MSE(Mobility Services Engine) 및 ISE(Identity Services Engine) ISE 2.0을 통한 위치 기반 권한 부여

다운로드 옵션

  • PDF     (746.1 KB)
    다양한 디바이스에서 Adobe Reader로 보기
  • ePub     (721.3 KB)
    iPhone, iPad, Android, Sony Reader 또는 Windows Phone의 다양한 앱에서 보기
  • Mobi (Kindle)     (514.8 KB)
    Kindle 디바이스에서 보기 또는 다양한 디바이스의 Kindle 앱에서 보기
업데이트:2015년 9월 5일
문서 ID:200196

편견 없는 언어

본 제품에 대한 문서 세트는 편견 없는 언어를 사용하기 위해 노력합니다. 본 설명서 세트의 목적상, 편견 없는 언어는 나이, 장애, 성별, 인종 정체성, 민족 정체성, 성적 지향성, 사회 경제적 지위 및 교차성에 기초한 차별을 의미하지 않는 언어로 정의됩니다. 제품 소프트웨어의 사용자 인터페이스에서 하드코딩된 언어, RFP 설명서에 기초한 언어 또는 참조된 서드파티 제품에서 사용하는 언어로 인해 설명서에 예외가 있을 수 있습니다. 시스코에서 어떤 방식으로 포용적인 언어를 사용하고 있는지 자세히 알아보세요.

이 번역에 관하여

Cisco는 전 세계 사용자에게 다양한 언어로 지원 콘텐츠를 제공하기 위해 기계 번역 기술과 수작업 번역을 병행하여 이 문서를 번역했습니다. 아무리 품질이 높은 기계 번역이라도 전문 번역가의 번역 결과물만큼 정확하지는 않습니다. Cisco Systems, Inc.는 이 같은 번역에 대해 어떠한 책임도 지지 않으며 항상 원본 영문 문서(링크 제공됨)를 참조할 것을 권장합니다.

소개

이 문서에서는 위치 기반 권한 부여를 위해 MSE(Mobility Service Engine)를 ISE(Identity Services Engine)와 통합하는 방법을 시연합니다. 그 목적은 물리적 위치에 따라 무선 장치에 대한 액세스를 허용하거나 거부하는 것입니다.

사전 요구 사항

솔루션의 요구 사항 및 토폴로지

MSE 컨피그레이션은 이 문서에서 다루지 않지만, 일반적인 솔루션 개념은 다음과 같습니다.

-MSE는 구성, 맵 생성 및 WLC 할당을 위해 Prime Infrastructure(이전의 NCS)에서 관리합니다.

-MSE는 NMSP 프로토콜을 사용하여 WLC(Wireless LAN Controller)와 통신합니다(Prime에서 할당한 후). 이는 연결된 클라이언트의 AP당 수신된 RSSI(Received Signal Strength)에 대한 정보를 기본적으로 제공하며, 이를 통해 MSE가 해당 위치를 계산할 수 있습니다.

기본 단계:

먼저 PI(Prime Infrastructure)에서 맵을 정의하고 이 맵에 커버리지 영역을 설정한 다음 AP를 배치해야 합니다.

prime에 MSE를 추가할 때 CAS 서비스를 선택합니다.

MSE가 추가되면 prime에서 sync services(동기화 서비스)를 선택하고 WLC 및 맵을 확인하여 MSE에 할당합니다.

200196-Location-based-authorization-with-Mobili-00.gif

MSE를 ISE와 통합하기 전에 MSE가 실행 중이어야 합니다. 즉,

  1. MSE를 Prime Infrastructure에 추가하고 서비스를 동기화해야 함
  2. CAS 서비스를 활성화하고 무선 클라이언트 추적을 활성화해야 합니다.
  3. Prime에서 맵을 구성해야 합니다.
  4. MSE와 WLC 간에 NMSP가 성공해야 합니다(WLC 명령줄에서 "show nmsp status").

이 설정에서는 2개 층의 빌딩이 하나만 있습니다.

200196-Location-based-authorization-with-Mobili-01.png

사용되는 구성 요소

  • MSE 버전 8.0.110
  • ISE 버전 2.0

ISE와 MSE 통합

Network Resources, Location Services(네트워크 리소스, 위치 서비스)로 이동하고 add(추가)를 클릭하여 MSE를 추가합니다.

매개변수는 자체 설명이며, 연결을 테스트하고 mac 주소별 클라이언트 위치 조회를 수행할 수 있습니다.

200196-Location-based-authorization-with-Mobili-02.png

다음으로 할 일은 위치 트리로 이동하여 Get Update(업데이트 가져오기)를 클릭하는 것입니다. 이렇게 하면 ISE가 MSE에서 건물 및 바닥을 가져오고 AD 그룹을 추가할 때와 마찬가지로 ISE에서 사용할 수 있게 됩니다.

200196-Location-based-authorization-with-Mobili-03.png

권한 부여 설정

이제 MSE:Map Location 특성을 권한 부여 정책에서 사용할 수 있습니다.

아래 2개의 규칙을 구성합니다.


200196-Location-based-authorization-with-Mobili-04.png

Floor1의 사용자는 인증할 수 있어야 합니다.

인증 세부 사항에서 올바른 프로필과 MAP Location 특성을 확인합니다


200196-Location-based-authorization-with-Mobili-05.png

200196-Location-based-authorization-with-Mobili-06.png

위 컨피그레이션을 사용하면 엔드포인트가 한 영역에서 다른 영역으로 이동하는 경우 엔드포인트의 인증이 취소되지 않습니다. 사용자 이동을 추적하고 권한 부여 변경 시 CoA를 전송하려는 경우 권한 부여 프로파일에서 추적 옵션을 활성화할 수 있습니다. 이 옵션은 5분마다 위치 변경을 확인합니다.  이는 정상적인 빠른 로밍 작업에 지장을 줄 수 있습니다.

200196-Location-based-authorization-with-Mobili-07.png

문제 해결

이 기능에서는 ISE 컨피그레이션이 간단하지만 MSE에서 디바이스를 찾을 수 없는 경우 대부분의 문제가 발생할 수 있습니다.

MSE가 올바르게 설정되었는지 확인하기 위해 몇 가지 확인할 사항은 다음과 같습니다.

1- 사용자가 연결된 WLC에 MSE ISE에 대한 유효한 NMSP 연결이 다음과같이 통합되었는지 확인합니다.

(b2504) >show nmsp status
MSE IP Address            Tx Echo Resp    Rx Echo Req    Tx Data    Rx Data
--------------            ------------    -----------    -------    ------- 
10.48.39.241         3711            3711           15481      7          

그렇지 않은 경우 이 문서는

http://www.cisco.com/c/en/us/td/docs/solutions/Enterprise/Borderless_Networks/Unified_Access/CMX/CMX_Troubleshooting.pdf

2- MSE에서 디바이스를 추적할 수 있는지 확인

[root@loc-server ~]# service msed status 
...
-------------
Context Aware Service
-------------
Total Active Elements(Wireless Clients, Tags, Rogue APs, Rogue Clients, Interferers, Wired Clients): 29
Active Wireless Clients: 29
Active Tags: 0
Active Rogue APs: 0
Active Rogue Clients: 0

개정 이력

개정 게시 날짜 의견
1.0
19-Oct-2015
최초 릴리스
TAC Authored

Cisco 엔지니어가 작성

이 문서가 도움이 되셨습니까?

Feedback피드백

지원 문의

이 문서가 적용되는 제품