ISE 버전 1.3과의 AnyConnect 4.0 통합 컨피그레이션 예

다운로드 옵션

PDF (2.3 MB)
다양한 디바이스에서 Adobe Reader로 보기
ePub (2.0 MB)
iPhone, iPad, Android, Sony Reader 또는 Windows Phone의 다양한 앱에서 보기
Mobi (Kindle) (1.3 MB)
Kindle 디바이스에서 보기 또는 다양한 디바이스의 Kindle 앱에서 보기

업데이트:2015년 1월 16일

문서 ID:118714

편견 없는 언어

본 제품에 대한 문서 세트는 편견 없는 언어를 사용하기 위해 노력합니다. 본 설명서 세트의 목적상, 편견 없는 언어는 나이, 장애, 성별, 인종 정체성, 민족 정체성, 성적 지향성, 사회 경제적 지위 및 교차성에 기초한 차별을 의미하지 않는 언어로 정의됩니다. 제품 소프트웨어의 사용자 인터페이스에서 하드코딩된 언어, RFP 설명서에 기초한 언어 또는 참조된 서드파티 제품에서 사용하는 언어로 인해 설명서에 예외가 있을 수 있습니다. 시스코에서 어떤 방식으로 포용적인 언어를 사용하고 있는지 자세히 알아보세요.

이 번역에 관하여

Cisco는 전 세계 사용자에게 다양한 언어로 지원 콘텐츠를 제공하기 위해 기계 번역 기술과 수작업 번역을 병행하여 이 문서를 번역했습니다. 아무리 품질이 높은 기계 번역이라도 전문 번역가의 번역 결과물만큼 정확하지는 않습니다. Cisco Systems, Inc.는 이 같은 번역에 대해 어떠한 책임도 지지 않으며 항상 원본 영문 문서(링크 제공됨)를 참조할 것을 권장합니다.

소개

이 문서에서는 여러 AnyConnect Secure Mobility Client 모듈을 구성하고 이를 엔드포인트에 자동으로 프로비저닝할 수 있는 Cisco ISE(Identity Services Engine) 버전 1.3의 새로운 기능에 대해 설명합니다. 이 문서에서는 ISE에서 VPN, NAM(Network Access Manager) 및 포스처 모듈을 구성하고 이를 기업 사용자에게 푸시하는 방법을 보여 줍니다.

사전 요구 사항

요구 사항

다음 주제에 대한 지식을 보유하고 있으면 유용합니다.

ISE 구축, 인증 및 권한 부여
WLC(Wireless LAN Controller) 구성
기본 VPN 및 802.1x 지식
AnyConnect 프로파일 편집기를 통한 VPN 및 NAM 프로파일 구성

사용되는 구성 요소

이 문서의 정보는 다음 소프트웨어 및 하드웨어 버전을 기반으로 합니다.

Microsoft Windows 7
Cisco WLC 버전 7.6 이상
Cisco ISE 소프트웨어, 버전 1.3 이상

이 문서의 정보는 특정 랩 환경의 디바이스를 토대로 작성되었습니다. 이 문서에 사용된 모든 디바이스는 초기화된(기본) 컨피그레이션으로 시작되었습니다. 현재 네트워크가 작동 중인 경우, 모든 명령어의 잠재적인 영향을 미리 숙지하시기 바랍니다.

토폴로지 및 흐름

흐름은 다음과 같습니다.

1단계. 기업 사용자 액세스 SSID(Service Set Identifier): 프로비저닝. EAP-PEAP(Extensible Authentication Protocol-Protected EAP)로 802.1x 인증을 수행합니다. 프로비저닝 권한 부여 규칙이 ISE에서 발견되며 사용자는 AnyConnect 프로비저닝을 위해 (클라이언트 프로비저닝 포털을 통해) 리디렉션됩니다. 시스템에서 AnyConnect가 탐지되지 않으면 구성된 모든 모듈(VPN, NAM, Posture)이 설치됩니다. 해당 프로필과 함께 각 모듈에 대한 컨피그레이션이 푸시됩니다.

2단계. AnyConnect가 설치되면 사용자는 PC를 재부팅해야 합니다. 재부팅 후 AnyConnect가 실행되고 구성된 NAM 프로파일(Secure_access)에 따라 올바른 SSID가 자동으로 사용됩니다. EAP-PEAP가 사용됩니다(예를 들어, EAP-TLS(Extensible Authentication Protocol-Transport Layer Security)도 사용할 수 있음). 동시에 Posture 모듈은 스테이션이 규정을 준수하는지 확인합니다(c:\test.txt 파일 존재 여부 확인).

3단계. 스테이션 포스처 상태를 알 수 없는 경우(포스처 모듈에서 보고하지 않은 경우), ISE에서 Unknown Authz 규칙이 발생하므로 프로비저닝을 위해 계속 리디렉션됩니다. 스테이션이 규정을 준수하면 ISE는 CoA(Change of Authorization)를 Wireless LAN Controller로 전송하여 재인증을 트리거합니다. 두 번째 인증이 발생하고 ISE에서 Compliant 규칙이 적용되어 사용자에게 네트워크에 대한 전체 액세스 권한을 제공합니다.

그 결과, 사용자는 네트워크에 대한 통합 액세스를 허용하는 AnyConnect VPN, NAM 및 Posture 모듈로 프로비저닝되었습니다. VPN 액세스를 위해 ASA(Adaptive Security Appliance)에서도 유사한 기능을 사용할 수 있습니다. 현재 ISE는 매우 세분화된 접근 방식으로 모든 유형의 액세스에 대해 동일한 작업을 수행할 수 있습니다.

이러한 기능은 기업 사용자에게만 국한되지 않으며, 해당 사용자 그룹에 대해 구축하는 것이 가장 일반적일 수 있습니다.

구성

WLC

WLC는 2개의 SSID로 구성됩니다.

프로비저닝 - [WPA + WPA2][Auth(802.1X)] 이 SSID는 AnyConnect 프로비저닝에 사용됩니다.
Secure_access - [WPA + WPA2][인증(802.1X)]. 이 SSID는 엔드포인트가 해당 SSID에 대해 구성된 NAM 모듈로 프로비저닝된 후 보안 액세스에 사용됩니다.

ISE

1단계. WLC 추가

ISE의 네트워크 디바이스에 WLC를 추가합니다.

2단계. VPN 프로필 구성

VPN용 AnyConnect 프로파일 편집기로 VPN 프로파일을 구성합니다.

VPN 액세스용 항목이 하나만 추가되었습니다. 해당 XML 파일을 VPN.xml에 저장합니다.

3단계. NAM 프로필 구성

NAM용 AnyConnect 프로파일 편집기로 NAM 프로파일을 구성합니다.

하나의 SSID만 구성되었습니다. secure_access. 해당 XML 파일을 NAM.xml에 저장합니다.

4단계. 응용 프로그램 설치

Cisco.com에서 애플리케이션을 수동으로 다운로드합니다.
- AnyConnect Win the 4.0.00048-k9.pkg
- anyconnect-win-compliance-3.6.9492.2.pkg
ISE에서 Policy(정책) > Results(결과) > Client Provisioning(클라이언트 프로비저닝) > Resources(리소스)로 이동하고 Agent Resources From Local Disk(로컬 디스크의 에이전트 리소스)를 추가합니다.
Cisco Provided Packages(Cisco 제공 패키지)를 선택하고 anyconnect-win-4.0.00048-k9.pkg을 선택합니다.
규정 준수 모듈에 대해 4단계를 반복합니다.

5단계. VPN/NAM 프로파일 설치

Policy(정책) > Results(결과) > Client Provisioning(클라이언트 프로비저닝) > Resources(리소스)로 이동하고 Agent Resources From Local Disk(로컬 디스크의 에이전트 리소스)를 추가합니다.
Customer Created Packages(고객 생성 패키지)를 선택하고 AnyConnect Profile(AnyConnect 프로파일)을 입력합니다. 이전에 생성한 NAM 프로파일(XML 파일)을 선택합니다.
VPN 프로필에 대해 유사한 단계를 반복합니다.

6단계. 상태 구성

NAM 및 VPN 프로파일은 AnyConnect 프로파일 편집기를 사용하여 외부에서 구성하고 ISE로 가져와야 합니다. 그러나 ISE에서 Posture가 완전히 구성됩니다.

Policy(정책) > Conditions(조건) > Posture(포스처) > File Condition(파일 조건)으로 이동합니다. 파일 존재 여부에 대한 간단한 조건이 생성된 것을 확인할 수 있습니다. 상태 모듈에 의해 확인 된 정책을 준수 하기 위해 해당 파일을 가지고 있어야 합니다.

이 조건은 요구 사항에 사용됩니다.

그리고 요구 사항은 Microsoft Windows 시스템에 대한 상태 정책에서 사용 됩니다.

포스처 컨피그레이션에 대한 자세한 내용은 Cisco ISE 컨피그레이션 가이드에서 포스처 서비스를 참조하십시오.

Posture Policy가 준비되면 Posture 에이전트 컨피그레이션을 추가해야 합니다.

Policy(정책) > Results(결과) > Client Provisioning(클라이언트 프로비저닝) > Resources(리소스)로 이동하고 NAC(Network Admission Control) Agent 또는 AnyConnect Agent Posture Profile을 추가합니다.
AnyConnect 선택(ISE 버전 1.3의 새 상태 모듈이 이전 NAC Agent 대신 사용됨):
Posture Protocol 섹션에서 에이전트가 모든 서버에 연결할 수 있도록 *를 추가하는 것을 잊지 마십시오.
Server name rules(서버 이름 규칙) 필드가 비어 있는 경우 ISE는 설정을 저장하지 않고 다음 오류를 보고합니다.
```
Server name rules: valid value is required
```

7단계. AnyConnect 구성

이 단계에서는 모든 애플리케이션(AnyConnect) 및 모든 모듈(VPN, NAM, Posture)에 대한 프로파일 컨피그레이션이 구성되었습니다. 그것을 함께 묶어야 할 때이다.

Policy(정책) > Results(결과) > Client Provisioning(클라이언트 프로비저닝) > Resources(리소스)로 이동하고 AnyConnect Configuration(AnyConnect 컨피그레이션)을 추가합니다.
이름을 구성하고 규정 준수 모듈 및 모든 필수 AnyConnect 모듈(VPN, NAM 및 Posture)을 선택합니다.
Profile Selection(프로파일 선택)에서 각 모듈에 대해 이전에 구성된 프로파일을 선택합니다.
다른 모든 모듈이 올바르게 작동하려면 VPN 모듈이 필수입니다. VPN 모듈이 설치로 선택되지 않은 경우에도 클라이언트에 푸시되어 설치됩니다. VPN을 사용하지 않으려는 경우 VPN 모듈의 사용자 인터페이스를 숨기는 VPN용 특수 프로파일을 구성할 수 있습니다. VPN.xml 파일에 다음 행을 추가해야 합니다.
```
 <ClientInitialization>
    
         
         
           true 
         
  </ClientInitialization>
```
이러한 종류의 프로파일은 iso 패키지(anyconnect-win-3.1.06073-pre-deploy-k9.iso)에서 Setup.exe를 사용할 때도 설치됩니다. 그런 다음 VPN용 VPNDisable_ServiceProfile.xml 프로파일이 컨피그레이션과 함께 설치되므로 VPN 모듈에 대한 사용자 인터페이스가 비활성화됩니다.

8단계. 클라이언트 프로비저닝 규칙

7단계에서 생성한 AnyConnect 컨피그레이션은 클라이언트 프로비저닝 규칙에서 참조해야 합니다.

클라이언트 프로비저닝 규칙은 클라이언트에 푸시할 애플리케이션을 결정합니다. 7단계에서 생성한 컨피그레이션을 가리키는 결과가 포함된 규칙은 여기에서 하나만 필요합니다. 이렇게 하면 클라이언트 프로비저닝을 위해 리디렉션되는 모든 Microsoft Windows 엔드포인트가 모든 모듈 및 프로파일과 함께 AnyConnect 컨피그레이션을 사용합니다.

9단계. 권한 부여 프로파일

클라이언트 프로비저닝을 위한 권한 부여 프로파일을 생성해야 합니다. 기본 클라이언트 프로비저닝 포털이 사용됩니다.

이 프로필은 사용자가 기본 클라이언트 프로비저닝 포털에 프로비저닝하도록 리디렉션하도록 강제합니다. 이 포털은 클라이언트 프로비저닝 정책(8단계에서 생성한 규칙)을 평가합니다. 권한 부여 프로파일은 10단계에서 구성된 권한 부여 규칙의 결과입니다.

GuestRedirect ACL(Access Control List)은 WLC에 정의된 ACL의 이름입니다. 이 ACL은 어떤 트래픽을 ISE로 리디렉션할지 결정합니다. 자세한 내용은 스위치 및 Identity Services Engine을 통한 중앙 웹 인증 구성 예를 참조하십시오.

규정을 준수하지 않는 사용자(LimitedAccess라고 함)에게 DACL(Limited Network Access)을 제공하는 또 다른 권한 부여 프로파일도 있습니다.

10단계. 권한 부여 규칙

이러한 모든 항목은 4개의 권한 부여 규칙으로 통합됩니다.

먼저 프로비저닝 SSID에 연결하고 기본 클라이언트 프로비저닝 포털(Provisioning이라는 규칙)에 프로비저닝하기 위해 리디렉션됩니다. Secure_access SSID에 연결하면 Posture 모듈에서 ISE가 보고서를 수신하지 않은 경우(Unknown이라는 규칙) 프로비저닝을 위해 리디렉션됩니다. 엔드 포인트가 완전 한 규정 준수 되면, 전체 액세스 권한 (규칙 이름 규정 준수) 이 부여 됩니다. 엔드포인트가 규정을 준수하지 않는 것으로 보고되면 네트워크 액세스가 제한됩니다(NonCompliant라는 규칙).

다음을 확인합니다.

프로비저닝 SSID와 연결하고 웹 페이지에 액세스하려고 시도하며 클라이언트 프로비저닝 포털로 리디렉션됩니다.

AnyConnect가 탐지되지 않으므로 다음을 설치하라는 메시지가 표시됩니다.

전체 설치 프로세스를 담당하는 Network Setup Assistant라는 소규모 애플리케이션이 다운로드됩니다. 버전 1.2의 Network Setup Assistant와 다릅니다.

모든 모듈(VPN, NAM 및 Posture)이 설치 및 구성됩니다. PC를 재부팅해야 합니다.

재부팅 후 AnyConnect가 자동으로 실행되며 NAM이 secure_access SSID와 연결을 시도합니다(구성된 프로파일에 따라). VPN 프로파일이 올바르게 설치되어 있습니다(VPN의 경우 asav2 항목).

인증 후 AnyConnect는 업데이트가 수행되는 포스처 규칙 및 업데이트를 다운로드합니다.

이 단계에서는 여전히 액세스가 제한될 수 있습니다(ISE에서 알 수 없는 권한 부여 규칙이 발생함). 스테이션이 규정을 준수하면 Posture 모듈에서 이를 보고합니다.

세부 정보도 확인할 수 있습니다(FileRequirement가 충족됨).

Message History(메시지 기록)에는 자세한 단계가 표시됩니다.

9:18:38 AM The AnyConnect Downloader is performing update checks...
9:18:38 AM Checking for profile updates...
9:18:38 AM Checking for product updates...
9:18:38 AM Checking for customization updates...
9:18:38 AM Performing any required updates...
9:18:38 AM The AnyConnect Downloader updates have been completed.
9:18:38 AM Update complete.
9:18:38 AM Scanning system ...
9:18:40 AM Checking requirement 1 of 1.
9:18:40 AM Updating network settings ...
9:18:48 AM Compliant.

성공적인 보고서는 ISE로 전송되며, 이는 Change of Authorization을 트리거합니다. 두 번째 인증에서는 Compliant 규칙을 발견하며 전체 네트워크 액세스가 부여됩니다. 프로비저닝 SSID에 연결된 상태에서 포스처 보고서가 전송되면 ISE에서 다음 로그가 표시됩니다.

Posture 보고서는 다음을 나타냅니다.

세부 보고서에는 충족된 FileRequirement가 표시됩니다.

문제 해결

현재 이 설정에 사용할 수 있는 특정 문제 해결 정보가 없습니다.