ISE Deep Dive

🛡️ Expert-Level Technical Series

Cisco ISE Deep Dive
완전 정복 가이드

Architecture · 802.1X · Profiling · Posture · Guest · BYOD · TrustSec · pxGrid · TACACS+ · Troubleshooting

📅 2026.03.23 ⏱️ 약 45분 읽기 🏷️ ISE 3.x / CCIE Security

📑 목차 (Table of Contents)

1. ISE 개요 및 Zero Trust에서의 역할
2. Architecture Deep Dive — Persona, Node, Deployment 모델
3. Authentication 메커니즘 — 802.1X · MAB · WebAuth
4. Authorization Policy & Policy Sets 설계
5. Profiling — 엔드포인트 식별과 분류
6. Posture Assessment — Compliance 엔진
7. Guest Access — Hotspot · Self-Reg · Sponsored
8. BYOD Onboarding Pipeline
9. TrustSec & SGT 기반 Micro-Segmentation
10. pxGrid — Context Sharing Ecosystem
11. TACACS+ Device Administration
12. ISE 3.x 신규 기능 & 라이선싱
13. Scalability & High Availability 설계
14. Troubleshooting Methodology
15. 실전 배포 전략 — Phased Deployment

01 ISE 개요 및 Zero Trust에서의 역할

Cisco Identity Services Engine(ISE)은 엔터프라이즈 네트워크에서 정책 결정 포인트(Policy Decision Point, PDP)로 기능하는 차세대 NAC(Network Access Control) 플랫폼이다. 단순한 AAA 서버를 넘어, 사용자·디바이스·애플리케이션 컨텍스트를 수집하고, 이를 기반으로 접근 정책을 동적으로 적용하며, 위협을 실시간으로 격리하는 Zero Trust Architecture의 핵심 엔진이다.

ISE가 해결하는 핵심 문제

• Visibility Gap: 네트워크에 연결된 모든 엔드포인트(사용자, IoT, OT 장비)의 정체를 파악하지 못하면 정책을 세울 수 없다.
• Policy Fragmentation: Wired, Wireless, VPN, DC, Cloud 각 도메인마다 별도 정책 컨트롤러가 존재하여 일관된 보안이 어렵다.
• Static ACL 한계: IP 기반 ACL은 사용자 로밍, DHCP 환경에서 무력하며, 수천 줄의 ACE 관리는 운영 악몽이다.
• Compliance Enforcement: 엔드포인트의 보안 상태(패치, AV, 암호화) 미확인 시 네트워크 접근을 허용하는 것은 Zero Trust 위반이다.

💡 ISE의 3대 축 (Three Pillars)

① Visibility — 프로파일링 + AI Endpoint Analytics로 "Who/What is on the network" 확보
② Control — 802.1X, MAB, WebAuth, Posture를 통한 인증·인가·컴플라이언스 강제
③ Segmentation — TrustSec SGT 기반 마이크로세그멘테이션으로 lateral movement 차단

ISE는 RADIUS/TACACS+ 프로토콜을 처리하는 동시에, DHCP, CDP, LLDP, NetFlow, HTTP, SNMP 등 다양한 프로토콜의 컨텍스트 데이터를 수집한다. 수집된 컨텍스트는 Security Group Tag(SGT)라는 레이블로 추상화되어, 네트워크·보안 도메인 전체에 일관된 정책 식별자로 배포된다.

02 Architecture Deep Dive — Persona · Node · Deployment

2.1 ISE Persona (역할 분리)

ISE 아키텍처의 핵심은 Persona 기반 역할 분리이다. 각 ISE 노드는 하나 이상의 Persona를 실행할 수 있으며, 소규모 환경에서는 모든 Persona를 단일 노드에 통합(Standalone), 대규모 환경에서는 전용 노드로 분산(Distributed) 배포한다.

Persona	약칭	핵심 기능	HA 구성
Administration	PAN	정책 구성, 라이선스 관리, DB Replication Master, GUI 제공	Active/Standby (최대 2노드)
Policy Service	PSN	RADIUS/TACACS+ 처리, Profiling Probe, Posture, Guest, BYOD	Active/Active (LB VIP 사용), 최대 50 PSN
Monitoring	MnT	로그 수집·상관분석, 리포트, 알람	Active/Standby (최대 2노드)
pxGrid	PXG	컨텍스트 공유 허브 (WebSocket/STOMP)	Active/Active (최대 4노드)

2.2 Distributed Deployment 아키텍처

┌─────────────────────────────────────────────────────────────┐ │ DATA CENTER 1 │ │ ┌──────────┐ ┌──────────┐ ┌──────────┐ ┌──────────┐ │ │ │ Primary │ │ Primary │ │ PSN-1 │ │ PXG-1 │ │ │ │ PAN │◄─►│ MnT │ │(RADIUS) │ │ (pxGrid) │ │ │ └──────────┘ └──────────┘ └──────────┘ └──────────┘ │ │ ▲ ▲ ▲ │ │ │ DB Repl │ Syslog │ RADIUS │ │========│==============│==============│=======================│ │ ▼ ▼ ▼ │ │ WAN / MPLS / SD-WAN │ │========│==============│==============│=======================│ │ ▼ ▼ ▼ │ │ DATA CENTER 2 │ │ ┌──────────┐ ┌──────────┐ ┌──────────┐ ┌──────────┐ │ │ │Secondary │ │Secondary │ │ PSN-2 │ │ PXG-2 │ │ │ │ PAN │◄─►│ MnT │ │(RADIUS) │ │ (pxGrid) │ │ │ └──────────┘ └──────────┘ └──────────┘ └──────────┘ │ └─────────────────────────────────────────────────────────────┘ PSN은 지역별 AD와 co-locate | PAN↔PSN 간 latency ≤ 300ms RTT

2.3 설계 핵심 원칙

• PAN-PSN 간 지연: Round-trip 300ms 이내. DB Replication과 정책 Push가 이 링크를 사용한다.
• PSN-MnT 간 대역폭: Audit Log가 대량 전송되므로 충분한 bandwidth 확보 필수.
• PSN-AD Co-location: RADIUS 인증 시 AD Lookup이 발생하므로, PSN과 AD DC를 같은 사이트에 배치한다.
• Load Balancer: Calling-Station-ID(MAC) 기반 Sticky Session으로 PSN 분산. URL Redirect 서비스(Guest, Posture) 사용 시 PSN Node Group 구성 필수.
• N+1 또는 N+2 Redundancy: PSN 그룹 내 예비 노드를 확보하여, 단일 PSN 장애 시에도 인증 처리량 유지.

💡 Expert Tip

ISE 3.3부터 Very Small Deployment Node(8 vCPU)가 지원된다. 원격지 임시 배포나 Lab 환경에서 리소스를 절약할 수 있다. 단, Production 환경에서는 SNS 3615/3655/3795 급 하드웨어를 권장한다.

03 Authentication 메커니즘

3.1 802.1X (EAP 기반 인증)

802.1X는 ISE에서 가장 강력한 인증 방식이다. Supplicant ↔ Authenticator(Switch/WLC) ↔ Authentication Server(ISE) 3자 구조로 동작하며, EAPoL(EAP over LAN)로 캡슐화된 인증 프레임이 교환된다.

주요 EAP 방식 비교

EAP 방식	인증 요소	Inner Method	특징
EAP-TLS	인증서 (Mutual TLS)	없음	최고 보안, 인증서 인프라(PKI) 필수
PEAP-MSCHAPv2	서버 인증서 + 사용자 ID/PW	MSCHAPv2	가장 일반적, AD 통합 용이
EAP-FAST	PAC 또는 인증서	MSCHAPv2/GTC	Cisco 독자, EAP Chaining 지원
TEAP	인증서 + ID/PW	EAP-TLS + MSCHAPv2	RFC 7170 표준, Machine+User Chaining

ℹ️ EAP Chaining이란?

단일 EAP 세션 내에서 Machine Authentication + User Authentication을 순차 수행하는 기법이다. TEAP 또는 EAP-FAST에서 지원하며, "이 장비가 회사 소유이고 + 이 사용자가 인증된 직원"임을 동시에 검증한다. ISE Authorization Policy에서 Network Access:EAPChainingResult = User and Machine Both Succeeded 조건으로 정밀 정책을 구성할 수 있다.

3.2 MAB (MAC Authentication Bypass)

802.1X Supplicant가 없는 디바이스(프린터, IP Phone, IoT, OT 장비)에 대해 MAC 주소를 ID로 사용하는 Fallback 인증이다.

! Switch Configuration — 802.1X + MAB Fallback
interface GigabitEthernet1/0/1
 switchport mode access
 switchport access vlan 100
 authentication port-control auto
 authentication order dot1x mab
 authentication priority dot1x mab
 mab
 dot1x pae authenticator
 dot1x timeout tx-period 10
 authentication timer reauthenticate 3600
 authentication event fail action next-method
 authentication event server dead action authorize vlan 999
 authentication event server alive action reinitialize
IOS-XE 802.1X + MAB

⚠️ MAB 보안 한계

MAC 주소는 스푸핑이 가능하므로, MAB 단독으로는 보안성이 낮다. 반드시 Profiling과 결합하여 디바이스 종류를 확인하고, 최소 권한 원칙에 따라 제한된 DACL/SGT를 부여해야 한다.

3.3 Web Authentication (CWA / LWA)

• CWA (Central Web Authentication): ISE가 직접 Web Portal을 호스팅. Switch/WLC가 HTTP Redirect ACL을 적용하여 트래픽을 ISE로 리다이렉트. Guest, BYOD 온보딩에 사용.
• LWA (Local Web Authentication): Switch/WLC 자체 Portal. ISE는 뒷단 RADIUS 서버 역할만 수행. 기능이 제한적이라 CWA 권장.

3.4 Authentication Flow (802.1X 기준)

Endpoint Switch (NAD) ISE (PSN) AD/LDAP │ │ │ │ │──EAPoL-Start──────►│ │ │ │◄─EAP-Request/ID───│ │ │ │──EAP-Response/ID──►│ │ │ │ │──RADIUS Access-Req─►│ │ │ │ │──LDAP/Kerberos───►│ │ │ │◄─Auth Result──────│ │ │ │ │ │◄──────────── EAP Challenge/Response (TLS Tunnel) ──────────►│ │ │ │ │ │ │◄─RADIUS Accept──────│ │ │ │ (VLAN, DACL, SGT) │ │ │◄─EAPoL-Success────│ │ │ │ │ │ │ │ ═══ DATA FLOW (Authorized) ════════════════════════════════│

04 Authorization Policy & Policy Sets 설계

4.1 Policy Set 계층 구조

ISE의 정책 엔진은 계층적 Policy Set 구조로 동작한다. 최상위에 Policy Set 매칭 조건이 있고, 각 Set 내부에 Authentication Policy → Authorization Policy → Exception Policy가 순서대로 평가된다.

┌─────────────────────────────────────────────────┐ │ POLICY SET: "Wired_Access" │ │ Condition: RADIUS:NAS-Port-Type = Ethernet │ │ Allowed Protocols: Default Network Access │ ├─────────────────────────────────────────────────┤ │ ┌─── AUTHENTICATION POLICY ───────────────┐ │ │ │ Rule 1: Dot1X → AD (Primary) │ │ │ │ Rule 2: MAB → Internal Endpoints │ │ │ │ Default: Deny Access │ │ │ └─────────────────────────────────────────┘ │ │ │ │ ┌─── AUTHORIZATION POLICY ────────────────┐ │ │ │ Rule 1: AD:Group=IT_Admin │ │ │ │ → Full_Access + SGT:IT(10) │ │ │ │ Rule 2: AD:Group=HR │ │ │ │ → HR_DACL + SGT:HR(20) │ │ │ │ Rule 3: EndpointProfile=Cisco-IP-Phone │ │ │ │ → Voice_VLAN + SGT:Voice(30) │ │ │ │ Rule 4: EAPChaining=Both_Succeeded │ │ │ │ → Employee_Full + SGT:Emp(40) │ │ │ │ Default: Guest_Redirect │ │ │ └─────────────────────────────────────────┘ │ │ │ │ ┌─── EXCEPTION POLICY ───────────────────┐ │ │ │ Quarantine Rule: Threat Detected │ │ │ │ → Quarantine_VLAN │ │ │ └─────────────────────────────────────────┘ │ └─────────────────────────────────────────────────┘

4.2 Authorization Profile 핵심 요소

• VLAN Assignment: Tunnel-Private-Group-ID RADIUS 속성으로 동적 VLAN 할당
• Downloadable ACL (DACL): ISE에서 Switch로 ACL을 Push. Per-session granularity 제공
• Security Group Tag (SGT): cisco-av-pair: cts:security-group-tag=XXXX로 SGT 할당
• URL Redirect: Guest Portal, BYOD Portal, Posture Portal로의 CWA 리다이렉트
• Reauthentication Timer: Session Timeout + CoA를 통한 주기적 재인증
• Voice Domain Permission: device-traffic-class=voice VSA로 IP Phone 음성 VLAN 인가

4.3 Condition Dictionary 활용

ISE는 수십 개의 Dictionary를 제공하며, Authorization 조건에서 다양한 속성 조합이 가능하다:

/* Expert-Level Authorization Condition 예시 */

Condition:
  IdentityGroup:Name EQUALS "Employee"
  AND
  Network Access:EAPChainingResult EQUALS "User and machine both succeeded"
  AND
  Session:PostureStatus EQUALS "Compliant"
  AND
  DEVICE:Location EQUALS "Seoul_HQ"

Result:
  Profile: Full_Network_Access
  SGT: Employee_Trusted (0010)
ISE Policy Condition

💡 설계 원칙: Deny by Default

Authorization Policy의 Default Rule은 반드시 Deny 또는 최소 접근(Guest Redirect)으로 설정한다. "Permit Access"가 Default인 환경은 보안 구멍이다. 명시적으로 매칭되지 않는 모든 세션은 차단하는 것이 Zero Trust 원칙이다.

05 Profiling — 엔드포인트 식별과 분류

5.1 프로파일링이 필요한 이유

"누가 네트워크에 연결되어 있는가?"는 절반의 질문이다. "무엇이 연결되어 있는가?"가 더 중요하다. 프린터, IP Phone, IoT 센서, CCTV, 의료 장비 등 802.1X를 지원하지 않는 디바이스가 기업 네트워크의 상당 부분을 차지한다. ISE Profiler는 다양한 소스의 시그널을 수집하여 엔드포인트를 정밀하게 분류한다.

5.2 Profiling Probes

Probe	수집 데이터	정밀도	비고
RADIUS	Calling-Station-ID, NAS-Port, Framed-IP	낮음	기본 활성화
DHCP	hostname, class-identifier, vendor-class	중간	ip helper-address 또는 SPAN
Device Sensor	CDP/LLDP/DHCP attributes (Switch에서 수집)	높음	IOS 15.x+, RADIUS accounting으로 전송
SNMP	sysObjectID, sysDescr, cdpCacheDeviceId	매우 높음	ISE 3.5부터 SNMPv3 지원
HTTP	User-Agent string	중간	SPAN 또는 WLC
NetFlow	Traffic pattern	낮음	행위 기반 분류 보조
pxGrid / MDM	MDM compliance, device model, OS	매우 높음	Jamf, Intune, WS1 연동
Wi-Fi Edge Analytics	Apple/Intel/Samsung 디바이스 속성	높음	Catalyst 9800 WLC → RADIUS

5.3 Certainty Factor (CF) 매칭 로직

ISE Profiler는 Certainty Factor 가중치 시스템을 사용한다. 각 Profiling Rule이 매칭되면 정해진 CF 값이 누적되고, Minimum Certainty Factor(MCF) 임계값을 초과하면 해당 프로파일로 분류된다.

/* Custom Profiling Policy 예시 — Axis IP Camera */

Profile: Custom_Axis_Camera
MCF: 30

Rule 1: DHCP:vendor-class CONTAINS "AXIS"          → CF +20
Rule 2: SNMP:sysObjectID EQUALS "1.3.6.1.4.1.368"  → CF +30
Rule 3: HTTP:User-Agent CONTAINS "AXIS"           → CF +10
Rule 4: OUI EQUALS "00:40:8C" (AXIS OUI)          → CF +10

/* Rule 2만 매칭되어도 CF=30 ≥ MCF=30 → 분류 확정 */
/* Rule 1+4만 매칭되어도 CF=30 ≥ MCF=30 → 분류 확정 */
ISE Profiling Policy

5.4 ISE 3.x: AI Endpoint Analytics

ISE 3.0부터 도입된 AI Endpoint Analytics는 머신러닝 기반으로 엔드포인트를 자동 분류한다. 기존 Rule 기반 프로파일링을 보완하여, 알려지지 않은(Unknown) 디바이스도 행위 패턴과 속성 유사도를 분석해 그룹핑한다. ISE 3.5에서는 Authoritative Source 기능이 추가되어, MDM(Jamf 등)이 특정 속성에 대해 ISE 자체 프로파일링보다 우선시되도록 설정할 수 있다.

🚨 Randomized MAC Address 대응

iOS 14+, Android 10+, Windows 10+에서 Private(Randomized) MAC이 기본 활성화되었다. MAC 기반 프로파일링과 MAB 인증에 심각한 영향을 준다. 대응 방안: DHCP hostname, HTTP User-Agent, Device Sensor 데이터를 적극 활용하고, 가능하면 802.1X 인증서 기반으로 전환한다.

06 Posture Assessment — Compliance 엔진

6.1 Posture 개념

Posture(자세 평가)는 엔드포인트가 네트워크에 접근하기 전에 보안 컴플라이언스 상태를 검증하는 메커니즘이다. AV 설치 여부, OS 패치 수준, 디스크 암호화, 방화벽 상태, 레지스트리 키 존재 등을 점검한다.

6.2 Posture Agent vs Agentless

방식	Agent	지원 OS	점검 범위
Cisco Secure Client (구 AnyConnect)	Agent 설치	Windows, macOS, Linux	전체 (AV, Patch, Firewall, 암호화, 레지스트리 등)
Agentless Posture	에이전트 없음	Windows, macOS	제한적 (관리자 권한으로 WMI/SSH 원격 조회)
Temporal Agent	임시 실행	Windows, macOS	중간 (실행 후 자동 삭제)

6.3 Posture Flow

1

초기 인증: 802.1X/MAB 인증 성공 → ISE Authorization에서 Posture Status = Unknown 조건 매칭 → Redirect to Client Provisioning Portal 프로파일 적용

2

Agent Provisioning: 엔드포인트가 Portal에 접근 → Cisco Secure Client + Compliance Module 다운로드/설치

3

Posture Check: Agent가 ISE에 등록된 Posture Policy 기반으로 엔드포인트 상태 점검

4

Compliant: 모든 필수 요건 충족 → ISE가 CoA (Change of Authorization) 발행 → Switch/WLC가 세션 재인가 → Full Access 프로파일 적용

5

Non-Compliant: 요건 미충족 → Remediation 시간 부여 → 실패 시 Quarantine VLAN으로 이동 또는 접근 차단

/* Posture Condition 예시 */
Condition: AV_Definition_Check
  Type: Anti-Virus Definition
  Vendor: CrowdStrike Falcon
  Check: Definition Date within 3 days

Condition: OS_Patch_Check
  Type: Patch Management
  OS: Windows All
  Severity: Critical patches installed

Condition: Disk_Encryption_Check
  Type: Disk Encryption
  Vendor: BitLocker
  Status: Encrypted

Requirement: Corporate_Compliance
  Conditions: AV_Definition_Check AND OS_Patch_Check AND Disk_Encryption_Check
  Remediation: Message + Auto-Remediation (Force Windows Update)
ISE Posture Policy

💡 ISE 3.3+: ARM64 Posture 지원

ISE 3.3부터 ARM64 아키텍처(Apple Silicon M1/M2/M3, Qualcomm Snapdragon) 엔드포인트에 대한 Posture 정책이 지원된다. Windows ARM64와 macOS ARM64 모두 별도 패키지를 업로드하여 배포 가능하다.

07 Guest Access — Hotspot · Self-Reg · Sponsored

7.1 Guest Access 유형

• Hotspot: 별도 계정 없이 약관 동의만으로 접속. 공공 WiFi, 세미나실에 적합.
• Self-Registration: 방문자가 직접 정보(이름, 이메일, 전화번호) 입력 후 임시 계정 생성. SMS/Email 인증 가능.
• Sponsored Guest: 사내 Sponsor(직원)가 Guest 계정을 생성하여 방문자에게 제공. 승인 워크플로우 포함.

7.2 CWA 기반 Guest Flow

Guest Device ──(Connect WiFi/Wired)──► Switch/WLC │ │ MAB 인증 → ISE Authorization │ 결과: Guest_Redirect (ACL + URL Redirect) │ ▼ ┌──────────────┐ │ ISE Guest │ ← HTTP 요청이 ISE Portal로 Redirect │ Portal │ │ (Self-Reg) │ └──────┬───────┘ │ 계정 생성 + 인증 성공 ▼ ISE → CoA (RADIUS Change of Authorization) → Switch/WLC │ ▼ 새로운 Authorization Profile 적용 (Guest VLAN + Internet-Only DACL + SGT:Guest)

7.3 Guest Portal 커스터마이징

ISE Guest Portal은 CSS/HTML 수준에서 브랜딩이 가능하다. 로고, 색상, 약관 문구, 언어 팩을 커스터마이즈하여 기업 CI에 맞춘 Portal을 제공할 수 있다. Portal에서 수집된 Guest 정보는 ISE의 Guest Endpoints DB에 저장되며, 만료 시간, 접속 시간 제한, 접속 횟수 제한을 설정할 수 있다.

⚠️ Guest 50만 계정 주의

Guest 계정이 50만 개를 초과하면 인증 지연이 발생할 수 있다. 정기적인 Guest Endpoint Purge를 스케줄링하여 불필요한 데이터를 정리해야 한다.

08 BYOD Onboarding Pipeline

8.1 BYOD 흐름 개요

BYOD(Bring Your Own Device) 온보딩은 직원의 개인 디바이스를 기업 네트워크에 안전하게 등록하는 프로세스이다. ISE는 인증서 기반 BYOD를 지원하며, 내장 CA(Certificate Authority)를 통해 디바이스별 고유 인증서를 발급한다.

1

Single SSID 방식: 직원이 Corporate SSID에 ID/PW로 최초 접속 → ISE가 "등록되지 않은 디바이스" 감지

2

BYOD Portal Redirect: ISE가 BYOD Portal로 리다이렉트 → 디바이스 등록 동의

3

Supplicant Provisioning: ISE Network Setup Assistant(NSA)가 디바이스 유형에 맞는 프로파일 설치 (WiFi 프로파일 + 인증서)

4

Certificate Enrollment: ISE 내장 CA에서 SCEP를 통해 디바이스 인증서 발급

5

EAP-TLS 재연결: 디바이스가 새 인증서로 EAP-TLS 인증 → Full BYOD Access 부여

8.2 My Devices Portal

온보딩 완료 후, 직원은 My Devices Portal을 통해 등록된 개인 디바이스를 관리할 수 있다. 분실/도난 시 인증서를 직접 Revoke하여 즉시 네트워크 접근을 차단할 수 있다.

8.3 Dual SSID vs Single SSID

방식	장점	단점
Single SSID	사용자 경험 우수 (하나의 SSID만 사용)	CoA 의존, WLC 구성 복잡
Dual SSID	구현 단순, CoA 불필요	사용자가 SSID 전환 필요

09 TrustSec & SGT 기반 Micro-Segmentation

9.1 TrustSec 개념

Cisco TrustSec은 IP 주소가 아닌 Security Group Tag(SGT)라는 논리적 레이블로 네트워크 세그멘테이션을 구현하는 아키텍처이다. 사용자/디바이스가 인증되면 ISE가 SGT를 할당하고, 이 태그는 패킷에 인라인으로 삽입되거나 SXP 프로토콜을 통해 전파된다.

9.2 SGT 할당 방식

• Dynamic Classification (동적): 802.1X/MAB 인증 시 ISE Authorization Profile에서 SGT 자동 할당. RADIUS cisco-av-pair: cts:security-group-tag=XXXX
• Static Classification (정적): 인증을 거치지 않는 서버/인프라 장비에 대해 ISE에서 IP-to-SGT 매핑을 수동 등록
• Subnet-to-SGT: 서브넷 단위로 SGT를 일괄 매핑

9.3 SGT Propagation

전파 방식	동작	요구 사항
Inline Tagging (802.1AE)	이더넷 프레임에 SGT를 CMD(Cisco Meta Data) 헤더로 삽입	CTS 지원 스위치, MACsec 가능
SXP (SGT Exchange Protocol)	Control Plane으로 IP:SGT 바인딩 테이블 전파	인라인 미지원 장비, 방화벽 연동 시
pxGrid	ISE → FMC/Stealthwatch 등에 SGT 컨텍스트 공유	pxGrid 2.0 (WebSocket)

9.4 SGACL (Security Group ACL) 정책

SGACL은 Source SGT → Destination SGT 매트릭스 기반의 접근 제어 정책이다. ISE의 Work Centers > TrustSec > Policy Matrix에서 구성한다.

! SGACL 예시: HR(20) → Finance_Servers(60) = Deny
permit tcp dst eq 443   ! HTTPS만 허용
permit tcp dst eq 80    ! HTTP 허용
deny ip                   ! 나머지 전부 차단

! 스위치에서 확인
show cts role-based permissions
show cts role-based sgt-map all
show cts role-based counters
SGACL Configuration

🏗️ TrustSec 설계 베스트 프랙티스

① Egress Enforcement: SGACL은 Egress 스위치에서 적용한다. Ingress 스위치는 Source SGT만 태깅하면 된다.
② SGT 네이밍: 비즈니스 역할 기반 (HR, Finance, IT, Guest, IoT, Servers 등). 번호는 10 단위로 할당하여 확장 여지를 남긴다.
③ Default Policy: Unknown SGT 간 통신은 기본 Deny. 명시적으로 허용된 흐름만 Permit.
④ 점진적 배포: Monitor Mode → Low-Impact → Closed Mode 순서로 SGACL 적용.

10 pxGrid — Context Sharing Ecosystem

10.1 pxGrid 아키텍처

Cisco pxGrid(Platform Exchange Grid)는 ISE가 수집한 컨텍스트 데이터(사용자, 디바이스, SGT, 위협 정보)를 서드파티 보안 제품과 양방향으로 공유하는 프레임워크이다. ISE 2.4부터 도입된 pxGrid 2.0은 WebSocket/STOMP 기반으로 동작하며, REST API를 통해 플랫폼 독립적 연동이 가능하다.

10.2 pxGrid 구성 요소

• Controller: ISE pxGrid 노드. Topic 관리, 참가자 인증, Publisher-Subscriber 매칭
• Publisher: 데이터를 발행하는 주체 (ISE MnT가 Session Directory 발행)
• Subscriber: 데이터를 구독하는 주체 (FMC, Stealthwatch, Splunk, SIEM 등)

10.3 주요 pxGrid 통합 시나리오

연동 제품	공유 데이터	활용
Cisco FMC (Firepower)	User-IP 매핑, SGT	NGFW에서 사용자/SGT 기반 정책 적용
Cisco Stealthwatch	Session context	NetFlow 분석에 사용자 컨텍스트 결합, 이상 행위 탐지
Splunk / SIEM	Authentication logs, SGT	보안 이벤트 상관분석
Cisco DNA Center	SGT, Policy	Intent-based 네트워크 세그멘테이션 자동화
ServiceNow	Endpoint attributes (pxGrid Direct)	CMDB 연동, 자산 관리

10.4 pxGrid Direct (ISE 3.2+)

pxGrid Direct는 pxGrid 2.0을 보완하는 기능으로, 외부 데이터베이스(ServiceNow, CMDB 등)의 엔드포인트 속성을 ISE로 직접 가져오거나(URL Fetch), 변경 사항을 실시간으로 ISE에 Push(Direct Push)할 수 있다.

ℹ️ 인증서 관리가 핵심

pxGrid 참가자 간의 모든 통신은 TLS로 암호화된다. 배포 경험상, ISE 내장 CA를 pxGrid 인증서 발급 기관으로 통일하는 것이 가장 안정적이다. 서로 다른 CA에서 발급된 인증서를 사용하면 신뢰 체인 문제로 연동이 실패하는 경우가 빈번하다.

11 TACACS+ Device Administration

11.1 RADIUS vs TACACS+

항목	RADIUS	TACACS+
주요 용도	Network Access (사용자/디바이스 인증)	Device Administration (장비 관리자 인증)
프로토콜	UDP 1812/1813	TCP 49
암호화	비밀번호만 암호화	전체 Payload 암호화
AAA 분리	Authentication + Authorization 결합	Authentication, Authorization, Accounting 완전 분리
Command Authorization	미지원	지원 (명령어별 허용/차단)

11.2 TACACS+ Policy 구성

/* ISE TACACS+ Device Admin Policy Set 예시 */

Policy Set: Network_Device_Admin
  Condition: DEVICE:Device Type = "Switches"

Authentication:
  Rule 1: Default → AD (Network_Admins OU)

Authorization:
  Rule 1: AD:Group = "Senior_Network_Engineers"
    → Shell Profile: Priv15
    → Command Set: Permit_All

  Rule 2: AD:Group = "Junior_Network_Engineers"
    → Shell Profile: Priv1
    → Command Set: Show_Only
    /* show, ping, traceroute만 허용, config 명령 차단 */

  Rule 3: AD:Group = "NOC_Operators"
    → Shell Profile: Priv1
    → Command Set: Monitor_Only

  Default: DenyAllCommands
ISE TACACS+ Policy

! Switch-side TACACS+ Configuration
aaa new-model
aaa authentication login default group tacacs+ local
aaa authorization exec default group tacacs+ local
aaa authorization commands 15 default group tacacs+ local
aaa accounting exec default start-stop group tacacs+
aaa accounting commands 15 default start-stop group tacacs+

tacacs server ISE-PSN-1
 address ipv4 10.10.10.100
 key Cisco!SecretKey#2026
 timeout 5
IOS-XE TACACS+

💡 ISE 3.5: TACACS+ AD Lockout Prevention

TACACS+ 인증에서도 AD 계정 잠금 방지 기능이 지원된다. AD의 잠금 임계값이 6회라면, ISE를 5회에서 차단하도록 설정하여 AD로 요청을 보내지 않고 로컬에서 거부한다.

12 ISE 3.x 신규 기능 & 라이선싱

12.1 버전별 주요 기능

버전	핵심 기능
3.0	AI Endpoint Analytics, Agentless Posture, AWS 배포, 라이선스 체계 개편
3.1	pxGrid 1.0 Deprecated, API Gateway 통합, GUI 개선
3.2	pxGrid Direct, SGT + Virtual Network 조합, Dashboard 개선
3.3	ARM64 Posture, Very Small Node(8 vCPU), Tenable API Key 인증, AD Join Point 리소스 분리
3.4	Operational Intelligence, 향상된 Health Check, 현재 Suggested Release
3.5	SNMPv3 Profiling, Authoritative Source, 200K Network Devices, Entra Device AuthZ, Full IPv6 Single-Stack, TACACS+ AD Lockout Prevention

12.2 라이선스 체계 (Nested Doll Model)

ISE 3.x는 Essentials ⊂ Advantage ⊂ Premier 구조를 채택하였다. 상위 티어가 하위 티어의 모든 기능을 포함한다.

라이선스	포함 기능
Essentials	802.1X/MAB, Guest Access, Basic Profiling, Posture (Agent/Agentless)
Advantage	Essentials + AI Endpoint Analytics, BYOD, pxGrid, TrustSec SGT, Context Sharing
Premier	Advantage + TC-NAC, Compliance (지속적 Posture), Threat Intelligence 연동, Entra Device AuthZ

ℹ️ 라이선스 카운팅

ISE 라이선스는 Active Concurrent Endpoint(동시 접속 엔드포인트) 기준이다. 하나의 엔드포인트는 고유 MAC 주소 하나에 해당한다. RADIUS Accounting의 Start/Stop으로 세션 수명이 관리된다.

13 Scalability & High Availability 설계

13.1 배포 규모별 최대 엔드포인트

배포 규모	Max Active Endpoints	Max PSN 수	Max Network Devices
Small	50,000	5	10,000
Medium	150,000	15	50,000
Large (SNS 3795)	2,000,000	50	200,000 (ISE 3.5)

13.2 HA 전략

• PAN HA: Primary/Secondary Active-Standby. Auto Promotion으로 장애 시 Secondary가 Primary 승격.
• PSN HA: Load Balancer VIP 뒤에 Active-Active 구성. NAD에서 Primary/Secondary/Tertiary RADIUS 서버로 설정.
• MnT HA: Primary/Secondary. 로그 수집 이중화.
• pxGrid HA: 최대 4노드 Active-Active. 클라이언트는 아무 노드에나 연결 가능.

13.3 PSN Node Group

URL Redirect 서비스(Guest, Posture, BYOD)를 사용하는 경우, Redirect URL에 특정 PSN의 FQDN이 포함된다. 이 PSN이 다운되면 Redirect가 실패한다. PSN Node Group을 구성하면, 같은 그룹의 다른 PSN이 Redirect 처리를 대행할 수 있다.

13.4 Multi-DC 장애 시나리오

/* DC-A 전체 장애 시 NAD Failover 예시 */

NAD Config:
  Primary RADIUS:   PSN-DC-A-1 (10.1.1.10)
  Secondary RADIUS: PSN-DC-B-1 (10.2.1.10)
  Tertiary RADIUS:  PSN-DC-C-1 (10.3.1.10)
  Deadtime: 5 minutes

/* DC-A 장애 → NAD가 자동으로 DC-B PSN으로 Failover */
/* 5분 Deadtime 후 DC-A 복구되면 다시 Primary로 복귀 */
RADIUS Failover

🚨 Critical: Server Dead Action

authentication event server dead action authorize vlan 999 — 모든 RADIUS 서버가 도달 불가능할 때, 엔드포인트를 Critical VLAN으로 할당하여 최소한의 네트워크 접근을 보장한다. 이 설정 없이 서버 장애가 발생하면 전체 네트워크 접근 차단이라는 재앙이 발생한다.

14 Troubleshooting Methodology

14.1 ISE 측 진단 도구

• Operations → RADIUS → Live Logs: 실시간 인증/인가 결과 확인. 가장 먼저 확인해야 할 곳.
• Operations → RADIUS → Live Sessions: 현재 활성 세션의 상세 정보 (IP, MAC, Profile, SGT, Posture Status)
• Operations → Reports: Authentication Summary, Failed Attempts, RADIUS Accounting 등
• Operations → Troubleshoot → Diagnostic Tools → Execute Network Device Command: ISE에서 직접 NAD에 명령 실행
• Administration → System → Logging → Debug Log Configuration: 컴포넌트별 Debug Level 조정

14.2 Switch/WLC 측 진단 명령어

! 인증 세션 상태 확인
show authentication sessions interface Gi1/0/1 details
show authentication sessions mac 00:11:22:33:44:55 details

! RADIUS 통신 확인
debug radius authentication
debug radius accounting
debug dot1x all

! DACL/ACL 확인
show ip access-lists interface Gi1/0/1

! TrustSec SGT 확인
show cts role-based sgt-map all
show cts role-based permissions
show cts role-based counters

! Device Sensor 확인
show device-sensor cache interface Gi1/0/1
show ip device tracking all

! AAA 상태
show aaa servers
test aaa group ISE-RADIUS testuser testpass new-code
IOS-XE Troubleshooting

14.3 일반적 문제 → 원인 → 해결

증상	가능한 원인	해결 방법
802.1X 인증 실패	인증서 만료, EAP 타입 불일치, AD 비밀번호 불일치	ISE Live Logs에서 Failure Reason 확인, Allowed Protocols 점검
MAB 후 프로파일 미분류	DHCP Helper 미설정, Device Sensor 미활성화	Profiling Probe 상태 확인, SPAN 구성 점검
Guest Portal 리다이렉트 안 됨	Redirect ACL 미적용, DNS 미해석, HTTP가 아닌 HTTPS 접속	ACL 매칭 확인, DNS Redirect 설정, HTTP 트래픽 허용
Posture 상태 Unknown 유지	Client Provisioning 실패, Agent 미설치	CP Policy 확인, 포탈 접근 ACL 점검
CoA 미동작	CoA Port(3799) 차단, NAD에서 CoA 비활성	aaa server radius dynamic-author 설정 확인, 방화벽 규칙 점검
SGT 미할당	Authorization Profile에 SGT 미설정, CTS 미활성	ISE AuthZ Profile 확인, 스위치 cts 관련 설정 점검

💡 TCPDump on ISE

ISE CLI에서 tcpdump을 실행하여 RADIUS 패킷을 캡처할 수 있다. 특히 EAP 핸드셰이크 문제 분석 시 강력한 도구이다:
ise/admin# tcpdump -i eth0 -s 0 -w /tmp/radius.pcap port 1812

15 실전 배포 전략 — Phased Deployment

Phase 1: Monitor Mode (가시성 확보)

802.1X + MAB를 활성화하되, 인증 실패 시에도 네트워크 접근을 차단하지 않는다. 목적은 기존 네트워크에 영향 없이 어떤 디바이스가 인증을 시도하고, 어떤 프로파일로 분류되는지 데이터를 수집하는 것이다.

• Switch: authentication open + authentication port-control auto
• ISE: Authentication Rule → Continue on Failure / User Not Found
• ISE: Authorization → Access-Accept only (DACL/VLAN/SGT 없이 기본 허용)
• 목표: 최소 2-4주간 데이터 수집. Profiling 정확도 검증.

Phase 2: Low-Impact Mode (점진적 제어)

Pre-Auth ACL(Pre-Authentication Open ACL)을 사용하여, 인증 전에도 DHCP, DNS, TFTP 등 기본 서비스 접근을 허용하되, 인증 후 더 넓은 접근 권한을 부여한다.

• Switch: ip access-group ACL-DEFAULT in (DHCP, DNS, ISE Portal 허용)
• ISE: Authorization에서 DACL 적용 시작 (제한된 범위)
• 목표: 인증 실패 디바이스 식별 및 예외 처리 구축

Phase 3: Closed Mode (완전 제어)

인증되지 않은 트래픽을 완전 차단한다. 802.1X 또는 MAB 인증에 성공해야만 네트워크 접근이 가능하다.

• Switch: authentication port-control auto (open 제거)
• ISE: Full Authorization Profile (VLAN + DACL + SGT)
• Critical VLAN, Server Dead Action 등 Failsafe 반드시 구성

Phase 4: TrustSec Enforcement (세그멘테이션)

SGT 할당이 안정화된 후, SGACL을 점진적으로 활성화하여 마이크로세그멘테이션을 완성한다.

• TrustSec Policy Matrix에서 Monitor Mode로 SGACL 적용 (로그만 수집)
• 트래픽 패턴 분석 후 Enforce Mode로 전환
• 최종 목표: IP 기반 ACL을 SGT 기반 정책으로 완전 대체

┌──────────┐ ┌──────────┐ ┌──────────┐ ┌──────────┐ │ Phase 1 │───►│ Phase 2 │───►│ Phase 3 │───►│ Phase 4 │ │ Monitor │ │Low-Impact│ │ Closed │ │ TrustSec │ │ Mode │ │ Mode │ │ Mode │ │Enforcement│ ├──────────┤ ├──────────┤ ├──────────┤ ├──────────┤ │ 가시성 │ │ 점진 제어│ │ 완전 제어│ │ 세그멘트 │ │ 데이터 │ │ Pre-Auth │ │ Full AuthZ│ │ SGACL │ │ 수집 │ │ ACL 적용 │ │ VLAN+DACL│ │ Matrix │ │ │ │ │ │ +SGT │ │ Enforce │ │ 2-4주 │ │ 4-8주 │ │ 지속 │ │ 지속 │ └──────────┘ └──────────┘ └──────────┘ └──────────┘

🎯 Expert's Final Advice

ISE 배포에서 가장 중요한 것은 기술이 아니라 프로세스이다. 사전에 엔드포인트 인벤토리를 확보하고, 부서별 스테이크홀더와 정책 요구사항을 합의하며, 예외 처리 프로세스(MAC 화이트리스트, 임시 Guest 등)를 문서화해야 한다. 기술적으로 완벽한 ISE 구성도, 사전 준비 없이 배포하면 "프린터가 안 됩니다" 한 통의 전화로 프로젝트가 롤백된다.

또한, Change of Authorization(CoA)가 모든 동적 정책의 핵심이므로, NAD의 CoA 지원 여부와 방화벽 규칙(UDP 3799)을 반드시 사전 검증해야 한다.

Cisco ISE Deep Dive — Expert Level 완전 정복 가이드

이 문서는 CCIE Security 수준의 ISE 전문 지식을 다루며, 실무 배포·운영·트러블슈팅에 직접 활용할 수 있도록 구성되었습니다.

Cisco ISE 802.1X TrustSec SGT Profiling Posture pxGrid TACACS+ NAC Zero Trust CCIE Security BYOD Guest Access Network Security

© 2026 — ISE Expert Series | Tistory Blog Format