FQDN ACL을 사용한 통합 액세스 무선 컨트롤러(5760/3850/3650) BYOD 클라이언트 온보딩

다운로드 옵션

PDF (212.5 KB)
다양한 디바이스에서 Adobe Reader로 보기
ePub (121.9 KB)
iPhone, iPad, Android, Sony Reader 또는 Windows Phone의 다양한 앱에서 보기
Mobi (Kindle) (97.4 KB)
Kindle 디바이스에서 보기 또는 다양한 디바이스의 Kindle 앱에서 보기

업데이트:2017년 1월 2일

문서 ID:200913

편견 없는 언어

본 제품에 대한 문서 세트는 편견 없는 언어를 사용하기 위해 노력합니다. 본 설명서 세트의 목적상, 편견 없는 언어는 나이, 장애, 성별, 인종 정체성, 민족 정체성, 성적 지향성, 사회 경제적 지위 및 교차성에 기초한 차별을 의미하지 않는 언어로 정의됩니다. 제품 소프트웨어의 사용자 인터페이스에서 하드코딩된 언어, RFP 설명서에 기초한 언어 또는 참조된 서드파티 제품에서 사용하는 언어로 인해 설명서에 예외가 있을 수 있습니다. 시스코에서 어떤 방식으로 포용적인 언어를 사용하고 있는지 자세히 알아보세요.

이 번역에 관하여

Cisco는 전 세계 사용자에게 다양한 언어로 지원 콘텐츠를 제공하기 위해 기계 번역 기술과 수작업 번역을 병행하여 이 문서를 번역했습니다. 아무리 품질이 높은 기계 번역이라도 전문 번역가의 번역 결과물만큼 정확하지는 않습니다. Cisco Systems, Inc.는 이 같은 번역에 대해 어떠한 책임도 지지 않으며 항상 원본 영문 문서(링크 제공됨)를 참조할 것을 권장합니다.

소개

이 문서에서는 통합 액세스 컨트롤러에서 웹 인증/BYOD(Client Bring Your Own Device) 프로비저닝 상태 중에 특정 도메인 목록에 대한 액세스를 허용하는 DNS 기반 액세스 목록(ACL), FQDN(Fully Qualified Domain Name) 도메인 목록을 사용하기 위한 컨피그레이션 예를 설명합니다.

사전 요구 사항

요구 사항

이 문서에서는 기본 CWA(Central Web Authentication)를 구성하는 방법을 이미 알고 있다고 가정합니다. 이는 BYOD를 지원하기 위해 FQDN 도메인 목록을 사용하는 것을 보여주는 데 추가된 것입니다.CWA 및 ISE BYOD 컨피그레이션 예는 이 문서의 끝부분에서 참조됩니다.

사용되는 구성 요소

이 문서의 정보는 다음 소프트웨어 및 하드웨어 버전을 기반으로 합니다.
Cisco Identity Services Engine 소프트웨어 릴리스 1.4

Cisco WLC 5760 소프트웨어 릴리스 3.7.4

DNS 기반 ACL 프로세스 흐름

ISE(Identity Services Engine)에서 리디렉션 ACL 이름(ISE로 리디렉션될 트래픽을 결정하는 데 사용되는 ACL의 이름) 및 FQDN 도메인 목록 이름(인증 전에 액세스를 허용하기 위해 컨트롤러의 FQDN URL 목록에 매핑된 ACL의 이름)을 반환하면 다음과 같이 플로우가 진행됩니다.

WLC(Wireless LAN Controller)는 URL에 대한 DNS 스누핑을 활성화하기 위해 AP(Access Point)에 capwap 페이로드를 전송합니다.
클라이언트에서 DNS 쿼리에 대한 AP 스누프입니다.
- 도메인 이름이 허용된 URL과 일치하는 경우 AP는 요청을 DNS 서버로 전달하고, DNS 서버의 응답을 대기하며, DNS 응답을 구문 분석하고 확인된 첫 번째 IP 주소만 사용하여 전달합니다.
- 도메인 이름이 일치하지 않으면 DNS 응답은 현재(수정 없이) 클라이언트로 다시 전달됩니다.
도메인 이름이 일치하는 경우, 첫 번째 확인된 IP 주소가 capwap 페이로드의 WLC로 전송됩니다.WLC는 다음 방법을 사용하여 AP에서 얻은 확인된 IP 주소로 FQDN 도메인 목록에 매핑된 ACL을 암시적으로 업데이트합니다.
- 확인된 IP 주소는 FQDN 도메인 목록에 매핑된 ACL의 각 규칙에서 대상 주소로 추가됩니다.
- ACL의 각 규칙은 허용에서 거부로 전환되고 그 반대의 경우 ACL이 클라이언트에 적용됩니다.
  참고:이 메커니즘에서는 도메인 목록을 CWA 리디렉션 ACL에 매핑할 수 없습니다. 리디렉션 ACL 규칙을 취소하면 트래픽이 ISE로 리디렉션되는 것을 허용하도록 변경되기 때문입니다.따라서 FQDN 도메인 목록은 컨피그레이션 부품의 다른 "permit ip any" ACL에 매핑됩니다.
- 이 점을 명확히 하기 위해 네트워크 관리자가 목록에 cisco.com url을 사용하여 FQDN 도메인 목록을 구성하고 해당 도메인 목록을 다음 ACL에 매핑했다고 가정합니다.
```
ip access-list extended FQDN_ACL
permit ip any any
```
  cisco.com을 요청하는 클라이언트에서 AP는 도메인 이름 cisco.com을 IP 주소 72.163.4.161으로 확인하고 컨트롤러에게 전송합니다. ACL은 아래와 같이 수정되어 클라이언트에 적용됩니다.
```
ip access-list extended FQDN_ACL
deny ip any host 72.163.4.161
```
클라이언트가 HTTP "GET" 요청을 보낼 때:
- ACL에서 트래픽을 허용하는 경우 클라이언트가 리디렉션됩니다.
- 거부된 IP 주소를 사용하면 http 트래픽이 허용됩니다.
클라이언트가 다운로드되고 프로비저닝이 완료되면 ISE 서버는 CoA 세션 종료를 WLC로 보냅니다.
클라이언트가 WLC에서 인증이 해제되면 AP는 클라이언트당 스누핑에 대한 플래그를 제거하고 스누핑을 비활성화합니다.

구성

WLC 컨피그레이션

리디렉션 ACL 생성:
이 ACL은 어떤 트래픽이 ISE로 리디렉션되지 않아야 하는지(ACL에서 거부됨), 어떤 트래픽을 리디렉션해야 하는지(ACL에서 허용됨)를 정의하는 데 사용됩니다.
```
ip access-list extended REDIRECT_ACL
deny udp any eq bootps any
deny udp any any eq bootpc
deny udp any eq bootpc any
deny udp any any eq domain
deny udp any eq domain any
deny ip any host 10.48.39.228
deny ip host 10.48.39.228 any
permit tcp any any eq www
permit tcp any any eq 443
```
이 액세스 목록 10.48.39.228은 ISE 서버 IP 주소입니다.
FQDN 도메인 목록을 구성합니다.

이 목록에는 프로비저닝 또는 CWA 인증 전에 클라이언트가 액세스할 수 있는 도메인 이름이 포함되어 있습니다.
```
passthru-domain-list URLS_LIST
match play.google.*.*
match cisco.com
```
URL_LIST와 결합할 permit ip any any를 사용하여 액세스 목록을 구성합니다.
실제 IP 액세스 목록을 클라이언트에 적용해야 하므로 이 ACL을 FQDN 도메인 목록에 매핑해야 합니다(독립형 FQDN 도메인 목록을 적용할 수 없음).
```
ip access-list extended FQDN_ACL
permit ip any any
```

URL_LIST 도메인 목록을 FQDN_ACL에 매핑합니다.

access-session passthru-access-group FQDN_ACL passthru-domain-list URLS_LIST

온보딩 CWA SSID를 구성합니다.
이 SSID는 클라이언트 중앙 웹 인증 및 클라이언트 프로비저닝에 사용되며 FQDN_ACL 및 REDIRECT_ACL은 ISE에 의해 이 SSID에 적용됩니다

wlan byod 2 byod
 aaa-override
 accounting-list rad-acct
 client vlan VLAN0200
 mac-filtering MACFILTER
 nac
 no security wpa
 no security wpa akm dot1x
 no security wpa wpa2
 no security wpa wpa2 ciphers aes
 no shutdown

이 SSID 컨피그레이션 MACFILTER 메서드 목록에서 ISE radius 그룹을 가리키는 방법 목록이며 rad-acct는 동일한 ISE RADIUS 그룹을 가리키는 계정 관리 방법 목록입니다.

이 예제에서 사용되는 메서드 목록 구성 요약:

aaa group server radius ISEGroup
 server name ISE1

aaa authorization network MACFILTER group ISEGroup

aaa accounting network rad-acct start-stop group ISEGroup

radius server ISE1
 address ipv4 10.48.39.228 auth-port 1812 acct-port 1813
 key 7 112A1016141D5A5E57

aaa server radius dynamic-author
 client 10.48.39.228 server-key 7 123A0C0411045D5679
 auth-type any

ISE 컨피그레이션

이 섹션에서는 CWA ISE 컨피그레이션 부품을 잘 알고 있으며 ISE 컨피그레이션은 다음 수정 사항과 거의 동일하다고 가정합니다.

무선 CWA MAB(Mac 주소 인증 우회) 인증 결과는 CWA 리디렉션 URL과 함께 다음 특성을 반환해야 합니다.

cisco-av-pair = fqdn-acl-name=FQDN_ACL
cisco-av-pair = url-redirect-acl=REDIRECT_ACL

여기서 FQDN_ACL은 도메인 목록에 매핑된 IP 액세스 목록의 이름이고 REDIRECT_ACL은 일반 CWA 리디렉션 액세스 목록입니다.

따라서 다음과 같이 CWA MAB 인증 결과를 구성해야 합니다.

다음을 확인합니다.

FQDN 도메인 목록이 클라이언트에 적용되었는지 확인하려면 아래 명령을 사용하십시오.

show access-session mac <client_mac> details

허용되는 도메인 이름을 표시하는 명령 출력의 예:

5760-2#show access-session mac 60f4.45b2.407d details 
            Interface:  Capwap7
               IIF-ID:  0x41BD400000002D 
            Wlan SSID:  byod
       AP MAC Address:  f07f.0610.2e10
          MAC Address:  60f4.45b2.407d
         IPv6 Address:  Unknown
         IPv4 Address:  192.168.200.151
               Status:  Authorized
               Domain:  DATA
       Oper host mode:  multi-auth
     Oper control dir:  both
      Session timeout:  N/A
    Common Session ID:  0a30275b58610bdf0000004b
      Acct Session ID:  0x00000005
               Handle:  0x42000013
       Current Policy:  (No Policy)
        Session Flags:  Session Pushed

Server Policies:

             FQDN ACL: FQDN_ACL
         Domain Names: cisco.com play.google.*.*

         URL Redirect:  https://bru-ise.wlaaan.com:8443/portal/gateway?sessionId=0a30275b58610bdf0000004b&portal=27963fb0-e96e-11e4-a30a-005056bf01c9&action=cwa&token=fcc0772269e75991be7f1ca238cbb035
     URL Redirect ACL:  REDIRECT_ACL

Method status list: empty