Cisco Identity Services Engine 管理者ガイド リリース 1.3
Cisco TrustSec ポリシーの設定
Cisco TrustSec ポリシーの設定

目次

Cisco TrustSec ポリシーの設定

TrustSec アーキテクチャ

Cisco TrustSec ソリューションでは、信頼ネットワーク デバイスのクラウドを確立して、セキュアなネットワークを構築します。 Cisco TrustSec クラウド内の個々のデバイスは、そのネイバー(ピア)によって認証されます。 TrustSec クラウド内のデバイス間の通信は、暗号化、メッセージ整合性検査、データパス リプレイ防止メカニズムを組み合わせたセキュリティで保護されます。 TrustSec ソリューションでは、認証中に取得したデバイスおよびユーザ ID 情報を使用して、ネットワークに入ってきたパケットを分類(色付け)します。 このパケット分類は、パケットが TrustSec ネットワークに入ってきたときに、そのパケットにタグ付けすることによって維持されます。これにより、パケットはデータ パス全体で正しく識別され、セキュリティおよびその他のポリシー基準が適用されるようになります。 このタグは、セキュリティ グループ タグ(SGT)と呼ばれることもあります。エンドポイント デバイスで SGT に応じてトラフィックをフィルタリングできるようにすることにより、Cisco ISE でアクセス コントロール ポリシーを適用できるようになります。

次の図に、TrustSec ネットワーク クラウドの例を示します。

図 1. TrustSec アーキテクチャ

TrustSec のコンポーネント

主な TrustSec のコンポーネント:

  • ネットワーク デバイス アドミッション コントロール(NDAC):信頼ネットワークでは、認証中に、TrustSec クラウド内にある各ネットワーク デバイス(イーサネット スイッチなど)のクレデンシャルおよび信頼性が、そのピア デバイスによって検証されます。 NDAC は IEEE 802.1X ポートベース認証を使用し、その拡張認証プロトコル(EAP)方式として Extensible Authentication Protocol-Flexible Authentication via Secure Tunneling(EAP-FAST)を使用します。 NDAC プロセスの認証および許可が成功すると、IEEE 802.1AE 暗号化のセキュリティ アソシエーション プロトコル ネゴシエーションが実行されます。

  • エンドポイント アドミッション コントロール(EAC):TrustSec クラウドに接続しているエンドポイント ユーザまたはデバイスの認証プロセス。 EAC は一般的にアクセス レベル スイッチで実行されます。 EAC プロセスの認証および許可が成功すると、ユーザまたはデバイスに対する SGT 割り当てが実行されます。 認証および許可の EAC アクセス方法には次のものがあります。

    • 802.1X ポートベースの認証

    • MAC 認証バイパス(MAB)

    • Web 認証(WebAuth)

  • セキュリティ グループ(SG):アクセス コントロール ポリシーを共有するユーザ、エンドポイント デバイス、およびリソースのグループ。 SG は、管理者が Cisco ISE で定義します。 新規ユーザおよびデバイスが TrustSec ドメインに追加されると、Cisco ISE では、これらの新規エントリを適切なセキュリティ グループに割り当てます。

  • セキュリティ グループ タグ(SGT):TrustSec サービスは各セキュリティ グループに、その範囲が TrustSec ドメイン内でグローバルな一意のセキュリティ グループ番号(16 ビット)を割り当てます。 スイッチ内のセキュリティ グループの数は、認証されたネットワーク エンティティの数に制限されます。 セキュリティ グループ番号を手動で設定する必要はありません。 これらは自動的に生成されますが、IP と SGT とのマッピング用に SGT の範囲を予約しておくことができます。

  • セキュリティ グループ アクセス コントロール リスト(SGACL):SGACL では、割り当てられている SGT に基づいてアクセスおよび権限を制御できます。 権限をロールにまとめることにより、セキュリティ ポリシーの管理が容易になります。 デバイスを追加するときに、1 つ以上のセキュリティ グループを割り当てるだけで、即座に適切な権限が付与されます。 セキュリティ グループを変更することにより、新しい権限を追加したり、現在の権限を制限したりすることができます。

  • セキュリティ交換プロトコル(SXP):セキュリティ交換プロトコル(SXP)は、TrustSec サービス用に開発されたプロトコルで、SGT 対応ハードウェアをサポートしていないネットワーク デバイス間で、SGT/SGACL をサポートしているハードウェアに IP と SGT とのバインディング テーブルを伝播します。

  • 環境データのダウンロード:TrustSec デバイスは、初めて信頼ネットワークに参加するときに、その環境データを Cisco ISE から取得します。 デバイス上の一部のデータは、手動で設定することもできます。 デバイスでは、期限切れになる前に環境データをリフレッシュする必要があります。 TrustSec デバイスは、次の環境データを Cisco ISE から取得します。

    • サーバ リスト:クライアントがその後の RADIUS 要求に使用できるサーバのリスト(認証および許可の両方)

    • デバイス SG:そのデバイス自体が属しているセキュリティ グループ

    • 有効期間:TrustSec デバイスが環境データをダウンロードまたはリフレッシュする頻度を制御する期間

  • SGT 予約:IP と SGT とのマッピングを有効にするために SGT の範囲を予約する、Cisco ISE の拡張機能。

  • IP と SGT とのマッピング:エンドポイント IP を SGT にバインドして TrustSec 対応デバイスにプロビジョニングする Cisco ISE の拡張機能。 Cisco ISE は、1000 個の IP-to-SGT マッピングの入力をサポートしています。

  • ID とポートとのマッピング:エンドポイントの接続先のポートでスイッチが ID を定義するための方法で、この ID を使用して Cisco ISE サーバ内の特定の SGT 値が検索されます。

TrustSec の用語

次の表は、TrustSec ソリューションで使用される一般的な用語の一部と、TrustSec 環境でのその意味を示しています。

表 1 TrustSec の用語

用語

意味

サプリカント

信頼ネットワークへの参加を試行するデバイス。

認証

信頼ネットワークへの参加を許可する前に、各デバイスの ID を検証するプロセス。

許可

信頼ネットワーク上のリソースへのアクセスを要求しているデバイスに対し、デバイスの認証 ID に基づいてアクセスのレベルを決定するプロセス。

アクセス コントロール

各パケットに割り当てられている SGT に基づいて、パケットごとにアクセス コントロールを適用するプロセス。

セキュアな通信

信頼ネットワーク内の各リンクを経由して流れるパケットをセキュリティで保護するための、暗号化、整合性、データパス リプレイ保護のプロセス。

TrustSec デバイス

TrustSec ソリューションをサポートする Cisco Catalyst 6000 シリーズまたは Cisco Nexus 7000 シリーズのスイッチ。

TrustSec 対応デバイス

TrustSec 対応デバイスは、TrustSec 対応のハードウェアとソフトウェアを備えています。 たとえば、Nexus オペレーティング システムを搭載した Nexus 7000 シリーズ スイッチなどです。

TrustSec シード デバイス

Cisco ISE サーバに対して直接認証を行う TrustSec デバイス。 オーセンティケータとサプリカントの両方として機能します。

受信側

Cisco TrustSec ソリューションが有効になっているネットワーク内の TrustSec 対応デバイスにパケットが初めて到達すると、SGT を使用してパケットにタグが付けられます。 この信頼ネットワークへの入り口点を入力と呼びます。

送信側

Cisco TrustSec ソリューションが有効になっているネットワーク内の最後の TrustSec 対応デバイスをパケットが通過すると、タグが解除されます。 この信頼ネットワークからの出口点を出力と呼びます。

TrustSec のサポートされるスイッチと必要なコンポーネント

Cisco TrustSec ソリューションが有効になった Cisco ISE ネットワークを設定するには、TrustSec ソリューションおよび他のコンポーネントをサポートするスイッチが必要です。 スイッチ以外に、IEEE 802.1X プロトコルを使用した ID ベースのユーザ アクセス コントロールには、その他のコンポーネントも必要です。 TrustSec をサポートするシスコ スイッチのプラットフォームおよび必要なコンポーネントの完全な最新のリストについては、「Cisco TrustSec-Enabled Infrastructure」を参照してください。

TrustSec のグローバル設定

Cisco ISE が TrustSec サーバとして機能して TrustSec サービスを提供するには、いくつかのグローバル TrustSec 設定を定義する必要があります。

はじめる前に
  • TrustSec グローバル設定を設定する前に、グローバル EAP-FAST 設定が定義されていることを確認します([管理(Administration)] > [システム(System)] > [設定(Settings)] > [プロトコル(Protocols)] > [EAP-FAST] > [EAP-FAST 設定(EAP-FAST Settings)] を選択)。

    [機関識別情報の説明(Authority Identity Info Description)] を Cisco ISE サーバ名に変更することができます。 この説明は、クレデンシャルをエンドポイント クライアントに送信する Cisco ISE サーバを説明したわかりやすい文字列にします。 Cisco TrustSec アーキテクチャのクライアントには、IEEE 802.1X 認証の EAP 方式として EAP-FAST を実行するエンドポイント、または Network Device Access Control(NDAC)を実行するサプリカント ネットワーク デバイスのいずれも使用できます。 クライアントは、この文字列を Protected Access Credentials(PAC)Type-Length-Value(TLV)情報で認識できます。 デフォルト値は、Identity Services Engine です。 NDAC 認証時に、ネットワーク デバイスで Cisco ISE PAC 情報が一意に識別されるように、この値を変更する必要があります。

  • 次のタスクを実行するには、スーパー管理者またはシステム管理者である必要があります。

手順
    ステップ 1   [管理(Administration)] > [システム(System)] > [設定(Settings)] > [TrustSec の設定(TrustSec Settings)] を選択します。
    ステップ 2   フィールドに値を入力します。
    ステップ 3   [保存(Save)] をクリックします。

    次の作業

    • TrustSec デバイスを設定します。

    TrustSec デバイスの設定

    Cisco ISE で TrustSec 対応デバイスからの要求を処理するには、これらの TrustSec 対応デバイスを Cisco ISE で定義しておく必要があります。

    手順
      ステップ 1   [管理(Administration)] > [ネットワーク リソース(Network Resources)] > [ネットワーク デバイス(Network Devices)] を選択します。
      ステップ 2   [追加(Add)] をクリックします。
      ステップ 3   [ネットワーク デバイス(Network Devices)] セクションで、必要な情報を入力します。
      ステップ 4   TrustSec 対応デバイスを設定するために [高度な TrustSec 設定(Advanced Trustsec Settings)] チェックボックスをオンにします。
      ステップ 5   [送信(Submit)] をクリックします。

      OOB TrustSec PAC

      すべての TrustSec ネットワーク デバイスで、EAP-FAST プロトコルの一部として TrustSec PAC が保持されています。 これはセキュアな RADIUS プロトコルでも使用され、ここでは RADIUS 共有秘密が PAC で伝送されるパラメータから作成されます。 これらのパラメータの 1 つである発信側 ID には、TrustSec ネットワーク デバイス ID、つまりデバイス ID が保持されます。

      デバイスが TrustSec PAC を使用して識別される場合、Cisco ISE でそのデバイス用に設定されているデバイス ID と、PAC の発信側 ID が一致していない場合、認証に失敗します。

      一部の TrustSec デバイス(Cisco ASA ファイアウォールなど)では EAP-FAST プロトコルをサポートしていません。 したがって、Cisco ISE ではこれらのデバイスを EAP-FAST を介した TrustSec PAC でプロビジョニングできません。 代わりに、TrustSec PAC は Cisco ISE 上で生成され、手動でデバイスにコピーされます。そのため、これをアウトオブバンド(OOB)TrustSec PAC 生成と呼びます。

      Cisco ISE で PAC を生成すると、暗号キーで暗号化された PAC ファイルが生成されます。

      ここでは、次の内容について説明します。

      [設定(Settings)] 画面からの TrustSec PAC の生成

      [設定(Settings)] 画面から TrustSec PAC を生成できます。

      手順
        ステップ 1   [管理(Administration)] > [システム(System)] > [設定(Settings)] を選択します。
        ステップ 2   左側の [設定(Settings)] ナビゲーション ペインの [プロトコル(Protocols)] をクリックします。
        ステップ 3   [EAP-FAST] > [PAC の生成(Generate PAC)] を選択します。
        ステップ 4   TrustSec PAC を生成します。

        [ネットワーク デバイス(Network Devices)] 画面からの TrustSec PAC の生成

        [ネットワーク デバイス(Network Devices)] 画面から TrustSec PAC を生成できます。

        手順
          ステップ 1   [管理(Administration)] > [ネットワーク リソース(Network Resources)] > [ネットワーク デバイス(Network Devices)] を選択します。
          ステップ 2   [追加(Add)] をクリックします。 [ネットワーク デバイス(Network Devices)] ナビゲーション ペインのアクション アイコンから [新規デバイスの追加(Add new device)] をクリックすることもできます。
          ステップ 3   新規デバイスを追加する場合は、デバイス名を入力します。
          ステップ 4   TrustSec デバイスを設定するために [高度な TrustSec 設定(Advanced Trustsec Settings)] チェックボックスをオンにします。
          ステップ 5   [アウトオブバンド(OOB)TrustSec PAC(Out of Band (OOB) TrustSec PAC)] サブ セクションで、[PAC の生成(Generate PAC)] をクリックします。
          ステップ 6   次の詳細事項を入力します。
          • [PAC 存続可能時間(PAC Time to Live)]:日、週、月、および年の単位で値を入力します。 デフォルト値は 1 年です。 最小値は 1 日、最大値は 10 年です。

          • [暗号化キー(Encryption Key)]:暗号キーを入力します。 キーの長さは 8 ~ 256 文字にする必要があります。 キーはアルファベットの大文字または小文字、数字、または英数字の組み合わせを含むことができます。

            暗号キーを使用して、生成されるファイルの PAC が暗号化されます。 このキーは、デバイスで PAC ファイルを復号化する場合にも使用されます。 したがって、後で使用できるように管理者が暗号キーを保存しておくことを推奨します。

            [ID(Identity)] フィールドは TrustSec ネットワーク デバイスのデバイス ID を示し、このフィールドには EAP-FAST プロトコルによって発信側 ID が提供されます。 ここに入力した ID 文字列がネットワーク デバイスの作成ページの [TrustSec] セクションで定義されたデバイス ID と一致しない場合、認証は失敗します。

            有効期限は、PAC 存続可能時間に基づいて計算されます。

          ステップ 7   [PAC の生成(Generate PAC)] をクリックします。

          [ネットワーク デバイス リスト(Network Devices List)] 画面からの TrustSec PAC の生成

          [ネットワーク デバイス リスト(Network Devices list)] 画面から TrustSec PAC を生成できます。

          手順
            ステップ 1   [管理(Administration)] > [ネットワーク リソース(Network Resources)] > [ネットワーク デバイス(Network Devices)] を選択します。
            ステップ 2   [ネットワーク デバイス(Network Devices)] をクリックします。
            ステップ 3   TrustSec PAC を生成するデバイスの隣にあるチェックボックスをオンにし、[PAC の生成(Generate PAC)] をクリックします。
            ステップ 4   フィールドで詳細を提供します。
            ステップ 5   [PAC の生成(Generate PAC)] をクリックします。

            [プッシュ(Push)] ボタン

            出力ポリシーの [プッシュ(Push)] オプションは CoA 通知を開始します。この通知は、Cisco ISE からの出力ポリシー設定変更に関する更新を、ただちに要求するよう TrustSec デバイスに伝えます。

            TrustSec AAA サーバの設定

            展開内の Cisco ISE サーバのリストを AAA サーバ リストに設定して、これらの任意のサーバに対して TrustSec デバイスの認証が行われるようにできます。 このリストに Cisco ISE サーバを追加すると、これらすべてのサーバの詳細が TrustSec デバイスにダウンロードされます。 TrustSec デバイスは、認証を試行するときに、このリストから Cisco ISE サーバを選択します。最初のサーバがダウン状態またはビジー状態の場合、TrustSec デバイスはこのリストにある別の任意のサーバに対して自分自身の認証を行うことができます。 デフォルトでは、プライマリ Cisco ISE サーバは、TrustSec AAA サーバです。 1 台のサーバがビジー状態の場合、AAA サーバ リストの別のサーバが TrustSec 要求を処理できるように、AAA サーバ リストで追加の Cisco ISE サーバを設定することを推奨します。

            このページには、TrustSec AAA サーバとして設定した展開内の Cisco ISE サーバがリストされます。

            [プッシュ(Push)] ボタンをクリックすると、複数の TrustSec AAA サーバを設定した後に、環境 CoA 通知を開始できます。 この環境 CoA 通知は、すべての TrustSec ネットワーク デバイスに送信され、変更されたすべての TrustSec AAA サーバの更新を提供します。

            はじめる前に

            次のタスクを実行するには、スーパー管理者またはシステム管理者である必要があります。

            手順
              ステップ 1   [管理(Administration)] > [ネットワーク リソース(Network Resources)] > [TrustSec AAA サーバ(TrustSec AAA Servers)] を選択します。
              ステップ 2   [追加(Add)] をクリックします。
              ステップ 3   説明に従って値を入力します。
              • [名前(Name)]:この AAA サーバ リスト内で Cisco ISE サーバに割り当てる名前。 この名前は、Cisco ISE サーバのホスト名と異なっていてもかまいません。

              • [説明(Description)]:説明(任意)。

              • [IP]:AAA サーバ リストに追加する Cisco ISE サーバの IP アドレス。

              • [ポート(Port)]:TrustSec デバイスとサーバ間の通信が行われるポート。 デフォルトは 1812 です。

              ステップ 4   [送信(Submit)] をクリックします。

              次の作業

              セキュリティ グループを設定します。

              セキュリティ グループの設定

              セキュリティ グループ(SG)またはセキュリティ グループ タグ(SGT)は、TrustSec ポリシー設定で使用される要素です。 SGT は、パケットが信頼ネットワーク内を移動する場合に付加されます。 これらのパケットは、信頼ネットワークに入ったとき(入力)にタグ付けされ、信頼ネットワークから離れるとき(出力)にタグ解除されます。

              SGT は順次的な方法で生成されますが、IP と SGT とのマッピング用に SGT の範囲を予約しておくことができます。 Cisco ISE は、SGT の生成時に予約済みの番号をスキップします。

              TrustSec サービスはこれらの SGT を使用して、出力時に TrustSec ポリシーを適用します。

              管理者ポータルで次のページからセキュリティ グループを設定できます。

              • [ポリシー(Policy)] > [ポリシー要素(Policy Elements)] > [結果(Results)] > [TrustSec] > [セキュリティ グループ(Security Groups)]

              • [設定(Configure)] > [新規セキュリティ グループの作成(Create New Security Group)] の出力ポリシーページから直接。

              [プッシュ(Push)] ボタンをクリックすると、複数の SGT を更新した後に、環境 CoA 通知を開始できます。 この環境 CoA 通知はすべての TrustSec ネットワーク デバイスに送信され、ポリシー/データ リフレッシュ要求を開始することを強制します。

              セキュリティ グループの追加

              TrustSec ソリューション内の個々のセキュリティ グループに一意の SGT を割り当てる必要があります。 Cisco ISE では 65,535 SGT までサポートされていますが、SGT の数を少なくすると、TrustSec ソリューションをより簡単に展開および管理できるようになります。 最大で 4,000 SGT までにすることを推奨します。

              はじめる前に

              次のタスクを実行するには、スーパー管理者またはシステム管理者である必要があります。

              手順
                ステップ 1   [ポリシー(Policy)] > [ポリシー要素(Policy Elements)] > [結果(Results)] > [TrustSec] > [セキュリティ グループ(Security Groups)] を選択します。
                ステップ 2   [追加(Add)] をクリックして新規セキュリティ グループを追加します。
                ステップ 3   新規セキュリティ グループの名前と説明(任意)を入力します。
                ステップ 4   タグ値を入力します。 タグ値は、手動で入力したり、自動生成されるようにしたり設定できます。 また SGT の範囲を予約できます。 これは、[管理(Administration)] > [システム(System)] > [設定(Settings)] > [TrustSec 設定(Trustsec Settings)] の [TrustSec グローバル設定(Trustsec global settings)] ページから設定できます。
                ステップ 5   [保存(Save)] をクリックして、セキュリティ グループを保存します。

                次の作業

                セキュリティ グループ アクセス コントロール リストの設定

                Cisco ISE へのセキュリティ グループのインポート

                カンマ区切り形式(CSV)ファイルを使用して Cisco ISE ノードにセキュリティ グループをインポートできます。 Cisco ISE にセキュリティ グループをインポートする前に、テンプレートを更新する必要があります。 同じリソース タイプのインポートを同時に実行できません。 たとえば、2 つの異なるインポート ファイルから同時にセキュリティ グループをインポートできません。

                管理者ポータルから CSV テンプレートをダウンロードし、テンプレートにセキュリティ グループの詳細を入力し、Cisco ISE にインポート可能な CSV ファイルとしてテンプレートを保存できます。

                セキュリティ グループのインポート中、Cisco ISE で最初のエラーが発生した場合、インポート プロセスを停止できます。

                手順
                  ステップ 1   [ポリシー(Policy)] > [ポリシー要素(Policy Elements)] > [結果(Results)] > [TrustSec] > [セキュリティ グループ(Security Groups)] を選択します。
                  ステップ 2   [インポート(Import)] をクリックします。
                  ステップ 3   [参照(Browse)] をクリックして、クライアント ブラウザを実行しているシステムから CSV ファイルを選択します。
                  ステップ 4   [最初のエラーでインポートを停止(Stop Import on First Error)] チェックボックスをオンにします。
                  ステップ 5   [インポート(Import)] をクリックします。

                  Cisco ISE からのセキュリティ グループのエクスポート

                  Cisco ISE で設定されたセキュリティ グループを CSV ファイル形式でエクスポートし、これを使用して別の Cisco ISE ノードにそれらのセキュリティ グループをインポートできます。

                  手順
                    ステップ 1   [ポリシー(Policy)] > [ポリシー要素(Policy Elements)] > [結果(Results)] > [TrustSec] > [セキュリティ グループ(Security Groups)] を選択します。
                    ステップ 2   [エクスポート(Export)] をクリックします。
                    ステップ 3   セキュリティ グループをエクスポートするには、次のいずれかを実行できます。
                    • エクスポートするグループの隣にあるチェックボックスをオンにし、[エクスポート(Export)] > [選択済みをエクスポート(Export Selected)] を選択します。

                    • [エクスポート(Export)] > [すべてエクスポート(Export All)] を選択して、定義されたすべてのセキュリティ グループをエクスポートします。

                    ステップ 4   ローカル ハード ディスクに export.csv ファイルを保存します。

                    セキュリティ グループ アクセス コントロール リストの追加

                    はじめる前に

                    次のタスクを実行するには、スーパー管理者またはシステム管理者である必要があります。

                    手順
                      ステップ 1   [ポリシー(Policy)] > [ポリシー要素(Policy Elements)] > [結果(Results)] > [TrustSec] > [セキュリティ グループ ACL(Security Group ACLs)] を選択します。
                      ステップ 2   [追加(Add)] をクリックして新規セキュリティ グループ ACL を作成します。
                      ステップ 3   次の情報を入力します。
                      • [名前(Name)]:SGACL の名前

                      • [説明(Description)]:SGACL の説明(任意)

                      • [IP バージョン(IP Version)]:この SGACL でサポートされる IP バージョン:

                        • [IPv4]:IP バージョン 4(IPv4)がサポートされます

                        • [IPv6]:IP バージョン 6(IPv6)がサポートされます

                        • [非認識(Agnostic)]:IPv4 と IPv6 の両方がサポートされます

                      • セキュリティ グループ ACL の内容:アクセス コントロール リスト(ACL)コマンド。 次に例を示します。

                        permit icmp

                        deny all

                        ACL コマンドは、ネットワーク デバイスの構文に一致する必要があります。

                      ステップ 4   [送信(Submit)] をクリックします。

                      出力ポリシー

                      出力テーブルには、送信元 SGT および宛先 SGT が、予約済みのものもそうでないものもリストされます。 また、このページでは、出力テーブルをフィルタリングして特定のポリシーを表示することや、これらのプリセット フィルタを保存することもできます。 送信元 SGT から宛先 SGT に到達しようとすると、TrustSec 対応デバイスは、出力ポリシーで定義されている TrustSec ポリシーに基づいて SGACL を適用します。 Cisco ISE はポリシーを作成してプロビジョニングします。

                      TrustSec ポリシーの作成に必要な基本的構築ブロックである SGT および SGACL を作成した後に、SGACL を送信元 SGT および宛先 SGT に割り当てることによって、それらの関係を確立できます。

                      送信元 SGT と宛先 SGT のそれぞれの組み合わせが、出力ポリシーのセルになります。

                      出力ポリシーは、[ポリシー(Policy)] > [TrustSec] > [出力ポリシー(Egress Policy)] ページで表示できます。

                      それぞれ異なる 3 つの方法で出力ポリシーを表示できます。

                      • 送信元ツリー ビュー

                      • 宛先ツリー ビュー

                      • マトリクス ビュー

                      送信元ツリー ビュー

                      送信元ツリー ビューには、簡潔で組織化された送信元 SGT のビューが折りたたまれた状態で表示されます。 送信元 SGT を展開すると、選択した送信元 SGT に関連するすべての情報が含まれた内部テーブルを表示できます。 このビューには、宛先 SGT にマッピングされている送信元 SGT のみが表示されます。 特定の送信元 SGT を展開すると、この送信元 SGT にマッピングされているすべての宛先 SGT とその対応するポリシー(SGACL)がテーブルに表示されます。

                      一部のフィールドの隣に 3 個のドット(...)が表示されます。 これは、セルにより多くの情報が含まれていることを示しています。 カーソルを 3 個のドットの上に置くと、クイック ビュー ポップアップに残りの情報が表示されます。 カーソルを SGT 名または SGACL 名の上に置くと、クイック ビュー ポップアップが開き、その特定の SGT または SGACL の内容が表示されます。

                      宛先ツリー ビュー

                      宛先ツリー ビューには、簡潔で組織化された宛先 SGT のビューが折りたたまれた状態で表示されます。 宛先 SGT を展開すると、選択した宛先 SGT に関連するすべての情報が含まれた内部テーブルを表示できます。 このビューには、送信元 SGT にマッピングされている宛先 SGT のみが表示されます。 特定の宛先 SGT を展開すると、この宛先 SGT にマッピングされているすべての送信元 SGT と対応するポリシー(SGACL)が表に示されます。

                      一部のフィールドの隣に 3 個のドット(...)が表示されます。 これは、セルにより多くの情報が含まれていることを示しています。 カーソルを 3 個のドットの上に置くと、クイック ビュー ポップアップに残りの情報が表示されます。 カーソルを SGT 名または SGACL 名の上に置くと、クイック ビュー ポップアップが開き、その特定の SGT または SGACL の内容が表示されます。

                      マトリクス ビュー

                      出力ポリシーのマトリクス ビューは、スプレッドシートに似ています。 ここには 2 つの軸があります。

                      • 送信元軸:垂直軸にはすべての送信元 SGT がリストされます。

                      • 宛先軸:水平軸にはすべての宛先 SGT がリストされます。

                      送信元 SGT と宛先 SGT のマッピングが、セルとして示されます。 セルにデータが含まれている場合、対応する送信元 SGT と宛先 SGT 間にマッピングがあるということになります。 マトリクス ビューには 2 つのタイプのセルがあります。

                      • マッピングされたセル:送信元 SGT と宛先 SGT のペアが、順序付けされた SGACL のセットに関連付けられ、特定のステータスになっている場合。

                      • マッピングされていないセル:送信元 SGT と宛先 SGT のペアが、SGACL に関連付けられてなく、特定のステータスになっていない場合。

                      出力ポリシー セルには、送信元 SGT、宛先 SGT、最終的な catch-all ルールが 1 つのリストとして SGACL の下にカンマで区切られて表示されます。 最終的な catch-all ルールは、[なし(None)] に設定されている場合には表示されません。 マトリクス内の空のセルは、マッピングされていないセルを示します。

                      出力ポリシーのマトリクス ビューでは、マトリクスをスクロールして目的のセルのセットを表示できます。 ブラウザがマトリクス データ全体を一度にロードすることはありません。 ブラウザは、ユーザがスクロールした領域に移入されるデータをサーバに要求します。 これにより、メモリのオーバーフローおよびパフォーマンスの問題を防ぐことができます。

                      マトリクス ビューはソース ビューおよびターゲット ビューと同じ GUI 要素を共有します。 ただし、次の追加要素を含みます。

                      マトリクスの次元

                      次元ビューの [次元(Dimension)] ドロップダウン リストでは、マトリクスの次元を設定することができます。

                      簡易設定ビュー

                      出力ポリシー マトリクス ビューの [簡易設定(Condensed)] オプションを使用すると、空のセルなしでマトリクスを表示することができます。 空のセルを非表示にするには、[簡易設定(Condensed)] チェックボックスをオンにします。

                      マトリクスのインポート/エクスポート

                      [インポート(Import)] および [エクスポート(Export)] ボタンを使用すると、マトリクスをインポートまたはエクスポートできます。

                      マトリクス操作

                      マトリクスでの移動

                      カーソルでマトリクス コンテンツ領域をドラッグするか、または水平および垂直スクロール バーを使用して、マトリクス内を移動できます。 セルをクリックしたままにし、マトリクス コンテンツ全体を任意の方向にドラッグできます。 送信元および宛先のバーがセルと一緒に移動します。 セルを選択すると、マトリクス ビューによってそのセルと対応する行(送信元 SGT)およびカラム(宛先 SGT)が強調表示されます。 選択したセルの座標(送信元 SGT および宛先 SGT)がマトリクス コンテンツ領域の下に表示されます。

                      マトリクスでのセルの選択

                      マトリクス ビューでセルを選択するには、該当のセルをクリックします。 選択したセルが別の色で表示され、送信元 SGT および宛先 SGT が強調表示されます。 セルをもう一度クリックするか、または別のセルを選択することで、セルの選択を解除できます。 複数セルの選択は、マトリクス ビューでは許可されていません。 セルをダブルクリックして、セルの設定を編集します。

                      出力ポリシー テーブル セルの設定

                      Cisco ISE では、ツールバーで使用可能なさまざまなオプションを使用して、セルを設定できます。 Cisco ISE では、選択した送信元 SGT および宛先 SGT がマッピングされたセルと同一である場合には、セルを設定できません。

                      出力ポリシー セルのマッピングの追加

                      [ポリシー(Policy)] ページから出力ポリシーのマッピング セルを追加できます。

                      手順
                        ステップ 1   [ポリシー(Policy)] > [TrustSec] > [出力ポリシー(Egress Policy)] を選択します。
                        ステップ 2   マトリクス セルを選択するには、次の手順を実行します。
                        • マトリクス ビューで、セルをクリックして選択します。

                        • 送信元ツリー ビューおよび宛先ツリー ビューで、内部テーブル内の行のチェックボックスをオンにして選択します。

                        ステップ 3   新しいマッピング セルを追加するには [追加(Add)] をクリックします。
                        ステップ 4   次の項目について適切な値を選択します。
                        • 送信元セキュリティ グループ(Source Security Group)

                        • 宛先セキュリティ グループ(Destination Security Group)

                        • ステータス(Status)、セキュリティ グループ ACL(Security Group ACLs)

                        • 最終的な catch-all ルール(Final Catch All Rule)

                        ステップ 5   [保存(Save)] をクリックして、設定を保存します。

                        出力ポリシーのインポート

                        Cisco ISE では、出力ポリシーをオフラインで作成し、Cisco ISE にインポートすることができます。 セキュリティ グループ タグの数が多い場合、セキュリティ グループ ACL マッピングを 1 つずつ作成すると、時間がかかることがあります。 代わりに、出力ポリシーをオフラインで作成し、Cisco ISE にインポートすることにより、時間を節約できます。 インポート中、Cisco ISE は CSV ファイルのエントリを出力ポリシー マトリクスに追加し、データは上書きしません。

                        次の場合、出力ポリシーのインポートは失敗します。

                        • 送信元または宛先 SGT が存在しない

                        • SGACL が存在しない

                        • モニタ ステータスが、そのセルについて Cisco ISE で現在設定されているものと異なる

                        手順
                          ステップ 1   [ポリシー(Policy)] > [TrustSec] > [出力ポリシー(Egress Policy)] > [マトリクス(Matrix)] を選択します。
                          ステップ 2   [テンプレートの生成(Generate a Template)] をクリックします。
                          ステップ 3   [出力ポリシー(Egress Policy)] ページからテンプレート(CSV ファイル)をダウンロードし、CSV ファイルに次の情報を入力します。
                          • 送信元 SGT:出力セルを識別するために Cisco ISE が使用するセキュリティ グループ タグ。
                          • 宛先 SGT:出力セルを識別するために Cisco ISE が使用するセキュリティ グループ タグ。
                          • SGACL:Cisco ISE がこのセルに割り当てるセキュリティ グループ ACL。
                          • モニタ ステータス:ステータスは、有効、無効、またはモニタ対象です。
                          ステップ 4   インポートするポリシーで既存のポリシーが上書きされるようにする場合は、[新しいデータで既存のデータを上書き(Overwrite Existing Data with New Data)] チェックボックスをオンにします。
                          ステップ 5   エラーが発生した場合にインポートを停止するには、[最初のエラーでインポートを停止(Stop Import on First Error)] チェックボックスをオンにします。
                          ステップ 6   Cisco ISE に出力ポリシーをインポートするには、[インポート(Import)] をクリックします。

                          出力ポリシーのエクスポート

                          手順
                            ステップ 1   [ポリシー(Policy)] > [TrustSec] > [出力ポリシー(Egress Policy)] > [マトリクス(Matrix)] を選択します。
                            ステップ 2   [エクスポート(Export)] をクリックします。
                            ステップ 3   ローカル システムに CSV ファイルを保存します。

                            出力ポリシーの SGT の設定

                            [出力ポリシー(Egress Policy)] ページでセキュリティ グループを直接作成できます。

                            手順
                              ステップ 1   [ポリシー(Policy)] > [TrustSec] > [出力ポリシー(Egress Policy)] を選択します。
                              ステップ 2   [設定(Configure)] オプション ドロップダウン リストから [新しいセキュリティ グループの作成(Create New Security Group)] を選択します。
                              ステップ 3   セキュリティ グループを作成します。

                              出力ポリシーの SGACL の設定

                              [出力ポリシー(Egress Policy)] ページでセキュリティ グループ ACL を直接作成できます。

                              手順
                                ステップ 1   [ポリシー(Policy)] > [TrustSec] > [出力ポリシー(Egress Policy)] を選択します。
                                ステップ 2   [設定(Configure)] オプション ドロップダウン リストから [新しいセキュリティ グループ ACL の作成(Create New Security Group ACLs)] を選択します。
                                ステップ 3   セキュリティ グループ ACL を作成します。

                                モニタ モード

                                出力ポリシーの [すべてをモニタ(Monitor All)] オプションを使用すると、出力ポリシー設定ステータス全体を 1 回のクリックでモニタ モードに変更できます。 [出力ポリシー(egress policy)] ページの [すべてをモニタ(Monitor All)] チェックボックスをオンにして、すべてのセルの出力ポリシー設定ステータスをモニタ モードに変更します。 [すべてをモニタ(Monitor All)] チェックボックスをオンにすると、設定ステータスの変更が次のように行われます。

                                • ステータスが [有効(Enabled)] であるセルはモニタ対象として動作しますが、有効であるかのように表示されます。

                                • ステータスが [無効(Disable)] であるセルは何も影響を受けません。

                                • ステータスが [モニタ(Monitor)] であるセルは、[モニタ対象(Monitored)] のままになります。

                                [すべてをモニタ(Monitor All)] チェックボックスをオフにすると、元の設定ステータスに戻ります。 データベース内の実際のセルのステータスは変更されません。 [すべてをモニタ(Monitor All)] をオフにすると、出力ポリシーのそれぞれのセルが元の設定ステータスに戻ります。

                                モニタ モードの機能

                                モニタ モードのモニタリング機能は次の操作に役立ちます。

                                • フィルタリングされているけれども、モニタ モードではモニタされているトラフィックの量の確認

                                • SGT-DGT ペアがモニタ モードであるか強制モードであるかの確認と、ネットワーク内で異常なパケット ドロップが発生していないかどうかの観察

                                • SGACL ドロップが実際に強制モードによって強制されているのか、またはモニタ モードによって許可されているのかの確認

                                • モードのタイプ(モニタ、強制、または両方)に基づいたカスタム レポートの作成

                                • NAD に適用されている SGACL、および表示の不一致(ある場合)の識別

                                不明セキュリティ グループ

                                不明セキュリティ グループは事前に設定されているセキュリティ グループで、変更不可能であり、タグ値 0 の TrustSec を表します。

                                Cisco セキュリティ グループのネットワーク デバイスは、送信元または宛先のいずれかの SGT がない場合に不明 SGT を参照するセルを要求します。 送信元のみが不明の場合、要求は <不明, 宛先 SGT> セルに適用されます。 宛先のみが不明の場合、要求は <送信元 SGT, 不明> セルに適用されます。 送信元および宛先の両方が不明の場合、要求は <不明, 不明> セルに適用されます。

                                デフォルト ポリシー

                                デフォルト ポリシーは、<ANY,ANY> セルを参照します。 任意の送信元 SGT が任意の宛先 SGT にマッピングされています。 ここでは、ANY SGT は変更不可能であり、送信元 SGT にも宛先 SGT にも表示されません。 ANY SGT は ANY SGT とのみペアにできます。 他の SGT とはペアにできません。 TrustSec ネットワーク デバイスでは、デフォルト ポリシーを特定セルのポリシーの最後に付加します。

                                • つまり、セルが空白の場合は、デフォルト ポリシーのみが含まれることになります。

                                • セルにポリシーが含まれる場合、結果のポリシーは、セル固有のポリシーとその後に続くデフォルト ポリシーの組み合わせになります。

                                Cisco ISE では、セル ポリシーおよびデフォルト ポリシーは 2 つの別々の SGACL セットになり、デバイスは 2 つの別々のポリシー クエリーの応答としてこれらのセットを取得します。

                                デフォルト ポリシーの設定は、他のセルと次の点で異なります。

                                • ステータスは [有効(Enabled)] または [モニタ対象(Monitored)] の 2 つの値しかとることができません。

                                • セキュリティ グループ ACL は、デフォルト ポリシーでは任意のフィールドであるため、空白のままにできます。

                                • 最終的な catch-all ルールは次のいずれかになります:許可 IP、拒否 IP、許可 IP ログ、または拒否 IP ログ。 デフォルト ポリシーを上回る安全策はないため、ここで [なし(None)] オプションを使用できないことは明らかです。

                                [プッシュ(Push)] ボタン

                                出力ポリシーの [プッシュ(Push)] オプションは CoA 通知を開始します。この通知は、Cisco ISE からの出力ポリシー設定変更に関する更新を、ただちに要求するよう TrustSec デバイスに伝えます。

                                SGT の割り当て

                                Cisco ISE では、デバイスのホスト名または IP アドレスがわかっている場合に、TrustSec デバイスに SGT を割り当てることができます。 特定のホスト名または IP アドレスを持つデバイスがネットワークに参加すると、Cisco ISE によって認証前に SGT が割り当てられます。 セキュリティ グループ タグをエンドポイントにマップするようにデバイスを手動で設定する必要がある場合もあります。 このマッピングは [セキュリティ グループ マッピング(Security Group Mappings)] ページから作成できます。 この操作を実行する前に、SGT の範囲が予約済みであることを確認します。

                                ISE では、最大 10,000 の IP-to-SGT マッピングを作成できます。 IP-to-SGT マッピング グループを作成して、このような大規模なマッピングを論理的にグループ化することができます。 各 IP-to-SGT マッピング グループには、IP アドレスのリスト、マップ先の単一のセキュリティ グループ、およびこれらのマッピングの展開対象であるネットワーク デバイスまたはネットワーク デバイス グループが含まれています。

                                NDAC 許可

                                デバイスに SGT を割り当てることで TrustSec ポリシーを設定できます。 TrustSec デバイスの ID 属性に基づいて、デバイスにセキュリティ グループを割り当てることができます。

                                NDAC 許可の設定

                                はじめる前に
                                • ポリシーで使用するためのセキュリティ グループを作成します。

                                • 次のタスクを実行するには、スーパー管理者またはシステム管理者である必要があります。

                                手順
                                  ステップ 1   [ポリシー(Policy)] > [TrustSec] > [ネットワーク デバイス許可(Network Device Authorization)] を選択します。
                                  ステップ 2   [デフォルト ルール(Default Rule)] 行の右側にある [操作(Action)] アイコンをクリックし、[新規行を上に挿入(Insert New Row Above)] をクリックします。
                                  ステップ 3   このルールの名前を入力します。
                                  ステップ 4   [条件(Conditions)] の隣にあるプラス記号(+)をクリックして、ポリシー条件を追加します。
                                  ステップ 5   [新しい条件の作成(高度なオプション)(Create New Condition (Advance Option))] をクリックすると、新しい条件を作成できます。
                                  ステップ 6   [セキュリティ グループ(Security Group)] ドロップダウン リストから、この条件の評価が true になった場合に割り当てる SGT を選択します。
                                  ステップ 7   この行の [操作(Action)] アイコンをクリックして、現在のルールの上または下に、デバイス属性に基づいた別のルールを追加します。 このプロセスを繰り返して、TrustSec ポリシーに必要なすべてのルールを作成できます。 ルールをドラッグ アンド ドロップし、 アイコンをクリックすることでこれらの順序を変更できます。 既存の条件を複製することもできますが、ポリシー名は必ず変更してください。

                                  評価が true になる最初のルールによって、評価の結果が決まります。 いずれのルールも一致しなかった場合、デフォルト ルールが適用されます。デフォルト ルールを編集して、いずれのルールも一致しなかった場合にデバイスに適用される SGT を指定できます。

                                  ステップ 8   [保存(Save)] をクリックして TrustSec ポリシーを保存します。

                                  ネットワーク デバイス ポリシーを設定した後に、TrustSec デバイスで認証を行おうとすると、デバイスはその SGT およびそのピアの SGT を取得し、関連するすべての詳細をダウンロードできるようになります。


                                  エンドユーザの許可の設定

                                  Cisco ISE では、許可ポリシー評価の結果としてセキュリティ グループを割り当てることができます。 このオプションを使用すると、ユーザおよびエンドポイントにセキュリティ グループを割り当てることができます。

                                  はじめる前に
                                  • 許可ポリシーについての情報を参照してください。

                                  • 次のタスクを実行するには、スーパー管理者またはシステム管理者である必要があります。

                                  手順
                                    ステップ 1   [ポリシー(Policy)] > [許可(Authorization)] を選択します。
                                    ステップ 2   新しい許可ポリシーを作成します。
                                    ステップ 3   権限のセキュリティ グループを選択します。

                                    あるユーザまたはエンドポイントについて、この許可ポリシーで指定した条件が true の場合、このセキュリティ グループがそのユーザまたはエンドポイントに割り当てられ、このユーザまたはエンドポイントによって送信されたすべてのデータ パケットにこの特定の SGT でタグが付けられます。


                                    単一 IP-to-SGT マッピングの追加

                                    はじめる前に

                                    次のタスクを実行するには、スーパー管理者またはシステム管理者である必要があります。

                                    手順
                                      ステップ 1   [ポリシー(Policy)] > [ポリシー要素(Policy Elements)] > [結果(Results)] > [TrustSec] > [セキュリティ グループ マッピング(Security Group Mappings)] > [ホスト(Hosts)] を選択します。
                                      ステップ 2   [追加(Add)] をクリックして新規の単一 IP-SGT マッピングを追加します。
                                      ステップ 3   デバイスの [ホスト名(Hostname)] を入力するのか、[IP アドレス(IP Address)] を入力するのかを選択します。 また、IP アドレスのサブネット マスクを入力できます。
                                      ステップ 4   次のいずれかを選択します。
                                      • [グループ マッピング(Group Mapping)]:既存のマッピング グループの一部になるように、IP マッピングを設定します。
                                      • [セキュリティ グループ タグ(Security Group Tag)]:この IP と SGT 間にフラットなマッピングを作成します。
                                      ステップ 5   このマッピングを展開する宛先ネットワーク デバイスを選択します。 すべての TrustSec デバイス、選択されたネットワーク デバイス グループ、または選択されたネットワーク デバイスにマッピングを展開できます。
                                      ステップ 6   [送信(Submit)] をクリックします。

                                      グループ IP-to-SGT マッピングの追加

                                      はじめる前に

                                      次のタスクを実行するには、スーパー管理者またはシステム管理者である必要があります。

                                      手順
                                        ステップ 1   [ポリシー(Policy)] > [ポリシー要素(Policy Elements)] > [結果(Results)] > [TrustSec > セキュリティ グループ マッピング(Security Group Mappings)] > [グループ(Groups)] を選択します。
                                        ステップ 2   [追加(Add)] をクリックして新規グループ IP-SGT マッピングを追加します。
                                        ステップ 3   新規グループの [名前(Name)] と [説明(Description)] を入力します。
                                        ステップ 4   このグループがマッピングされる [セキュリティ グループ タグ(Security Group Tag)] を入力します。
                                        ステップ 5   このマッピングを展開する宛先ネットワーク デバイスを選択します。 すべての TrustSec デバイス、選択されたネットワーク デバイス グループ、または選択されたネットワーク デバイスにマッピングを展開できます。
                                        ステップ 6   [送信(Submit)] をクリックします。

                                        セキュリティ グループ マッピング ホストのインポート

                                        カンマ区切り形式(CSV)ファイルを使用して、Cisco ISE ノードにセキュリティ グループ マッピング ホストのリストをインポートできます。 同じリソース タイプのインポートを同時に実行できません。 たとえば、2 つの異なるインポート ファイルから同時にセキュリティ グループ マッピング ホストをインポートできません。

                                        [ポリシー(Policy)] > [ポリシー要素(Policy Elements)] > [結果(Results)] > [TrustSec] > [セキュリティ グループ マッピング(Security Group Mappings)] > [ホスト(Hosts)] > [インポート(Import)] ページから CSV テンプレートをダウンロードできます。 セキュリティ グループ マッピング ホストの詳細をテンプレートに入力し、Cisco ISE にインポート可能な CSV ファイルとして保存します。

                                        ホストのインポート時に、新しいレコードを作成するか、または既存のレコードを更新できます。 インポートされたホストの数の概要が表示され、インポート プロセス中に見つかったエラーも報告されます。 ホストをインポートする場合、Cisco ISE で最初のエラーが発生した場合、インポート プロセスを停止するかどうかを定義することもできます。

                                        手順
                                          ステップ 1   [ポリシー(Policy)] > [ポリシー要素(Policy Elements)] > [結果(Results)] > [TrustSec] > [セキュリティ グループ マッピング(Security Group Mappings)] > [ホスト(Hosts)] を選択します。
                                          ステップ 2   [インポート(Import)] をクリックします。
                                          ステップ 3   [参照(Browse)] をクリックして、クライアント ブラウザを実行しているシステムから CSV ファイルを選択します。
                                          ステップ 4   必要に応じて、[最初のエラーでインポートを停止(Stop Import on First Error)] チェックボックスをオンにします。
                                          ステップ 5   [インポート(Import)] をクリックします。

                                          セキュリティ グループ マッピング ホストのエクスポート

                                          Cisco ISE で設定されたセキュリティ グループ マッピング ホストを CSV ファイル形式でエクスポートし、これを使用して別の Cisco ISE ノードにそれらのホストをインポートできます。

                                          手順
                                            ステップ 1   [ポリシー(Policy)] > [ポリシー要素(Policy Elements)] > [結果(Results)] > [TrustSec] > [セキュリティ グループ マッピング(Security Group Mappings)] > [ホスト(Hosts)] を選択します。
                                            ステップ 2   [エクスポート(Export)] をクリックします。
                                            ステップ 3   セキュリティ グループ マッピング ホストをエクスポートするには、次のいずれかを行うことができます。
                                            • エクスポートするホストの隣にあるチェックボックスをオンにし、[エクスポート(Export)] > [選択済みをエクスポート(Export Selected)] を選択します。

                                            • [エクスポート(Export)] > [すべてエクスポート(Export All)] を選択して、定義されているすべてのセキュリティ グループ マッピング ホストをエクスポートします。

                                            ステップ 4   ローカル ハード ディスクに export.csv ファイルを保存します。

                                            IP-to-SGT マッピングの展開

                                            Cisco ISE に IP-to-SGT マッピングを追加したら、ターゲット ネットワーク デバイスにこれらを展開する必要があります。 マッピングをすでに保存している場合でも、これを明示的に行う必要があります。 Cisco ISE では、すべてのマッピングまたはマッピングのサブセットのみを展開するオプションが用意されています。

                                            はじめる前に

                                            Cisco ISE に IP-to-SGT マッピングを追加しておくか、IP-to-SGT マッピングを含む IP-to-SGT マッピング グループを作成しておく必要があります。

                                            手順
                                              ステップ 1   デバイスへの IP-to-SGT マッピングを展開するには、次のいずれかを行います。
                                              • デバイスへの IP-to-SGT マッピング グループを展開する場合は、[ポリシー(Policy)] > [ポリシー要素(Policy Elements)] > [結果(Results)] > [TrustSec] > [セキュリティ グループ マッピング(Security Group Mappings)] > [グループ(Groups)] を選択します。
                                              • デバイスへの単一の IP-to-SGT マッピングを展開する場合は、[ポリシー(Policy)] > [ポリシー要素(Policy Elements)] > [結果(Results)] > [TrustSec] > [セキュリティ グループ マッピング(Security Group Mappings)] > [ホスト(Hosts)] を選択します。
                                              ステップ 2   次のいずれかを実行します。
                                              • 展開するグループまたはマッピングの隣にあるチェックボックスをオンにし、[展開(Deploy)] を選択して、選択したマッピングを展開します。
                                              • [展開(Deploy)] を選択して、Cisco ISE に設定されているすべての IP-to-SGT マッピングを展開します。
                                              Cisco ISE では、グループまたはマッピングに定義された特定のネットワーク デバイスへのマッピングが展開されます。 また、展開されたデバイス、設定、展開ステータス、失敗の理由(該当する場合)などの詳細を含むレポートが表示されます。

                                              TrustSec の設定およびポリシー プッシュ

                                              Cisco ISE では、許可変更(CoA)がサポートされています。これを使用すると、Cisco ISE で TrustSec の設定およびポリシーの変更を TrustSec デバイスに通知でき、デバイスでは関連データの取得要求でこれに応答できるようになります。

                                              CoA 通知では、TrustSec ネットワーク デバイスをトリガーし、環境 CoA またはポリシー CoA のいずれかを送信できます。

                                              また、基本的に TrustSec CoA 機能をサポートしないデバイスに設定変更をプッシュできます。

                                              CoA でサポートされるネットワーク デバイス

                                              Cisco ISE は次のネットワーク デバイスに CoA 通知を送信します。

                                              • 単一の IP アドレスを持つネットワーク デバイス(サブネットはサポートされません)

                                              • TrustSec デバイスとして設定されているネットワーク デバイス

                                              • CoA サポート対象として設定されているネットワーク デバイス

                                              複数のセカンダリが存在する分散環境に Cisco ISE が展開されており、これらのセカンダリがそれぞれ異なるデバイス セットと相互運用している場合、CoA 要求は Cisco ISE プライマリ ノードからすべてのネットワーク デバイスに送信されます。 そのため、TrustSec ネットワーク デバイスは、Cisco ISE プライマリ ノードで CoA クライアントとして設定されている必要があります。

                                              デバイスは、Cisco ISE プライマリ ノードに CoA NAK または ACK を返します。 ただし、ネットワーク デバイスからの次の TrustSec セッションは、ネットワーク デバイスが他の AAA 要求をすべて送信する Cisco ISE ノードに送信され、必ずしもプライマリ ノードに送信されるわけではありません。

                                              非 CoA サポート デバイスへの設定変更のプッシュ

                                              一部のプラットフォームでは、許可変更(CoA)について Cisco ISE の「プッシュ」機能はサポートされていません。例:Nexus ネットワーク デバイスの一部のバージョン。 この場合、ISE はネットワーク デバイスに接続し、ISE に対して更新された設定要求をデバイスがトリガーするようにします。 これを行うために、ISE はネットワーク デバイスへの SSHv2 トンネルを開き、TrustSec ポリシー マトリクスのリフレッシュをトリガーするコマンドを送信します。 この方法は、CoA プッシュをサポートするネットワーク プラットフォームでも実行できます。

                                              手順
                                                ステップ 1   Cisco ISE の管理者ポータルから、[管理(Administration)] > [ネットワーク リソース(Network Resources)] > [ネットワーク デバイス(Network Devices)] を選択します。
                                                ステップ 2   必要なネットワーク デバイスの横にあるチェックボックスをオンにし、[編集(Edit)] をクリックします。

                                                ネットワーク デバイスの名前、IP アドレス、RADIUS および TrustSec 設定が正しく設定されていることを確認します。

                                                ステップ 3   [高度な TrustSec 設定(Advanced TrustSec Settings)] まで下にスクロールし、[TrustSec 通知および更新(TrustSec Notifications and Updates)] セクションで、[デバイスに設定変更を送信(Send configuration changes to device)] チェックボックスをオンにして [CLI(SSH)(CLI (SSH))] オプション ボタンをクリックします。
                                                ステップ 4   (任意)SSH キーを指定します。
                                                ステップ 5   デバイス インターフェイスのクレデンシャルを使用して IP-SGT マッピングを取得するには、この SGA デバイスに対して [セキュリティ グループ タグ マッピングの展開時にこのデバイスを含める(Include This Device When Deploying Security Group Tag Mapping Updates)] チェックボックスをオンにします。
                                                ステップ 6   EXEC モードでデバイス設定を編集する権限を持つユーザのユーザ名とパスワードを入力します。
                                                ステップ 7   (任意)設定を編集できるデバイスの EXEC モード パスワードを有効にするためのパスワードを入力します。 [表示(Show)] をクリックして、このデバイスにすでに設定されている EXEC モード パスワードを表示できます。
                                                ステップ 8   ページの下部にある [送信(Submit)] をクリックします。

                                                ネットワーク デバイスは、TrustSec の変更をプッシュするように設定されました。 Cisco ISE ポリシーを変更した後で、ネットワーク デバイスに新規設定を反映させるには、[プッシュ(Push)] をクリックします。

                                                SSH キーの検証

                                                SSH キーを使用してセキュリティを強化することもできます。 Cisco ISE では、SSH キー検証機能によってこれをサポートします。

                                                この機能を使用するには、Cisco ISE からネットワーク デバイスに SSHv2 トンネルを開いて、ネットワーク デバイスの独自の CLI を使用して SSH キーを取得します。 このキーをコピーし、検証のために Cisco ISE に貼り付けます。 SSH キーが誤っている場合、Cisco ISE は接続を終了します。

                                                制限:現在、Cisco ISE が検証できるのは 1 つの IP のみです(IP の範囲、または IP 内のサブネットは検証できません)

                                                はじめる前に

                                                次のものが必要です。

                                                • ログイン クレデンシャル
                                                • SSH キーを取得する CLI コマンド

                                                (Cisco ISE とセキュアに通信できるようにするネットワーク デバイスのもの)

                                                手順
                                                  ステップ 1   ネットワーク デバイス上:
                                                  1. Cisco ISE が SSH キー検証を使用して通信するネットワーク デバイスにログインします。
                                                  2. デバイスの CLI を使用して SSH キーを表示します。

                                                    例: Catalyst デバイスの場合、コマンドは次のとおりです。sho ip ssh
                                                  3. 表示された SSH キーをコピーします。
                                                  ステップ 2   Cisco ISE 管理ポータルから:
                                                  1. [管理(Administration)] > [ネットワーク リソース(Network Resources)] > [ネットワーク デバイス(Network Devices)] を選択し、必要なネットワーク デバイス名、IP アドレス、RADIUS および TrustSec 設定が正しく設定されていることを確認します。
                                                  2. [高度な TrustSec 設定(Advanced TrustSec Settings)] まで下にスクロールし、[TrustSec 通知および更新(TrustSec Notifications and Updates)] セクションで、[デバイスに設定変更を送信(Send configuration changes to device)] チェックボックスをオンにして [CLI(SSH)(CLI (SSH))] オプション ボタンをクリックします。
                                                  3. [SSH キー(SSH Key)] フィールドに、ネットワーク デバイスから取得した SSH キーを貼り付けます。
                                                  4. ページの下部にある [送信(Submit)] をクリックします。

                                                  ネットワーク デバイスは、SSH キー検証を使用して Cisco ISE と通信するようになりました。

                                                  環境 CoA 通知のフロー

                                                  次の図は、環境 CoA 通知のフローを示しています。

                                                  図 2. 環境 CoA 通知のフロー

                                                  1. Cisco ISE は、TrustSec ネットワーク デバイスに環境 CoA 通知を送信します。

                                                  2. デバイスは、環境データ要求を返します。

                                                  3. 環境データ要求への応答で、Cisco ISE は次の情報を返します。

                                                    要求を送信したデバイスの環境データ:これには、(NDAC ポリシーから推測される)TrustSec デバイスの SGT およびダウンロード環境 TTL が含まれます。

                                                    TrustSec AAA サーバ リストの名前および生成 ID。

                                                    (複数の可能性がある)SGT テーブルの名前および生成 ID:これらのテーブルには SGT 名と SGT 値がリストされ、一緒に SGT の完全リストも保持されます。

                                                  4. デバイスが TrustSec AAA サーバ リストを保持していない場合、または生成 ID が受信した生成 ID と異なる場合、デバイスは別の要求を送信して、AAA サーバ リストの内容を取得します。

                                                  5. デバイスが応答にリストされている SGT テーブルを保持していない場合、または生成 ID が受信した生成 ID と異なる場合、デバイスは別の要求を送信して、その SGT テーブルの内容を取得します。

                                                  環境 CoA トリガー

                                                  環境 CoA は次のものに関して開始できます。

                                                  • ネットワーク デバイス

                                                  • セキュリティ グループ

                                                  • AAA サーバ

                                                  ネットワーク デバイスの環境 CoA のトリガー

                                                  ネットワーク デバイスに関する環境 CoA をトリガーするには、次の手順を実行します。

                                                  手順
                                                    ステップ 1   [管理(Administration)] > [ネットワーク リソース(Network Resources)] > [ネットワーク デバイス(Network Devices)] を選択します。
                                                    ステップ 2   ネットワーク デバイスを追加または編集します。
                                                    ステップ 3   [高度な TrustSec 設定(Advanced TrustSec Settings)] セクションで、[TrustSec 通知および更新(TrustSec Notifications and Updates)] パラメータを更新します。

                                                    環境属性の変更は、変更が発生した特定の TrustSec ネットワーク デバイスにのみ通知されます。

                                                    単一のデバイスのみが影響を受けるため、環境 CoA 通知は送信直後に送信されます。 結果として、そのデバイスの環境属性が更新されます。


                                                    セキュリティ グループの環境 CoA のトリガー

                                                    セキュリティ グループに関する環境 CoA をトリガーするには、次の手順を実行します。

                                                    手順
                                                      ステップ 1   [ポリシー(Policy)] > [ポリシー要素(Policy Elements)] > [結果(Results)] > [TrustSec] > [セキュリティ グループ(Security Groups)] を選択します。
                                                      ステップ 2   [セキュリティ グループ(Security Group)] ページで、SGT の名前を変更します。これにより、その SGT のマッピング値の名前が変更されます。 これで環境変更がトリガーされます。
                                                      ステップ 3   複数の SGT の名前を変更した後、[プッシュ(Push)] ボタンをクリックして、環境 CoA 通知を開始します。 この環境 CoA 通知は、すべての TrustSec ネットワーク デバイスに送信され、変更されたすべての SGT の更新が提供されます。

                                                      TrustSec AAA サーバの環境 CoA のトリガー

                                                      TrustSec AAA サーバに関する環境 CoA をトリガーするには、次の手順を実行します。

                                                      手順
                                                        ステップ 1   [管理(Administration)] > [ネットワーク リソース(Network Resources)] > [TrustSec AAA サーバ(TrustSec AAA Servers)] を選択します。
                                                        ステップ 2   [TrustSec AAA サーバ(TrustSec AAA Servers)] ページで、TrustSec AAA サーバの設定を作成、削除、または更新します。 これで環境変更がトリガーされます。
                                                        ステップ 3   複数の TrustSec AAA サーバを設定した後、[プッシュ(Push)] ボタンをクリックして、環境 CoA 通知を開始します。 この環境 CoA 通知は、すべての TrustSec ネットワーク デバイスに送信され、変更されたすべての TrustSec AAA サーバの更新を提供します。

                                                        NDAC ポリシーの環境 CoA のトリガー

                                                        NDAC ポリシーに関する環境 CoA をトリガーするには、次の手順を実行します。

                                                        手順
                                                          ステップ 1   [NDAC ポリシー(NDAC policy)] ページで、NDAC ポリシーのルールを作成、削除、または更新できます。 これらの環境変更は、すべてのネットワーク デバイスに通知されます。
                                                          ステップ 2   [NDAC ポリシー(NDAC policy)] ページで [プッシュ(Push)] ボタンをクリックすることで、環境 CoA 通知を開始できます。 この環境 CoA 通知は、すべての TrustSec ネットワーク デバイスに送信され、ネットワーク デバイス自体の SGT の更新を提供します。

                                                          SGACL コンテンツ更新のフロー

                                                          次の図に、SGACL コンテンツ更新のフローを示します。

                                                          図 3. SGACL コンテンツ更新のフロー



                                                          1. Cisco ISE は、TrustSec ネットワーク デバイスに SGACL 名前付きリストの更新 CoA 通知を送信します。 通知には、SGACL 名と生成 ID が含まれます。

                                                          2. デバイスは、次の両方の条件が満たされた場合に、SGACL データ要求で応答できます。

                                                            SGACL が、デバイスが保持する出力セルに含まれている場合。 デバイスには出力ポリシー データのサブセットが保持されます。これらは、そのネイバー デバイスおよびエンドポイントの SGT に関連するセルです(選択した宛先 SGT の出力ポリシー カラム)。

                                                            CoA 通知内の生成 ID が、この SGACL 用にデバイスが保持している生成 ID と異なっている。

                                                          3. SGACL データ要求への応答で、Cisco ISE は SGACL のコンテンツ(ACE)を返します。

                                                          SGACL 名前付きリストの更新 CoA の開始

                                                          SGACL 名前付きリストの更新 CoA をトリガーするには、次の手順を実行します。

                                                          手順
                                                            ステップ 1   [ポリシー(Policy)] > [ポリシー要素(Policy Elements)] > [結果(Results)] を選択します。
                                                            ステップ 2   左側の [結果(Results)] ナビゲーション ペインで、[TrustSec] の横のボタンをクリックし、[セキュリティ グループ ACL(Security Group ACLs)] をクリックします。
                                                            ステップ 3   SGACL のコンテンツを変更します。 SGACL を送信すると、SGACL の生成 ID が変更されます。
                                                            ステップ 4   複数の SGACL のコンテンツを変更した後、[プッシュ(Push)] ボタンをクリックして、SGACL 名前付きリストの更新 CoA 通知を開始します。 この通知は、すべての TrustSec ネットワーク デバイスに送信され、関連するデバイスのその SGACL コンテンツの更新が提供されます。

                                                            SGACL の名前または IP バージョンを変更しても、その生成 ID は変更されません。そのため、SGACL 名前付きリストの更新 CoA 通知を送信する必要はありません。

                                                            ただし、出力ポリシーで使用中の SGACL の名前または IP バージョンを変更することは、その SGACL を含むセルが変更されることを意味するため、この変更でそのセルの宛先 SGT の生成 ID が変更されます。


                                                            ポリシーの更新 CoA 通知のフロー

                                                            次の図に、ポリシーの CoA 通知のフローを示します。

                                                            図 4. ポリシーの CoA 通知のフロー

                                                            1. Cisco ISE は、TrustSec ネットワーク デバイスにポリシーの更新 CoA 通知を送信します。 通知には、複数の SGACL 名とその生成 ID、および複数の SGT 値とその生成 ID が含まれることがあります。

                                                            2. デバイスは、複数の SGACL データ要求か複数の SGT データ、またはその両方で応答できます。

                                                            3. 各 SGACL データ要求または SGT データ要求に対する応答で、Cisco ISE は関連するデータを返します。

                                                            SGT マトリクスの更新 CoA のフロー

                                                            次の図に、SGT マトリクスの更新 CoA のフローを示します。

                                                            図 5. SGT マトリクスの更新 CoA のフロー

                                                            1. Cisco ISE は、TrustSec ネットワーク デバイスに SGT マトリクスの更新 CoA 通知を送信します。 通知には、SGT 値と生成 ID が含まれます。

                                                            2. デバイスは、次の両方の条件が満たされた場合に、SGT データ要求で応答できます。

                                                              SGT がネイバー デバイスまたはエンドポイントの SGT である場合。デバイスは、ネイバー デバイスおよびエンドポイントの SGT に関連するセルをダウンロードして保持します(宛先 SGT)。

                                                              CoA 通知内の生成 ID が、この SGT 用にデバイスが保持している生成 ID と異なっている。

                                                            3. SGT データ要求に対する応答で、Cisco ISE は、送信元および宛先 SGT、セルのステータス、そのセルに設定されている SGACL 名の順序リストなど、すべての出力セルのデータを返します。

                                                            出力ポリシーからの、SGT マトリクスの更新 CoA の開始

                                                            手順
                                                              ステップ 1   [ポリシー(Policy)] > [TrustSec] > [出力ポリシー(Egress Policy)] を選択します。
                                                              ステップ 2   [出力ポリシー(Egress Policy)] ページで、セルの内容(ステータス、SGACL)を変更します。
                                                              ステップ 3   変更を送信すると、そのセルの宛先 SGT の生成 ID が変更されます。
                                                              ステップ 4   複数の出力セルの内容を変更した後、[プッシュ(Push)] ボタンをクリックして、SGT マトリクスの更新 CoA 通知を開始します。 この通知は、すべての TrustSec ネットワーク デバイスに送信され、関連するデバイスのセルの内容の更新が提供されます。

                                                              TrustSec CoA の概要

                                                              次の表に、TrustSec CoA の開始を要求するさまざまなシナリオ、各シナリオで使用される CoA のタイプ、および関連する UI ページの概要を示します。

                                                              表 2 TrustSec CoA の概要

                                                              UI ページ

                                                              CoA をトリガーする操作

                                                              トリガー方法

                                                              CoA タイプ

                                                              送信先

                                                              ネットワーク デバイス(Network Device)

                                                              ページの [TrustSec] セクションでの環境 TTL の変更

                                                              TrustSec ネットワーク デバイスで正常に送信が行われたとき

                                                              環境

                                                              特定のネットワーク デバイス

                                                              TrustSec AAA サーバ(TrustSec AAA Server)

                                                              TrustSec AAA サーバの変更(作成、更新、削除、順序変更)

                                                              [TrustSec AAA サーバ(TrustSec AAA servers)] リスト ページの [プッシュ(Push)] ボタンをクリックすると、累積された変更をプッシュできます。

                                                              環境

                                                              すべての TrustSec ネットワーク デバイス

                                                              セキュリティ グループ(Security Group)

                                                              SGT の変更(作成、名前変更、削除)

                                                              [SGT] リスト ページの [プッシュ(Push)] ボタンをクリックすると、累積された変更をプッシュできます。

                                                              環境

                                                              すべての TrustSec ネットワーク デバイス

                                                              NDAC ポリシー(NDAC Policy)

                                                              NDAC ポリシーの変更(作成、更新、削除)

                                                              [NDAC ポリシー(NDAC policy)] ページの [プッシュ(Push)] ボタンをクリックすると、累積された変更をプッシュできます。

                                                              環境

                                                              すべての TrustSec ネットワーク デバイス

                                                              SGACL

                                                              SGACL ACE の変更

                                                              [SGACL] リスト ページの [プッシュ(Push)] ボタンをクリックすると、累積された変更をプッシュできます。

                                                              RBACL 名前付きリストの更新

                                                              すべての TrustSec ネットワーク デバイス

                                                              SGACL 名または IP バージョンの変更

                                                              [SGACL] リスト ページの [プッシュ(Push)] ボタンまたは出力テーブルのポリシー プッシュ ボタンをクリックすると、累積された変更をプッシュできます。

                                                              更新 SGT マトリクス

                                                              すべての TrustSec ネットワーク デバイス

                                                              出力ポリシー(Egress Policy)

                                                              SGT の生成 ID を変更するすべての操作

                                                              [出力ポリシー(egress policy)] ページの [プッシュ(Push)] ボタンをクリックすると、累積された変更をプッシュできます。

                                                              更新 SGT マトリクス

                                                              すべての TrustSec ネットワーク デバイス

                                                              ユーザ レポート別上位 N 個の RBACL ドロップの実行

                                                              ユーザ レポート別上位 N 個の RBACL ドロップを実行して、特定のユーザによるポリシー違反(パケット ドロップに基づく)を表示できます。

                                                              手順
                                                                ステップ 1   Cisco ISE 管理ダッシュボードから、[操作(Operations)] > [レポート(Reports)] > [ISE レポート(ISE Reports)] > [TrustSec] を選択します。
                                                                ステップ 2   [ユーザ別上位 N 個の RBACL ドロップ(Top N RBACL Drops by User)] をクリックします。
                                                                ステップ 3   [フィルタ(Filters)] ドロップダウン メニューから、必要なモニタ モードを追加します。
                                                                ステップ 4   選択したパラメータの値をこれに応じて入力します。 [強制モード(Enforcement mode)] ドロップダウン リストから、[強制(Enforce)]、[モニタ(Monitor)]、または [両方(Both)] としてモードを指定できます。
                                                                ステップ 5   [時間範囲(Time Range)] ドロップダウン メニューから、レポート データを収集する期間を選択します。
                                                                ステップ 6   [実行(Run)] をクリックして、選択したパラメータとともに特定の期間のレポートを実行します。