HCAP(호스트 자격 인증 프로토콜)를 통해 Microsoft NAP(네트워크 액세스 보호) 솔루션을 Cisco Network Admission Control과 통합할 수 있습니다. NPS(네트워크 정책 서버) 및 NAP와 함께 HCAP를 배포하는 경우 NPS는 NAP 상태 정책 적용을 비롯하여 Cisco 802.1X 액세스 클라이언트의 권한 부여를 수행하고 Cisco AAA(인증, 권한 부여 및 계정) 서버는 인증을 수행할 수 있습니다.

HCAP 서버를 배포하려면 다음을 수행해야 합니다.

  1. NAP 가능 클라이언트 컴퓨터를 배포합니다. Cisco EAP-FAST를 네트워크 액세스에 대한 인증 방법으로 사용하도록 클라이언트 컴퓨터를 구성합니다.

  2. NAP 배포 설명서를 사용하여 NAP를 배포합니다. 여기에는 SHA(시스템 상태 에이전트)를 사용하여 클라이언트 컴퓨터를 구성하고 해당 SHV(시스템 상태 검사기)를 사용하여 NPS 서버를 구성하는 작업이 포함됩니다.

  3. Cisco 배포 설명서를 사용하여 Cisco Network Admission Control을 배포합니다.

  4. 서버 관리자에서 역할 추가 마법사를 사용하여 HCAP 서버를 설치합니다. HCAP 서버는 네트워크 정책 및 액세스 서비스 서버 역할의 역할 서비스입니다. HCAP 서버를 설치할 때 필요한 추가 구성 요소인 IIS(인터넷 정보 서비스)와 NPS가 동일한 컴퓨터에 설치됩니다. 또한 서버 인증서가 IIS를 실행하는 서버에 자동 등록되어 IIS와 Cisco AAA 서버 간의 SSL(Secure Sockets Layer) 연결이 허용됩니다.

  5. Cisco AAA 서버가 권한 부여 요청을 보낼 수 있게 하기 위해 지정된 IP 주소를 수신 대기하도록 IIS를 구성합니다.

  6. Cisco AAA 서버가 NPS에 권한 부여 요청을 보낼 수 있게 하기 위해 HCAP, NPS 및 IIS를 실행하는 서버의 URL을 사용하여 Cisco AAA 서버를 구성합니다.

  7. 하나 이상의 원격 RADIUS 서버 그룹의 구성원인 NPS 서버에 권한 부여 요청을 전달하도록 HCAP 서버의 NPS를 RADIUS 프록시로 구성합니다. 또는 권한 부여 요청을 로컬로 처리하도록 HCAP 서버의 NPS를 RADIUS 서버로 구성할 수도 있습니다.

  8. 권한 부여를 수행하도록 NPS 서버를 RADIUS 서버로 구성합니다. 여기에는 NAP를 배포하고 NPS에서 상태 정책을 만드는 작업이 포함됩니다. NPS-HCAP 서버가 원격 RADIUS 서버 그룹의 NPS RADIUS 서버에 연결 요청을 전달하는 RADIUS 프록시이면 각 RADIUS 서버에서 RADIUS 프록시를 RADIUS 클라이언트로 구성해야 합니다.

  9. NPS RADIUS 서버에서 NAP 상태 정책을 사용하여 네트워크 정책을 구성합니다. 원하는 경우 NAP와 Cisco Network Admission Control의 상호 운용성을 위해 네트워크 정책 조건에 HCAP-Group-Name 및 HCAP-Location-Group이 포함될 수 있습니다. 또한 네트워크 정책에서 확장 상태 조건을 사용하여 네트워크 정책과 일치해야 하는 클라이언트 컴퓨터의 확장 상태를 지정할 수 있습니다. 확장 상태는 Cisco Network Admission Control의 요소이며 전환, 감염됨 및 알 수 없음이 포함됩니다. 이 네트워크 정책 조건을 사용하여 클라이언트 컴퓨터가 이러한 상태 중 하나인지 여부에 따라 액세스에 권한을 부여하거나 액세스를 거부하도록 NPS를 구성할 수 있습니다.

인증 및 권한 부여 프로세스

NAP를 사용하여 NPS와 Cisco Network Admission Control을 모두 배포한 후 인증 및 권한 부여 프로세스는 다음과 같이 수행됩니다.

  1. 클라이언트 컴퓨터에서 네트워크에 액세스하려고 합니다. 클라이언트는 Cisco AAA 서버에 대한 RADIUS 클라이언트로 구성된 802.1X 인증 스위치나 802.1X 무선 액세스 지점을 통해 연결을 시도할 수 있습니다.

  2. Cisco AAA 서버는 네트워크 액세스 서버나 라우터에서 연결 요청을 받은 후 EAP-TLV(EAP 종류 길이 값)를 보내 클라이언트로부터 SoH(상태 설명) 데이터를 요청합니다.

  3. 클라이언트 컴퓨터의 SHA는 클라이언트의 NAP 에이전트에 상태를 보고하고 NAP 에이전트는 Cisco AAA 서버에 보내는 SoH를 만듭니다.

  4. Cisco AAA 서버는 HCAP를 사용하여 클라이언트 컴퓨터의 사용자 ID, 컴퓨터 ID 및 위치와 함께 SoH를 NPS 프록시 또는 서버에 전달합니다.

  5. NPS-HCAP 서버가 RADIUS 프록시로 구성된 경우 NPS는 적절한 원격 RADIUS 서버 그룹에 권한 부여 요청을 전달합니다. 이 결정은 NPS에서 구성된 연결 요청 정책의 평가를 통해 이루어집니다. NPS-HCAP 서버가 RADIUS 서버로 구성된 경우 NPS-HCAP 서버는 권한 부여 요청을 처리합니다.

  6. NPS는 구성된 네트워크 정책에 대해 SoH를 평가하고 일치하는 네트워크 정책이 발견되면 클라이언트에 다시 보낼 SoHR(상태 설명 응답)을 만듭니다. 이 SoHR은 NAP 적용 상태 및 확장 상태 정보와 함께 HCAP를 사용하여 Cisco AAA 서버에 다시 전송됩니다.

  7. Cisco AAA 서버는 NAP 적용 상태를 Cisco Network Admission Control 정책에 대해 평가하고 네트워크 액세스 프로필을 결정합니다.

  8. Cisco AAA 서버는 네트워크 액세스 프로필을 네트워크 액세스 서버(스위치, AP 또는 라우터)에 보냅니다. 네트워크 액세스 프로필에는 클라이언트 컴퓨터에 대한 전체 액세스를 허용할지, 액세스를 제한할지, 아니면 액세스를 거부할지를 네트워크 액세스 서버에 지시하는 정보가 들어 있습니다.

  9. Cisco AAA 서버는 클라이언트 컴퓨터에 SoHR을 다시 보냅니다.

  10. 클라이언트 구성이 상태 정책을 준수하지 않고 SoHR에서 클라이언트에 업데이트를 지시하는 경우 클라이언트는 업데이트 소프트웨어 업데이트 다운로드 또는 구성 설정 변경과 같은 필요한 작업을 시도합니다. 업데이트 후 클라이언트는 네트워크에 다시 액세스를 시도하고 인증과 권한 부여 프로세스가 반복됩니다.

추가 참조

목차