구매 혹은 리뉴얼하기
구매 혹은 리뉴얼하기
취소
제안사항 사용
자동 제안 기능은 사용자가 입력함에 따라 가능한 일치 항목을 제안하여 검색 결과를 신속하게 좁히는 데 도움이 됩니다.
다음에 대한 결과 표시 
다음에 대한 검색 
다음을 의미합니까? 
cancel
새 글 작성하기
493
VIEWS
0
Helpful
0
의견

2. Introducing Cisco ISE Deployment - 2.1 & 2.2

Kai Shin
Cisco Employee
Cisco Employee

날짜: ‎08-10-2023 04:59 PM

2.1 Introduction

중소규모 배포의 경우 단일 호스트 시스템에서 모든 Cisco ISE(Identity Services Engine) 기능을 배포할 수 있습니다. 그러나 이번 장에서는 Cisco ISE node, persona role을 사용하여 여러 서버를 사용하는 보다 확장 가능한 Cisco ISE 배포 솔루션에 대해 설명합니다.

2.2 Cisco ISE Deployment Models

Cisco ISE Nodes and Personas

Cisco ISE nodeCisco ISE 소프트웨어가 설치된후 동작함을 말합니다. 물리적 appliance 혹은 하이퍼바이저 환경의 가상머신에 설치하거나 버전 3.1부터는 클라우드에서 Cisco ISE를 배포할 수 있습니다.

KaiShin_0-1691650560320.png

Cisco ISE 서비스에는 Cisco ISE 아키텍처 내에서 각각 다른 기능을 가진 persona로 구성된 네 가지 주요 서비스 모음이 있습니다. 이러한 persona에는 Administration persona, Policy Service persona, Monitoring persona, pxGrid persona가 포함됩니다. Persona는 단일 node에 배치하거나 여러 node에 분산할 수 있습니다.

  • Administration persona :
    라이선스 및 정책 구성을 위한 사용자 인터페이스 제어 센터입니다. Administration persona는 분산 배포 환경에서 다른 node에 설정을 배포하며, Admin node라고도 불립니다.
  • Policy Service persona :
    모든 Cisco ISE 관련 네트워크 메시징을 처리하는 엔진입니다. DHCP, Cisco Discovery Protocol, NetFlow RADIUS 등이 여기에 포함됩니다. persona를 구현하는 node PSN(Policy Service Node)라고 합니다.
  • Monitoring persona :
    로그 및 보고서 데이터를 수집하고 상호 연관시키는 엔진입니다. Cisco ISE 시스템에 대한 보고서 및 알람을 생성합니다. persona를 구현하는 nodeMonitoring node라고 합니다.
  • pxGrid persona :
    Cisco ISE session directory에서 Cisco Secure Firewall과 같은 다른 네트워크 시스템으로 컨텍스트 기반 정보를 공유할 수 있습니다. pxGrid framework를 사용하여 node 간에 정책 및 구성 데이터를 교환할 수 있습니다. 이 데이터에는 위협 정보 등 ISE와 관련이 없는 정보 교환을 위해 Cisco ISE와 타사 공급업체 간에 태그 및 정책 개체를 공유하는 것이 포함됩니다. pxGrid 서비스는 Advantage Premier 라이센스로 사용할 수 있습니다.

Nodes and Personas : Small Deployment

설치 직후 Cisco ISE node의 초기 상태는 standalone mode입니다. mode에서는 모든 persona가 단일 Cisco ISE node에서 실행됩니다. 이 배포 모델은 fault tolerance와 확장성이 제한적입니다. 실행되는 물리적 하드웨어에 관계없이 최대 2,000개의 endpoint를 수용할 수 있습니다.

KaiShin_1-1691650560328.png

소규모 배포에서 이중화를 위해 secondary node를 추가할 수 있습니다. 이를 two-node배포라고 하며 두 번째 node는 모든 persona에 대한 secondary node가 됩니다. 따라서 두 번째 nodeprimary  node와 동일한 용량을 가져야 합니다. 전체 용량은 증가하지 않지만 두 node 모두 RADIUS TACACS+ 기능에 사용할 수 있으므로 각 개별 node의 부하를 줄일 수 있으며 모든 네트워크 대화형 서비스에 대해 이중화됩니다. 용량은 하드웨어 유형 및 라이선스에 따라 다릅니다. Primary node에 장애가 발생하면 secondary nodeprimary node로 전환하여 구성 및 monitoring을 위한 다운타임을 줄일 수 있습니다.

Nodes and Personas : Four-Node Deployment

Four-node mode와 같은 분산 배포는 fault tolerance와 확장성을 개선합니다. 분산 배포에는 role이라는 개념이 도입됩니다.

KaiShin_2-1691650560334.png

Roleadmin personaPAN(Policy Administration Node)이라고도 합니다. 위 그림에서는 한 node PAN에 대한 primary role을 합니다. 다른 하나의node는 이중화를 위해 secondary role을 합니다.

Monitoring persona에도 primary secondary role이 있습니다. Node 간 통신 오버헤드를 최소화하려면 동일한 node에서 primary admin monitoring persona를 실행하고 동일한 node에서 두 persona에 대한 secondary role을 실행하는 것이 가장 좋습니다. Monitoring persona를 실행하는 nodeMnT(Monitoring) node라고 합니다.

이 배포에서는 PSN(Policy Service Node)이라고 하는 policy service persona를 실행하는 nodeAdmin Monitoring node에서 분리하여 확장성을 개선합니다. Nodepolicy service persona만 실행하는 경우 해당 PSN에서 지원되는 최대 endpoint 수는 하드웨어 플랫폼에 따라 다릅니다.

Note

Policy Service persona에는 primary 또는 secondary 역할의 개념이 없습니다. PSN은 구성에서 NAD(Network Access Device)에 대한 RADIUS 서버 역할을 수행합니다. 한 PSN에서 다른 PSN보다 더 높은 우선 순위를 할당하도록 NAD를 구성할 수 있지만 PSN 자체는 NAD의 관점을 인식하지 못합니다.

Admin Node

Admin node는 관리자에게 Cisco ISE 배포의 구성, 관리 및 운영에 대한 액세스 권한을 제공합니다.

KaiShin_3-1691650560345.png

Cisco ISE 배포에는 Admin node가 하나 이상 있어야 합니다. 이중화를 위해 두 번째 admin node를 배포할 수 있지만 한 nodeprimary role, 다른 nodesecondary role을 가져야 합니다. Cisco ISEadmin persona에 대한 자동 failover를 지원합니다. PAN에 장애가 발생하면 Cisco ISEsecondary admin node의 자동 전환을 시작합니다. Secondary admin node 배포는 필수는 아니지만 모범 사례로 권장됩니다.

그림은 Cisco ISE 솔루션을 구성하고 관리하는 데 사용되는 로그인 화면 및 관리 사용자 인터페이스를 보여줍니다. Admin node에서 정책을 만들지만 해당 정책은 PSN에서 구현됩니다.

Policy Service Node

PSN은 실시간 정책 기반 의사 결정을 내리고 정책 시행을 위해 정책을 NAD에 직접 전달합니다. Admin node는 정책 및 획득한 endpoint 속성을 관리하지만, PSN은 사용자 및 endpoint 액세스와 같은 런타임 사용 사례를 지원하는 Cisco ISE subsystem입니다. 다른 node는 관리, monitoring 또는 문제 해결 사용 사례를 지원합니다.

KaiShin_4-1691650560349.png

PSN는 네트워크 액세스(: AAA RADIUS 서비스), posture assessment, guest access, BYOD, profiling client provisioning을 비롯한 모든 네트워크 상호 작용을 담당합니다.

각 Cisco ISE 배포에는 하나 이상의 PSN이 있을 수 있습니다. Cisco ISE 버전 3.0부터 Administration  Monitoring persona가 동일한 node 또는 node pair에서 실행되는 경우 배포에 최대 6개의 개별 PSN을 가질 수 있습니다. Administration Monitoring persona가 자체 node에 독립적으로 설치되어 있는 경우 배포에는 최대 50개의 개별 PSN이 있을 수 있습니다.

로컬 구성에서 PSN를 사용하여 이중화를 제공하도록 NAD를 구성할 수 있습니다. 대규모 Cisco ISE 배포에서는 배포 아키텍처에 부하 분산 시스템을 추가해야 하는 PSN 그룹을 사용할 수도 있습니다. 그룹에 속한 PSNlayer2 혹은 layer3 구성으로 연결할 수 있습니다. 모든 PSN을 동일한 로컬 네트워크 및 동일한 node 그룹의 일부로 만드는 것이 좋습니다.

Monitoring Node

Cisco ISE Monitoring NodeCisco ISE 구성 요소 및 관련 NAD 활동의 monitoring을 담당합니다. 하나 이상의 monitoring node가 필요하며, 이중화를 위해 secondary monitoring node(선택 사항)를 배포할 수 있습니다. 외부 로깅이 필요한 경우 monitoring node는 이벤트를 외부 저장소로 전달할 수 있습니다.

KaiShin_5-1691650560356.png

Monitoring node는 로그 수집, 이벤트 상관관계 및 보고를 담당합니다.

Monitoring node database는 세션 directory를 캐시로 호스팅합니다. 세션 directory Cisco ISE 배포에서 처리 및 추적 중인 모든 현재 세션의 런타임 database입니다.

Monitoring node가 둘 이상 배포된 경우 active standby monitoring node 인스턴스 모두 로그 메시지를 수집합니다. Active monitoring node 인스턴스에 장애가 발생하면 standby monitoring node 인스턴스가 자동으로 active monitoring node 인스턴스가 됩니다. 위 그림에서는 monitoring node가 서로 동기화되지 않으므로 각 PSN이 두 monitoring node에 정보를 전달해야 합니다.

Cisco ISE는 로컬 데이터 수집, 집계, 중앙 집중식 상관 관계 및 저장을 최적화하기 위해 모든 node에서 분산 로그 수집을 지원합니다. Monitoring node는 로깅된 정보를 외부 데이터베이스로 전달할 수 있습니다. 외부 로그 서버는 안전한 장기 저장을 수행합니다. 회계 및 보안 관련 정보의 소스 역할을 하여 유용한 증거 및 포렌식 데이터를 제공할 수 있습니다.

Collector agent process는 각 Cisco ISE node에서 실행되며 각 node Cisco ISE 소프트웨어 엔진에서 데이터를 수집합니다. NodePSN를 실행하는 경우 로그를 전송하도록 구성된 모든 NAD에서 로그도 수집합니다. Collector agent는 수집된 데이터를 버퍼링하고 지정된 monitoring node로 전송합니다.

Collector processmonitoring node에서 실행됩니다. Collector process는 배포의 각 Cisco ISE node에서 실행 중인 collector agent로부터 데이터를 수신합니다. Collector 는 데이터를 구문 분석하여 monitoring node database에 삽입합니다.

Monitoring node database MnT node 관련 로그 데이터를 로컬에 저장합니다. PSN UDP 포트 20514를 통해 syslog 프로토콜을 사용하여 정보를 전송합니다. 배포에서 primary secondary monitoring node를 사용하는 경우, 정보는 두 monitoring node에 모두 기록됩니다.

pxGrid Services

Cisco pxGrid는 일종의 정보 버스인 메시징 하이웨이를 제공하여 Cisco ISE 에코시스템 파트너 및 기타 Cisco 플랫폼과 컨텍스트 정보를 공유합니다. pxGrid 프레임워크는 node 간에 정책 및 구성 데이터를 교환할 수 있습니다.

KaiShin_6-1691650560362.png

Cisco ISE pxGrid의 컨트롤러 역할을 합니다. 컨트롤러는 Grid 인스턴스를 설정하고, 클라이언트를 authentication authorization하며, 사용 가능한 컨텍스트 정보 "topics"directory를 유지 관리합니다. pxGrid는 기본적으로 비활성화되어 있으며 활성화하려면 Advantage license가 필요합니다.

Cisco ISE pxGrid 클라이언트를 인증하고 권한을 부여해야 합니다. 그런 다음 publisher로 등록하여 다른 사람이 정보를 사용할 수 있도록 하거나 subscriber로 등록하여 다른 사람에게 정보를 요청하거나 둘 다 할 수 있습니다. 또한 Cisco ISE는 자체 pxGridpublisher, subscriber 또는 둘 다로 등록할 수 있습니다.

Cisco Secure Firewall Cisco Secure Web Appliance는 일반적으로 pxGrid를 사용하여 Cisco ISE에 등록합니다. 이제 Cisco Secure Firewall access policy은 예를 들어 Active Directory 그룹 멤버십에 따라 사용자 액세스를 제한할 수 있습니다. Cisco Secure Web Appliance Cisco ISE에서 추출한 컨텍스트 정보를 기반으로 사용자가 특정 웹 사이트에 액세스하지 못하도록 제한할 수 있습니다.

Cisco ISE는 특정 시나리오가 발생할 경우 누가, 무엇을, 어떻게, 언제, 어디서 컨텍스트 데이터를 모두 가지고 있습니다. 예를 들어, 고급 GPS 위치 기반 시스템이 Grid에 합류할 경우 자세한 위치 정보는 있지만 애플리케이션, endpoint, 사용자에 대해서는 아무것도 알 수 없습니다. 또는MDM 공급업체 제품이 각 디바이스의 OS, 패치, 디스크 암호화, 바이러스 보호 수준과 함께 iPad '탈옥' 여부에 대한 자세한 정보를 가지고 Grid에 합류할 수 있습니다. 이러한 모든 디바이스가 Grid 전체에서 정보를 공유할 수 있으므로 상황 인식이 향상되고 위협에 대응하고 완화할 수 있는 능력이 향상됩니다.

타사 시스템은 네트워크 또는 보안 이벤트에 대응하여 사용자와 디바이스를 격리할 수 있습니다. Cisco TrustSec SGT(Scalable Group Tag) 정보를 다른 네트워크와 공유할 수 있습니다.FQDN(Fully Qualified Domain Names)이 있는 endpoint 프로필을 Cisco ISE에서 다른 네트워크로 전달할 수 있습니다. 또한 Cisco pxGrid SGT endpoint 프로필의 대량 다운로드도 지원합니다.

HA(High Availability) 구성에서는 primary admin node를 통해 Cisco pxGrid 서버 간에 정보가 복제됩니다. node에 장애가 발생하면 pxGrid 서버는 클라이언트 registration subscriber 처리를 중지합니다. Primary Administration node를 수동으로 전환해야 pxGrid 서버가 활성화됩니다.

Policy Synchronization

KaiShin_7-1691650560366.png

Common database는 구성된 모든 administration PSN에서 공유됩니다. 관리자가 정책을 편집하면 변경 내용이 모든 Cisco ISE node에 동기화됩니다. Secondary admin node에 동기화하면 현재 admin node에 장애가 발생할 경우 secondary admin node가 기본 역할을 수행할 수 있습니다. PSN에 동기화하면 최신 정책으로 런타임 결정을 내릴 수 있습니다.

Deployment Options

앞서 설명한 대로 ISE를 처음 배포할 때의 기본 modestandalone mode입니다. mode에서는 모든 persona가 단일 node에서 활성화되며 장애 발생 시 이중화를 제공하지 않습니다.

KaiShin_8-1691650560370.png

가장 작은 이중화 Cisco ISE 배포인 split deployment는 두 개의 Cisco ISE node로 구성되며 하나는 primary appliance로 작동하므로 소규모 배포에 적합합니다. 기본 node는 모든 구성, 인증 및 정책 기능을 제공합니다. Secondary node는 백업 역할을 하며 primary node 장애 시 네트워크가 정상적으로 작동하도록 유지합니다.

Split Cisco ISE 배포에서는 소규모 Cisco ISE 배포에 설명된 대로 primary secondary node를 계속 유지 관리합니다. 그러나 AAA workflow를 최적화하기 위해 AAA 부하가 두 개의 Cisco ISE node 간에 분할됩니다. 문제가 발생할 경우 각 Cisco ISE appliance(primary 또는 secondary)는 전체 워크로드를 처리할 수 있어야 합니다. 워크로드가 두 node 간에 분산되어 있기 때문에 정상적인 네트워크 운영 중에는 primary nodesecondary node 모두 모든 AAA 요청을 처리하지 않습니다.

네트워크가 성장함에 따라 Cisco ISE node를 추가하여 중간 규모의 네트워크를 만들 수 있습니다. 중간 규모의 네트워크 배포에서는 새 node를 모든 AAA 기능에 전용으로 사용하고 기존 node를 구성 및 로깅 기능에 사용할 수 있습니다.

대규모 Cisco ISE 네트워크에는 중앙 집중식 로깅을 사용하는 것이 가장 좋습니다. 중앙 집중식 로깅을 설정하려면 먼저 전용 monitoring persona를 설정해야 합니다. 전용 monitoring persona를 사용하면 대규모 또는 사용량이 많은 네트워크에서 생성될 수 있는 높은 시스템 로그 트래픽을 Cisco ISE가 처리할 수 있습니다.

또한 appliance Cisco ISE nodemonitoring persona와 일반 syslog 서버 모두에 로그를 보내도록 지시할 수도 있습니다. 일반 syslog 서버를 추가하면 Cisco ISE nodemonitoring persona에 장애가 발생할 경우 중복 백업이 제공됩니다.

Syslog 메시지는 아웃바운드 로그 트래픽에 대해 생성되므로 모든 RFC 3164 호환 syslog appliance가 아웃바운드 로깅 트래픽의 수집기 역할을 할 수 있습니다. 전용 로깅 서버를 사용하면 Cisco ISE의 보고서 및 경고 기능을 사용하여 모든 Cisco ISE node를 지원할 수 있습니다.

Cisco ISE Communication Model

그렇다면 Cisco ISE 배포의 node는 클라이언트에 안전한 네트워크 액세스를 제공하기 위해 어떻게 상호 작용할까요?

KaiShin_9-1691650560375.png

이 그림은 다양한 Cisco ISE 구성 요소 간의 통신을 보여줍니다. Node가 동일한 appliance 또는 가상 appliance에서 실행 중이거나 실행되지 않을 수 있으므로 그림은 논리적 통신을 나타냅니다. :

  1. 클라이언트는 네트워크 액세스를 시도하는 장치입니다.
  2. 클라이언트는 스위치, WLC(Wireless Lan Controller), 방화벽 또는 VPN 장치와 같은NAD(Network Access Device)에 연결합니다.
  3. 클라이언트가 authentication challenge request을 수신하고, 이 요청은 RADIUS에서 PSN으로 전송됩니다.
  4. Admin node에서 제공한 구성을 사용하여 PSN이 클라이언트 자격 증명을 처리합니다. 그런 다음 정책 준수에 따라 node가 권한 부여 결정을 내립니다.
  5. PSN은 외부 Identity 소스(Microsoft Active Directory, LDAP(Lightweight Directory Access Protocol) 또는 토큰 서버)를 쿼리해야 할 수 있습니다.
  6. PSN VLAN, dACL(Downloadable Access Control List) 또는SGT와 같은 기능을 통해 NAD에 정보를 전송합니다.
  7. Node의 결정에 따라 클라이언트는 NAD를 통해 원하는 네트워크 리소스로 액세스할 수 있습니다.
  8. PSNsyslog authentication exchange과 같은 모든 로깅은 상관관계 및 처리를 위해 monitoring node로 전송됩니다.
  9. Admin nodemonitoring node가 로깅 기능을 수행하고 저장하는 동안 배포에 대한 Cisco ISE 관리자의 dashboard입니다. Admin node GUI를 통해 로깅 정보를 볼 수 있으며, 마찬가지로 PSN이 런타임 정책 작업을 관리하는 동안 admin node GUI를 통해 이러한 정책을 보고 구성할 수 있습니다.
0 Helpful
시작하기

상단의 검색창에 키워드, 문구, 또는 질문을 입력하여 궁금한 내용을 찾아보세요.

이곳에서의 여러분의 여정이 훌륭하기를 바랍니다! 시스코 커뮤니티에 빠르게 익숙해지는 데 도움이 되는 몇 가지 링크를 준비했습니다.

빠른 링크

커뮤니티를 보다 손쉽게 둘러보실 수 있는 빠른 링크를 사용해보세요

보안 전문가에게 물어보세요 아이디어 및 뉴스 공유 기술 관련 비디오 게시 또는 보기
Customers Also Viewed These Support Documents