다.필요한 경우 이 ACL에 선택적 규칙을 추가할 수 있습니다.

1. WLC > Security > Access Control Lists > Access Control Lists로 이동합니다.New(새로 만들기)를 클릭합니다.

   

2. ACL의 이름(ACL-POSTURE-REDIRECT)을 제공합니다.

   

3. 새 ACL에 대해 Add New Rule을 클릭합니다.다음 값을 ACL 시퀀스 #1로 설정합니다. 완료되면 적용을 누릅니다.

   • 출처:모두

   • 대상:IP 주소 10.10.10.70, 255.255.255.255

   • 프로토콜:모두

   • 작업:허용

   

4. 시퀀스가 추가되었는지 확인합니다.

   

5. Add New Rule을 클릭합니다.다음 값을 ACL 시퀀스 #2로 설정합니다. 완료되면 적용을 누릅니다.

   • 출처:IP 주소 10.10.10.70, 255.255.255.255

   • 대상:모두

   • 프로토콜:모두

   • 작업:허용

   

6. 시퀀스가 추가되었는지 확인합니다.

   

7. 다음 값을 ACL 시퀀스 #3로 설정합니다. 완료되면 적용을 누릅니다.

   • 출처:모두

   • 대상:모두

   • 프로토콜:UDP

   • 소스 포트:DNS

   • 대상 포트:모두

   • 작업:허용

   

8. 시퀀스가 추가되었는지 확인합니다.

   

9. Add New Rule을 클릭합니다.다음 값을 ACL 시퀀스 #4로 설정합니다. 완료되면 적용을 누릅니다.

   • 출처:모두

   • 대상:모두

   • 프로토콜:UDP

   • 소스 포트:모두

   • 대상 포트:DNS

   • 작업:허용

   

10. 시퀀스가 추가되었는지 확인합니다.

    

11. 현재 WLC 컨피그레이션을 저장합니다.

ISE에서 프로파일링 프로브 활성화

엔드포인트를 효과적으로 프로파일링하려면 ISE를 프로브로 구성해야 합니다.기본적으로 이러한 옵션은 비활성화되어 있습니다.이 섹션에서는 ISE를 프로브로 구성하는 방법을 보여줍니다.

1. ISE 관리에서 Administration(관리) > System(시스템) > Deployment(구축)로 이동합니다.

   

2. ISE를 선택합니다.Edit ISE host를 클릭합니다.

   

3. Edit Node(노드 편집) 페이지에서 Profiling Configuration(프로파일링 컨피그레이션)을 선택하고 다음을 구성합니다.

   • DHCP:Enabled(활성화됨), All(모두)(또는 기본값)

   • DHCPSPAN:Enabled(활성화됨), All(모두)(또는 기본값)

   • HTTP:Enabled(활성화됨), All(모두)(또는 기본값)

   • RADIUS:사용, 해당 없음

   • DNS:사용, 해당 없음

   

4. 장치(iPhone/iPad/Droids/Mac 등)를 다시 연결합니다.

5. ISE 엔드포인트 ID를 확인합니다.Administration(관리) > Identity Management(ID 관리) > Identities(ID)로 이동합니다.Endpoints(엔드포인트)를 클릭하여 프로파일링된 항목을 나열합니다.

   참고: 초기 프로파일링은 RADIUS 프로브에서 가져옵니다.

   

디바이스에 대한 ISE 프로파일 정책 활성화

기본적으로 ISE는 다양한 엔드포인트 프로필 라이브러리를 제공합니다.디바이스에 대한 프로파일을 활성화하려면 다음 단계를 완료합니다.

1. ISE에서 Policy(정책) > Profiling(프로파일링)으로 이동합니다.

   

2. 왼쪽 창에서 Profiling Policies(프로파일링 정책)를 확장합니다.

3. Apple Device > Apple iPad를 클릭하고 다음을 설정합니다.

   • 정책 사용:사용

   • 일치하는 ID 그룹 생성:선택됨

   

4. Apple Device > Apple iPhone을 클릭하고 다음을 설정합니다.

   • 정책 사용:사용

   • 일치하는 ID 그룹 생성:선택됨

   

5. Android를 클릭하고 다음을 설정합니다.

   • 정책 사용:사용

   • 일치하는 ID 그룹 생성:선택됨

   

상태 검색 리디렉션을 위한 ISE 권한 부여 프로파일

권한 부여 정책 상태 리디렉션을 구성하려면 다음 단계를 완료하여 적절한 검색 및 프로파일링을 위해 새 디바이스를 ISE로 리디렉션할 수 있습니다.

1. ISE에서 Policy(정책) > Policy Elements(정책 요소) > Results(결과)로 이동합니다.

   

2. Authorization을 확장합니다.Authorization Profiles(왼쪽 창)를 클릭하고 Add(추가)를 클릭합니다.

   

3. 다음을 사용하여 권한 부여 프로파일을 생성합니다.

   • 이름:상태_개선

   • 액세스 유형:액세스_수락

   • 공통 툴:

     • 상태 검색, 활성화됨

     • 상태 검색, ACL ACL-POSTURE-REDIRECT

   

4. Submit(제출)을 클릭하여 이 작업을 완료합니다.

5. 새 권한 부여 프로파일이 추가되었는지 확인합니다.

   

직원에 대한 ISE 권한 부여 프로파일 생성

직원에 대한 권한 부여 프로파일을 추가하면 ISE가 할당된 특성을 사용하여 액세스 권한을 부여하고 허용할 수 있습니다.이 경우 직원 VLAN 11이 할당됩니다.

다음 단계를 완료하십시오.

1. ISE에서 Policy(정책) > Results(결과)로 이동합니다.Authorization(권한 부여)을 확장한 다음 Authorization Profiles(권한 부여 프로파일)를 클릭하고 Add(추가)를 클릭합니다.

   

2. 직원 권한 부여 프로파일에 대해 다음을 입력합니다.

   • 이름:직원_무선

   • 일반 작업:

     • VLAN, 활성화됨

     • VLAN, 하위 값 11

3. Submit(제출)을 클릭하여 이 작업을 완료합니다.

   

4. 새 직원 권한 부여 프로파일이 생성되었는지 확인합니다.

   

계약자에 대한 ISE 권한 부여 프로파일 생성

계약자에 대한 권한 부여 프로파일을 추가하면 ISE가 할당된 특성을 사용하여 액세스 권한을 부여하고 허용할 수 있습니다.이 경우 계약자 VLAN 12가 할당됩니다.

다음 단계를 완료하십시오.

1. ISE에서 Policy(정책) > Results(결과)로 이동합니다.Authorization(권한 부여)을 확장한 다음 Authorization Profiles(권한 부여 프로파일)를 클릭하고 Add(추가)를 클릭합니다.

2. 직원 권한 부여 프로파일에 대해 다음을 입력합니다.

   • 이름:직원_무선

   • 일반 작업:

     • VLAN, 활성화됨

     • VLAN, 하위 값 12

   

3. Submit(제출)을 클릭하여 이 작업을 완료합니다.

4. 계약자 권한 부여 프로파일이 생성되었는지 확인합니다.

   

장치 상태/프로파일링에 대한 권한 부여 정책

새 디바이스가 네트워크에 처음 연결되었을 때 새로운 디바이스에 대한 정보가 거의 알려지지 않은 경우 관리자는 액세스를 허용하기 전에 알 수 없는 엔드포인트를 식별할 수 있는 적절한 정책을 생성합니다.이 연습에서는 상태 평가를 위해 새 디바이스가 ISE로 리디렉션되도록 권한 부여 정책을 생성합니다(모바일 디바이스의 경우 에이전트 없이 프로파일링만 관련).엔드포인트는 ISE 종속 포털로 리디렉션되고 식별됩니다.

다음 단계를 완료하십시오.

1. ISE에서 Policy(정책) > Authorization(권한 부여)으로 이동합니다.

   

2. 프로파일링된 Cisco IP Phone에 대한 정책이 있습니다.이것은 완전히 틀렸습니다.포스처 정책으로 수정합니다.

3. 이 정책에 대해 다음 값을 입력합니다.

   • 규칙 이름:상태_개선

   • ID 그룹:모두

   • 기타 조건 > 새로 만들기:(고급) 세션 > 상태 상태

   • PostureStatus > Equals:알 수 없음

   

4. 사용 권한에 대해 다음을 설정합니다.

   • 사용 권한 > 표준:상태_개선

   

5. 저장을 클릭합니다.

   참고: 사용 편의성을 높이기 위해 사용자 지정 정책 요소를 생성할 수도 있습니다.

상태 개선 정책 테스트

ISE가 상태 정책을 기반으로 새 디바이스를 올바르게 프로파일링 중임을 나타내기 위해 간단한 데모를 수행할 수 있습니다.

1. ISE에서 Administration(관리) > Identity Management(ID 관리) > Identities(ID)로 이동합니다.

   

2. 엔드포인트를 클릭합니다.장치(이 예에서는 iPhone)를 연결하고 연결합니다.

   

3. 엔드포인트 목록을 새로 고칩니다.어떤 정보가 제공되는지 확인합니다.

4. 엔드포인트 디바이스에서 다음을 찾습니다.

   • URL:http://www(또는 10.10.10.10)

   디바이스가 리디렉션됩니다.인증서에 대한 프롬프트를 수락합니다.

5. 모바일 디바이스가 완전히 리디렉션되면 ISE에서 엔드포인트 목록을 다시 새로 고칩니다.변경된 사항을 확인합니다.이전 엔드포인트(예: Apple-Device)는 'Apple-iPhone'으로 변경되어야 합니다.이유는 HTTP 프로브가 종속 포털로 리디렉션되는 프로세스의 일부로서 사용자 에이전트 정보를 효과적으로 얻기 때문입니다.

   

차별화된 액세스를 위한 권한 부여 정책

포스처 권한 부여를 성공적으로 테스트한 후, 알려진 장치와 사용자 역할에 특정한 다른 VLAN 할당(이 시나리오에서 직원 및 계약자)을 사용하여 직원 및 계약자에게 차별화된 액세스를 지원하는 정책을 계속 작성합니다.

다음 단계를 완료하십시오.

1. ISE > Policy > Authorization으로 이동합니다.

2. Posture Remediation 정책/행 위에 새 규칙을 추가/삽입합니다.

   

3. 이 정책에 대해 다음 값을 입력합니다.

   • 규칙 이름:직원

   • ID 그룹(확장):엔드포인트 ID 그룹

   

   • 엔드포인트 ID 그룹:프로파일링됨

   • 프로파일링:Android, Apple-iPad 또는 Apple-iPhone

   

4. 추가 디바이스 유형을 지정하려면 +를 클릭하고 필요한 경우 디바이스를 추가합니다.

   • 엔드포인트 ID 그룹:프로파일링됨

   • 프로파일링:Android, Apple-iPad 또는 Apple-iPhone

   

5. 이 정책에 대해 다음 권한 값을 지정하십시오.

   • 기타 조건(확장):새 조건 생성(고급 옵션)

   

   • 조건 > 표현식(목록에서):InternalUser > Name(이름)

   

   • InternalUser > 이름:직원

   

6. Posture Session Compliant에 대한 조건을 추가합니다.

   • 권한 > 프로파일 > 표준:직원_무선

   

7. 저장을 클릭합니다.정책이 올바르게 추가되었는지 확인합니다.

   

8. 계약자 정책을 추가하여 계속합니다.이 문서에서 이전 정책은 프로세스를 신속하게 수행하기 위해 복제됩니다(또는 모범 사례를 위해 수동으로 구성할 수 있음).

   Employee policy(직원 정책) > Actions(작업)에서 Duplicate Below(아래 복제)를 클릭합니다.

   

9. 이 정책에 대해 다음 필드를 편집합니다(복제).

   • 규칙 이름:계약자

   • 기타 조건 > 내부 사용자 > 이름:계약자

   • 권한:계약자_무선

   

10. 저장을 클릭합니다.이전 복제 사본(또는 새 정책)이 올바르게 구성되었는지 확인합니다.

    

11. 정책을 미리 보려면 Policy-at-a-Glance를 클릭합니다.

    

    Policy at A Glance(정책 요약) 보기에서는 통합적으로 요약되고 쉽게 확인할 수 있는 정책을 제공합니다.

    

차별화된 액세스를 위한 CoA 테스트

액세스를 차별화할 수 있도록 준비된 권한 부여 프로필 및 정책을 통해 이제 테스트를 실시할 때입니다.단일 보안 WLAN을 보유한 직원은 직원 VLAN에 할당되고 계약자는 계약업체 VLAN에 할당됩니다.다음 예제에서는 Apple iPhone/iPad를 사용합니다.

다음 단계를 완료하십시오.

1. 모바일 디바이스로 보안 WLAN(POD1x)에 연결하고 다음 자격 증명을 사용합니다.

   • 사용자 이름:직원

   • 암호:XXXXX

   

2. Join을 클릭합니다.직원에게 VLAN 11(직원 VLAN)이 할당되었는지 확인합니다.

   

3. Forget this Network를 클릭합니다.Forget(삭제)을 클릭하여 확인합니다.

   

4. WLC로 이동하여 기존 클라이언트 연결을 제거합니다(이전 단계에서 사용한 경우). Monitor(모니터) > Clients(클라이언트) > MAC address(MAC 주소)로 이동한 다음 Remove(제거)를 클릭합니다.

   

   

5. 이전 클라이언트 세션을 지우는 또 다른 방법은 WLAN을 비활성화/활성화하는 것입니다.

   1. WLC > WLANs > WLAN으로 이동한 다음 수정할 WLAN을 클릭합니다.

   2. Uncheck Enabled > Apply(사용 안 함)를 선택합니다.

   3. Enabled(활성화됨) > Apply(적용)(다시 활성화하려면) 확인란을 선택합니다.

      

6. 모바일 디바이스로 돌아갑니다.다음 자격 증명을 사용하여 동일한 WLAN에 다시 연결합니다.

   • 사용자 이름:계약자

   • 암호:XXXX

   

7. Join을 클릭합니다.계약자 사용자에게 VLAN 12(계약자/게스트 VLAN)가 할당되었는지 확인합니다.

   

8. ISE > Monitor > Authorizations에서 ISE 실시간 로그 보기를 볼 수 있습니다.개별 사용자(직원, 계약자)가 서로 다른 VLAN에서 차별화된 권한 부여 프로파일(Employee_WirelessContractor_Wireless)을 얻는다는 것을 확인해야 합니다.

   

WLC 게스트 WLAN

게스트가 ISE 스폰서 게스트 포털에 액세스할 수 있도록 게스트 WLAN을 추가하려면 다음 단계를 완료합니다.

1. WLC에서 WLANs(WLAN) > WLANs(WLANs) > Add New(새로 추가)로 이동합니다.

2. 새 게스트 WLAN에 대해 다음을 입력합니다.

   • 프로필 이름:pod1게스트

   • SSID:pod1게스트

   

3. Apply를 클릭합니다.

4. 게스트 WLAN > General(일반) 탭 아래에 다음을 입력합니다.

   • 상태:비활성화됨

   • 인터페이스/인터페이스 그룹:게스트

   

5. 게스트 WLAN > Security > Layer2로 이동하고 다음을 입력합니다.

   • 레이어 2 보안:None

   

6. 게스트 WLAN > Security > Layer3 탭으로 이동하고 다음을 입력합니다.

   • 레이어 3 보안:None

   • 웹 정책:사용

   • 웹 정책 하위 값:인증

   • 사전 인증 ACL:ACL-POSTURE-리디렉션

   • 웹 인증 유형:외부(외부 서버에 다시 연결)

   • URL:https://10.10.10.70:8443/guestportal/Login.action

   

7. Apply를 클릭합니다.

8. WLC 컨피그레이션을 저장해야 합니다.

게스트 WLAN 및 게스트 포털 테스트

이제 게스트 WLAN의 컨피그레이션을 테스트할 수 있습니다.게스트를 ISE 게스트 포털로 리디렉션해야 합니다.

다음 단계를 완료하십시오.

1. iPhone과 같은 iOS 디바이스에서 Wi-Fi Networks > Enable로 이동합니다.그런 다음 POD 게스트 네트워크를 선택합니다.

   

2. iOS 디바이스는 게스트 VLAN(10.10.12.0/24)의 유효한 IP 주소를 표시해야 합니다.

   

3. Safari 브라우저를 열고 다음에 연결합니다.

   • URL:http://10.10.10.10

   웹 인증 리디렉션이 나타납니다.

4. ISE Guest Portal 페이지에 도달할 때까지 Continue(계속)를 클릭합니다.

   

   다음 샘플 스크린샷은 게스트 포털 로그인 시 iOS 디바이스를 보여줍니다.이렇게 하면 WLAN 및 ISE 게스트 포털에 대한 올바른 설정이 활성 상태인지 확인합니다.

   

ISE 무선 스폰서 게스트 액세스

게스트가 스폰서가 되도록 ISE를 구성할 수 있습니다.이 경우 ISE 게스트 정책을 구성하여 내부 또는 AD 도메인(통합된 경우) 사용자가 게스트 액세스를 후원하도록 허용합니다.또한 후원자가 게스트 비밀번호(선택 사항)를 볼 수 있도록 ISE를 구성하며, 이는 이 실습에 유용합니다.

다음 단계를 완료하십시오.

1. SponsorAllAccount 그룹에 직원 사용자를 추가합니다.다음과 같은 여러 가지 방법을 사용할 수 있습니다.그룹으로 직접 이동하거나 사용자를 편집하고 그룹을 할당합니다.이 예에서는 Administration(관리) > Identity Management(ID 관리) > Groups(그룹) > User Identity Groups(사용자 ID 그룹)로 이동합니다.그런 다음 SponsorAllAccount를 클릭하고 직원 사용자를 추가합니다.

   

2. Administration(관리) > Guest Management(게스트 관리) > Sponsor Groups(스폰서 그룹)로 이동합니다.

   

3. Edit(편집)를 클릭한 다음 SponsorAllAccounts를 선택합니다.

   

4. Authorization Levels(권한 부여 레벨)를 선택하고 다음을 설정합니다.

   • 게스트 비밀번호 보기:예

   

5. 이 작업을 완료하려면 Save를 클릭합니다.

스폰서 게스트

이전에는 AD 도메인 사용자가 임시 게스트를 후원하도록 적절한 게스트 정책 및 그룹을 구성했습니다.다음으로, 스폰서 포털에 액세스하고 임시 게스트 액세스를 생성합니다.

다음 단계를 완료하십시오.

1. 브라우저에서 다음 URL 중 하나로 이동합니다.http://<ise ip>:8080/sponsorportal/ 또는 https://<ise ip>:8443/sponsorportal/그런 다음 다음을 사용하여 로그인합니다.

   • 사용자 이름:aduser(Active Directory), employee(내부 사용자)

   • 암호:XXXX

   

2. Sponsor 페이지에서 Create Single Guest User Account를 클릭합니다.

   

3. 임시 게스트의 경우 다음을 추가합니다.

   • 이름:필수(예: Sam)

   • 성:필수(예: Jones)

   • 그룹 역할:게스트

   • 시간 프로필:기본 11시간

   • 표준 시간대:모두/기본값

   

4. Submit(제출)을 클릭합니다.

5. 게스트 계정은 이전 항목을 기반으로 생성됩니다.해시 ***와 달리 이전 연습에서는 비밀번호가 표시됩니다.

6. 게스트의 Username(사용자 이름) 및 Password(비밀번호)를 표시하는 이 창을 열어 둡니다.게스트 포털 로그인(다음)을 테스트하는 데 사용합니다.

   

게스트 포털 액세스 테스트

AD 사용자/스폰서가 생성한 새 게스트 계정을 사용하여 게스트 포털 및 액세스를 테스트할 때입니다.

다음 단계를 완료하십시오.

1. 기본 설정 디바이스(이 경우 Apple iOS/iPad)에서 Pod Guest SSID에 연결하고 IP 주소/연결을 확인합니다.

2. 브라우저를 사용하여 http://www으로 이동합니다.

   게스트 포털 로그인 페이지로 리디렉션됩니다.

   

3. 이전 연습에서 생성한 게스트 계정을 사용하여 로그인합니다.

   성공하면 Acceptable use policy 페이지가 나타납니다.

4. Accept terms and conditions(약관 동의)를 선택한 다음 Accept(동의)를 클릭합니다.

   

   원래 URL이 완료되고 엔드포인트는 게스트로 액세스가 허용됩니다.

인증서 컨피그레이션

ISE와의 통신을 보안하려면 통신이 인증 관련 인지 또는 ISE 관리를 위한 것인지 확인합니다.예를 들어 ISE 웹 UI를 사용하는 컨피그레이션의 경우 비대칭 암호화를 사용하도록 X.509 인증서 및 인증서 신뢰 체인을 구성해야 합니다.

다음 단계를 완료하십시오.

1. 유선 연결 PC에서 브라우저 창을 열고 https://AD/certsrv으로 이동합니다.

   참고: 보안 HTTP를 사용합니다.

   참고: ISE에 액세스하려면 Mozilla Firefox 또는 MS Internet Explorer를 사용합니다.

2. administrator/Cisco123으로 로그인합니다.

   

3. Download a CA certificate, certificate chain 또는 CRL을 클릭합니다.

   

4. Download CA certificate(CA 인증서 다운로드)를 클릭하고 저장합니다(저장 위치 참고).

   

5. https://<Pod-ISE>에 대한 브라우저 창을 엽니다.

6. 관리 > 시스템 > 인증서 > 인증 기관 인증서로 이동합니다.

   

7. Certificate Authority Certificates 작업을 선택하고 이전에 다운로드한 CA 인증서를 찾습니다.

8. EAP-TLS가 있는 클라이언트에 대해 신뢰를 선택한 다음 제출합니다.

   

9. CA가 루트 CA로 신뢰되었음을 확인합니다.

   

10. 브라우저에서 Administration(관리) > System(시스템) > Certificates(인증서) > Certificates Authority Certificates(인증서 인증 기관 인증서)로 이동합니다.

11. Add(추가), Generate Certificate Signing Request(인증서 서명 요청 생성)를 클릭합니다.

    

12. 다음 값을 제출합니다.

    • 인증서 주체:CN=ise.corp.rf-demo.com

    • 키 길이:2048

    

13. ISE는 CSR 페이지에서 CSR을 사용 할 수 있다는 메시지를 표시합니다.확인을 클릭합니다.

    

14. ISE CSR 페이지에서 CSR을 선택하고 Export(내보내기)를 클릭합니다.

15. 파일을 위치에 저장합니다(예: 다운로드 등).

16. 파일이 *.pem으로 저장됩니다.

    

17. CSR 파일을 찾아 Notepad/Wordpad/TextEdit로 편집합니다.

18. 내용을 복사합니다([모두 선택] > [복사]).

    

19. https://<Pod-AD>/certsrv에 대한 브라우저 창을 엽니다.

20. Request a certificate를 클릭합니다.

    

21. 고급 인증서 요청을 제출하려면 클릭합니다.

    

22. Saved Request(저장된 요청) 필드에 CSR 콘텐츠를 붙여넣습니다.

    

23. Certificate Template(인증서 템플릿)으로 Web Server(웹 서버)를 선택한 다음 Submit(제출)을 클릭합니다.

    

24. DER encoded를 선택한 다음 Download certificate(인증서 다운로드)를 클릭합니다.

    

25. 파일을 알려진 위치에 저장합니다(예: 다운로드).

26. 관리 > 시스템 > 인증서 > 인증 기관 인증서로 이동합니다.

    

27. Add(추가) > Bind CA Certificate(CA 인증서 바인딩)를 클릭합니다.

    

28. 이전에 다운로드한 CA 인증서를 찾습니다.

    

29. Protocol EAP 및 Management Interface를 모두 선택한 다음 Submit(제출)을 클릭합니다.

30. CA가 루트 CA로 신뢰되었음을 확인합니다.

    

Windows 2008 Active Directory 통합

ISE는 사용자/머신 인증을 위해 또는 권한 부여 정보 사용자 특성을 검색하기 위해 AD(Active Directory)와 직접 통신할 수 있습니다.AD와 통신하려면 ISE가 AD 도메인에 '조인'되어야 합니다.이 연습에서는 ISE를 AD 도메인에 가입시키고 AD 통신이 올바르게 작동하는지 확인합니다.

다음 단계를 완료하십시오.

1. ISE를 AD 도메인에 가입시키려면 ISE에서 Administration(관리) > Identity Management(ID 관리) > External Identity Sources(외부 ID 소스)로 이동합니다.

   

2. 왼쪽 창(외부 ID 소스)에서 Active Directory를 선택합니다.

3. 오른쪽에서 연결 탭을 선택하고 다음을 입력합니다.

   • 도메인 이름:corp.rf-demo.com

   • ID 저장소 이름:AD1

   

4. 연결 테스트를 클릭합니다.AD 사용자 이름(aduser/Cisco123)을 입력한 다음 OK를 클릭합니다.

   

5. Test Status(테스트 상태)에 Test Succeeded(테스트 성공)가 표시되는지 확인합니다.

6. Show Detailed Log(세부 로그 표시)를 선택하고 문제 해결에 유용한 세부 정보를 확인합니다.OK(확인)를 클릭하여 계속합니다.

   

7. Save Configuration을 클릭합니다.

   

8. Join을 클릭합니다.AD 사용자(administrator/Cisco123)를 입력한 다음 확인을 클릭합니다.

   

9. Join Operation Status(조인 작업 상태)에 Succeeded(성공)가 표시되는지 확인한 다음 OK(확인)를 클릭하여 계속합니다.

   Server Connection Status(서버 연결 상태)에 CONNECTED(연결됨)가 표시됩니다.이 상태가 언제든지 변경되면 테스트 연결을 통해 AD 작업 문제를 해결할 수 있습니다.

   

Active Directory 그룹 추가

AD 그룹이 추가되면 ISE 정책에 대해 더 세분화된 제어가 허용됩니다.예를 들어, 이전 ISE 1.0 연습에서 관련 버그가 발생하지 않은 경우, AD 그룹은 직원 또는 계약업체 그룹과 같은 기능 역할별로 차별화할 수 있습니다. 이 연습에서는 정책만 사용자에 한정되었습니다.

이 실습에서는 도메인 사용자 및/또는 직원 그룹만 사용됩니다.

다음 단계를 완료하십시오.

1. ISE에서 Administration(관리) > Identity Management(ID 관리) > External Identity Sources(외부 ID 소스)로 이동합니다.

2. Active Directory > Groups 탭을 선택합니다.

3. +Add를 클릭한 다음 디렉터리에서 그룹 선택을 클릭합니다.

   

4. Select Directory Groups(디렉토리 그룹 선택) 후속 창에서 도메인(corp-rf-demo.com) 및 Filter(*)의 기본값을 적용합니다. 그런 다음 Retrieve Groups를 클릭합니다.

   

5. 도메인 사용자 및 직원 그룹의 상자를 선택합니다.완료되면 OK(확인)를 클릭합니다.

   

6. 그룹이 목록에 추가되었는지 확인합니다.

   

ID 소스 시퀀스 추가

기본적으로 ISE는 인증 저장소에 내부 사용자를 사용하도록 설정되어 있습니다.AD가 추가된 경우 ISE가 인증을 확인하는 데 사용할 AD를 포함하도록 시퀀스의 우선 순위 순서를 생성할 수 있습니다.

다음 단계를 완료하십시오.

1. ISE에서 Administration(관리) > Identity Management(ID 관리) > Identity Source Sequences(ID 소스 시퀀스)로 이동합니다.

   

2. 새 시퀀스를 추가하려면 +Add를 클릭합니다.

   

3. 새 이름을 입력합니다.AD_Internal.사용 가능한 모든 소스를 Selected 필드에 추가합니다.그런 다음 AD1이 목록의 맨 위로 이동되도록 필요에 따라 순서를 다시 지정합니다.Submit(제출)을 클릭합니다.

   

4. 시퀀스가 목록에 추가되었는지 확인합니다.

   

통합 AD를 통한 ISE 무선 스폰서 게스트 액세스

AD 도메인 사용자가 게스트 액세스를 후원할 수 있도록 게스트가 정책을 통해 후원을 받을 수 있도록 ISE를 구성할 수 있습니다.

다음 단계를 완료하십시오.

1. ISE에서 Administration(관리) > Guest Management(게스트 관리) > Settings(설정)로 이동합니다.

   

2. Sponsor(스폰서)를 확장하고 Authentication Source(인증 소스)를 클릭합니다.그런 다음 ID 저장소 시퀀스로 AD_Internal을 선택합니다.

   

3. ID 저장소 시퀀스로 AD_Internal을 확인합니다.저장을 클릭합니다.

   

4. Administration(관리) > Guest Management(게스트 관리) > Sponsor Group Policy(스폰서 그룹 정책)로 이동합니다.

   

5. 첫 번째 규칙 위에 새 정책 삽입(오른쪽에서 Actions 아이콘 클릭).

   

6. 새 스폰서 그룹 정책에 대해 다음을 생성합니다.

   • 규칙 이름:도메인 사용자

   • ID 그룹:모두

   • 기타 조건:(Create New / Advanced) > AD1

   

   • AD1:외부 그룹

   

   • AD1 외부 그룹 > 같음 > corp.rf-demo.com/Users/Domain 사용자

   

7. 스폰서 그룹에서 다음을 설정합니다.

   • 스폰서 그룹:스폰서모든 계정

   

8. Administration(관리) > Guest Management(게스트 관리) > Sponsor Groups(스폰서 그룹)로 이동합니다.

   

9. Edit(편집) > SponsorAllAccounts를 선택합니다.

   

10. Authorization Levels(권한 부여 레벨)를 선택하고 다음을 설정합니다.

    • 게스트 비밀번호 보기:예

    

스위치에서 SPAN 구성

SPAN 구성 - ISE 관리/프로브 인터페이스는 WLC 관리 인터페이스 옆에 있는 L2입니다.SPAN 및 기타 인터페이스(예: 직원 및 게스트 인터페이스 VLAN)로 스위치를 구성할 수 있습니다.

Podswitch(config)#monitor session 1 source vlan10 , 11 , 12
Podswitch(config)#monitor session 1 destination interface Fa0/8

ISE virtual probe interface.

참조:Apple MAC OS X용 무선 인증

Apple Mac OS X 무선 랩톱을 사용하여 인증된 SSID를 내부 사용자(또는 통합, AD 사용자)로 WLC에 연결합니다.해당되지 않는 경우 건너뜁니다.

1. Mac에서 WLAN 설정으로 이동합니다.WIFI를 활성화한 다음 이전 연습에서 생성된 802.1X 지원 POD SSID를 선택하고 연결합니다.

   

2. 연결하려면 다음 정보를 제공하십시오.

   • 사용자 이름:aduser(AD를 사용하는 경우), 직원(내부 - 직원), 계약자(내부 - 계약자)

   • 암호:XXXX

   • 802.1X:자동

   • TLS 인증서:None

   

   현재 노트북이 연결되지 않을 수도 있습니다.또한 ISE는 다음과 같이 실패 한 이벤트를 발생 할 수 있습니다.

   Authentication failed :12514 EAP-TLS failed SSL/TLS handshake because of 
   an unknown CA in the client certificates chain

3. System Preference(시스템 기본 설정) > Network(네트워크) > Airport(공항) > 802.1X 설정으로 이동하여 새 POD SSID/ WPA 프로파일 인증을 다음과 같이 설정합니다.

   • TLS:비활성화됨

   • PEAP:사용

   • TTLS:비활성화됨

   • EAP-FAST:비활성화됨

   

4. 확인을 클릭하여 설정을 저장하고 계속 저장할 수 있습니다.

5. 네트워크 화면에서 적절한 SSID + 802.1X WPA 프로필을 선택하고 연결을 클릭합니다.

   

6. 사용자 이름과 비밀번호를 입력하라는 메시지가 표시될 수 있습니다.AD 사용자 및 비밀번호(aduser/XXXX)를 입력한 다음 OK(확인)를 클릭합니다.

   

   클라이언트는 유효한 IP 주소를 사용하여 PEAP를 통해 연결되었음을 표시해야 합니다.

   

참조:Microsoft Windows XP용 무선 인증

Windows XP 무선 랩톱을 사용하여 인증된 SSID를 내부 사용자(또는 통합 AD 사용자)로 WLC에 연결합니다.해당되지 않는 경우 건너뜁니다.

다음 단계를 완료하십시오.

1. 노트북 컴퓨터에서 WLAN 설정으로 이동합니다.WIFI를 활성화하고 이전 연습에서 생성한 802.1X 지원 POD SSID에 연결합니다.

   

2. WIFI 인터페이스의 네트워크 속성에 액세스합니다.

   

3. 무선 네트워크 탭으로 이동합니다.Pod SSID 네트워크 속성 > 인증 탭 > EAP 유형 = 보호 EAP (PEAP) 를 선택 합니다.

   

4. EAP 속성을 클릭합니다.

5. 다음을 설정합니다.

   • 서버 인증서 확인:비활성화됨

   • 인증 방법:보안 암호(EAP-MSCHAP v2)

   

6. 모든 창에서 OK(확인)를 클릭하여 이 구성 작업을 완료합니다.

7. Windows XP 클라이언트는 사용자 이름과 암호를 묻는 메시지를 표시합니다.이 예에서는 aduser/XXXX입니다.

8. 네트워크 연결, IP 주소 지정(v4)을 확인합니다.

참조:Microsoft Windows 7용 무선 인증

Windows 7 무선 랩톱을 사용하여 인증된 SSID를 내부 사용자(또는 통합 AD 사용자)로 WLC에 연결합니다.

1. 노트북 컴퓨터에서 WLAN 설정으로 이동합니다.WIFI를 활성화하고 이전 연습에서 생성한 802.1X 지원 POD SSID에 연결합니다.

   

2. 무선 관리자에 액세스하여 새 POD 무선 프로필을 편집합니다.

3. 다음을 설정합니다.

   • 인증 방법:PEAP

   • 내 자격 증명 기억...:비활성화됨

   • 서버 인증서 확인(고급 설정):비활성화됨

   • 인증 방법(adv.설정):EAP-MSCHAP v2

   • Windows 로그온 자동 사용..:비활성화됨

   

관련 정보

• 기술 지원 및 문서 − Cisco Systems