セキュリティ : Cisco Identity Services Engine Software

Identity Services Engine(ISE)に対するネットワーク アドミッション コントロール(NAC)エージェントの検出プロセス

2016 年 10 月 27 日 - 機械翻訳について
その他のバージョン: PDFpdf | 英語版 (2015 年 8 月 22 日) | フィードバック


目次


概要

Cisco Network Admission Control (NAC)エージェントが Cisco Identity Services Engine (ISE)ポリシー ノードをどのように検出する、また NAC エージェントと ISE 間の正常な通信を確認するために必要な設定記述されていますかこの資料が。

Vivek Santuka によって貢献される、Cisco TAC エンジニア。

前提条件

要件

Cisco はこれらの必要条件を満たしていることを推奨します:

  • クライアントマシンは NAC エージェントによって提供する必要があります。

  • ISE はクライアント プロビジョニング フローのために正しく設定する必要があります。

  • AAA クライアントは適切なリダイレクト ACL で(スイッチか WLC)設定する必要があります。 この ACL がポート 80 の通信をリダイレクトし、ポート 8905 の通信をリダイレクトしないことは重要です。

  • クライアントマシンは ISE ホスト名を解決できる必要があります。

使用するコンポーネント

このドキュメントの情報は、次のソフトウェアとハードウェアのバージョンに基づくものです。

  • Cisco Network Admission Control (NAC)エージェント 4.9.x

  • Cisco Identity Services Engine (ISE) 1.1.x

このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されたものです。 このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。 ネットワークが稼働中の場合は、コマンドが及ぼす潜在的な影響を十分に理解しておく必要があります。

表記法

ドキュメント表記の詳細は、『シスコ テクニカル ティップスの表記法』を参照してください。

発見のプロセス

NAC エージェントは開始するとき、このシーケンスに従います:

  1. 1 つが設定される場合、ディスカバリ ホストへのポート 80 の HTTP ディスカバリ プローブ。

  2. 1 つが設定される場合、ディスカバリ ホストへのポート 8905 の HTTPS ディスカバリ プローブ。

  3. デフォルト ゲートウェイへのポート 80 の HTTP ディスカバリ プローブ。

  4. HTTPS は以前に連絡された ISE ポリシー ノードに 8905 のプローブを再接続します。

  5. 1.から繰り返して下さい。

正常なポスチャ 検証はオリジナル 802.1x/MAB セッションおよびセッション情報を受け取ることを認証したポリシー ノードに達するエージェントによって決まります。 この情報はスイッチしかしないエージェントに利用できます。 エージェントはアップするときあらゆるノードに接続するように試みます。

ステップ 1 および 3 では、ディスカバリ ホストかデフォルト ゲートウェイに達するためにポート 80 にことに NAC エージェント使用 HTTPトラフィックとりわけ注意して下さい。 このプロセスは ISE クライアント プロビジョニング フローはポート 80 がセッションを認証した ISE ポリシー ノードにリダイレクトされるように要求するので行われます。 制御パス プロセッサ(CPP)フローおよび URL リダイレクトが設定である限り正しく、はたらきます、ネットワークのどの NAC エージェントでも正しいポリシー ノードに達する問題に直面する必要があります。 覚えるべき 1 警告はリダイレクト URL が ISE のホスト名が含まれている、従ってクライアントマシンはポリシー ノードの IP にそれを解決できるはずですことです。

URL リダイレクトがはたらかないし、設定されない場合、ステップ 2 および 4 はフェールオーバーとして使用されます。 これらのステップはディスカバリ ホストを設定したか、だけまたはエージェントがこの ISE 配備に以前に接続したら使用されます。 エージェントはポリシー決定ポイント(PDP)にステップ 2 または 4 を使用して到達しても、セッション情報が PDP それで利用可能ではないかもしれないのでポスチャ 検証が成功することを保証しません。

この問題を回避するために、ノード グループはセッション情報を共有するために設定することができます。 ただし、それは URL リダイレクション作業を設定し、得大いにやすいです。

確認

NAC エージェントがポリシー ノードに達できるかどうか確かめるためにクライアントマシンのブラウザを開き、この URL に行って下さい: https:// <ise-hostname>:8905/auth/discovery

ISE はこのテキストを含むページを戻す必要があります: ISE> の X-Perfigo-CAS=<FQDN


関連情報


Document ID: 115803