Cisco ISE Guest Redirection 을 위한 flow 및 Auth VLAN flow
1. Guest Endpoint 를 NAD 에 연결
- ISE 에 연동된 NAD에 대해서만 동작
2. NAD는 Radius 또는 MAB request 를 ISE 로 보냄.
- Policy Set 에 따라 Guest와 Emplyee 로 분류
3. ISE 는 Policy 에 수행 이후 사용자 정보를 저장.
- Mac address 및 Profile 등의 정보가 저장됨
4. ISE 는 Access Accept 메세지를 VLAN ID와 함께 보냄.
- Guest 유저를 네트워크에 Access
5. Guest Endpoint 가 네트웍에 연결되면, DHCP 요청하여 IP를 부여받으며, 동시에 ISE에서 DNS 싱크홀 IP를 부여받음.
6. Guest Endpoint 는 DNS 쿼리를 요청하고 ISE의 IP를 받은 후 브라우저를 오픈.
7. Endpoint 의 HTTP,HTTPS 요청은 ISE로 전달됨.
8. ISE 는 Guest portal URL이 포함된 HTTP 301 Moved 로 응답하여 Endpoint의 브라우저를 Guest Portal 로 리다이렉트.
9. Guest 인증을 위하여 유저 로그인 수행 (또는 사용자 등록 이후 진행).
10. NAD 에서 Endpoint 의 유효성을 검증 이후 Access 유저라면 씽크홀에서 바이패스 시키며, CoA 전송 및 Authz 부여.
11. Guest 유저는 CoA를 기반으로 한 Access 권한 및 DHCP 를 통한 IP를 할당받고 네트워크를 사용할 수 있음.
Auth VLAN 을 정의하여 미인증 단말의 네트워크 Access를 방지할 수 있음.
- Auth VLAN은 ISE 노드 다이렉트 접속.
- 멀티플 VLAN인 경우 IP Helper 를 사용하여 수행 가능.
- Guest Endpoint 는 ISE 노드의 씽크홀 DNS가 부여되며, 논리적으로 분리.
'IT인터넷 > Cisco ISE' 카테고리의 다른 글
ISE Posture 준비. (0) | 2024.01.15 |
---|---|
ISE 어플라이언스 SNS-37x5 시리즈 (0) | 2023.08.30 |
ISE Profiling 적용 체크 (v3.1) (0) | 2023.08.16 |
3. Guest Portal (Guest type , Setting) (0) | 2023.08.08 |
2. Guest Portal (Customization) (0) | 2023.08.07 |
댓글