Cisco ISE Deep Dive
์์ ์ ๋ณต ๊ฐ์ด๋
Architecture ยท 802.1X ยท Profiling ยท Posture ยท Guest ยท BYOD ยท TrustSec ยท pxGrid ยท TACACS+ ยท Troubleshooting
01 ISE ๊ฐ์ ๋ฐ Zero Trust์์์ ์ญํ
Cisco Identity Services Engine(ISE)์ ์ํฐํ๋ผ์ด์ฆ ๋คํธ์ํฌ์์ ์ ์ฑ ๊ฒฐ์ ํฌ์ธํธ(Policy Decision Point, PDP)๋ก ๊ธฐ๋ฅํ๋ ์ฐจ์ธ๋ NAC(Network Access Control) ํ๋ซํผ์ด๋ค. ๋จ์ํ AAA ์๋ฒ๋ฅผ ๋์ด, ์ฌ์ฉ์ยท๋๋ฐ์ด์คยท์ ํ๋ฆฌ์ผ์ด์ ์ปจํ ์คํธ๋ฅผ ์์งํ๊ณ , ์ด๋ฅผ ๊ธฐ๋ฐ์ผ๋ก ์ ๊ทผ ์ ์ฑ ์ ๋์ ์ผ๋ก ์ ์ฉํ๋ฉฐ, ์ํ์ ์ค์๊ฐ์ผ๋ก ๊ฒฉ๋ฆฌํ๋ Zero Trust Architecture์ ํต์ฌ ์์ง์ด๋ค.
ISE๊ฐ ํด๊ฒฐํ๋ ํต์ฌ ๋ฌธ์
- Visibility Gap: ๋คํธ์ํฌ์ ์ฐ๊ฒฐ๋ ๋ชจ๋ ์๋ํฌ์ธํธ(์ฌ์ฉ์, IoT, OT ์ฅ๋น)์ ์ ์ฒด๋ฅผ ํ์ ํ์ง ๋ชปํ๋ฉด ์ ์ฑ ์ ์ธ์ธ ์ ์๋ค.
- Policy Fragmentation: Wired, Wireless, VPN, DC, Cloud ๊ฐ ๋๋ฉ์ธ๋ง๋ค ๋ณ๋ ์ ์ฑ ์ปจํธ๋กค๋ฌ๊ฐ ์กด์ฌํ์ฌ ์ผ๊ด๋ ๋ณด์์ด ์ด๋ ต๋ค.
- Static ACL ํ๊ณ: IP ๊ธฐ๋ฐ ACL์ ์ฌ์ฉ์ ๋ก๋ฐ, DHCP ํ๊ฒฝ์์ ๋ฌด๋ ฅํ๋ฉฐ, ์์ฒ ์ค์ ACE ๊ด๋ฆฌ๋ ์ด์ ์ ๋ชฝ์ด๋ค.
- Compliance Enforcement: ์๋ํฌ์ธํธ์ ๋ณด์ ์ํ(ํจ์น, AV, ์ํธํ) ๋ฏธํ์ธ ์ ๋คํธ์ํฌ ์ ๊ทผ์ ํ์ฉํ๋ ๊ฒ์ Zero Trust ์๋ฐ์ด๋ค.
๐ก ISE์ 3๋ ์ถ (Three Pillars)
โ Visibility โ ํ๋กํ์ผ๋ง + AI Endpoint Analytics๋ก "Who/What is on the network" ํ๋ณด
โก Control โ 802.1X, MAB, WebAuth, Posture๋ฅผ ํตํ ์ธ์ฆยท์ธ๊ฐยท์ปดํ๋ผ์ด์ธ์ค ๊ฐ์
โข Segmentation โ TrustSec SGT ๊ธฐ๋ฐ ๋ง์ดํฌ๋ก์ธ๊ทธ๋ฉํ
์ด์
์ผ๋ก lateral movement ์ฐจ๋จ
ISE๋ RADIUS/TACACS+ ํ๋กํ ์ฝ์ ์ฒ๋ฆฌํ๋ ๋์์, DHCP, CDP, LLDP, NetFlow, HTTP, SNMP ๋ฑ ๋ค์ํ ํ๋กํ ์ฝ์ ์ปจํ ์คํธ ๋ฐ์ดํฐ๋ฅผ ์์งํ๋ค. ์์ง๋ ์ปจํ ์คํธ๋ Security Group Tag(SGT)๋ผ๋ ๋ ์ด๋ธ๋ก ์ถ์ํ๋์ด, ๋คํธ์ํฌยท๋ณด์ ๋๋ฉ์ธ ์ ์ฒด์ ์ผ๊ด๋ ์ ์ฑ ์๋ณ์๋ก ๋ฐฐํฌ๋๋ค.
02 Architecture Deep Dive โ Persona ยท Node ยท Deployment
2.1 ISE Persona (์ญํ ๋ถ๋ฆฌ)
ISE ์ํคํ ์ฒ์ ํต์ฌ์ Persona ๊ธฐ๋ฐ ์ญํ ๋ถ๋ฆฌ์ด๋ค. ๊ฐ ISE ๋ ธ๋๋ ํ๋ ์ด์์ Persona๋ฅผ ์คํํ ์ ์์ผ๋ฉฐ, ์๊ท๋ชจ ํ๊ฒฝ์์๋ ๋ชจ๋ Persona๋ฅผ ๋จ์ผ ๋ ธ๋์ ํตํฉ(Standalone), ๋๊ท๋ชจ ํ๊ฒฝ์์๋ ์ ์ฉ ๋ ธ๋๋ก ๋ถ์ฐ(Distributed) ๋ฐฐํฌํ๋ค.
| Persona | ์ฝ์นญ | ํต์ฌ ๊ธฐ๋ฅ | HA ๊ตฌ์ฑ |
|---|---|---|---|
| Administration | PAN | ์ ์ฑ ๊ตฌ์ฑ, ๋ผ์ด์ ์ค ๊ด๋ฆฌ, DB Replication Master, GUI ์ ๊ณต | Active/Standby (์ต๋ 2๋ ธ๋) |
| Policy Service | PSN | RADIUS/TACACS+ ์ฒ๋ฆฌ, Profiling Probe, Posture, Guest, BYOD | Active/Active (LB VIP ์ฌ์ฉ), ์ต๋ 50 PSN |
| Monitoring | MnT | ๋ก๊ทธ ์์งยท์๊ด๋ถ์, ๋ฆฌํฌํธ, ์๋ | Active/Standby (์ต๋ 2๋ ธ๋) |
| pxGrid | PXG | ์ปจํ ์คํธ ๊ณต์ ํ๋ธ (WebSocket/STOMP) | Active/Active (์ต๋ 4๋ ธ๋) |
2.2 Distributed Deployment ์ํคํ ์ฒ
2.3 ์ค๊ณ ํต์ฌ ์์น
- PAN-PSN ๊ฐ ์ง์ฐ: Round-trip 300ms ์ด๋ด. DB Replication๊ณผ ์ ์ฑ Push๊ฐ ์ด ๋งํฌ๋ฅผ ์ฌ์ฉํ๋ค.
- PSN-MnT ๊ฐ ๋์ญํญ: Audit Log๊ฐ ๋๋ ์ ์ก๋๋ฏ๋ก ์ถฉ๋ถํ bandwidth ํ๋ณด ํ์.
- PSN-AD Co-location: RADIUS ์ธ์ฆ ์ AD Lookup์ด ๋ฐ์ํ๋ฏ๋ก, PSN๊ณผ AD DC๋ฅผ ๊ฐ์ ์ฌ์ดํธ์ ๋ฐฐ์นํ๋ค.
- Load Balancer: Calling-Station-ID(MAC) ๊ธฐ๋ฐ Sticky Session์ผ๋ก PSN ๋ถ์ฐ. URL Redirect ์๋น์ค(Guest, Posture) ์ฌ์ฉ ์ PSN Node Group ๊ตฌ์ฑ ํ์.
- N+1 ๋๋ N+2 Redundancy: PSN ๊ทธ๋ฃน ๋ด ์๋น ๋ ธ๋๋ฅผ ํ๋ณดํ์ฌ, ๋จ์ผ PSN ์ฅ์ ์์๋ ์ธ์ฆ ์ฒ๋ฆฌ๋ ์ ์ง.
03 Authentication ๋ฉ์ปค๋์ฆ
3.1 802.1X (EAP ๊ธฐ๋ฐ ์ธ์ฆ)
802.1X๋ ISE์์ ๊ฐ์ฅ ๊ฐ๋ ฅํ ์ธ์ฆ ๋ฐฉ์์ด๋ค. Supplicant โ Authenticator(Switch/WLC) โ Authentication Server(ISE) 3์ ๊ตฌ์กฐ๋ก ๋์ํ๋ฉฐ, EAPoL(EAP over LAN)๋ก ์บก์ํ๋ ์ธ์ฆ ํ๋ ์์ด ๊ตํ๋๋ค.
์ฃผ์ EAP ๋ฐฉ์ ๋น๊ต
| EAP ๋ฐฉ์ | ์ธ์ฆ ์์ | Inner Method | ํน์ง |
|---|---|---|---|
| EAP-TLS | ์ธ์ฆ์ (Mutual TLS) | ์์ | ์ต๊ณ ๋ณด์, ์ธ์ฆ์ ์ธํ๋ผ(PKI) ํ์ |
| PEAP-MSCHAPv2 | ์๋ฒ ์ธ์ฆ์ + ์ฌ์ฉ์ ID/PW | MSCHAPv2 | ๊ฐ์ฅ ์ผ๋ฐ์ , AD ํตํฉ ์ฉ์ด |
| EAP-FAST | PAC ๋๋ ์ธ์ฆ์ | MSCHAPv2/GTC | Cisco ๋ ์, EAP Chaining ์ง์ |
| TEAP | ์ธ์ฆ์ + ID/PW | EAP-TLS + MSCHAPv2 | RFC 7170 ํ์ค, Machine+User Chaining |
Network Access:EAPChainingResult = User and Machine Both Succeeded ์กฐ๊ฑด์ผ๋ก ์ ๋ฐ ์ ์ฑ
์ ๊ตฌ์ฑํ ์ ์๋ค.
3.2 MAB (MAC Authentication Bypass)
802.1X Supplicant๊ฐ ์๋ ๋๋ฐ์ด์ค(ํ๋ฆฐํฐ, IP Phone, IoT, OT ์ฅ๋น)์ ๋ํด MAC ์ฃผ์๋ฅผ ID๋ก ์ฌ์ฉํ๋ Fallback ์ธ์ฆ์ด๋ค.
! Switch Configuration โ 802.1X + MAB Fallback
interface GigabitEthernet1/0/1
switchport mode access
switchport access vlan 100
authentication port-control auto
authentication order dot1x mab
authentication priority dot1x mab
mab
dot1x pae authenticator
dot1x timeout tx-period 10
authentication timer reauthenticate 3600
authentication event fail action next-method
authentication event server dead action authorize vlan 999
authentication event server alive action reinitialize
IOS-XE 802.1X + MAB
3.3 Web Authentication (CWA / LWA)
- CWA (Central Web Authentication): ISE๊ฐ ์ง์ Web Portal์ ํธ์คํ . Switch/WLC๊ฐ HTTP Redirect ACL์ ์ ์ฉํ์ฌ ํธ๋ํฝ์ ISE๋ก ๋ฆฌ๋ค์ด๋ ํธ. Guest, BYOD ์จ๋ณด๋ฉ์ ์ฌ์ฉ.
- LWA (Local Web Authentication): Switch/WLC ์์ฒด Portal. ISE๋ ๋ท๋จ RADIUS ์๋ฒ ์ญํ ๋ง ์ํ. ๊ธฐ๋ฅ์ด ์ ํ์ ์ด๋ผ CWA ๊ถ์ฅ.
3.4 Authentication Flow (802.1X ๊ธฐ์ค)
04 Authorization Policy & Policy Sets ์ค๊ณ
4.1 Policy Set ๊ณ์ธต ๊ตฌ์กฐ
ISE์ ์ ์ฑ ์์ง์ ๊ณ์ธต์ Policy Set ๊ตฌ์กฐ๋ก ๋์ํ๋ค. ์ต์์์ Policy Set ๋งค์นญ ์กฐ๊ฑด์ด ์๊ณ , ๊ฐ Set ๋ด๋ถ์ Authentication Policy โ Authorization Policy โ Exception Policy๊ฐ ์์๋๋ก ํ๊ฐ๋๋ค.
4.2 Authorization Profile ํต์ฌ ์์
- VLAN Assignment:
Tunnel-Private-Group-IDRADIUS ์์ฑ์ผ๋ก ๋์ VLAN ํ ๋น - Downloadable ACL (DACL): ISE์์ Switch๋ก ACL์ Push. Per-session granularity ์ ๊ณต
- Security Group Tag (SGT):
cisco-av-pair: cts:security-group-tag=XXXX๋ก SGT ํ ๋น - URL Redirect: Guest Portal, BYOD Portal, Posture Portal๋ก์ CWA ๋ฆฌ๋ค์ด๋ ํธ
- Reauthentication Timer: Session Timeout + CoA๋ฅผ ํตํ ์ฃผ๊ธฐ์ ์ฌ์ธ์ฆ
- Voice Domain Permission:
device-traffic-class=voiceVSA๋ก IP Phone ์์ฑ VLAN ์ธ๊ฐ
4.3 Condition Dictionary ํ์ฉ
ISE๋ ์์ญ ๊ฐ์ Dictionary๋ฅผ ์ ๊ณตํ๋ฉฐ, Authorization ์กฐ๊ฑด์์ ๋ค์ํ ์์ฑ ์กฐํฉ์ด ๊ฐ๋ฅํ๋ค:
/* Expert-Level Authorization Condition ์์ */
Condition:
IdentityGroup:Name EQUALS "Employee"
AND
Network Access:EAPChainingResult EQUALS "User and machine both succeeded"
AND
Session:PostureStatus EQUALS "Compliant"
AND
DEVICE:Location EQUALS "Seoul_HQ"
Result:
Profile: Full_Network_Access
SGT: Employee_Trusted (0010)
ISE Policy Condition
05 Profiling โ ์๋ํฌ์ธํธ ์๋ณ๊ณผ ๋ถ๋ฅ
5.1 ํ๋กํ์ผ๋ง์ด ํ์ํ ์ด์
"๋๊ฐ ๋คํธ์ํฌ์ ์ฐ๊ฒฐ๋์ด ์๋๊ฐ?"๋ ์ ๋ฐ์ ์ง๋ฌธ์ด๋ค. "๋ฌด์์ด ์ฐ๊ฒฐ๋์ด ์๋๊ฐ?"๊ฐ ๋ ์ค์ํ๋ค. ํ๋ฆฐํฐ, IP Phone, IoT ์ผ์, CCTV, ์๋ฃ ์ฅ๋น ๋ฑ 802.1X๋ฅผ ์ง์ํ์ง ์๋ ๋๋ฐ์ด์ค๊ฐ ๊ธฐ์ ๋คํธ์ํฌ์ ์๋น ๋ถ๋ถ์ ์ฐจ์งํ๋ค. ISE Profiler๋ ๋ค์ํ ์์ค์ ์๊ทธ๋์ ์์งํ์ฌ ์๋ํฌ์ธํธ๋ฅผ ์ ๋ฐํ๊ฒ ๋ถ๋ฅํ๋ค.
5.2 Profiling Probes
| Probe | ์์ง ๋ฐ์ดํฐ | ์ ๋ฐ๋ | ๋น๊ณ |
|---|---|---|---|
| RADIUS | Calling-Station-ID, NAS-Port, Framed-IP | ๋ฎ์ | ๊ธฐ๋ณธ ํ์ฑํ |
| DHCP | hostname, class-identifier, vendor-class | ์ค๊ฐ | ip helper-address ๋๋ SPAN |
| Device Sensor | CDP/LLDP/DHCP attributes (Switch์์ ์์ง) | ๋์ | IOS 15.x+, RADIUS accounting์ผ๋ก ์ ์ก |
| SNMP | sysObjectID, sysDescr, cdpCacheDeviceId | ๋งค์ฐ ๋์ | ISE 3.5๋ถํฐ SNMPv3 ์ง์ |
| HTTP | User-Agent string | ์ค๊ฐ | SPAN ๋๋ WLC |
| NetFlow | Traffic pattern | ๋ฎ์ | ํ์ ๊ธฐ๋ฐ ๋ถ๋ฅ ๋ณด์กฐ |
| pxGrid / MDM | MDM compliance, device model, OS | ๋งค์ฐ ๋์ | Jamf, Intune, WS1 ์ฐ๋ |
| Wi-Fi Edge Analytics | Apple/Intel/Samsung ๋๋ฐ์ด์ค ์์ฑ | ๋์ | Catalyst 9800 WLC โ RADIUS |
5.3 Certainty Factor (CF) ๋งค์นญ ๋ก์ง
ISE Profiler๋ Certainty Factor ๊ฐ์ค์น ์์คํ ์ ์ฌ์ฉํ๋ค. ๊ฐ Profiling Rule์ด ๋งค์นญ๋๋ฉด ์ ํด์ง CF ๊ฐ์ด ๋์ ๋๊ณ , Minimum Certainty Factor(MCF) ์๊ณ๊ฐ์ ์ด๊ณผํ๋ฉด ํด๋น ํ๋กํ์ผ๋ก ๋ถ๋ฅ๋๋ค.
/* Custom Profiling Policy ์์ โ Axis IP Camera */
Profile: Custom_Axis_Camera
MCF: 30
Rule 1: DHCP:vendor-class CONTAINS "AXIS" โ CF +20
Rule 2: SNMP:sysObjectID EQUALS "1.3.6.1.4.1.368" โ CF +30
Rule 3: HTTP:User-Agent CONTAINS "AXIS" โ CF +10
Rule 4: OUI EQUALS "00:40:8C" (AXIS OUI) โ CF +10
/* Rule 2๋ง ๋งค์นญ๋์ด๋ CF=30 โฅ MCF=30 โ ๋ถ๋ฅ ํ์ */
/* Rule 1+4๋ง ๋งค์นญ๋์ด๋ CF=30 โฅ MCF=30 โ ๋ถ๋ฅ ํ์ */
ISE Profiling Policy
5.4 ISE 3.x: AI Endpoint Analytics
ISE 3.0๋ถํฐ ๋์ ๋ AI Endpoint Analytics๋ ๋จธ์ ๋ฌ๋ ๊ธฐ๋ฐ์ผ๋ก ์๋ํฌ์ธํธ๋ฅผ ์๋ ๋ถ๋ฅํ๋ค. ๊ธฐ์กด Rule ๊ธฐ๋ฐ ํ๋กํ์ผ๋ง์ ๋ณด์ํ์ฌ, ์๋ ค์ง์ง ์์(Unknown) ๋๋ฐ์ด์ค๋ ํ์ ํจํด๊ณผ ์์ฑ ์ ์ฌ๋๋ฅผ ๋ถ์ํด ๊ทธ๋ฃนํํ๋ค. ISE 3.5์์๋ Authoritative Source ๊ธฐ๋ฅ์ด ์ถ๊ฐ๋์ด, MDM(Jamf ๋ฑ)์ด ํน์ ์์ฑ์ ๋ํด ISE ์์ฒด ํ๋กํ์ผ๋ง๋ณด๋ค ์ฐ์ ์๋๋๋ก ์ค์ ํ ์ ์๋ค.
06 Posture Assessment โ Compliance ์์ง
6.1 Posture ๊ฐ๋
Posture(์์ธ ํ๊ฐ)๋ ์๋ํฌ์ธํธ๊ฐ ๋คํธ์ํฌ์ ์ ๊ทผํ๊ธฐ ์ ์ ๋ณด์ ์ปดํ๋ผ์ด์ธ์ค ์ํ๋ฅผ ๊ฒ์ฆํ๋ ๋ฉ์ปค๋์ฆ์ด๋ค. AV ์ค์น ์ฌ๋ถ, OS ํจ์น ์์ค, ๋์คํฌ ์ํธํ, ๋ฐฉํ๋ฒฝ ์ํ, ๋ ์ง์คํธ๋ฆฌ ํค ์กด์ฌ ๋ฑ์ ์ ๊ฒํ๋ค.
6.2 Posture Agent vs Agentless
| ๋ฐฉ์ | Agent | ์ง์ OS | ์ ๊ฒ ๋ฒ์ |
|---|---|---|---|
| Cisco Secure Client (๊ตฌ AnyConnect) | Agent ์ค์น | Windows, macOS, Linux | ์ ์ฒด (AV, Patch, Firewall, ์ํธํ, ๋ ์ง์คํธ๋ฆฌ ๋ฑ) |
| Agentless Posture | ์์ด์ ํธ ์์ | Windows, macOS | ์ ํ์ (๊ด๋ฆฌ์ ๊ถํ์ผ๋ก WMI/SSH ์๊ฒฉ ์กฐํ) |
| Temporal Agent | ์์ ์คํ | Windows, macOS | ์ค๊ฐ (์คํ ํ ์๋ ์ญ์ ) |
6.3 Posture Flow
Posture Status = Unknown ์กฐ๊ฑด ๋งค์นญ โ Redirect to Client Provisioning Portal ํ๋กํ์ผ ์ ์ฉ/* Posture Condition ์์ */
Condition: AV_Definition_Check
Type: Anti-Virus Definition
Vendor: CrowdStrike Falcon
Check: Definition Date within 3 days
Condition: OS_Patch_Check
Type: Patch Management
OS: Windows All
Severity: Critical patches installed
Condition: Disk_Encryption_Check
Type: Disk Encryption
Vendor: BitLocker
Status: Encrypted
Requirement: Corporate_Compliance
Conditions: AV_Definition_Check AND OS_Patch_Check AND Disk_Encryption_Check
Remediation: Message + Auto-Remediation (Force Windows Update)
ISE Posture Policy
07 Guest Access โ Hotspot ยท Self-Reg ยท Sponsored
7.1 Guest Access ์ ํ
- Hotspot: ๋ณ๋ ๊ณ์ ์์ด ์ฝ๊ด ๋์๋ง์ผ๋ก ์ ์. ๊ณต๊ณต WiFi, ์ธ๋ฏธ๋์ค์ ์ ํฉ.
- Self-Registration: ๋ฐฉ๋ฌธ์๊ฐ ์ง์ ์ ๋ณด(์ด๋ฆ, ์ด๋ฉ์ผ, ์ ํ๋ฒํธ) ์ ๋ ฅ ํ ์์ ๊ณ์ ์์ฑ. SMS/Email ์ธ์ฆ ๊ฐ๋ฅ.
- Sponsored Guest: ์ฌ๋ด Sponsor(์ง์)๊ฐ Guest ๊ณ์ ์ ์์ฑํ์ฌ ๋ฐฉ๋ฌธ์์๊ฒ ์ ๊ณต. ์น์ธ ์ํฌํ๋ก์ฐ ํฌํจ.
7.2 CWA ๊ธฐ๋ฐ Guest Flow
7.3 Guest Portal ์ปค์คํฐ๋ง์ด์ง
ISE Guest Portal์ CSS/HTML ์์ค์์ ๋ธ๋๋ฉ์ด ๊ฐ๋ฅํ๋ค. ๋ก๊ณ , ์์, ์ฝ๊ด ๋ฌธ๊ตฌ, ์ธ์ด ํฉ์ ์ปค์คํฐ๋ง์ด์ฆํ์ฌ ๊ธฐ์ CI์ ๋ง์ถ Portal์ ์ ๊ณตํ ์ ์๋ค. Portal์์ ์์ง๋ Guest ์ ๋ณด๋ ISE์ Guest Endpoints DB์ ์ ์ฅ๋๋ฉฐ, ๋ง๋ฃ ์๊ฐ, ์ ์ ์๊ฐ ์ ํ, ์ ์ ํ์ ์ ํ์ ์ค์ ํ ์ ์๋ค.
08 BYOD Onboarding Pipeline
8.1 BYOD ํ๋ฆ ๊ฐ์
BYOD(Bring Your Own Device) ์จ๋ณด๋ฉ์ ์ง์์ ๊ฐ์ธ ๋๋ฐ์ด์ค๋ฅผ ๊ธฐ์ ๋คํธ์ํฌ์ ์์ ํ๊ฒ ๋ฑ๋กํ๋ ํ๋ก์ธ์ค์ด๋ค. ISE๋ ์ธ์ฆ์ ๊ธฐ๋ฐ BYOD๋ฅผ ์ง์ํ๋ฉฐ, ๋ด์ฅ CA(Certificate Authority)๋ฅผ ํตํด ๋๋ฐ์ด์ค๋ณ ๊ณ ์ ์ธ์ฆ์๋ฅผ ๋ฐ๊ธํ๋ค.
8.2 My Devices Portal
์จ๋ณด๋ฉ ์๋ฃ ํ, ์ง์์ My Devices Portal์ ํตํด ๋ฑ๋ก๋ ๊ฐ์ธ ๋๋ฐ์ด์ค๋ฅผ ๊ด๋ฆฌํ ์ ์๋ค. ๋ถ์ค/๋๋ ์ ์ธ์ฆ์๋ฅผ ์ง์ Revokeํ์ฌ ์ฆ์ ๋คํธ์ํฌ ์ ๊ทผ์ ์ฐจ๋จํ ์ ์๋ค.
8.3 Dual SSID vs Single SSID
| ๋ฐฉ์ | ์ฅ์ | ๋จ์ |
|---|---|---|
| Single SSID | ์ฌ์ฉ์ ๊ฒฝํ ์ฐ์ (ํ๋์ SSID๋ง ์ฌ์ฉ) | CoA ์์กด, WLC ๊ตฌ์ฑ ๋ณต์ก |
| Dual SSID | ๊ตฌํ ๋จ์, CoA ๋ถํ์ | ์ฌ์ฉ์๊ฐ SSID ์ ํ ํ์ |
09 TrustSec & SGT ๊ธฐ๋ฐ Micro-Segmentation
9.1 TrustSec ๊ฐ๋
Cisco TrustSec์ IP ์ฃผ์๊ฐ ์๋ Security Group Tag(SGT)๋ผ๋ ๋ ผ๋ฆฌ์ ๋ ์ด๋ธ๋ก ๋คํธ์ํฌ ์ธ๊ทธ๋ฉํ ์ด์ ์ ๊ตฌํํ๋ ์ํคํ ์ฒ์ด๋ค. ์ฌ์ฉ์/๋๋ฐ์ด์ค๊ฐ ์ธ์ฆ๋๋ฉด ISE๊ฐ SGT๋ฅผ ํ ๋นํ๊ณ , ์ด ํ๊ทธ๋ ํจํท์ ์ธ๋ผ์ธ์ผ๋ก ์ฝ์ ๋๊ฑฐ๋ SXP ํ๋กํ ์ฝ์ ํตํด ์ ํ๋๋ค.
9.2 SGT ํ ๋น ๋ฐฉ์
- Dynamic Classification (๋์ ): 802.1X/MAB ์ธ์ฆ ์ ISE Authorization Profile์์ SGT ์๋ ํ ๋น. RADIUS
cisco-av-pair: cts:security-group-tag=XXXX - Static Classification (์ ์ ): ์ธ์ฆ์ ๊ฑฐ์น์ง ์๋ ์๋ฒ/์ธํ๋ผ ์ฅ๋น์ ๋ํด ISE์์ IP-to-SGT ๋งคํ์ ์๋ ๋ฑ๋ก
- Subnet-to-SGT: ์๋ธ๋ท ๋จ์๋ก SGT๋ฅผ ์ผ๊ด ๋งคํ
9.3 SGT Propagation
| ์ ํ ๋ฐฉ์ | ๋์ | ์๊ตฌ ์ฌํญ |
|---|---|---|
| Inline Tagging (802.1AE) | ์ด๋๋ท ํ๋ ์์ SGT๋ฅผ CMD(Cisco Meta Data) ํค๋๋ก ์ฝ์ | CTS ์ง์ ์ค์์น, MACsec ๊ฐ๋ฅ |
| SXP (SGT Exchange Protocol) | Control Plane์ผ๋ก IP:SGT ๋ฐ์ธ๋ฉ ํ ์ด๋ธ ์ ํ | ์ธ๋ผ์ธ ๋ฏธ์ง์ ์ฅ๋น, ๋ฐฉํ๋ฒฝ ์ฐ๋ ์ |
| pxGrid | ISE โ FMC/Stealthwatch ๋ฑ์ SGT ์ปจํ ์คํธ ๊ณต์ | pxGrid 2.0 (WebSocket) |
9.4 SGACL (Security Group ACL) ์ ์ฑ
SGACL์ Source SGT โ Destination SGT ๋งคํธ๋ฆญ์ค ๊ธฐ๋ฐ์ ์ ๊ทผ ์ ์ด ์ ์ฑ
์ด๋ค. ISE์ Work Centers > TrustSec > Policy Matrix์์ ๊ตฌ์ฑํ๋ค.
! SGACL ์์: HR(20) โ Finance_Servers(60) = Deny
permit tcp dst eq 443 ! HTTPS๋ง ํ์ฉ
permit tcp dst eq 80 ! HTTP ํ์ฉ
deny ip ! ๋๋จธ์ง ์ ๋ถ ์ฐจ๋จ
! ์ค์์น์์ ํ์ธ
show cts role-based permissions
show cts role-based sgt-map all
show cts role-based counters
SGACL Configuration
๐๏ธ TrustSec ์ค๊ณ ๋ฒ ์คํธ ํ๋ํฐ์ค
โ Egress Enforcement: SGACL์ Egress ์ค์์น์์ ์ ์ฉํ๋ค. Ingress ์ค์์น๋ Source SGT๋ง ํ๊น
ํ๋ฉด ๋๋ค.
โก SGT ๋ค์ด๋ฐ: ๋น์ฆ๋์ค ์ญํ ๊ธฐ๋ฐ (HR, Finance, IT, Guest, IoT, Servers ๋ฑ). ๋ฒํธ๋ 10 ๋จ์๋ก ํ ๋นํ์ฌ ํ์ฅ ์ฌ์ง๋ฅผ ๋จ๊ธด๋ค.
โข Default Policy: Unknown SGT ๊ฐ ํต์ ์ ๊ธฐ๋ณธ Deny. ๋ช
์์ ์ผ๋ก ํ์ฉ๋ ํ๋ฆ๋ง Permit.
โฃ ์ ์ง์ ๋ฐฐํฌ: Monitor Mode โ Low-Impact โ Closed Mode ์์๋ก SGACL ์ ์ฉ.
10 pxGrid โ Context Sharing Ecosystem
10.1 pxGrid ์ํคํ ์ฒ
Cisco pxGrid(Platform Exchange Grid)๋ ISE๊ฐ ์์งํ ์ปจํ ์คํธ ๋ฐ์ดํฐ(์ฌ์ฉ์, ๋๋ฐ์ด์ค, SGT, ์ํ ์ ๋ณด)๋ฅผ ์๋ํํฐ ๋ณด์ ์ ํ๊ณผ ์๋ฐฉํฅ์ผ๋ก ๊ณต์ ํ๋ ํ๋ ์์ํฌ์ด๋ค. ISE 2.4๋ถํฐ ๋์ ๋ pxGrid 2.0์ WebSocket/STOMP ๊ธฐ๋ฐ์ผ๋ก ๋์ํ๋ฉฐ, REST API๋ฅผ ํตํด ํ๋ซํผ ๋ ๋ฆฝ์ ์ฐ๋์ด ๊ฐ๋ฅํ๋ค.
10.2 pxGrid ๊ตฌ์ฑ ์์
- Controller: ISE pxGrid ๋ ธ๋. Topic ๊ด๋ฆฌ, ์ฐธ๊ฐ์ ์ธ์ฆ, Publisher-Subscriber ๋งค์นญ
- Publisher: ๋ฐ์ดํฐ๋ฅผ ๋ฐํํ๋ ์ฃผ์ฒด (ISE MnT๊ฐ Session Directory ๋ฐํ)
- Subscriber: ๋ฐ์ดํฐ๋ฅผ ๊ตฌ๋ ํ๋ ์ฃผ์ฒด (FMC, Stealthwatch, Splunk, SIEM ๋ฑ)
10.3 ์ฃผ์ pxGrid ํตํฉ ์๋๋ฆฌ์ค
| ์ฐ๋ ์ ํ | ๊ณต์ ๋ฐ์ดํฐ | ํ์ฉ |
|---|---|---|
| Cisco FMC (Firepower) | User-IP ๋งคํ, SGT | NGFW์์ ์ฌ์ฉ์/SGT ๊ธฐ๋ฐ ์ ์ฑ ์ ์ฉ |
| Cisco Stealthwatch | Session context | NetFlow ๋ถ์์ ์ฌ์ฉ์ ์ปจํ ์คํธ ๊ฒฐํฉ, ์ด์ ํ์ ํ์ง |
| Splunk / SIEM | Authentication logs, SGT | ๋ณด์ ์ด๋ฒคํธ ์๊ด๋ถ์ |
| Cisco DNA Center | SGT, Policy | Intent-based ๋คํธ์ํฌ ์ธ๊ทธ๋ฉํ ์ด์ ์๋ํ |
| ServiceNow | Endpoint attributes (pxGrid Direct) | CMDB ์ฐ๋, ์์ฐ ๊ด๋ฆฌ |
10.4 pxGrid Direct (ISE 3.2+)
pxGrid Direct๋ pxGrid 2.0์ ๋ณด์ํ๋ ๊ธฐ๋ฅ์ผ๋ก, ์ธ๋ถ ๋ฐ์ดํฐ๋ฒ ์ด์ค(ServiceNow, CMDB ๋ฑ)์ ์๋ํฌ์ธํธ ์์ฑ์ ISE๋ก ์ง์ ๊ฐ์ ธ์ค๊ฑฐ๋(URL Fetch), ๋ณ๊ฒฝ ์ฌํญ์ ์ค์๊ฐ์ผ๋ก ISE์ Push(Direct Push)ํ ์ ์๋ค.
11 TACACS+ Device Administration
11.1 RADIUS vs TACACS+
| ํญ๋ชฉ | RADIUS | TACACS+ |
|---|---|---|
| ์ฃผ์ ์ฉ๋ | Network Access (์ฌ์ฉ์/๋๋ฐ์ด์ค ์ธ์ฆ) | Device Administration (์ฅ๋น ๊ด๋ฆฌ์ ์ธ์ฆ) |
| ํ๋กํ ์ฝ | UDP 1812/1813 | TCP 49 |
| ์ํธํ | ๋น๋ฐ๋ฒํธ๋ง ์ํธํ | ์ ์ฒด Payload ์ํธํ |
| AAA ๋ถ๋ฆฌ | Authentication + Authorization ๊ฒฐํฉ | Authentication, Authorization, Accounting ์์ ๋ถ๋ฆฌ |
| Command Authorization | ๋ฏธ์ง์ | ์ง์ (๋ช ๋ น์ด๋ณ ํ์ฉ/์ฐจ๋จ) |
11.2 TACACS+ Policy ๊ตฌ์ฑ
/* ISE TACACS+ Device Admin Policy Set ์์ */
Policy Set: Network_Device_Admin
Condition: DEVICE:Device Type = "Switches"
Authentication:
Rule 1: Default โ AD (Network_Admins OU)
Authorization:
Rule 1: AD:Group = "Senior_Network_Engineers"
โ Shell Profile: Priv15
โ Command Set: Permit_All
Rule 2: AD:Group = "Junior_Network_Engineers"
โ Shell Profile: Priv1
โ Command Set: Show_Only
/* show, ping, traceroute๋ง ํ์ฉ, config ๋ช
๋ น ์ฐจ๋จ */
Rule 3: AD:Group = "NOC_Operators"
โ Shell Profile: Priv1
โ Command Set: Monitor_Only
Default: DenyAllCommands
ISE TACACS+ Policy
! Switch-side TACACS+ Configuration
aaa new-model
aaa authentication login default group tacacs+ local
aaa authorization exec default group tacacs+ local
aaa authorization commands 15 default group tacacs+ local
aaa accounting exec default start-stop group tacacs+
aaa accounting commands 15 default start-stop group tacacs+
tacacs server ISE-PSN-1
address ipv4 10.10.10.100
key Cisco!SecretKey#2026
timeout 5
IOS-XE TACACS+
12 ISE 3.x ์ ๊ท ๊ธฐ๋ฅ & ๋ผ์ด์ ์ฑ
12.1 ๋ฒ์ ๋ณ ์ฃผ์ ๊ธฐ๋ฅ
| ๋ฒ์ | ํต์ฌ ๊ธฐ๋ฅ |
|---|---|
| 3.0 | AI Endpoint Analytics, Agentless Posture, AWS ๋ฐฐํฌ, ๋ผ์ด์ ์ค ์ฒด๊ณ ๊ฐํธ |
| 3.1 | pxGrid 1.0 Deprecated, API Gateway ํตํฉ, GUI ๊ฐ์ |
| 3.2 | pxGrid Direct, SGT + Virtual Network ์กฐํฉ, Dashboard ๊ฐ์ |
| 3.3 | ARM64 Posture, Very Small Node(8 vCPU), Tenable API Key ์ธ์ฆ, AD Join Point ๋ฆฌ์์ค ๋ถ๋ฆฌ |
| 3.4 | Operational Intelligence, ํฅ์๋ Health Check, ํ์ฌ Suggested Release |
| 3.5 | SNMPv3 Profiling, Authoritative Source, 200K Network Devices, Entra Device AuthZ, Full IPv6 Single-Stack, TACACS+ AD Lockout Prevention |
12.2 ๋ผ์ด์ ์ค ์ฒด๊ณ (Nested Doll Model)
ISE 3.x๋ Essentials โ Advantage โ Premier ๊ตฌ์กฐ๋ฅผ ์ฑํํ์๋ค. ์์ ํฐ์ด๊ฐ ํ์ ํฐ์ด์ ๋ชจ๋ ๊ธฐ๋ฅ์ ํฌํจํ๋ค.
| ๋ผ์ด์ ์ค | ํฌํจ ๊ธฐ๋ฅ |
|---|---|
| Essentials | 802.1X/MAB, Guest Access, Basic Profiling, Posture (Agent/Agentless) |
| Advantage | Essentials + AI Endpoint Analytics, BYOD, pxGrid, TrustSec SGT, Context Sharing |
| Premier | Advantage + TC-NAC, Compliance (์ง์์ Posture), Threat Intelligence ์ฐ๋, Entra Device AuthZ |
13 Scalability & High Availability ์ค๊ณ
13.1 ๋ฐฐํฌ ๊ท๋ชจ๋ณ ์ต๋ ์๋ํฌ์ธํธ
| ๋ฐฐํฌ ๊ท๋ชจ | Max Active Endpoints | Max PSN ์ | Max Network Devices |
|---|---|---|---|
| Small | 50,000 | 5 | 10,000 |
| Medium | 150,000 | 15 | 50,000 |
| Large (SNS 3795) | 2,000,000 | 50 | 200,000 (ISE 3.5) |
13.2 HA ์ ๋ต
- PAN HA: Primary/Secondary Active-Standby. Auto Promotion์ผ๋ก ์ฅ์ ์ Secondary๊ฐ Primary ์น๊ฒฉ.
- PSN HA: Load Balancer VIP ๋ค์ Active-Active ๊ตฌ์ฑ. NAD์์ Primary/Secondary/Tertiary RADIUS ์๋ฒ๋ก ์ค์ .
- MnT HA: Primary/Secondary. ๋ก๊ทธ ์์ง ์ด์คํ.
- pxGrid HA: ์ต๋ 4๋ ธ๋ Active-Active. ํด๋ผ์ด์ธํธ๋ ์๋ฌด ๋ ธ๋์๋ ์ฐ๊ฒฐ ๊ฐ๋ฅ.
13.3 PSN Node Group
URL Redirect ์๋น์ค(Guest, Posture, BYOD)๋ฅผ ์ฌ์ฉํ๋ ๊ฒฝ์ฐ, Redirect URL์ ํน์ PSN์ FQDN์ด ํฌํจ๋๋ค. ์ด PSN์ด ๋ค์ด๋๋ฉด Redirect๊ฐ ์คํจํ๋ค. PSN Node Group์ ๊ตฌ์ฑํ๋ฉด, ๊ฐ์ ๊ทธ๋ฃน์ ๋ค๋ฅธ PSN์ด Redirect ์ฒ๋ฆฌ๋ฅผ ๋ํํ ์ ์๋ค.
13.4 Multi-DC ์ฅ์ ์๋๋ฆฌ์ค
/* DC-A ์ ์ฒด ์ฅ์ ์ NAD Failover ์์ */
NAD Config:
Primary RADIUS: PSN-DC-A-1 (10.1.1.10)
Secondary RADIUS: PSN-DC-B-1 (10.2.1.10)
Tertiary RADIUS: PSN-DC-C-1 (10.3.1.10)
Deadtime: 5 minutes
/* DC-A ์ฅ์ โ NAD๊ฐ ์๋์ผ๋ก DC-B PSN์ผ๋ก Failover */
/* 5๋ถ Deadtime ํ DC-A ๋ณต๊ตฌ๋๋ฉด ๋ค์ Primary๋ก ๋ณต๊ท */
RADIUS Failover
authentication event server dead action authorize vlan 999 โ ๋ชจ๋ RADIUS ์๋ฒ๊ฐ ๋๋ฌ ๋ถ๊ฐ๋ฅํ ๋, ์๋ํฌ์ธํธ๋ฅผ Critical VLAN์ผ๋ก ํ ๋นํ์ฌ ์ต์ํ์ ๋คํธ์ํฌ ์ ๊ทผ์ ๋ณด์ฅํ๋ค. ์ด ์ค์ ์์ด ์๋ฒ ์ฅ์ ๊ฐ ๋ฐ์ํ๋ฉด ์ ์ฒด ๋คํธ์ํฌ ์ ๊ทผ ์ฐจ๋จ์ด๋ผ๋ ์ฌ์์ด ๋ฐ์ํ๋ค.
14 Troubleshooting Methodology
14.1 ISE ์ธก ์ง๋จ ๋๊ตฌ
- Operations โ RADIUS โ Live Logs: ์ค์๊ฐ ์ธ์ฆ/์ธ๊ฐ ๊ฒฐ๊ณผ ํ์ธ. ๊ฐ์ฅ ๋จผ์ ํ์ธํด์ผ ํ ๊ณณ.
- Operations โ RADIUS โ Live Sessions: ํ์ฌ ํ์ฑ ์ธ์ ์ ์์ธ ์ ๋ณด (IP, MAC, Profile, SGT, Posture Status)
- Operations โ Reports: Authentication Summary, Failed Attempts, RADIUS Accounting ๋ฑ
- Operations โ Troubleshoot โ Diagnostic Tools โ Execute Network Device Command: ISE์์ ์ง์ NAD์ ๋ช ๋ น ์คํ
- Administration โ System โ Logging โ Debug Log Configuration: ์ปดํฌ๋ํธ๋ณ Debug Level ์กฐ์
14.2 Switch/WLC ์ธก ์ง๋จ ๋ช ๋ น์ด
! ์ธ์ฆ ์ธ์
์ํ ํ์ธ
show authentication sessions interface Gi1/0/1 details
show authentication sessions mac 00:11:22:33:44:55 details
! RADIUS ํต์ ํ์ธ
debug radius authentication
debug radius accounting
debug dot1x all
! DACL/ACL ํ์ธ
show ip access-lists interface Gi1/0/1
! TrustSec SGT ํ์ธ
show cts role-based sgt-map all
show cts role-based permissions
show cts role-based counters
! Device Sensor ํ์ธ
show device-sensor cache interface Gi1/0/1
show ip device tracking all
! AAA ์ํ
show aaa servers
test aaa group ISE-RADIUS testuser testpass new-code
IOS-XE Troubleshooting
14.3 ์ผ๋ฐ์ ๋ฌธ์ โ ์์ธ โ ํด๊ฒฐ
| ์ฆ์ | ๊ฐ๋ฅํ ์์ธ | ํด๊ฒฐ ๋ฐฉ๋ฒ |
|---|---|---|
| 802.1X ์ธ์ฆ ์คํจ | ์ธ์ฆ์ ๋ง๋ฃ, EAP ํ์ ๋ถ์ผ์น, AD ๋น๋ฐ๋ฒํธ ๋ถ์ผ์น | ISE Live Logs์์ Failure Reason ํ์ธ, Allowed Protocols ์ ๊ฒ |
| MAB ํ ํ๋กํ์ผ ๋ฏธ๋ถ๋ฅ | DHCP Helper ๋ฏธ์ค์ , Device Sensor ๋ฏธํ์ฑํ | Profiling Probe ์ํ ํ์ธ, SPAN ๊ตฌ์ฑ ์ ๊ฒ |
| Guest Portal ๋ฆฌ๋ค์ด๋ ํธ ์ ๋จ | Redirect ACL ๋ฏธ์ ์ฉ, DNS ๋ฏธํด์, HTTP๊ฐ ์๋ HTTPS ์ ์ | ACL ๋งค์นญ ํ์ธ, DNS Redirect ์ค์ , HTTP ํธ๋ํฝ ํ์ฉ |
| Posture ์ํ Unknown ์ ์ง | Client Provisioning ์คํจ, Agent ๋ฏธ์ค์น | CP Policy ํ์ธ, ํฌํ ์ ๊ทผ ACL ์ ๊ฒ |
| CoA ๋ฏธ๋์ | CoA Port(3799) ์ฐจ๋จ, NAD์์ CoA ๋นํ์ฑ | aaa server radius dynamic-author ์ค์ ํ์ธ, ๋ฐฉํ๋ฒฝ ๊ท์น ์ ๊ฒ |
| SGT ๋ฏธํ ๋น | Authorization Profile์ SGT ๋ฏธ์ค์ , CTS ๋ฏธํ์ฑ | ISE AuthZ Profile ํ์ธ, ์ค์์น cts ๊ด๋ จ ์ค์ ์ ๊ฒ |
tcpdump์ ์คํํ์ฌ RADIUS ํจํท์ ์บก์ฒํ ์ ์๋ค. ํนํ EAP ํธ๋์
ฐ์ดํฌ ๋ฌธ์ ๋ถ์ ์ ๊ฐ๋ ฅํ ๋๊ตฌ์ด๋ค:
ise/admin# tcpdump -i eth0 -s 0 -w /tmp/radius.pcap port 1812
15 ์ค์ ๋ฐฐํฌ ์ ๋ต โ Phased Deployment
Phase 1: Monitor Mode (๊ฐ์์ฑ ํ๋ณด)
802.1X + MAB๋ฅผ ํ์ฑํํ๋, ์ธ์ฆ ์คํจ ์์๋ ๋คํธ์ํฌ ์ ๊ทผ์ ์ฐจ๋จํ์ง ์๋๋ค. ๋ชฉ์ ์ ๊ธฐ์กด ๋คํธ์ํฌ์ ์ํฅ ์์ด ์ด๋ค ๋๋ฐ์ด์ค๊ฐ ์ธ์ฆ์ ์๋ํ๊ณ , ์ด๋ค ํ๋กํ์ผ๋ก ๋ถ๋ฅ๋๋์ง ๋ฐ์ดํฐ๋ฅผ ์์งํ๋ ๊ฒ์ด๋ค.
- Switch:
authentication open+authentication port-control auto - ISE: Authentication Rule โ Continue on Failure / User Not Found
- ISE: Authorization โ Access-Accept only (DACL/VLAN/SGT ์์ด ๊ธฐ๋ณธ ํ์ฉ)
- ๋ชฉํ: ์ต์ 2-4์ฃผ๊ฐ ๋ฐ์ดํฐ ์์ง. Profiling ์ ํ๋ ๊ฒ์ฆ.
Phase 2: Low-Impact Mode (์ ์ง์ ์ ์ด)
Pre-Auth ACL(Pre-Authentication Open ACL)์ ์ฌ์ฉํ์ฌ, ์ธ์ฆ ์ ์๋ DHCP, DNS, TFTP ๋ฑ ๊ธฐ๋ณธ ์๋น์ค ์ ๊ทผ์ ํ์ฉํ๋, ์ธ์ฆ ํ ๋ ๋์ ์ ๊ทผ ๊ถํ์ ๋ถ์ฌํ๋ค.
- Switch:
ip access-group ACL-DEFAULT in(DHCP, DNS, ISE Portal ํ์ฉ) - ISE: Authorization์์ DACL ์ ์ฉ ์์ (์ ํ๋ ๋ฒ์)
- ๋ชฉํ: ์ธ์ฆ ์คํจ ๋๋ฐ์ด์ค ์๋ณ ๋ฐ ์์ธ ์ฒ๋ฆฌ ๊ตฌ์ถ
Phase 3: Closed Mode (์์ ์ ์ด)
์ธ์ฆ๋์ง ์์ ํธ๋ํฝ์ ์์ ์ฐจ๋จํ๋ค. 802.1X ๋๋ MAB ์ธ์ฆ์ ์ฑ๊ณตํด์ผ๋ง ๋คํธ์ํฌ ์ ๊ทผ์ด ๊ฐ๋ฅํ๋ค.
- Switch:
authentication port-control auto(open ์ ๊ฑฐ) - ISE: Full Authorization Profile (VLAN + DACL + SGT)
- Critical VLAN, Server Dead Action ๋ฑ Failsafe ๋ฐ๋์ ๊ตฌ์ฑ
Phase 4: TrustSec Enforcement (์ธ๊ทธ๋ฉํ ์ด์ )
SGT ํ ๋น์ด ์์ ํ๋ ํ, SGACL์ ์ ์ง์ ์ผ๋ก ํ์ฑํํ์ฌ ๋ง์ดํฌ๋ก์ธ๊ทธ๋ฉํ ์ด์ ์ ์์ฑํ๋ค.
- TrustSec Policy Matrix์์ Monitor Mode๋ก SGACL ์ ์ฉ (๋ก๊ทธ๋ง ์์ง)
- ํธ๋ํฝ ํจํด ๋ถ์ ํ Enforce Mode๋ก ์ ํ
- ์ต์ข ๋ชฉํ: IP ๊ธฐ๋ฐ ACL์ SGT ๊ธฐ๋ฐ ์ ์ฑ ์ผ๋ก ์์ ๋์ฒด
๐ฏ Expert's Final Advice
ISE ๋ฐฐํฌ์์ ๊ฐ์ฅ ์ค์ํ ๊ฒ์ ๊ธฐ์ ์ด ์๋๋ผ ํ๋ก์ธ์ค์ด๋ค. ์ฌ์ ์ ์๋ํฌ์ธํธ ์ธ๋ฒคํ ๋ฆฌ๋ฅผ ํ๋ณดํ๊ณ , ๋ถ์๋ณ ์คํ ์ดํฌํ๋์ ์ ์ฑ ์๊ตฌ์ฌํญ์ ํฉ์ํ๋ฉฐ, ์์ธ ์ฒ๋ฆฌ ํ๋ก์ธ์ค(MAC ํ์ดํธ๋ฆฌ์คํธ, ์์ Guest ๋ฑ)๋ฅผ ๋ฌธ์ํํด์ผ ํ๋ค. ๊ธฐ์ ์ ์ผ๋ก ์๋ฒฝํ ISE ๊ตฌ์ฑ๋, ์ฌ์ ์ค๋น ์์ด ๋ฐฐํฌํ๋ฉด "ํ๋ฆฐํฐ๊ฐ ์ ๋ฉ๋๋ค" ํ ํต์ ์ ํ๋ก ํ๋ก์ ํธ๊ฐ ๋กค๋ฐฑ๋๋ค.
๋ํ, Change of Authorization(CoA)๊ฐ ๋ชจ๋ ๋์ ์ ์ฑ ์ ํต์ฌ์ด๋ฏ๋ก, NAD์ CoA ์ง์ ์ฌ๋ถ์ ๋ฐฉํ๋ฒฝ ๊ท์น(UDP 3799)์ ๋ฐ๋์ ์ฌ์ ๊ฒ์ฆํด์ผ ํ๋ค.
'CCIE EI > Secure LAN - ISE' ์นดํ ๊ณ ๋ฆฌ์ ๋ค๋ฅธ ๊ธ
| Cisco ISE ๋ผ์ด์ผ์ค ์ง์ ์ฒด๊ณ. (0) | 2026.03.14 |
|---|---|
| Cisco ISE SNS3715์ฅ๋น EoL๋๋ค. (0) | 2026.03.14 |
| Protect Ransomware Process within ISE with FTD/FMC (0) | 2026.02.18 |