セキュリティ : Cisco NAC アプライアンス(Clean Access)

Cisco ネットワークのゲスト トラフィックの統合された URL のロギングおよびレポートの設定

2016 年 10 月 28 日 - 機械翻訳について
その他のバージョン: PDFpdf | 英語版 (2015 年 8 月 22 日) | フィードバック


目次


概要

このドキュメントでは、NAC ゲスト サーバ(NGS)をワイヤレス LAN コントローラ(WLC)、適応型セキュリティ アプライアンス(ASA)と統合して、ゲスト トラフィックに URL ロギングとレポートを提供する方法について説明します。 多くの企業にはゲスト トラフィックをモニタするという要件があり、このドキュメントでは、その要件を満たすために Cisco コンポーネントを設定する方法について説明します。

Ciscoネットワークのゲスト アクセスを設定する複数の Ciscoソリューションがあることに注目して下さい。 有効に なる テクノロジーとして WLC を使用するこの技術情報は方式に焦点を合わせます。 WLC にネットワークエッジからの EoIP のインターネットにトンネルトラフィックにすばらしい能力があります。 この機能は会社の内部ネットワークにリークからゲスト トラフィックを制限するためにネットワークインフラストラクチャ内の VPN か ACL を展開する必要を省きます。

この技術情報のバルクは「統合「ワイヤレス ゲスト」ネットワークをの URL ロギングおよびレポート」をカバーします、この機能は「配線ゲスト」ネットワークで同様に設定することができます。 付録 A は「配線ゲスト」ネットワークに詳細を提供します。

前提条件

要件

この設定を行う前に、次の要件が満たされていることを確認します。

  • バージョン 8.0.4.24 または それ 以降を実行する ASA

  • バージョン 4.2.130 または それ 以降を実行する 2 人の WLC-4400 シリーズ コントローラ

  • NAC ゲスト サーバ バージョン 2.0 または それ 以降を実行する

使用するコンポーネント

このドキュメントの情報は、次のソフトウェアとハードウェアのバージョンに基づくものです。

  • ASA 実行 8.0.4.26

  • 4.2.130 コードを実行する 2 人の WLC-44xx コントローラ

  • NAC ゲスト サーバ 2.0.0 コードを実行する

  • Catalyst 6500

このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されたものです。 このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。 ネットワークが稼働中の場合は、コマンドが及ぼす潜在的な影響を十分に理解しておく必要があります。

表記法

ドキュメント表記の詳細は、『シスコ テクニカル ティップスの表記法』を参照してください。

背景説明

ワイヤレス ゲスト アクセスは顧客に重要なビジネス上の利点を提供します。 これらの利点はゲスト アクセスの削減された運用 コストが、改善された生産性および簡略化された管理およびプロビジョニング含まれています。 さらに、NAC ゲスト サーバはインターネット接続規定を表示する、インターネットに与えるアクセス前にこのポリシーの承認を必要とすることを顧客が可能にします。 この場合、統合された URL ロギングおよびレポートの付加と、顧客はインターネット接続規定に対してゲスト使用方法およびトラック準拠性を記録できます。

設定

この項では、このドキュメントで説明する機能の設定に必要な情報を提供します。

このセクションで使用されているコマンドの詳細を調べるには、Command Lookup Tool登録ユーザ専用)を使用してください。

ネットワーク図

このドキュメントでは、次のネットワーク構成を使用しています。

/image/gif/paws/110304/integrated_url_log-1.gif

ワイヤレス ゲスト トポロジ の 例

Catalyst 6500 がエンタープライズ ネットワークを模倣するのに使用されています。 ゲスト SSID、赤で表示、ASA のネイティブ VLAN へのマップ、また赤で表示。 次に WLC 外部 コントローラへのアクセス ポイントへの、LWAPP トンネルによる、および WLC 固定コントローラへの EoIP トンネルによる PC からのゲスト トラフィックフロー。 固定コントローラはゲスト ネットワークに DHCP および認証サービスを提供します。 DHCP サービスは IP アドレス、デフォルト ゲートウェイおよび DNSサーバをゲストに与えます。 デフォルト ゲートウェイは ASA であり、DNSサーバはインターネットにあるパブリックサーバです。 固定コントローラの認証サービスは RADIUS によって NGS と NGS のゲストユーザ データベースに対してユーザを認証するために通信します。 ゲスト ログオンはゲストが Webブラウザを開く、固定コントローラは認証 ページにトラフィックをリダイレクトしますとき始められ。 ゲスト サブネットを出入りするすべてのトラフィックはポリシー制御および監査のための ASA を通してフィルタリングされます。

ASA からの NGS への統合された URL ロギング

統合された URL ロギングはこれらを有効に するときアクティブになります:

  • WLC 固定コントローラから NGS に説明する RADIUS

  • ASA の HTTP GET 要求のロギング

  • ASA からの NGS への syslog メッセージの送信

RADIUS 説明は特定 の 期間の間ゲスト IP アドレスとゲスト ユーザ ID 間のマッピングを NGS に与えます。 HTTP GET 要求のロギングはのログをどんな URL がゲスト IP アドレスによって何時に参照されたか NGS に与えます。 NGS はそれから特定の時間の特定のゲストが参照する URL を示すレポートを生成するためにこの情報を関連できます。

この相関がきちんとはたらくことができるように正確な時間が必要となることに注目して下さい。 従って、NTP サーバの設定は ASA、WLC および NGS で強く推奨されています。

設定

このドキュメントでは、次の設定を使用します。

ASA の設定

ASA のキー コンフィギュレーション タスクはこれらが含まれています:

  • NTP

  • HTTP インスペクション

  • Syslog

NGS によって NTP がメッセージの適切な相関を保証するために必要となります。 HTTP インスペクションは URL ロギングを有効に します。 Syslog は NGS に URL ログを送信 するのに使用される方式です。

この例では ASA の NTP を有効に するのに、このコマンドが使用されています:

ntp server 192.168.215.62

HTTP インスペクションは URL を記録 することを ASA が可能にします。 具体的には、Inspect http コマンドは syslog メッセージ 304001 との GET 要求のロギングを有効に するか、またはディセーブルにします。

Inspect http コマンドは policy-map 内の class-map の下で入れられます。 service-policy コマンドで有効に されたとき、http インスペクション ログは syslog メッセージ 304001 との要求を得ます。 syslog メッセージ 304001 に ASA コード 8.0.4.24 またはそれ以降が URL の一部としてホスト名を示すために必要となります。

この例では、これらは相当するコマンドです:

policy-map global_policy
 class inspection_default
  inspect http
!
service-policy global_policy global

Syslog は NGS に記録 する URL を伝えるのに使用される方式です。 この設定では、syslog メッセージだけ 304001 この設定の NGS に送信 されます:

logging enable
logging timestamp
logging list WebLogging message 304001
logging trap WebLogging
logging facility 21
logging host inside 192.168.215.16

WLC の設定

ワイヤレス LAN コントローラ用のキー コンフィギュレーションのステップはこれらが含まれています:

  • 基本的なゲスト アクセス

  • NTP

  • RADIUS アカウンティング

基本的なゲスト アクセス 設定はゲスト トラフィックがインターネット DMZ へのエンタープライズ ネットワークを通してトンネル伝送されるように WLC 外部 コントローラおよび WLC 固定コントローラの設定を含みます。 基本的なゲスト アクセスの設定は別途のドキュメントでカバーされます。 セットアップ用の設定を示す実例は付録でカバーされます。

NTP サーバは Controller/NTP 画面で追加されます。

WLC の NTP 設定

integrated_url_log-2.gif

NGS サーバがその特定の時にそのアドレスを使用するゲストに ASA syslog メッセージで受け取ったソース IP アドレスをマッピング することができるように RADIUS アカウンティング サーバが必要となります。

これら二つの画面は WLC 固定コントローラで説明する RADIUS認証および RADIUS の設定を示します。 外部 コントローラで RADIUSコンフィギュレーションが必要となりません。

RADIUS 認証

integrated_url_log-3.gif

RADIUS アカウンティング

integrated_url_log-4.gif

NGS 設定

  • NTP

  • RADIUSクライアント

  • Syslog

NGS サーバは https://(ip_address)/admin Webページから設定されます。 デフォルトユーザ名/パスワードは admin/admin です。

NTP サーバはサーバ/日付時間設定画面に追加されます。 システム タイムゾーンがサーバが物理的に配置されるタイムゾーンに設定 されることを推奨します。 NTP が同期されるとき、このスクリーンの一番下で言うメッセージが、「ステータス表示されます: IP アドレスと共にアクティブな NTP サーバ」示す「現在の時刻 ソースを」。

NGS NTP 設定

integrated_url_log-5.gif

RADIUSクライアントで固定コントローラの IP アドレスで設定される NGS サーバ必要。 この画面は Devices/RADIUS クライアント ページにあります。 固定コントローラで入力されたと共有秘密が同じであることを確かめて下さい。 NGS サーバの RADIUSサービスを再開するために変更を行なった後 Restart ボタンをクリックして下さい。

RADIUSクライアント

integrated_url_log-6.gif

デフォルトで、NGS サーバはあらゆる IP アドレスからの syslog メッセージを受け入れます。 その結果、ASA から syslog メッセージを受け取るために必要な追加手順がありません。

確認

ここでは、設定が正常に動作していることを確認します。

Output Interpreter Tool(OIT)(登録ユーザ専用)では、特定の show コマンドがサポートされています。 OIT を使用して、show コマンド出力の解析を表示できます。

URL ロギングがきちんとはたらくことを確認するために次の手順に従って下さい。

  1. クライアントPC から、ワイヤレス ゲスト ネットワークに接続して下さい。 PC は固定コントローラの DHCPサーバから IP アドレス、デフォルト ゲートウェイおよび DNSサーバを受け取ります。

  2. Web ブラウザを開きます。 Login 画面にリダイレクトされます。 ゲスト ユーザ名 および パスワードを入力して下さい。 認証の成功に、インターネットのデフォルト ページにリダイレクトされます。

  3. インターネットのさまざまな Webページに参照して下さい。

  4. 管理 PC を NGS に https://(ip_address) で接続し、スポンサーとしてログインして下さい。

  5. アカウント管理をクリックして下さい。 ゲスト アカウントのリストを見ます。 ゲスト アカウントが出て来なければ(、このスポンサーはそれらが作成したアカウントを見るただ場合があること規定 する 高度な 検索 ボタンをクリックし、フィルタをクリアして下さい。)

  6. リストからのゲストユーザ ユーザー アカウントを見つけて下さい。 Details アイコンを見るまで右にスクロールして下さい。 Details アイコンをクリックして下さい。

  7. アクティビティ Log タブをクリックして下さい。 ゲストが参照した URL のリストを見ます。

    ユーザ向けの URL ロギング レポート

    integrated_url_log-7.gif

レポートはゲストユーザが 2:51 に http://www.cisco.com を 2009 年 4月 1 日参照したことを示します。 192.168.59.49 のデバイスアドレスは URL ログが含まれている syslog メッセージを送信 した ASA の IP アドレスです。 ゲストユーザ向けのソース IP アドレスは 192.168.0.10 です。 宛先アドレスは http://www.cisco.com のための 192.168.219.25 です。

付録

付録 A –配線ゲスト オプション

このポイントまで、この技術情報は「「ワイヤレス ゲスト」ネットワークをの使用のためのゲスト トラフィック」の統合 URL ロギングおよびレポート カバーしました。 このセクションは「配線ゲストを」、同様に設定するために詳細を提供します。 配線ゲストおよびワイヤレス ゲストは同じ WLC 外部 コントローラで有効に することができます。

これは配線ゲスト ネットワーク ラボのためのネットワークダイアグラムです。

配線ゲスト トポロジ の 例

integrated_url_log-8.gif

配線ゲスト トポロジ の 例は配線ゲスト VLAN の付加を除いて、先に示されているワイヤレス ゲスト トポロジ の 例に類似したです。 配線ゲスト VLAN は、赤で表示、配線ゲスト PC と WLC 外部 コントローラ間のレイヤ2 接続です。 配線ゲストからのトラフィックは WLC 外部 コントローラによって受信され、EoIP によって WLC 固定コントローラに送信 されます。 WLC 固定コントローラは配線ゲスト ユーザ向けに DHCP および認証サービスを提供します同じようにワイヤレス ゲスト ユーザ向けにこれらのサービスを提供した。 デフォルト ゲートウェイは ASA であり、DNSサーバはインターネットのパブリックサーバです。 論理的に、サブネットを出入りするすべてのトラフィックは ASA によって保護されます。

これは社内ネットワークに配線ゲスト VLAN からリークすることをトラフィックのためのホップオフ ポイントが可能にすることができるので配線ゲスト VLAN のレイヤ3 インターフェイスを設定しないことを推奨します。

付録 B – WLCs のための詳細なコンフィギュレーション

WLC 固定コントローラ

固定コントローラ インターフェイス

固定コントローラのインターフェイスの設定は示されています:

integrated_url_log-37.gif

ap マネージャおよびマネージメントインターフェイスは WLC の物理ポート 1 のネイティブ VLAN にあります。 ポート 1 は Catalyst スイッチに接続され、カスタマーネットワークからトラフィックを受信します。 ゲスト トラフィックは外部 コントローラから EoIP トンネルおよびこのポートを通した終端によって受信されます。

ゲスト インターフェイスはポート 2 のネイティブ VLAN にあり、配線されたインターフェイスは ASA にポート 2.ポート 2 の VLAN 9 に接続され、インターネットにトラフィックを送出すのに使用されていますあります。

固定コントローラ モビリティグループ

この例に関しては、1 つのモビリティグループは外部 コントローラ(配線される)および固定コントローラ(固定)用の別途のモビリティグループのために設定されます。 固定コントローラの設定は示されています。

integrated_url_log-9.gif

固定コントローラ WLAN

integrated_url_log-10.gif

固定コントローラ-ゲスト WLAN のための一定固定

WLAN のためのモビリティ固定を示すために設定するか、または、マウスをドロップダウン矢印に権限で移動し、示されているようにモビリティ固定を、選択して下さい。

integrated_url_log-11.gif

固定コントローラ-それ自身への一定固定

integrated_url_log-12.gif

固定コントローラ-ワイヤレス ゲスト ユーザ向けの WLAN

integrated_url_log-13.gif

integrated_url_log-14.gif

integrated_url_log-15.gif

integrated_url_log-16.gif

固定コントローラ-配線ゲスト ユーザ(オプションの)向けの WLAN

integrated_url_log-17.gif

integrated_url_log-18.gif

integrated_url_log-19.gif

integrated_url_log-20.gif

固定コントローラ- DHCP スコープ

integrated_url_log-21.gif

固定コントローラ-ワイヤレス ゲストのための DHCP スコープ:

integrated_url_log-22.gif

固定コントローラ-配線ゲスト(オプションの)のための DHCP:

integrated_url_log-23.gif

WLC 外部 コントローラ

インターフェイス

外部 コントローラのインターフェイスの設定は示されています。

integrated_url_log-24.gif

ap マネージャおよびマネージメントインターフェイスは WLC の物理ポート 1 のネイティブ VLAN にあります。

配線ゲスト アクセスを提供したいと思う場合その時だけ配線されたインターフェイスがオプションで、必要となります。 配線されたインターフェイスは物理ポート 1.の VLAN 8 にあります。 このインターフェイスは Catalyst スイッチのゲスト VLAN からトラフィックを受信し、ネイティブ VLAN によって、固定コントローラにそれを EoIP トンネル送出します。

外部 コントローラ-モビリティグループ

外部 コントローラの設定は示されています。

integrated_url_log-25.gif

外部 コントローラ- WLAN

integrated_url_log-26.gif

WLAN のためのモビリティ固定を示すために設定するか、または、ドロップダウン矢印上のマウスを権限で移動し、示されているようにモビリティ固定を、選択して下さい。

integrated_url_log-27.gif

コントローラを固定するモビリティ固定セット

integrated_url_log-28.gif

外部 コントローラ-ワイヤレス ゲスト ユーザ向けのゲスト WLAN

integrated_url_log-29.gif

integrated_url_log-30.gif

s

integrated_url_log-31.gif

integrated_url_log-32.gif

外部 コントローラ-配線ゲスト ユーザ(オプションの続く)向けの WLAN –

integrated_url_log-33.gif

integrated_url_log-34.gif

integrated_url_log-35.gif

integrated_url_log-36.gif

付録 C – ASA 設定

ASA-5520# show run
:
ASA Version 8.0(4)26
!
hostname ASA-5520
!
interface GigabitEthernet0/0
 nameif outside
 security-level 0
 ip address dhcp setroute
!
interface GigabitEthernet0/1
 nameif inside
 security-level 100
 ip address 192.168.59.49 255.255.255.240
!
interface GigabitEthernet0/2 
   <- Guest traffic enters this interface
 nameif wireless_guest
 security-level 50
 ip address 192.168.0.254 255.255.255.0
!
interface Management0/0
 nameif management
 security-level 100
 ip address 192.168.99.1 255.255.255.0
 management-only
!
boot system disk0:/asa804-26-k8.bin
clock timezone CST -6
clock summer-time CDT recurring
logging enable
logging timestamp 
   <- provide a timestamp in each syslog message
logging list WebLogging message 304001 
   <- list includes URL Log message (304001)
logging console errors
logging buffered notifications
logging trap WebLogging 
   <- Send this list of Log messages to syslog servers
logging asdm informational
logging facility 21
logging host inside 192.168.215.16 
   <- NGS is the syslog server
asdm image disk0:/asdm-61551.bin
route inside 10.10.10.0 255.255.255.0 192.168.59.62 1
route inside 192.168.215.0 255.255.255.0 192.168.59.62 1
route inside 198.168.1.15 255.255.255.255 192.168.59.62 1
dynamic-access-policy-record DfltAccessPolicy
http server enable
http 192.168.99.0 255.255.255.0 management
!
threat-detection basic-threat
threat-detection statistics access-list
no threat-detection statistics tcp-intercept
ntp server 198.168.1.15 <- Configure ntp server
!
class-map inspection_default
 match default-inspection-traffic
!
policy-map type inspect dns migrated_dns_map_1
 parameters
  message-length maximum 512
policy-map global_policy
 class inspection_default
  inspect dns migrated_dns_map_1
  inspect ftp
  inspect h323 h225
  inspect h323 ras
  inspect rsh
  inspect rtsp
  inspect esmtp
  inspect sqlnet
  inspect skinny
  inspect sunrpc
  inspect xdmcp
  inspect sip
  inspect netbios
  inspect tftp
  inspect http 
   <- Enable http inspection on the global policy
!
service-policy global_policy global 
   <- Apply the policy
prompt hostname context
Cryptochecksum:b43ff809eacf50f0c9ef0ae2a9abbc1d
: end

関連情報


Document ID: 110304