ISE 2.1 에서서드파티 NAD 리디렉션구성 목차 소개사전요구사항요구사항사용되는구성요소배경정보패킷흐름구성 ISE 구성 1. 네트워크디바이스프로파일생성 2. 네트워크디바이스생성 3. DHCP 서버구성 4. 권한부여프로파일구성 NAD 구성다음을확인합니다. 문제해결 소개 이문서에서는 ISE(Identity Services Engine) 의새로운기능에대해설명하며, 이기능은서드파티 NAD(Network Access Device) 에서리디렉션을수행할수있도록합니다. 사전요구사항 요구사항 다음주제에대한지식을보유하고있으면유용합니다. ISE의게스트흐름 DNS 및 DHCP 프로토콜 사용되는구성요소 이문서의정보는다음소프트웨어및하드웨어버전을기반으로합니다. Cisco Catalyst 2960 시리즈스위치 Cisco ISE, 릴리스 2.1 이문서의정보는특정랩환경의디바이스를토대로작성되었습니다. 이문서에사용된모든디바이스는초기화된 ( 기본 ) 컨피그레이션으로시작되었습니다. 현재네트워크가작동중인경우, 모든명령어의잠재적인영향을미리숙지하시기바랍니다.
배경정보 최신네트워크에서게스트, 상태및 BYOD(Bring Your Own Device) 와같은고급기능을사용하려면클라이언트장치와 AAA 서버간에직접통신해야합니다. 이전 ISE 버전에서는 NAD 에동적리디렉션 URL 및 ACL(Access Control List) 을전송하여이작업을수행했습니다. AV(attribute-value paris) 에서리디렉션을위해권한부여프로파일에전송되는두가지필수특성이있습니다. Cisco AV 쌍 - 리디렉션 URL:URL 값은동적이며각세션에대해생성됩니다. 리디렉션 URL의중요한부분은정책서비스노드 PSN FQDN( 정규화된도메인이름 ) 및세션 ID입니다. Cisco AV 쌍 - 리디렉션 ACL: 이 AV 쌍은 NAD에있어야하는 ACL 이름을포함합니다. 이 ACL의도움을받아 NAD는패킷이 NAD를통해리디렉션되거나허용되어야하는지를결정합니다. 기존리디렉션접근방식은 Cisco NAD 디바이스에서만구현할수있습니다. 서드파티 NAD 지원의경우, 정적 URL 리디렉션이 ISE 2.0에추가되었습니다. 이접근방식은플랫폼에독립적이지만 NAD에서 HTTP 리디렉션지원이필요합니다. ISE 2.1 부터리디렉션의새로운스타일이추가되었습니다. 이접근방식은 NAD 에서 HTTP 리디렉션지원이필요하지않습니다. 이방법의주요개념은 ISE 를 DNS 싱크홀로사용하는것입니다. DNS 및 DHCP 서버기능이 ISE 2.1 릴리스에추가되어 DNS 싱크홀로사용됩니다. 이제 ISE 서버는리디렉션되고자신을 DNS 서버로정의해야하는사용자에게 IP 주소를할당할수있습니다. 그러면 ISE 는 NAD 에서웹서버기능없이사용자연결을자신에게리디렉션할수있습니다. 그러나 NAD 는여전히 COA(Change of Authorization) 및동적 VLAN 할당을지원해야합니다. ISE 에서이접근방식은다음리디렉션흐름에사용할수있습니다. 게스트흐름 :ISE는사용자가자체 IP 주소를사용하여시작한 DNS 요청에응답합니다. 이응답을통해클라이언트는 ISE와 HTTP 연결을설정합니다. 이연결에서 ISE는이동된표준 HTTP 코드 302 페이지를사용하여리디렉션 URL을반환합니다. BYOD/Posture(AnyConnect 전용 ) - 두가지시나리오에서 Native Supplicant Provisioning(NSP) 애플리케이션또는 Anyconnect Posture 모듈은 enroll.cisco.com 연결을시작합니다. 이연결은게스트흐름과동일한단계를사용하여 ISE로리디렉션됩니다. 패킷흐름
1. NAD는연결된디바이스에대해 MAB 프로세스를시작합니다.Cisco 스위치의 MAB 프로세스는인증방법우선순위에따라시작하며, 최종디바이스에서첫번째프레임을수신하기전과는다릅니다. 2. MAB access-request 는 ISE로전송됩니다. 3. ISE는수신액세스요청에대한인증및권한부여정책을평가합니다. 권한부여정책을평가하는동안 NAD 레벨설정 (Network Device Type) 은권한부여프로파일에정의된네트워크디바이스유형과비교됩니다. 일치하는네트워크디바이스유형에대한권한부여프로파일만선택할수있습니다. 참고 : 게스트 VLAN 리디렉션의경우 ISE 는웹리디렉션 (CWA, MDM, NSP, CPP) 및 VLAN 할당을포함하는권한부여프로파일을선택해야합니다. 클라이언트는 ISE 를유일한 DHCP 서버로사용하는네트워크세그먼트에할당되어야합니다. 4. ISE는 VLAN 정보와함께 Access-Accept를반환합니다. 5. 스위치는포트를인증하고 VLAN 설정을적용합니다. 6. 클라이언트가 DHCP 검색을시작합니다.PC가 ISE와동일한세그먼트에있으면패킷이 ISE에직접도달합니다. 클라이언트와 ISE 간의 L3 연결의경우 ISE IP를 DHCP 릴레이의 NAD에서 IP 헬퍼주소로구성해야합니다. 7. ISE는 DHCP 바인딩테이블에클라이언트정보를추가합니다. 클라이언트 IP 및 MAC는 ISE에서세션조회를위해사용됩니다. 8. DHCP 오퍼가클라이언트에전송됩니다. 이제안에서 ISE IP 주소는 DNS 서버로지정됩니다. 9. 사용자는웹브라우저를열고 ISE에대한 DNS 요청을트리거하는 google.com으로이동합니다.
10. ISE는대상 FQDN이외부도메인에속하는지확인합니다. 이경우 ISE는 DHCP 풀설정에정의된 DNS 서버로이요청을보냅니다. 그렇지않은경우 ISE는응답으로자체 IP 주소를반환합니다. 11. 웹브라우저는 ISE에대한 TCP 연결을시작하고 google.com에대한요청을시작합니다. 12. 이단계에서 ISE는수신 HTTP GET 요청에대해인증된세션을찾습니다. 이는올바른리디렉션 URL을구축하는데중요합니다. 참고 :ISE 는세션조회에다음규칙을사용합니다. 1. DHCP 바인딩에서 IP 조회 2. IP 별 MAC 조회 3. MAC 별조회세션 13. ISE는리디렉션 URL로이동된 HTTP 302 페이지로응답합니다. 14. 따라서사용자는게스트포털로리디렉션되고 ISE에구성된전체게스트플로우가여기서수행됩니다. 15. 게스트인증에성공한후 ISE는권한부여정책을한번더실행하여새특성이세션에추가되었는지그리고게스트흐름중에엔드포인트에 CoA(Change of Authorization) 가필요한지확인합니다. 다음권한부여정책이확인되면 ISE는 CoA 요청을준비합니다. 16. CoA 요청 /CoA ACK 교환은 ISE와 NAD 간에이루어집니다.Port Bounce( 포트바운스 ) 또는 Admin Reset CoA( 관리자재설정 CoA) 는최종 VLAN에서새 IP 주소를가져오는것이트리거되므로반드시필요합니다. 이단계가작동하려면 NAD가 Radius 또는 SNMP CoA를지원해야합니다. 17. Accounting-Request Stop( 계정관리요청중지 ) 이 ISE로전송됩니다.ISE는 Accounting- Response를전송하여이요청을승인합니다. 18. ISE는세션스티칭타이머 ( 기본적으로 20초 ) 를시작합니다. 이시간동안모든세션특성 ( 예 :GUEST_TYPE, Use case=guest Flow) 는 ISE에의해유지됩니다. 이시간동안동일한발신스테이션 ID에대한새액세스요청을받으면모든세션특성이새세션에바인딩됩니다. 19. CoA 포트바운스후엔드디바이스에대해새 MAB 액세스요청이전송됩니다. 20. ISE는새요청에대한인증 / 권한부여정책을식별합니다. 이단계에서 ISE는올바른정책선택을위해세션특성및 / 또는엔드포인트특성을사용합니다. 21. 최종 VLAN 정보와함께 Access-Accept가전송됩니다. 대신 DACL(Downloadable Access Control List) 을전송하여기본 VLAN에대한트래픽도제한할수있습니다. 22. 스위치는새 VLAN의포트를인증하고포함된경우 DACL을적용합니다. 구성 ISE 구성 1. 네트워크디바이스프로파일생성 이특정예에서는 Cisco 스위치가 NAD 로사용되었습니다. 따라서기존 Cisco Network Device Profile 이필요에따라복제되고수정되었습니다.Administration( 관리 ) > Network Resources( 네트워크리소스 ) > Network Device Profiles( 네트워크디바이스프로필 ) 로이동하고새프로필을추가합니다.
a. 포트바운스만사용하도록 CoA 유형이재구성되었습니다. b. 리디렉션유형이동적에서정적으로변경됨 c. SSID 이름이고정리디렉션 URL 에서제거됩니다. 2. 네트워크디바이스생성 새디바이스를추가하려면 Administration( 관리 ) > Network Resources( 네트워크리소스 ) > Network Devices( 네트워크디바이스 ) 로이동합니다.
a.network Device Profile( 네트워크디바이스프로파일 ) 에대한참고설정입니다. b. 다른모든설정은표준입니다. 3. DHCP 서버구성 DHCP 서버풀은특정 ISE 노드및해당인터페이스에바인딩됩니다.Administration > System > Settings > DHCP & DNS Services > Add 로이동합니다.
a.dhcp 범위이름을구성해야합니다. b.dns 및 DHCP 서비스를실행해야하는노드와해당노드의인터페이스를선택합니다. c. DHCP IP 주소범위, 기본게이트웨이, 범위에서제외된주소및 DHCP 임대시간을정의합니다. d. 선택적으로, 외부 DNS 서버 IP 주소를정의합니다. 외부도메인에대해쿼리해야합니다. e. 선택적으로, 외부도메인이름을정의합니다.ISE 는외부 DNS 서버를쿼리하고자체주소대신실제 IP 주소를반환합니다. 4. 권한부여프로파일구성 Policy( 정책 ) > Policy Elements( 정책요소 ) > Results( 결과 ) > Authorization( 권한부여 ) >
Authorization Profiles( 권한부여프로파일 ) 로이동합니다. 전체게스트플로우에 2 개의권한부여프로파일이필요합니다. 리디렉션권한부여프로파일 (CWA1) 액세스권한부여프로파일허용 (PermitCWA2) a. 네트워크장치프로파일 : 이프로필에할당된 NAD 에서오는인증요청만이권한부여프로파일을생성할수있습니다. b.vlan 설정 : 여기에정의된 VLAN 은 NAD 에있어야합니다.DHCP 에대해구성된 ISE 인터페이스는이 VLAN 에속하거나이 VLAN 을서비스하는게이트웨이에서 IP 헬퍼로구성되어야합니다. c. 리디렉션설정 : 현재예에서는중앙웹인증이리디렉션유형으로정의되었으며스폰서게스트포털이게스트포털로정의되었습니다. 양식에서여전히리디렉션 ACL 이름을요청합니다. 네트워크디바이스프로파일이고정 URL 리디렉션에대해재구성되었으므로이 ACL 이름은 NAD 로전송되지않습니다.
a. 네트워크장치프로파일 : 이프로필에할당된 NAD 에서오는인증요청만이권한부여프로파일을생성할수있습니다. b.vlan 설정 : 이 VLAN 에클라이언트포트를할당한후에는일반 DHCP 서버에서 IP 주소를받아야합니다. 5. 게스트액세스를위한권한부여정책을구성합니다. Policy( 정책 ) > Authorization( 권한부여 ) 으로이동합니다. 두가지정책을구성합니다. 하나는 redirect action( 리디렉션작업 ) 이고다른하나는 Guest Portal( 게스트포털 ) 에서인증후사용자액세스를위한것입니다. a. 첫번째권한부여정책은 Wired MAB 를인증방법으로일치시키고리디렉션권한부여프로파일이그결과로할당됩니다. b. 두번째권한부여정책은세션특성 (Use case = Guest Flow/Guest Type/ External AD group if guest users authenticated using AD) 또는엔드포인트특성 (Endpoint Identity group) 을기반으로할수있습니다. 엔드포인트 ID 그룹을사용하려면게스트포털에서디바이스등록을활성화해야합니다. NAD 구성
Cisco 스위치는인터페이스에서 MAB 용으로구성되었으며 COA 를지원합니다. 참고 :Cisco TAC(Technical Assistance Center) 에서는서드파티 NAD 의컨피그레이션을지원하지않습니다. 다음을확인합니다. 성공적인게스트흐름은 ISE Operations(ISE 작업 ) > Radius LiveLog 에서다음과같이표시됩니다. a. 이는첫번째 MAB 인증입니다. 리디렉션이있는권한부여프로파일이결과로선택됩니다. b. 게스트인증입니다. 이작업후 ISE 는정책재평가를수행하여 CoA 가필요한지여부를결정합니다. c. A CoA 가성공적으로완료되었습니다. d. 두번째 MAB 인증입니다. 그결과게스트액세스에대한권한부여프로파일이선택됩니다. 문제해결 IP 주소가클라이언트에올바르게할당되었는지확인합니다. 이작업은클라이언트또는 ISE 에서패킷캡처를수집하여수행할수있습니다. 클라이언트의이캡처는 ISE 와동일한 DNS IP 를사용하는성공적인 DHCP 핸드셰이크를보여줍니다. ISE 가 DNS 싱크홀역할을제대로하는지확인합니다. 패킷캡처는요청이 ISE 로이동하는지그리고 ISE 가자체 IP 주소로응답하는지확인하는데도움이됩니다.
HTTP 리디렉션이제대로작동하는지확인합니다. 리소스 IP 주소를가져오고 ISE 에대한 TCP 연결을설정하면클라이언트는 ISE 에 HTTP GET 요청을보냅니다. 이는클라이언트측패킷캡처에서확인할수있습니다. 동시에 ISE 는이클라이언트에대한세션이있는지확인합니다.ISE 에서이세션조회프로세스는포트관리로그에서확인할수있습니다. 2016-04-03 12:04:11,933 DEBUG [http-bio-80-exec-11][] cisco.cpm.prrt.impl.guestvlanconfigurator -:::- Endpoint IP 192.168.10.21(3232238101) found in guest VLAN DHCP 2016-04-03 12:04:12,113 INFO [http-bio-80-exec-11][] cisco.cpm.prrt.impl.guestvlanleasequery - :::- Enpoint 192.168.10.21 => MAC 3c:97:0e:52:3f:d9 2016-04-03 12:04:12,113 DEBUG [http-bio-80-exec-11][] cisco.cpm.prrt.impl.guestvlanurlbuilder - :::- Looking for session using MAC address 3C-97-0E-52-3F-D9 2016-04-03 12:04:12,113 DEBUG [http-bio-80-exec-11][] cisco.cpm.prrt.impl.guestvlanurlbuilder - :::- Found session ID: C0A80A010000002419EA7C39 2016-04-03 12:04:12,113 DEBUG [http-bio-80-exec-11][] cisco.cpm.prrt.impl.guestvlanurlbuilder - :::- Originating URL: http://google.com/ 2016-04-03 12:04:12,113 DEBUG [http-bio-80-exec-11][] cisco.cpm.prrt.impl.guestvlanurlbuilder - :::- Originating URL encoded: http%3a%2f%2fgoogle.com%2f 2016-04-03 12:04:12,113 INFO [http-bio-80-exec-11][] cisco.cpm.prrt.impl.guestvlanurlbuilder - :::- Endpoint 192.168.10.21/3c:97:0e:52:3f:d9; session C0A80A010000002419EA7C39: Web redirect URL: https://skuchere- ise21local.example.com:8443/portal/gateway?sessionid=c0a80a010000002419ea7c39&portal=6acc2e20- eba7-11e5-a755-005056bf55e0&action=cwa&token=73f4e7eb72bae4316b2c41fa59b7d73e&redirect=http%3a%2f%2fgoogle.com% 2F 세션조회후 ISE 는 HTTP 302 응답에서클라이언트로리디렉션 URL 을반환합니다.