Posture 구성을 위한 전체적인 진행은 아래의 순서로 수행하며, 기본적인 AuthC, AuthZ 를 정의하고 AD 연동까지 완료한 이후 분리해서 진행하는 것이 편리했음.
1. ISE 구성
- 몇 개의 노드로 구성할 지 결정.
- 정책 구성 대상의 결정 (ex 유선, 무선, PC, 스마트폰, A빌딩 등등)
- 예외 대상의 정책 결정.
2.. AD 연동
- 각각의 ISE(정책을 공유하는)는 연동되어 있는 Domain 에서 우선하여, DB정보를 참조하는 것으로 보임.
- AD 인증서를 생성하여 ISE에 Import 하여, User/Password 또는 Certificate 인증 둘 모두 가능해짐.
- 같은 방식으로, Domain Join 되어있는 Device 에 한해 '신뢰할 수 없는... ' 메세지를 띄우지 않게 하는 것도 가능
https://youtu.be/MmQE9HGMei0?si=FZVg0ODCGn3eX7Us <-- Cisco 유튜브에서 내용 확인 가능.
- AD의 EAP 설정이 아래 그림처럼 필요할 수 있음.
3. Posture 설정
- Agent Config 설정. (Anyconnect 추천)
- Client Provisionong Policy 설정
- Posture Policy 설정
- dACL 설정
- Remediation Action 설정
4. ISE 정책 구성
- AuthC 정책 구성 설정.
MAB의 처리 방법에 대한 정의.
- AuthZ 정책 구성 설정.
1) Bypass Device 의 정책 구현
2) 예외처리 Device의 정책 구현 (Printer , IP Phone 등)
3) Unknown Compliant Device 의 정책 구현
4) Non Compliant Device 의 정책 구현
5) Compliant Device 의 정책 구현
6) Guest(예외 사용자) 의 정책 구현 ( Guest 등록과 Guest Remember는 필요 시 추가)
5. Guest 정책 구성
- Guest 의 Network 허용범위 정의
- Guest 의 정책 적용 범위 정의
- Guest 의 유지 기간 정의
6. 적용대상 Network Device 등록 및 설정
- SW 의 ISE 연동을 위한 설정 및 등록이 필요.
- Redirection 을 위한 ACL 은 SW에 작성하여 적용하고 CoA 이후 적용되는 ACL은 ISE에 작성하여 dACL 처리.
'IT인터넷 > Cisco ISE' 카테고리의 다른 글
| ISE Posture 준비. (0) | 2024.01.15 |
|---|---|
| ISE 어플라이언스 SNS-37x5 시리즈 (0) | 2023.08.30 |
| ISE Guest Redirection 동작 flow (0) | 2023.08.18 |
| ISE Profiling 적용 체크 (v3.1) (0) | 2023.08.16 |
| 3. Guest Portal (Guest type , Setting) (0) | 2023.08.08 |
댓글