Cisco ISE의 네트워크 디바이스 정의
스위치 또는 라우터와 같은 네트워크 디바이스는 AAA(Authentication, Authorization, Accounting) 서비스 요청이 Cisco ISE로 전송될 때 사용되는 AAA 클라이언트입니다. Cisco ISE와 네트워크 디바이스 간의 상호 작용을 활성화하려면 Cisco ISE에서 네트워크 디바이스를 정의합니다.
프로파일링 서비스에 대해 RADIUS 또는 TACACS AAA, SNMP(Simple Network Management Protocol)용 네트워크 디바이스를 구성하여 프로파일링 엔드포인트용 Cisco Discovery Protocol 및 LLDP(Link Layer Discovery Protocol) 속성과 Cisco TrustSec 디바이스용 TrustSec 속성을 수집할 수 있습니다. Cisco ISE에 정의되지 않은 네트워크 디바이스는 Cisco ISE에서 AAA 서비스를 받을 수 없습니다.
네트워크 디바이스 정의에서는 다음을 수행합니다.
-
네트워크 디바이스에 적합한 벤더 프로파일을 선택합니다. 프로파일에는 URL 리디렉션 및 Change of Authorization용 설정과 같이 디바이스용으로 미리 정의된 컨피그레이션이 포함됩니다.
-
RADIUS 인증용 RADIUS 프로토콜을 구성합니다. Cisco ISE가 네트워크 디바이스에서 RADIUS 요청을 받으면 해당 디바이스 정의를 찾아 구성된 공유 암호를 검색합니다. Cisco ISE가 디바이스 정의를 찾으면 해당 디바이스에 구성된 공유 암호를 가져와 액세스 인증을 위해 요청의 공유 암호와 일치하는지 확인합니다. 공유 암호가 일치하면 RADIUS 서버는 정책과 컨피그레이션을 기준으로 하여 요청을 추가로 처리합니다. 공유 암호가 일치하지 않으면 네트워크 디바이스에 거부 응답이 전송됩니다. 실패 이유를 제공하는 실패한 인증 보고서가 생성됩니다.
-
TACACS+ 인증용 TACACS+ 프로토콜을 구성합니다. Cisco ISE는 네트워크 디바이스에서 TACACS+ 요청을 받으면 해당 디바이스 정의를 찾아 구성된 공유 암호를 검색합니다. 디바이스 정의가 발견되면 디바이스에 구성된 공유 암호를 가져와 액세스 인증을 위해 요청의 공유 암호와 일치하는지 확인합니다. 공유 암호가 일치하면 TACACS+ 서버는 정책과 컨피그레이션을 기준으로 하여 요청을 추가로 처리합니다. 일치하지 않으면 네트워크 디바이스에 거부 응답이 전송됩니다. 실패 이유를 제공하는 실패한 인증 보고서가 생성됩니다.
-
네트워크 디바이스 정의에서 프로파일링 서비스가 네트워크 디바이스 및 네트워크 디바이스에 연결된 프로파일 엔드포인트와 통신하도록 SNMP(Simple Network Management Protocol)를 구성할 수 있습니다.
-
Cisco Trustsec 솔루션에 속할 수 있는 TrustSec 지원 디바이스의 요청을 처리하도록 Cisco ISE에서 Cisco TrustSec 지원 디바이스를 정의해야 합니다. Cisco TrustSec 솔루션을 지원하는 모든 스위치는 Cisco TrustSec 지원 디바이스입니다.
Cisco TrustSec 디바이스는 IP 주소를 사용하지 않습니다. 대신 Cisco TrustSec 디바이스가 Cisco ISE와 통신할 수 있도록 다른 설정을 정의해야 합니다.
Cisco TrustSec 지원 디바이스는 TrustSec 속성을 사용하여 Cisco ISE와 통신합니다. Nexus 7000 Series 스위치, Catalyst 6000 Series 스위치, Catalyst 4000 Series 스위치 및 Catalyst 3000 Series 스위치와 같은 Cisco TrustSec 지원 디바이스는 Cisco TrustSec 디바이스를 추가하는 동안 정의된 Trustsec 속성을 사용하여 인증됩니다.
참고 |
Cisco ISE에서 네트워크 디바이스를 구성할 때는 공유 암호에 백슬래시(\)를 포함하지 않는 것이 좋습니다. Cisco ISE를 업그레이드할 때 백슬래시가 공유 암호에 표시되지 않기 때문입니다. 단, Cisco ISE를 업그레이드하는 대신 재이미지화하는 경우 백슬래시가 공유 암호에 나타납니다. |
Cisco ISE의 기본 네트워크 디바이스 정의
참고 |
기본 RADIUS 및 TACACS 인증에 대해서만 기본 디바이스 정의를 추가하는 것이 좋습니다. 고급 플로우에서는 각 네트워크 디바이스에 대한 별도의 디바이스 정의를 추가해야 합니다. |
Cisco ISE는 네트워크 디바이스에서 RADIUS 또는 TACACS 요청을 수신하면 해당 디바이스 정의를 찾아 네트워크 디바이스 정의에 구성된 공유 암호를 검색합니다.
RADIUS 또는 TACACS 요청이 수신되는 경우 Cisco ISE는 다음 절차를 수행합니다.
-
요청의 IP 주소와 일치하는 특정 IP 주소를 찾습니다.
-
범위를 조회하여 요청의 IP 주소가 지정된 범위 안에 포함되는지 확인합니다.
-
1단계와 2단계 모두 실패하는 경우 기본 디바이스 정의(정의된 경우)를 사용하여 요청을 처리합니다.
Cisco ISE는 해당 디바이스의 디바이스 정의에 구성된 공유 암호를 가져온 다음 RADIUS 또는 TACACS 요청의 공유 암호와 일치하는지 확인하여 액세스를 인증합니다. 디바이스 정의를 찾을 수 없는 경우 Cisco ISE는 기본 네트워크 디바이스 정의에서 공유 암호를 가져와 RADIUS 또는 TACACS 요청을 처리합니다.
네트워크 디바이스
이들 창에서 Cisco ISE에 네트워크 디바이스를 추가하고 관리할 수 있습니다.
네트워크 디바이스 정의 설정
다음 표에서는 Cisco ISE에서 네트워크 액세스 디바이스를 구성하는 데 사용할 수 있는 Network Devices(네트워크 디바이스) 창의 필드에 대해 설명합니다. 이 창을 보려면 메뉴 아이콘()을 클릭하고 입니다. 그런 다음 Add(추가)를 클릭합니다.
네트워크 디바이스 설정
다음 표에서는 New Network Devices(새 네트워크 디바이스) 창의 필드에 대해 설명합니다.
필드 이름 |
설명 |
||
---|---|---|---|
Name(이름) |
네트워크 디바이스의 이름을 입력합니다. 디바이스의 호스트 이름과 다른, 네트워크 디바이스를 설명하는 이름을 입력할 수 있습니다. 디바이스 이름은 논리적 식별자입니다.
|
||
Description(설명) |
디바이스에 대한 설명을 입력합니다. |
||
IP 주소 또는 IP 범위 |
드롭다운 목록에서 다음 중 하나를 선택하고 표시되는 필드에 필요한 값을 입력합니다.
IP 주소 및 서브넷 마스크 또는 IP 주소 범위를 정의할 때의 지침은 다음과 같습니다.
|
||
Device Profile(디바이스 프로파일) |
드롭다운 목록에서 네트워크 디바이스의 벤더를 선택합니다. 드롭다운 목록 옆의 툴팁을 사용하여 선택한 벤더의 네트워크 디바이스가 지원하는 플로우 및 서비스를 확인할 수 있습니다. 툴팁에는 디바이스에서 사용되는 URL 리디렉션의 유형 및 RADIUS CoA 포트도 표시됩니다. 이러한 속성은 디바이스 유형의 네트워크 디바이스 프로파일에 정의되어 있습니다. |
||
Model Name(모델 이름) |
드롭다운 목록에서 디바이스 모델을 선택합니다. 규칙 기반 정책에서 조건을 확인하는 동안 모델 이름을 매개변수 중 하나로 사용합니다. 이 속성은 디바이스 사전에 있습니다. |
||
Software Version(소프트웨어 버전) |
드롭다운 목록에서 네트워크 디바이스에서 실행되는 소프트웨어의 버전을 선택합니다. 규칙 기반 정책에서 조건을 확인하는 동안 소프트웨어 버전을 매개변수 중 하나로 사용할 수 있습니다. 이 속성은 디바이스 사전에 있습니다. |
||
Network Device Group(네트워크 디바이스 그룹) |
Network Device Group(네트워크 디바이스 그룹) 영역의 Location(위치), IPSEC 및 Device Type(디바이스 유형) 드롭다운 목록에서 필요한 값을 선택합니다. 그룹에 구체적으로 할당하지 않는 디바이스는 기본 디바이스 그룹(루트 네트워크 디바이스 그룹)에 포함됩니다. 기본 디바이스 그룹은 위치 기준 All Locations(모든 위치) 및 디바이스 유형 기준 All Device Types(모든 디바이스 유형)입니다. |
RADIUS 인증 설정
다음 표에서는 RADIUS 인증 설정 영역의 필드에 대해 설명합니다.
필드 이름 |
사용 지침 |
||||
---|---|---|---|---|---|
RADIUS UDP Settings(RADIUS UDP 설정) |
|||||
Protocol(프로토콜) |
RADIUS를 선택한 프로토콜로 표시합니다. |
||||
Shared Secret(공유 암호) |
네트워크 디바이스의 공유 암호를 입력합니다. 공유 암호는 radius-host 명령(pac 옵션 포함)을 사용하여 네트워크 디바이스에 구성된 키입니다.
|
||||
Use Second Shared Secret(두 번째 공유 암호 사용) |
네트워크 디바이스 및 Cisco ISE에서 사용할 두 번째 공유 암호를 지정합니다.
|
||||
CoA Port(CoA 포트) |
RADIUS CoA에 사용할 포트를 지정합니다. 디바이스의 기본 CoA 포트는 네트워크 디바이스에 대해 구성된 네트워크 디바이스 프로파일(Network Resources(네트워크 리소스) > Network Device Profiles(네트워크 디바이스 프로파일)에 정의됩니다. 기본 CoA 포트를 사용하려면 Set To Default(기본값으로 설정) 버튼을 클릭합니다. >
|
||||
RADIUS DTLS Settings(RADIUS DTLS 설정) |
|||||
DTLS Required(DTLS 필수) |
DTLS Required(DLTS 필수) 확인란을 선택하면 Cisco ISE에서 이 디바이스의 DTLS 요청만 처리합니다. 이 옵션을 비활성화하면 Cisco ISE에서 이 디바이스의 UDP 요청과 DTLS 요청을 모두 처리합니다. RADIUS DTLS는 SSL(Secure Sockets Layer) 터널 설정 및 RADIUS 통신을 위한 향상된 보안을 제공합니다. |
||||
Shared Secret(공유 암호) |
RADIUS DTLS에 사용되는 공유 암호를 표시합니다. 이 값은 고정되어 있으며 MD5(Message Digest 5) 무결성 확인을 처리하는 데 사용됩니다. |
||||
CoA Port(CoA 포트) |
RADIUS DTLS CoA에 사용할 포트를 지정합니다. |
||||
Issuer CA of ISE Certificates for CoA(CoA의 ISE 인증서에 대한 발급자 CA) |
드롭다운 목록에서 RADIUS DTLS CoA에 사용할 CA(Certificate Authority)를 선택합니다. |
||||
DNS Name(DNS 이름) |
네트워크 디바이스의 DNS 이름을 입력합니다. RADIUS Settings(RADIUS 설정) 창( )에서 Enable RADIUS/DTLS Client Identity Verification(RADIUS/DTLS 클라이언트 ID 확인 활성화) 옵션이 활성화된 경우 Cisco ISE는 이 DNS 이름을 클라이언트 인증서에 지정된 DNS 이름과 비교하여 네트워크 디바이스의 ID를 확인합니다. |
||||
General Settings(일반 설정) |
|||||
Enable KeyWrap(KeyWrap 활성화) |
네트워크 디바이스에서 KeyWrap 알고리즘이 지원되는 경우에만 Enable KeyWrap(KeyWrap 활성화) 확인란을 선택합니다. 이 옵션은 AES KeyWrap 알고리즘을 통해 RADIUS 보안을 강화하는 데 사용됩니다.
|
||||
Key Encryption Key(키 암호화 키) |
세션 암호화(비밀 유지)에 사용되는 암호화 키를 입력합니다. |
||||
Message Authenticator Code Key(메시지 인증자 코드 키) |
RADIUS 메시지에 대한 키 HMAC(Hashed Message Authentication Code) 계산에 사용되는 키를 입력합니다. |
||||
Key Input Format(키 입력 형식) |
다음 형식 중 하나에 해당하는 라디오 버튼을 클릭합니다.
Cisco ISE FIPS 암호화 키를 입력하는 데 사용할 키 입력 형식을 무선 LAN 컨트롤러에서 사용 가능한 구성과 일치하도록 지정할 수 있습니다. 이 값은 키의 정확한(전체) 길이로 지정해야 하며 더 짧은 값은 지정할 수 없습니다. |
TACACS 인증 설정
필드 이름 |
사용 지침 |
---|---|
Shared Secret(공유 암호) |
TACACS+ 프로토콜을 활성화할 때 네트워크 디바이스에 할당된 텍스트 문자열입니다. 네트워크 디바이스가 사용자 이름과 비밀번호를 인증하기 전에 사용자가 텍스트를 입력해야 합니다. 사용자가 공유 암호를 제공할 때까지는 연결이 거부됩니다. |
Retired Shared Secret is Active(사용 중단된 공유 암호가 활성 상태임) |
사용 중단 기간이 활성인 경우 표시됩니다. |
Retire(사용 중단) |
기존 공유 암호를 종료하는 대신 사용 중단합니다. Retire(사용 중단)를 클릭하면 메시지 상자가 표시됩니다. Yes(예) 또는 No(아니요)를 클릭할 수 있습니다. |
Remaining Retired Period(남은 사용 중단 기간) |
(Retire(사용 중단) 메시지 상자에서 Yes(예)를 선택한 경우에만 사용 가능함) 탐색 경로에 지정되어 있는 기본값이 표시됩니다. 기본값은 변경할 수 있습니다.그러면 새 공유 암호를 입력할 수 있습니다. 이전 공유 암호는 지정된 기간(일) 동안 활성 상태로 유지됩니다. |
End(종료) |
(Retire(사용 중단) 메시지 상자에서 Yes(예)를 선택한 경우에만 사용 가능함) 사용 중단 기간을 종료하고 이전 공유 암호 사용을 중단합니다. |
Enable Single Connect Mode(단일 연결 모드 활성화) |
네트워크 디바이스와의 모든 TACACS+ 통신에 단일 TCP 연결을 사용하려면 Enable Single Connect Mode(단일 연결 모드 활성화) 확인란을 선택합니다. 다음 중 하나의 옵션에 해당하는 라디오 버튼을 클릭합니다.
|
SNMP 설정
다음 표에서는 SNMP Settings(SNMP 설정) 섹션의 필드에 대해 설명합니다.
필드 이름 |
사용 지침 |
||
---|---|---|---|
SNMP Version(SNMP 버전) |
SNMP Version(SNMP 버전) 드롭다운 목록에서 다음 옵션 중 하나를 선택합니다.
|
||
SNMP RO Community(SNMP RO 커뮤니티) |
(SNMP 버전 1 및 2c에 대해서만 적용됨) 디바이스에 대한 특정 액세스 유형을 Cisco ISE에 제공하는 읽기 전용 커뮤니티 문자열을 입력합니다.
|
||
SNMP Username(SNMP 사용자 이름) |
(SNMP 버전 3에만 적용됨) SNMP 사용자 이름을 입력합니다. |
||
Security Level(보안 레벨) |
(SNMP 버전 3에만 적용됨) Security Level(보안 레벨) 드롭다운 목록에서 다음 옵션 중 하나를 선택합니다.
|
||
Auth Protocol(인증 프로토콜) |
(보안 레벨로 Auth(인증) 또는 Priv(개인)를 선택하는 경우 SNMP 버전 3에만 적용됨) 네트워크 디바이스가 사용하도록 할 인증 프로토콜을 Auth Protocol(인증 프로토콜) 드롭다운 목록에서 선택합니다.
|
||
Auth Password(인증 비밀번호) |
(보안 레벨로 Auth(인증) 및 Priv(개인)를 선택하는 경우 SNMP 버전 3에만 적용됨) 인증 키를 입력합니다. 8자 이상이어야 합니다. Show(표시)를 클릭하면 디바이스에 대해 이미 구성된 인증 비밀번호가 표시됩니다.
|
||
Privacy Protocol(프라이버시 프로토콜) |
(Priv(개인) 보안 레벨이 선택된 경우 SNMP 버전 3에만 적용됨) Privacy Protocol(프라이버시 프로토콜) 드롭다운 목록에서 다음 옵션 중 하나를 선택합니다.
|
||
Privacy Password(프라이버시 비밀번호) |
(보안 레벨로 Priv(개인)를 선택하는 경우 SNMP 버전 3에만 적용됨) 프라이버시 키를 입력합니다. Show(표시)를 클릭하면 디바이스에 대해 이미 구성된 프라이버시 비밀번호가 표시됩니다.
|
||
Polling Interval(폴링 간격) |
폴링 간격을 초 단위로 입력합니다. 기본값은 3600초입니다. |
||
Link Trap Query(링크 트랩 쿼리) |
SNMP 트랩을 통해 수신되는 linkup 및 linkdown 알림을 수신하고 해석하려면 Link Trap Query(링크 트랩 쿼리) 확인란을 선택합니다. |
||
Mac Trap Query(Mac 트랩 쿼리) |
SNMP 트랩을 통해 수신되는 MAC 알림을 수신하고 해석하려면 Link Trap Query(링크 트랩 쿼리) 확인란을 선택합니다. |
||
Originating Policy Service Node(원래 정책 서비스 노드) |
Originating Policy Services Node(원래 정책 서비스 노드) 드롭다운 목록에서 SNMP 데이터 폴링에 사용할 Cisco ISE 서버를 선택합니다. 이 필드의 기본값은 Auto(자동)입니다. 드롭다운 목록에서 특정 값을 선택하여 설정을 덮어 씁니다. |
Advanced TrustSec Settings(Advanced TrustSec 설정)
다음 표에서는 Advanced TrustSec Settings(고급 TrustSec 설정) 섹션의 필드에 대해 설명합니다.
필드 이름 |
사용 지침 |
||
---|---|---|---|
Device Authentication Settings(디바이스 인증 설정) |
|||
Use Device ID for TrustSec Identification(TrustSec 식별에 디바이스 ID 사용) |
디바이스 이름이 Device ID(디바이스 ID) 필드에 디바이스 식별자로 나열되도록 하려면 Use Device ID for TrustSec Identification(TrustSec 식별에 디바이스 ID 사용) 확인란을 선택합니다. |
||
Device ID(디바이스 ID) |
Use Device ID for TrustSec Identification(TrustSec 식별에 디바이스 ID 사용) 확인란을 선택하지 않은 경우에만 이 필드에 디바이스 ID를 입력할 수 있습니다. |
||
Password(비밀번호) |
Cisco TrustSec 디바이스를 인증하기 위해 Cisco TrustSec 디바이스 CLI에서 구성한 비밀번호를 입력합니다. 비밀번호를 표시하려면 Show(표시)를 클릭합니다. |
||
HTTP REST API Settings(HTTP REST API 설정) |
|||
Enable HTTP REST API(HTTP REST API 활성화) |
HTTP REST API를 사용하여 필요한 Cisco TrustSec 정보를 네트워크 디바이스에 제공하려면 Enable HTTP REST API(HTTP REST API 활성화) 확인란을 선택합니다. 이렇게 하면 RADIUS 프로토콜에 비해 짧은 시간에 대규모 구성을 다운로드할 수 있고 효율성이 향상됩니다. 또한 TCP over UDP를 사용하여 안정성이 향상됩니다. |
||
Username(사용자 이름) |
Cisco TrustSec 디바이스를 인증하기 위해 Cisco TrustSec 디바이스 CLI에서 구성한 사용자 이름을 입력합니다. 사용자 이름에는 특수 문자를 포함할 수 없습니다. 예: 공백 ! % ^ : ; , [ { | } ] ` " = < > ? |
||
Password(비밀번호) |
Cisco TrustSec 디바이스를 인증하기 위해 Cisco TrustSec 디바이스 CLI에서 구성한 비밀번호를 입력합니다. |
||
TrustSec 디바이스 알림 및 업데이트 |
|||
Device ID(디바이스 ID) |
Use Device ID for TrustSec Identification(TrustSec 식별에 디바이스 ID 사용) 확인란을 선택하지 않은 경우에만 이 필드에 디바이스 ID를 입력할 수 있습니다. |
||
Password(비밀번호) |
Cisco TrustSec 디바이스를 인증하기 위해 Cisco TrustSec 디바이스 CLI에서 구성한 비밀번호를 입력합니다. 비밀번호를 표시하려면 Show(표시)를 클릭합니다. |
||
Download Environment Data Every <...>(환경 데이터 다운로드 간격) |
이 영역의 드롭다운 목록에서 필요한 값을 선택하여 디바이스가 Cisco ISE에서 환경 데이터를 다운로드하는 시간 간격을 지정합니다. 초, 분, 시간, 일 또는 주 단위로 시간 간격을 선택할 수 있습니다. 기본값은 1일입니다. |
||
Download Peer Authorization Policy Every <...>(피어 권한 부여 정책 다운로드 간격) |
이 영역의 드롭다운 목록에서 필요한 값을 선택하여 디바이스가 Cisco ISE에서 피어 권한 부여 정책을 다운로드하는 시간 간격을 지정합니다. 초, 분, 시간, 일 또는 주 단위로 시간 간격을 지정할 수 있습니다. 기본값은 1일입니다. |
||
Reauthentication Every <...>(재인증 간격) |
이 영역의 드롭다운 목록에서 필요한 값을 선택하여 디바이스가 초기 인증 후 Cisco ISE에 대해 재인증되는 시간 간격을 지정합니다. 초, 분, 시간, 일 또는 주 단위로 시간 간격을 구성할 수 있습니다. 예를 들어 1,000초를 입력하면 디바이스가 Cisco ISE에 대해 1,000초마다 자체적으로 재인증됩니다. 기본값은 1일입니다. |
||
Download SGACL Lists Every <...>(SGACL 목록 다운로드 간격) |
이 영역의 드롭다운 목록에서 필요한 값을 선택하여 디바이스가 Cisco ISE에서 SGACL 목록을 다운로드하는 시간 간격을 지정합니다. 초, 분, 시간, 일 또는 주 단위로 시간 간격을 구성할 수 있습니다. 기본값은 1일입니다. |
||
Other TrustSec Devices to Trust This Device (TrustSec Trusted)(다른 TrustSec 디바이스가 이 디바이스를 신뢰함(TrustSec 신뢰)) |
모든 피어 디바이스가 이 Cisco TrustSec 디바이스를 신뢰하도록 허용하려면 Other TrustSec Devices to Trust This Device(다른 TrustSec 디바이스가 이 디바이스를 신뢰함) 확인란을 선택합니다. 이 확인란을 선택하지 않으면 피어 디바이스가 이 디바이스를 신뢰하지 않으며 이 디바이스에서 도착하는 모든 패킷에 그에 따른 색상 또는 태그가 지정됩니다. |
||
구성 변경 사항을 디바이스에 전송 |
Cisco ISE가 CoA 또는 CLI(SSH)를 사용하여 Cisco TrustSec 디바이스에 Cisco TrustSec 구성 변경 사항을 보내도록 하려면 Send Configuration Changes to Device(구성 변경 사항을 디바이스에 전송) 확인란을 선택합니다. 필요에 따라 CoA 또는 CLI(SSH) 라디오 버튼을 클릭합니다. Cisco ISE가 CoA를 사용하여 Cisco TrustSec 디바이스에 구성 변경 사항을 전송하도록 하려면 CoA 옵션을 선택합니다. Cisco ISE가 CLI(SSH 연결)를 사용하여 Cisco TrustSec 디바이스에 구성 변경 사항을 전송하도록 하려면 CLI (SSH) 옵션을 선택합니다. 자세한 내용은 Cisco ISE 관리 가이드: 세그멘테이션의 "CoA 미지원 디바이스에 구성 변경 푸시"섹션을 참고하십시오 참고. |
||
Send From(전송 위치) |
이 드롭다운 목록에서 구성 변경 사항을 Cisco TrustSec 디바이스로 전송할 Cisco ISE 노드를 선택합니다. PAN 또는 PSN 노드를 선택할 수 있습니다. 선택한 PSN 노드가 작동 중지된 경우 PAN을 사용하여 구성 변경 사항이 Cisco TrustSec 디바이스로 전송됩니다. |
||
연결 테스트 |
이 옵션을 사용하여 Cisco TrustSec 디바이스와 선택한 Cisco ISE 노드(PAN 또는 PSN) 간의 연결을 테스트할 수 있습니다. |
||
SSH Key(SSH 키) |
이 기능을 사용하려면 Cisco ISE에서 네트워크 디바이스로의 SSHv2 터널을 연 다음 디바이스의 CLI를 사용해 SSH 키를 검색합니다. 검증을 위해 이 키를 복사하여 SSH Key(SSH 키) 필드에 붙여 넣어야 합니다. 자세한 내용은 Cisco ISE 관리 가이드: 세그멘테이션의 "SSH 키 확인" 섹션을 참고하십시오. |
||
디바이스 구성 구축 |
|||
Include this device when deploying Security Group Tag Mapping Updates(보안 그룹 태그 매핑 업데이트 구축 시 이 디바이스 포함) |
Cisco TrustSec 디바이스가 디바이스 인터페이스 자격 증명을 사용하여 IP-SGT 매핑을 가져오도록 하려면 Include this device when deploying Security Group Tag Mapping Updates(보안 그룹 태그 매핑 업데이트 구축 시 이 디바이스 포함) 확인란을 선택합니다. |
||
Exec Mode Username(실행 모드 사용자 이름) |
Cisco TrustSec 디바이스에 로그인하는 데 사용하는 사용자 이름을 입력합니다. |
||
Exec Mode Password(실행 모드 비밀번호) |
디바이스 비밀번호를 입력합니다. 비밀번호를 보려면 Show(표시)를 클릭합니다.
|
||
Enable Mode Password(활성화 모드 비밀번호) |
(선택 사항) 특별 권한 모드에서 Cisco TrustSec 디바이스의 구성을 편집하는 데 사용되는 활성화 비밀번호를 입력합니다. 비밀번호를 보려면 Show(표시)를 클릭합니다. |
||
OOB TrustSec PAC |
|||
Issue Date(발급 날짜) |
Cisco TrustSec 디바이스에 대해 Cisco ISE에서 마지막으로 생성된 Cisco TrustSec PAC의 발급 날짜를 표시합니다. |
||
만료일 |
Cisco TrustSec 디바이스에 대해 Cisco ISE에서 마지막으로 생성된 Cisco TrustSec PAC의 만료일을 표시합니다. |
||
Issued By(발급자) |
Cisco TrustSec 디바이스에 대해 Cisco ISE에서 마지막으로 생성된 Cisco TrustSec PAC의 발급자 이름(Cisco TrustSec 관리자)을 표시합니다. |
||
Generate PAC(PAC 생성) |
Generate PAC(PAC 생성) 버튼을 클릭하여 Cisco TrustSec 디바이스에 대한 OOB(Out of Band) Cisco TrustSec PAC를 생성합니다. |
기본 네트워크 디바이스 정의 설정
다음 표에서는 Default Network device(기본 네트워크 디바이스) 창의 필드에 대해 설명합니다. 이 창에서는 Cisco ISE가 RADIUS 또는 TACACS+ 인증에 사용할 수 있는 기본 네트워크 디바이스를 구성할 수 있습니다. 다음 탐색 경로 중 하나를 선택합니다.
필드 이름 |
사용 지침 |
||
---|---|---|---|
Default Network Device Status(기본 네트워크 디바이스 상태) |
Default Network Device Status(기본 네트워크 디바이스 상태) 드롭다운 목록에서 Enable(활성화)를 선택하여 기본 네트워크 디바이스 정의를 활성화합니다.
|
||
디바이스 프로파일(Device Profile) |
Cisco를 기본 디바이스 벤더로 표시합니다. |
||
RADIUS 인증 설정(RADIUS Authentication Settings ) |
|||
Enable RADIUS(RADIUS 활성화) |
디바이스에 대한 RADIUS 인증을 활성화하려면 Enable RADIUS(RADIUS 활성화) 확인란을 선택합니다. |
||
RADIUS UDP 설정(RADIUS UDP Settings ) |
|||
Shared Secret(공유 암호) |
공유 암호를 입력합니다. 공유 암호의 최대 길이는 127자입니다. 공유 암호는 radius-host 명령(pac 옵션 포함)을 사용하여 네트워크 디바이스에서 구성한 키입니다.
|
||
RADIUS DTLS Settings(RADIUS DTLS 설정) |
|||
DTLS Required(DTLS 필수) |
DTLS Required(DLTS 필수) 확인란을 선택하면 Cisco ISE에서 이 디바이스의 DTLS 요청만 처리합니다. 이 옵션을 비활성화하면 Cisco ISE에서 이 디바이스의 UDP 요청과 DTLS 요청을 모두 처리합니다. RADIUS DTLS는 SSL 터널 설정 및 RADIUS 통신을 위한 향상된 보안을 제공합니다. |
||
Shared Secret(공유 암호) |
RADIUS DTLS에 사용되는 공유 암호를 표시합니다. 이 값은 고정되어 있으며 MD5 무결성 확인을 컴퓨팅하는 데 사용됩니다. |
||
Issuer CA of ISE Certificates for CoA(CoA의 ISE 인증서에 대한 발급자 CA) |
Issuer CA of ISE Certificates for CoA(CoA의 ISE 인증서에 대한 발급자 CA) 드롭다운 목록에서 RADIUS DTLS CoA에 사용할 인증 기관을 선택합니다. |
||
General Settings(일반 설정) |
|||
Enable KeyWrap(KeyWrap 활성화) |
네트워크 디바이스에서 KeyWrap 알고리즘이 지원되는 경우에만 Enable KeyWrap(KeyWrap 활성화) 확인란을 선택합니다. 확인란을 선택하면 AES KeyWrap 알고리즘을 통해 RADIUS 보안이 개선됩니다. |
||
Key Encryption Key(키 암호화 키) |
KeyWrap을 활성화하는 경우 세션 암호화(비밀 유지)에 사용할 암호화 키를 입력합니다. |
||
Message Authenticator Code Key(메시지 인증자 코드 키) |
KeyWrap을 활성화하는 경우 RADIUS 메시지에 대한 키 HMAC(Hashed Message Authentication Code) 계산에 사용되는 키를 입력합니다. |
||
Key Input Format(키 입력 형식) |
다음 형식 중 하나의 해당 라디오 버튼을 클릭하여 선택하고 Key Encryption Key(키 암호화 키) 및 Message Authenticator Code Key(메시지 인증자 코드 키) 필드에 값을 입력합니다.
|
||
TACACS Authentication Settings(TACACS 인증 설정) |
|||
Shared Secret(공유 암호) |
TACACS+ 프로토콜을 활성화할 때 네트워크 디바이스에 할당된 텍스트 문자열입니다. 네트워크 디바이스가 사용자 이름과 비밀번호를 인증하기 전에 사용자가 텍스트를 입력해야 합니다. 사용자가 공유 암호를 제공할 때까지는 연결이 거부됩니다. |
||
Retired Shared Secret is Active(사용 중단된 공유 암호가 활성 상태임) |
사용 중단 기간이 활성인 경우 표시됩니다. |
||
Retire(사용 중단) |
기존 공유 암호를 종료하는 대신 사용 중단합니다. Retire(사용 중단)를 클릭하면 메시지 상자가 표시됩니다. Yes(예) 또는 No(아니요)를 클릭합니다. |
||
Remaining Retired Period(남은 사용 중단 기간) |
(위의 메시지 상자에서 Yes(예)를 선택한 경우에만 사용 가능함) 탐색 경로에 지정되어 있는 기본값이 표시됩니다. 기본값은 변경할 수 있습니다.그러면 새 공유 암호를 입력할 수 있으며, 이전 공유 암호는 지정된 기간(일) 동안 활성 상태로 유지됩니다. |
||
End(종료) |
(위의 메시지 상자에서 Yes(예)를 선택한 경우에만 사용 가능함) 사용 중단 기간을 종료하고 이전 공유 암호 사용을 중단합니다. |
||
Enable Single Connect Mode(단일 연결 모드 활성화) |
네트워크 디바이스와의 모든 TACACS+ 통신에 단일 TCP 연결을 사용하려면 Enable Single Connect Mode(단일 연결 모드 활성화) 확인란을 선택합니다. 다음 중 하나의 옵션에 해당하는 라디오 버튼을 클릭합니다.
이 옵션을 비활성화하면 Cisco ISE는 모든 TACACS+ 요청에 대해 새 TCP 연결을 사용합니다. |
네트워크 디바이스 가져오기 설정
다음 표에서는 Cisco ISE로 네트워크 디바이스 세부정보를 가져오는 데 사용할 수 있는 네트워크 디바이스 가져오기 페이지의 필드에 대해 설명합니다. 이 창을 보려면 메뉴 아이콘()을 클릭하고 입니다.
필드 이름 |
사용 지침 |
---|---|
Generate a Template(템플릿 생성) |
쉼표로 구분된 값(CSV) 템플릿 파일을 생성하려면 Generate a Template(템플릿 생성)을 클릭합니다. 동일한 형식의 네트워크 디바이스 정보로 템플릿을 업데이트하고 로컬에 저장합니다. 그런 다음 편집된 템플릿을 사용하여 네트워크 디바이스를 Cisco ISE 구축으로 가져옵니다. |
파일 |
Choose File(파일 선택)을 클릭하여, 최근에 직접 생성했거나 이전에 Cisco ISE 구축에서 내보냈을 수 있는 CSV 파일을 선택합니다. Import(가져오기) 옵션을 사용하면 신규/업데이트된 네트워크 디바이스 정보가 포함된 다른 Cisco ISE 구축의 네트워크 디바이스를 가져올 수 있습니다. |
Overwrite Existing Data with New Data(새 데이터로 기존 데이터 덮어쓰기) |
Cisco ISE가 기존 네트워크 디바이스를 가져오기 파일의 디바이스로 교체하도록 하려면 Overwrite Existing Data with New Data(새 데이터로 기존 데이터 덮어쓰기) 확인란을 선택합니다. 이 확인란을 선택하지 않으면 가져오기 파일에서 사용 가능한 새 네트워크 디바이스 정의가 네트워크 디바이스 저장소에 추가됩니다. 중복 엔트리는 무시됩니다. |
Stop Import on First Error(첫 번째 오류에서 가져오기 중지) |
가져오기 중에 오류가 발생하는 경우 Cisco ISE가 가져오기를 중단하게 하려면 Stop Import on First Error(첫 번째 오류에서 가져오기 중지) 확인란을 선택합니다. 그러면 Cisco ISE는 오류가 발생할 때까지 네트워크 디바이스를 가져옵니다. 이 확인란을 선택하지 않은 상태에서 발생하는 오류는 보고되며 Cisco ISE는 나머지 디바이스 가져오기를 계속합니다. |
Cisco ISE에서 네트워크 디바이스 추가
Cisco ISE에서 네트워크 디바이스를 추가하거나 기본 네트워크 디바이스를 사용할 수 있습니다.
Network Devices(네트워크 디바이스)( ) 창에서 네트워크 디바이스를 추가할 수도 있습니다.
시작하기 전에
프로시저
단계 1 |
를 선택합니다. |
단계 2 |
Add(추가)를 클릭합니다. |
단계 3 |
Name(이름), Description(설명) 및 IP Address(IP 주소) 필드에 해당 값을 입력합니다. |
단계 4 |
드롭다운 목록에서 Device Profile(디바이스 프로파일), Model Name(모델 이름), Software Version(소프트웨어 버전) 및 Network Device Group(네트워크 디바이스 그룹) 필드에 필요한 값을 선택합니다. |
단계 5 |
(선택 사항) 인증용 RADIUS 프로토콜을 구성하려면 RADIUS Authentication Settings(RADIUS 인증 설정) 확인란을 선택합니다. |
단계 6 |
(선택 사항) 인증용 TACACS 프로토콜을 구성하려면 TACACS Authentication Settings(TACACS 인증 설정) 확인란을 선택합니다. |
단계 7 |
(선택 사항) 네트워크 디바이스에서 정보를 수집하기 위해 Cisco ISE 프로파일링 서비스용으로 SNMP를 구성하려면 SNMP Settings(SNMP 설정) 확인란을 선택합니다. |
단계 8 |
(선택 사항) Cisco TrustSec이 활성화된 디바이스를 구성하려면 Advanced TrustSec Settings(고급 TrustSec 설정) 확인란을 선택합니다. |
단계 9 |
Submit(제출)을 클릭합니다. |
Cisco ISE로 네트워크 디바이스 가져오기
Cisco ISE가 네트워크 디바이스와 통신하도록 하려면 Cisco ISE에서 네트워크 디바이스의 디바이스 정의를 추가해야 합니다. Network Devices(네트워크 디바이스) 창(메인 메뉴에서 )을 통해 Cisco ISE로 네트워크 디바이스의 디바이스 정의를 가져옵니다.
CSV(comma-separated value) 파일을 사용하여 Cisco ISE 노드로 디바이스 정의 목록을 가져옵니다. Network Devices(네트워크 디바이스) 창에서 Import(가져오기)를 클릭하면 CSV 템플릿 파일을 사용할 수 있습니다. 해당 파일을 다운로드하고 원하는 디바이스 정의를 입력한 다음, Import(가져오기) 창을 통해 편집한 파일을 업로드합니다.
같은 리소스 유형의 가져오기를 동시에 여러 개 실행할 수는 없습니다. 예를 들어 서로 다른 두 가져오기 파일에서 네트워크 디바이스를 동시에 가져올 수는 없습니다.
디바이스 정의의 CSV 파일을 가져올 때 Overwrite Existing Data with New Data(새 데이터로 기존 데이터 덮어쓰기) 옵션을 클릭하여 새 기록을 생성하거나 기존 기록을 업데이트할 수 있습니다.
가져오기 템플릿은 Cisco ISE마다 다를 수 있습니다. 다른 Cisco ISE 릴리스에서 내보낸 네트워크 디바이스의 CSV 파일을 가져오지 마십시오. 릴리스의 CSV 템플릿 파일에 네트워크 디바이스의 세부정보를 입력하고 해당 파일을 Cisco ISE로 가져옵니다.
참고 |
모든 octet의 IP 범위가 있는 네트워크 디바이스를 가져올 수 있습니다. |
프로시저
단계 1 |
를 선택합니다. |
단계 2 |
Import(가져오기)를 클릭합니다. |
단계 3 |
표시되는 Import Network Devices(네트워크 디바이스 가져오기) 창에서 Generate A Template(템플릿 생성)을 클릭하여 CSV 파일을 다운로드합니다. 이 파일을 편집해서 필요한 세부정보를 포함하여 Cisco ISE로 가져올 수 있습니다. |
단계 4 |
Choose File(파일 선택)을 클릭하여 클라이언트 브라우저를 실행 중인 시스템에서 CSV 파일을 선택합니다. |
단계 5 |
(선택 사항) 필요에 따라 Overwrite Existing Data with New Data(새 데이터로 기존 데이터 덮어쓰기) 및 Stop Import on First Error(첫 번째 오류에서 가져오기 중지) 확인란을 선택합니다. |
단계 6 |
Import(가져오기)를 클릭합니다. 파일을 모두 가져오면 Cisco ISE에 요약 메시지가 표시됩니다. 요약 메시지에는 가져오기 상태(성공 또는 실패), 발생한 오류 수(있는 경우), 파일 가져오기 프로세스에 소요된 총 처리 시간이 포함됩니다. |
Cisco ISE에서 네트워크 디바이스 내보내기
Cisco ISE 노드에서 사용 가능한 네트워크 디바이스의 디바이스 정의를 CSV 파일 형식으로 내보낼 수 있습니다. 그런 다음 필요한 Cisco ISE 노드에서 디바이스 정의를 사용할 수 있도록 이 CSV 파일을 다른 Cisco ISE 노드로 가져올 수 있습니다.
참고 |
모든 octet의 IP 범위가 있는 네트워크 디바이스를 내보낼 수 있습니다. |
프로시저
단계 1 |
를 선택합니다. |
단계 2 |
Export(내보내기)를 클릭합니다. |
단계 3 |
다음 작업 중 하나를 수행하여 Cisco ISE 노드에 추가된 네트워크 디바이스에 대한 디바이스 정의를 내보냅니다.
|
단계 4 |
두 경우 모두 디바이스 정의에 대한 CSV 파일이 시스템에 다운로드됩니다. |
네트워크 디바이스 컨피그레이션 문제 해결
프로시저
단계 1 |
를 선택합니다. |
단계 2 |
구성을 평가할 네트워크 디바이스의 IP 주소를 Network Device IP(네트워크 디바이스 IP) 필드에 입력합니다. |
단계 3 |
확인란을 선택하고 권장 템플릿과 비교할 구성 옵션 옆의 라디오 버튼을 클릭합니다. |
단계 4 |
Run(실행)을 클릭합니다. |
단계 5 |
표시되는 Progress Details...(진행 세부정보) 영역에서 Click Here to Enter Credentials(여기를 클릭하여 자격 증명 입력)를 클릭합니다. Credentials Window(자격 증명 창) 대화 상자에서 네트워크 디바이스와의 연결을 설정하는 데 필요한 연결 매개변수 및 자격 증명을 입력하고 Submit(제출)를 클릭합니다 워크플로우를 취소하려면 Progress Details...(진행 세부정보...) 창에서 Click Here to Cancel the Running Workflow(여기를 클릭하여 실행 중인 워크플로우 취소)를 클릭합니다. |
단계 6 |
분석할 인터페이스 옆의 확인란을 선택하고 Submit(제출)을 클릭합니다. |
단계 7 |
구성 평가에 대한 자세한 내용을 보려면 Show Results Summary(결과 요약 표시)를 클릭합니다. |
네트워크 디바이스 명령 진단 도구 실행
네트워크 디바이스 실행 명령 진단 도구를 사용하면 네트워크 디바이스에 대해 show 명령을 실행할 수 있습니다.
표시되는 결과는 콘솔에 표시되는 것과 동일합니다. 이 도구를 사용하면 디바이스 컨피그레이션의 모든 문제를 식별할 수 있습니다.
네트워크 디바이스의 컨피그레이션을 확인하거나 네트워크 디바이스가 구성된 방법을 확인하려면 이 도구를 활용하면 됩니다.
네트워크 디바이스 실행 명령 진단 도구에 액세스하려면 다음 탐색 경로 중 하나를 선택하십시오.
-
를 선택합니다.
-
를 선택합니다.
표시되는 Execute Network Device Command(네트워크 디바이스 실행 명령) 창에서 해당 필드에 실행할 네트워크 디바이스의 IP 주소와 show 명령을 입력합니다. Run(실행)을 클릭합니다.