FortiSwitch에 Device가 연결 되면, Device type, 벤더, OS 등 감지된 Device정보 또는 사용자 인증을 통해 특정 VLAN을 할당하여 트래픽 제어가 가능하다. 최신 펌웨어에서는 FortiClient EMS Tag와 연동하여 NAC Policy 적용도 가능하다.
NAC 기능은 모든 스위치 port에 적용 할 수 있으며, 특정 port 만 적용 할 수도 있다.
NAC 기능이 적용된 port에 디바이스가 연결되면, 먼저 onboarding VLAN이 할당된다. onboarding VLAN에 대한 방화벽 정책을 이용하여 NAC Policy에 매칭되지 않은 디바이스의 트래픽을 제어할 수 있다.
device가 NAC 정책에 정의된 패턴과 일치하면 장치를 설정한 특정 VLAN으로 적용된다.
아래 예제에서는 Apple의 macOS 장치와 FortiGate 장치에 대해 각각 다른 VLAN을 할당할 것이다.
◼ NAC policy에 매칭 되는 장치에 할당할 VLAN을 "WiFi & Switch Controller > FortiSwitch VLANs" 메뉴에서 생성한다.
◼ NAC policy를 적용한 FortiSwitch port의 Mode를 ‘NAC’으로 변경 한다. 적용된 port의 Native VLAN은 Onboarding으로 변경된다.( WiFi & Switch Controller > FortiSwitch Ports )
◼ 매칭되는 조건을 설정하는 NAC Policy를 설정한다. Bounce port는 NAC policy와 매칭되면 ‘onboarding’에서 Assign VLAN으로 변경되기 위해 스위치 port를 down/up 하게 된다. (WiFi & Switch Controller > NAC Policies)
◼ NAC policy가 적용된 port에 디바이스가 연결되면, 처음에는 onboarding 이었다가 NAC policy에 매칭되면 "Bounce port" 되면서 할당된 VLAN으로 적용된다.
'FortiSwitch' 카테고리의 다른 글
| Time Sync 문제 : ‘Authorize’ 했지만, ‘Offline’ 상태인 경우 (0) | 2022.03.25 |
|---|---|
| NAC policy : Dynamic Firewall Address 기능 (0) | 2022.02.18 |
| FortiSwitch - NAC Policy 빠르게 만드는 방법 (0) | 2022.02.15 |
| FortiSwitch에서 특정 Protocol Packet이 수신되는지 확인하는 방법 (0) | 2022.01.18 |
| Managed Switch의 펌웨어 다운 그레이드의 경우.. (0) | 2022.01.10 |
댓글