소개
이 문서에서는 Cisco ISE에서 서로 다른 SSID(Service Set Identifier)를 구별하도록 권한 부여 정책을 구성하는 방법에 대해 설명합니다.
요구 사항
이 설명서에서는 다음 사항을 가정합니다.
1) WLC(Wireless LAN Controller)가 설정되어 관련된 모든 SSID에서 작동합니다.
2) ISE와 관련된 모든 SSID에서 인증이 작동합니다.
Wireless LAN Controller 릴리스 7.3.101.0
Services Engine 릴리스 1.1.2.145 식별
이전 버전에는 이 두 가지 기능도 있습니다.
한 번에 하나의 컨피그레이션 방법만 사용됩니다. 두 컨피그레이션이 동시에 구현되는 경우 ISE에서 처리하는 양이 증가하고 규칙 가독성에 영향을 줍니다. 본 문서에서는 각 구성 방식의 장단점을 검토한다.
배경 정보
조직이 다양한 목적으로 무선 네트워크에 여러 SSID를 갖는 것은 매우 일반적입니다. 가장 일반적인 목적 중 하나는 직원용 회사 SSID와 조직 방문자용 게스트 SSID를 갖는 것입니다.
방법 1: Airespace-Wlan-Id
WLC에 생성된 모든 WLAN(Wireless Local Area Network)에는 WLAN ID가 있습니다. WLAN ID가 WLAN 요약 페이지에 표시됩니다.
클라이언트가 SSID에 연결할 때 ISE에 대한 RADIUS 요청은 Airespace-WLAN-ID 특성을 포함합니다. 이 간단한 특성은 ISE에서 정책을 결정하는 데 사용됩니다. 이 특성의 단점 중 하나는 WLAN ID가 여러 컨트롤러에 걸쳐 분산된 SSID에서 일치하지 않는 경우입니다. 구축에 대해 설명하는 경우 방법 2로 진행합니다.
이 경우 Airespace-Wlan-Id가 조건으로 사용됩니다. 원하는 결과를 달성하기 위해 단순 조건(자체) 또는 복합 조건(다른 속성과 함께)으로 사용할 수 있습니다. 이 문서에서는 두 가지 활용 사례를 다룹니다. 위의 두 SSID를 사용하여 이 두 규칙을 생성할 수 있습니다.
A) 게스트 사용자는 게스트 SSID에 로그인해야 합니다.
B) 회사 사용자는 AD(Active Directory) 그룹 "Domain Users(도메인 사용자)"에 있어야 하며 회사 SSID에 로그인해야 합니다.
규칙 A
규칙 A에는 하나의 요구 사항이 있으므로 위의 값을 기반으로 간단한 조건을 작성할 수 있습니다.
1) ISE에서 Policy(정책) > Policy Elements(정책 요소) > Conditions(조건) > Authorization(권한 부여) > Simple Conditions(단순 조건)로 이동하여 새 조건을 생성합니다.
2) Name(이름) 필드에 조건 이름을 입력합니다.
3) 설명 필드에 설명을 입력합니다(선택 사항).
4) Attribute(특성) 드롭다운 목록에서 Airespace > Airespace-Wlan-Id—[1]을 선택합니다.
5) Operator(연산자) 드롭다운 목록에서 Equals(같음)를 선택합니다.
6) Value(값) 드롭다운 목록에서 2를 선택합니다.
7) Save를 클릭합니다.
규칙 B
규칙 B에는 두 가지 요구 사항이 있으므로 위의 값을 기반으로 복합 조건을 작성할 수 있습니다.
1) ISE에서 Policy(정책) > Policy Elements(정책 요소) > Conditions(조건) > Authorization(권한 부여) > Compound Conditions(복합 조건)로 이동하여 새 조건을 생성합니다.
2) Name(이름) 필드에 조건 이름을 입력합니다.
3) 설명 필드에 설명을 입력합니다(선택 사항).
4) Create New Condition (Advance Option)을 선택합니다.
5) Attribute(특성) 드롭다운 목록에서 Airespace > Airespace-Wlan-Id—[1]을 선택합니다.
6) Operator(연산자) 드롭다운 목록에서 Equals(같음)를 선택합니다.
7) Value(값) 드롭다운 목록에서 1을 선택합니다.
오른쪽에 있는 톱니바퀴를 클릭하고 Add Attribute/Value를 선택합니다.
9) Attribute(특성) 드롭다운 목록에서 AD1 > External Groups(외부 그룹)를 선택합니다.
10) Operator(연산자) 드롭다운 목록에서 Equals(같음)를 선택합니다.
11) Value(값) 드롭다운 목록에서 필요한 그룹을 선택합니다. 이 예에서는 Domain Users로 설정됩니다.
12) Save를 클릭합니다.
참고: 이 문서에서는 Policy(정책) > Policy Elements(정책 요소) > Results(결과) > Authorization(권한 부여) > Authorization Profiles(권한 부여 프로파일)에 구성된 단순 권한 부여 프로파일을 사용합니다. 액세스 허용으로 설정되지만 구축의 필요에 맞게 조정할 수 있습니다.
이제 조건이 있으므로 권한 부여 정책에 적용할 수 있습니다. Policy(정책) > Authorization(권한 부여)으로 이동합니다. 목록에서 규칙을 삽입할 위치를 결정하거나 기존 규칙을 수정합니다.
게스트 규칙
1) 기존 규칙의 오른쪽에 있는 아래쪽 화살표를 클릭하고 Insert a new rule을 선택합니다.
2) 게스트 규칙의 이름을 입력하고 ID 그룹 필드를 Any로 설정된 상태로 둡니다.
3) Conditions(조건)에서 더하기 기호를 클릭하고 Select Existing Condition from Library(라이브러리에서 기존 조건 선택)를 클릭합니다.
4) Condition Name(조건 이름)에서 Simple Condition(단순 조건) > GuestSSID를 선택합니다.
5) Permissions(권한)에서 게스트 사용자에 적합한 Authorization Profile(권한 부여 프로파일)을 선택합니다.
6) 완료를 클릭합니다.
기업 규칙
1) 기존 규칙의 오른쪽에 있는 아래쪽 화살표를 클릭하고 Insert a new rule을 선택합니다.
2) 회사 규칙의 이름을 입력하고 ID 그룹 필드를 Any로 설정된 상태로 둡니다.
3) Conditions(조건)에서 더하기 기호를 클릭하고 Select Existing Condition from Library(라이브러리에서 기존 조건 선택)를 클릭합니다.
4) Condition Name(조건 이름)에서 Compound Condition(복합 조건) > CorporateSSID를 선택합니다.
5) Permissions(권한)에서 Corporate Users(회사 사용자)에 적합한 Authorization Profile(권한 부여 프로파일)을 선택합니다.
6) 완료를 클릭합니다.
참고: Policy List(정책 목록) 하단의 Save(저장)를 클릭할 때까지 이 화면에서 변경한 내용은 구축에 적용되지 않습니다.
메서드 2: Called-Station-ID
RADIUS Called-Station-ID 특성에서 SSID 이름을 전송하도록 WLC를 구성할 수 있으며, 이 특성을 ISE의 조건으로 사용할 수 있습니다. 이 특성의 장점은 WLC에서 WLAN ID가 무엇으로 설정되었는지와 상관없이 사용할 수 있다는 것입니다. 기본적으로 WLC는 Called-Station-ID 특성의 SSID를 전송하지 않습니다. WLC에서 이 기능을 활성화하려면 Security(보안) > AAA > RADIUS > Authentication(인증)으로 이동하여 Call Station ID Type(통화 스테이션 ID 유형)을 AP MAC Address:SSID로 설정합니다. 이렇게 하면 Called-Station-ID의 형식이 <MAC of the AP user is connecting to>:<SSID Name>으로 설정됩니다.
WLAN 요약 페이지에서 어떤 SSID 이름을 전송할지 확인할 수 있습니다.
Called-Station-Id 속성에는 AP의 MAC 주소도 포함되므로 REGEX(Regular Expression)를 사용하여 ISE 정책의 SSID 이름을 확인합니다. 조건 컨피그레이션의 연산자 'Matches'는 Value 필드에서 REGEX를 읽을 수 있습니다.
REGEX 예
`Starts with'—예를 들어, ^(Acme)의 REGEX 값을 사용합니다.*—이 조건은 CERTIFICATE:Organization MATCHES `Acme'("Acme"로 시작하는 조건의 모든 일치)로 구성됩니다.
`Ends with'(예: REGEX 값 .*(mktg)$ 사용) - 이 조건은 CERTIFICATE:Organization MATCHES `mktg'("mktg"로 끝나는 조건의 모든 일치)로 구성됩니다.
`contains'—예를 들어, REGEX 값 .*(1234)를 사용합니다.*—이 조건은 CERTIFICATE:Organization MATCHES `1234'(Eng1234, 1234Dev, Corp1234Mktg와 같이 "1234"가 포함된 조건의 모든 일치)로 구성됩니다.
'Does not start with'—예를 들어 ^(?!LDAP)의 REGEX 값을 사용합니다.*—이 조건은 CERTIFICATE:Organization MATCHES `LDAP'(usLDAP 또는 CorpLDAPmktg와 같이 "LDAP"로 시작하지 않는 조건의 모든 일치)로 구성됩니다.
Called-Station-ID는 SSID 이름으로 끝나므로 이 예에서 사용할 REGEX는 .*(:<SSID NAME>)$입니다. 컨피그레이션을 진행할 때 이 점에 유의하십시오.
위의 2개의 SSID를 사용하여 다음 요구 사항을 가진 2개의 규칙을 생성할 수 있습니다.
A) 게스트 사용자는 게스트 SSID에 로그인해야 합니다.
B) 기업 사용자는 AD 그룹 "도메인 사용자"에 있어야 하며 기업 SSID에 로그인해야 합니다.
규칙 A
규칙 A에는 하나의 요구 사항이 있으므로 위의 값을 기반으로 간단한 조건을 작성할 수 있습니다.
1) ISE에서 Policy(정책) > Policy Elements(정책 요소) > Conditions(조건) > Authorization(권한 부여) > Simple Conditions(단순 조건)로 이동하여 새 조건을 생성합니다.
2) Name(이름) 필드에 조건 이름을 입력합니다.
3) 설명 필드에 설명을 입력합니다(선택 사항).
4) Attribute(특성) 드롭다운 목록에서 Radius > Called-Station-ID—[30]를 선택합니다.
5) Operator(운영자) 드롭다운 목록에서 Matches(일치)를 선택합니다.
6) Value(값) 드롭다운 목록에서 .*(:Guest)$를 선택합니다. 대/소문자를 구분합니다.
7) Save를 클릭합니다.
규칙 B
규칙 B에는 두 가지 요구 사항이 있으므로 위의 값을 기반으로 복합 조건을 작성할 수 있습니다.
1) ISE에서 Policy(정책) > Policy Elements(정책 요소) > Conditions(조건) > Authorization(권한 부여) > Compound Conditions(복합 조건)로 이동하여 새 조건을 생성합니다.
2) Name(이름) 필드에 조건 이름을 입력합니다.
3) 설명 필드에 설명을 입력합니다(선택 사항).
4) Create New Condition (Advance Option)을 선택합니다.
5) Attribute(특성) 드롭다운 목록에서 Radius > Called-Station-Id—[30]를 선택합니다.
6) Operator(운영자) 드롭다운 목록에서 Matches(일치)를 선택합니다.
7) 값 드롭다운 목록에서 .*(:Corporate)$를 선택합니다. 대/소문자를 구분합니다.
오른쪽에 있는 톱니바퀴를 클릭하고 Add Attribute/Value를 선택합니다.
9) Attribute(특성) 드롭다운 목록에서 AD1 > External Groups(외부 그룹)를 선택합니다.
10) Operator(연산자) 드롭다운 목록에서 Equals(같음)를 선택합니다.
11) Value(값) 드롭다운 목록에서 필요한 그룹을 선택합니다. 이 예에서는 Domain Users로 설정됩니다.
12) Save를 클릭합니다.
참고: 이 문서에서는 Policy(정책) > Policy Elements(정책 요소) > Results(결과) > Authorization(권한 부여) > Authorization Profiles(권한 부여 프로파일)에 구성된 단순 권한 부여 프로파일을 사용합니다. 액세스 허용으로 설정되지만 구축의 필요에 맞게 조정할 수 있습니다.
이제 조건이 구성되었으므로 이를 권한 부여 정책에 적용합니다. Policy(정책) > Authorization(권한 부여)으로 이동합니다. 목록에 규칙을 적절한 위치에 삽입하거나 기존 규칙을 수정합니다.
게스트 규칙
1) 기존 규칙의 오른쪽에 있는 아래쪽 화살표를 클릭하고 Insert a new rule을 선택합니다.
2) 게스트 규칙의 이름을 입력하고 ID 그룹 필드를 Any로 설정된 상태로 둡니다.
3) Conditions(조건)에서 더하기 기호를 클릭하고 Select Existing Condition from Library(라이브러리에서 기존 조건 선택)를 클릭합니다.
4) Condition Name(조건 이름)에서 Simple Condition(단순 조건) > GuestSSID를 선택합니다.
5) Permissions(권한)에서 게스트 사용자에 적합한 Authorization Profile(권한 부여 프로파일)을 선택합니다.
6) 완료를 클릭합니다.
기업 규칙
1) 기존 규칙의 오른쪽에 있는 아래쪽 화살표를 클릭하고 Insert a new rule을 선택합니다.
2) 회사 규칙의 이름을 입력하고 ID 그룹 필드를 Any로 설정된 상태로 둡니다.
3) Conditions(조건)에서 더하기 기호를 클릭하고 Select Existing Condition from Library(라이브러리에서 기존 조건 선택)를 클릭합니다.
4) Condition Name(조건 이름)에서 Compound Condition(복합 조건) > CorporateSSID를 선택합니다.
5) Permissions(권한)에서 Corporate Users(회사 사용자)에 적합한 Authorization Profile(권한 부여 프로파일)을 선택합니다.
6) 완료를 클릭합니다.
7) Policy(정책) 목록의 맨 아래에 있는 Save(저장)를 클릭합니다.
참고: Policy List(정책 목록) 하단의 Save(저장)를 클릭할 때까지 이 화면에서 변경한 내용은 구축에 적용되지 않습니다.
문제 해결
정책이 올바르게 생성되었는지 확인하고 ISE가 올바른 특성을 수신하는지 확인하려면 사용자에 대한 전달 또는 실패한 인증에 대한 자세한 인증 보고서를 검토하십시오. Operations(운영) > Authentications(인증)를 선택한 다음 인증에 대해 Details(세부사항) 아이콘을 클릭합니다.
먼저 인증 요약을 선택합니다. 여기에는 사용자에게 어떤 권한 부여 프로파일이 제공되었는지 등 인증의 기본 사항이 표시됩니다.
정책이 잘못된 경우 인증 세부사항에 Airespace-Wlan-Id 및 WLC에서 보낸 Called-Station-Id가 표시됩니다. 그에 따라 규칙을 조정하십시오. Authorization Policy Matched Rule(권한 부여 정책 일치 규칙)은 인증이 원하는 규칙과 일치하는지 여부를 확인합니다.
이러한 규칙은 일반적으로 잘못 구성됩니다. 컨피그레이션 문제를 표시하려면 인증 세부사항에 표시된 것과 규칙을 일치시킵니다. Other Attributes(기타 특성) 필드에 특성이 표시되지 않으면 WLC가 제대로 구성되었는지 확인합니다.