ISE의 vlan-id 특성을 기반으로 권한 부여 정책 구성

다운로드 옵션

  • PDF     (194.2 KB)
    다양한 디바이스에서 Adobe Reader로 보기
  • ePub     (177.7 KB)
    iPhone, iPad, Android, Sony Reader 또는 Windows Phone의 다양한 앱에서 보기
  • Mobi (Kindle)     (118.8 KB)
    Kindle 디바이스에서 보기 또는 다양한 디바이스의 Kindle 앱에서 보기
업데이트:2021년 11월 25일
문서 ID:217586

편견 없는 언어

본 제품에 대한 문서 세트는 편견 없는 언어를 사용하기 위해 노력합니다. 본 설명서 세트의 목적상, 편견 없는 언어는 나이, 장애, 성별, 인종 정체성, 민족 정체성, 성적 지향성, 사회 경제적 지위 및 교차성에 기초한 차별을 의미하지 않는 언어로 정의됩니다. 제품 소프트웨어의 사용자 인터페이스에서 하드코딩된 언어, RFP 설명서에 기초한 언어 또는 참조된 서드파티 제품에서 사용하는 언어로 인해 설명서에 예외가 있을 수 있습니다. 시스코에서 어떤 방식으로 포용적인 언어를 사용하고 있는지 자세히 알아보세요.

이 번역에 관하여

Cisco는 전 세계 사용자에게 다양한 언어로 지원 콘텐츠를 제공하기 위해 기계 번역 기술과 수작업 번역을 병행하여 이 문서를 번역했습니다. 아무리 품질이 높은 기계 번역이라도 전문 번역가의 번역 결과물만큼 정확하지는 않습니다. Cisco Systems, Inc.는 이 같은 번역에 대해 어떠한 책임도 지지 않으며 항상 원본 영문 문서(링크 제공됨)를 참조할 것을 권장합니다.

    소개

    이 문서에서는 NAD에서 전송된 VLAN ID 특성을 기반으로 ISE 권한 부여 정책을 구성하는 단계에 대해 설명합니다. 이 기능은 IBNS 2.0에서만 사용할 수 있습니다.

    활용 사례

    고객은 액세스 인터페이스에 구성된 VLAN ID를 채우고 나중에 이를 사용하여 ISE에 대한 액세스를 제공하고자 합니다.

    구성 단계

    NAD 측

    1. 액세스 요청에서 VLAN 반경 특성을 전송하도록 스위치를 구성합니다.

    Device# configure terminal
Device(config)# access-session attributes filter-list list TEST
Device(config-com-filter-list)# vlan-id
Device(config-com-filter-list)# exit
Device(config)# access-session accounting attributes filter-spec include list TEST
Device(config)# access-session authentication attributes filter-spec include list TEST
Device(config)# end

    참고: "access-session accounting attributes filter-spec include list TEST" 명령을 입력하면 IBNS 2로의 마이그레이션을 수락하는 경고가 표시될 수 있습니다.

    Switch(config)#access-session accounting attributes filter-spec include list TEST
This operation will permanently convert all relevant authentication commands to their CPL control-policy equivalents. As this conversion is irreversible and will disable the conversion CLI 'authentication display [legacy|new-style]', you are strongly advised to back up your current configuration before proceeding. 
Do you wish to continue? [yes]:

    자세한 내용은 다음 설명서를 참조하십시오. Vlan-id radius attributes config guide

    ISE 측

    1. 필요에 따라 인증 정책을 생성합니다(MAB/DOT1X).

    2. 권한 부여 정책에는 다음 조건 유형이 포함되며 정확한 구문과 일치해야 합니다.

    Radius·Tunnel-Private-Group-ID EQUALS (tag=1)

    예:

    VLAN-ID의 경우 = 77

    Screen Shot 2021-11-25 at 2.57.17 p.m.

    테스트

    NAD 측

    
Switch#sh run interface Tw1/0/3 
Building configuration...

Current configuration : 336 bytes
!
interface TwoGigabitEthernet1/0/3
 switchport access vlan 77
 switchport mode access
 device-tracking attach-policy DT_POLICY
 access-session host-mode multi-host
 access-session closed
 access-session port-control auto
 mab
 dot1x pae authenticator
 spanning-tree portfast
 service-policy type control subscriber POLICY_Tw1/0/3
end

Switch#
    
Switch#sh auth sess inter Tw1/0/3 details 
            Interface:  TwoGigabitEthernet1/0/3
               IIF-ID:  0x1FA6B281
          MAC Address:  c85b.768f.51b4
         IPv6 Address:  Unknown
         IPv4 Address:  10.4.18.167
            User-Name:  C8-5B-76-8F-51-B4
               Status:  Authorized
               Domain:  DATA
       Oper host mode:  multi-host
     Oper control dir:  both
      Session timeout:  N/A
    Common Session ID:  33781F0A00000AE958E57C9D
      Acct Session ID:  0x0000000e
               Handle:  0x43000019
       Current Policy:  POLICY_Tw1/0/3


Local Policies:
        Service Template: DEFAULT_LINKSEC_POLICY_SHOULD_SECURE (priority 150)
      Security Policy:  Should Secure

Server Policies:


Method status list:
       Method           State
          mab           Authc Success

Switch#

    ISE 측

    Screen Shot 2021-11-25 at 3.07.20 p.m.

    Screen Shot 2021-11-25 at 3.07.52 p.m.

    개정 이력

    개정 게시 날짜 의견
    1.0
    25-Nov-2021
    최초 릴리스
    TAC Authored

    Cisco 엔지니어가 작성

    • Jonathan Casillas Gutierrez
      기술 컨설팅 엔지니어

    이 문서가 도움이 되셨습니까?

    Feedback피드백

    지원 문의

    이 문서가 적용되는 제품