Cisco Identity Services Engine ユーザ ガイド リリース 1.1.1
エンドポイント プロファイリング ポリシーの設定
エンドポイント プロファイリング ポリシーの設定
発行日;2013/01/21 | 英語版ドキュメント(2012/04/03 版) | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 18MB) | フィードバック

目次

エンドポイント プロファイリング ポリシーの設定

Cisco ISE のプロファイリング サービス

プロファイリング サービスについて

エンドポイント プロファイリング

プロファイリング サービスのライセンス

プロファイリング サービスの展開

Cisco ISE のプロファイリング サービスの設定

[プロファイリングされたエンドポイント(Profiled Endpoints)] ダッシュレット

プロファイラ レポートの表示

許可変更

CoA 免除

CoA グローバル コンフィギュレーション

プローブの設定

エンドポイント属性のフィルタリング

NetFlow プローブの設定

DHCP プローブの設定

DHCP SPAN プローブの設定

HTTP プローブの設定

RADIUS プローブの設定

ネットワーク スキャン(NMAP)プローブの設定

ネットワーク スキャン

最新のネットワーク スキャン結果

DNS プローブの設定

SNMP クエリー プローブの設定

CDP 属性の収集

LLDP 属性の収集

LLDP-MIB(v1)

SNMP トラップ プローブの設定

簡易ネットワーク管理プロトコル

エンドポイント プロファイリング ポリシー

エンドポイント プロファイリング ポリシーのフィルタリング、作成、編集、複製、インポート、およびエクスポート

エンドポイント ポリシーのフィルタリング

エンドポイント プロファイリング ポリシーの作成

Cisco ISE における新規エンドポイント プロファイリング ポリシーの作成のクイック リファレンス

Draeger 医療機器

エンドポイント プロファイリング ポリシーの編集

エンドポイント プロファイリング ポリシーの削除

エンドポイント プロファイリング ポリシーの複製

エンドポイント プロファイリング ポリシーのエクスポート

エンドポイント プロファイリング ポリシーのインポート

エンドポイント プロファイリング

プロファイリング条件のフィルタリング、作成、編集、および削除

条件のフィルタリング

プロファイリング条件の作成

プロファイリング条件の編集

プロファイリング条件の削除

結果のプロファイリング

プロファイリング例外アクション

プロファイリング例外アクションのフィルタリング、作成、編集、および削除

例外アクションのフィルタリング

例外アクションの作成

例外アクションの編集

例外アクションの削除

プロファイリング ネットワーク スキャン アクション

プロファイリング ネットワーク スキャン アクションのフィルタリング、作成、編集、および削除

ネットワーク スキャン アクションのフィルタリング

ネットワーク スキャン アクションの作成

ネットワーク スキャン アクションの編集

ネットワーク スキャン アクションの削除

Cisco ISE での Network Mapper の統合によるエンドポイント プロファイリング

エンドポイント スキャン

ネットワーク アクセス デバイスでの IOS センサーを使用したエンドポイント プロファイリング

IOS センサーと Cisco ISE の統合

IOS センサーとアナライザ

NAD で IOS センサーが有効になっている Cisco ISE におけるエンドポイント プロファイリング

Cisco ISE における Auto Smartport 設定

macro auto execute

RADIUS アカウンティング レポート

拡張ライセンスにおけるスタティック エンドポイントの除外

Cisco ISE における IP アドレスと MAC アドレスのバインディング

Cisco ISE と Cisco Network Admission Control アプライアンスの統合

Cisco ISE での Cisco Clean Access Manager の設定

Cisco ISE における Clean Access Manager のフィルタリング、追加、編集、および削除

Cisco ISE での Cisco Clean Access Manager のフィルタリング

Cisco ISE への Cisco Clean Access Manager の追加

Cisco ISE での Cisco Clean Access Manager の編集

Cisco ISE での Cisco Clean Access Manager の削除

エンドポイント プロファイリング ポリシーの設定

この章では、Cisco Identity Services Engine(Cisco ISE)アプライアンスのプロファイリング サービスについて説明します。このサービスを使用すると、さまざまな規模や複雑度の企業ネットワークを効率的に管理できます。

この章では、Cisco ISE プロファイリング サービスの機能について詳しく説明します。

「Cisco ISE のプロファイリング サービス」

「プロファイリング サービスについて」

「許可変更」

「プローブの設定」

「エンドポイント プロファイリング ポリシー」

「エンドポイント プロファイリング」

「結果のプロファイリング」

「Cisco ISE での Network Mapper の統合によるエンドポイント プロファイリング」

「ネットワーク アクセス デバイスでの IOS センサーを使用したエンドポイント プロファイリング」

「拡張ライセンスにおけるスタティック エンドポイントの除外」

「Cisco ISE における IP アドレスと MAC アドレスのバインディング」

「Cisco ISE と Cisco Network Admission Control アプライアンスの統合」

Cisco ISE のプロファイリング サービス

Cisco ISE プロファイリング サービスは、企業ネットワークへの適切なアクセスを確保および維持するために、デバイス タイプにかかわらず、ネットワーク上のすべての接続されたエンドポイント(Cisco ISE ではアイデンティティと呼ばれる)の機能を検出、検索、および決定するための固有の機能を提供します。主にネットワーク上のすべてのエンドポイントの属性を収集し、エンドポイントをそのプロファイルに従って分類します。

プロファイリング サービスの詳細については、「プロファイリング サービスについて」を参照してください。

Cisco ISE のプロファイラ

Cisco ISE プロファイラは、次のコンポーネントで構成されています。

センサーには、さまざまなプローブが含まれています。プローブはネットワーク アクセス デバイスに対してクエリーを実行することでネットワーク パケットをキャプチャし、エンドポイントから収集された属性と属性値をアナライザに転送します。

センサー内のプローブ マネージャは、センサーで実行されるさまざまなプローブの初期化と制御により、プロファイリング サービスに対してサポートを提供します。プローブ マネージャを使用すると、エンドポイントからの属性と属性値の収集を開始および停止するようにプローブを設定できます。センサー内のイベント マネージャによって、プローブ マネージャにおけるプローブ間のイベントの通信が可能になります。

フォワーダは、エンドポイントをその属性データとともに Cisco ISE データベースに保存し、ネットワークで検出された新しいエンドポイントをアナライザに通知します。アナライザでは、エンドポイントがエンドポイント ID グループに分類され、一致したプロファイルを持つエンドポイントが Cisco ISE データベースに保存されます。

アナライザは、設定済みのポリシーと ID グループを使用してエンドポイントを評価し、収集された属性と属性値を照合します。これにより、エンドポイントを指定されたグループに分類し、一致したプロファイルを持つエンドポイントを Cisco ISE データベースに保存します。

プロファイリング サービスについて

プロファイリング サービスでは、エンドポイントの属性をネットワーク デバイスとネットワークから収集し、エンドポイントをそのプロファイルに従って特定のグループに分類します。一致したプロファイルを持つエンドポイントが Cisco ISE データベースに保存されます。システム ディクショナリに定義されている属性のいずれか、またはすべてを含む一連の属性を使用できます。既存のディクショナリを利用したり、実行時に属性のアドホック ディクショナリを定義したりできます。プロファイリング サービスで処理されるすべての属性は、プロファイラ ディクショナリに定義されている必要があります。

エンドポイントは、企業ネットワークに接続するネットワーク対応デバイスです。MAC アドレスは、常にエンドポイントを一意に表現したものですが、属性のさまざまなセットとその属性に関連付けられた値(属性値ペアと呼ばれる)でエンドポイントを識別することもできます。エンドポイントの属性のさまざまなセットは、エンドポイント機能、ネットワーク アクセス デバイス(NAD)の機能と設定、およびこれらの属性の収集に使用する方法(プローブ)に基づいて収集できます。

ネットワーク上の各エンドポイントは、システム内の既存のエンドポイント ID グループまたは作成して親グループに関連付けることができる新しいグループに関連付けることができます。エンドポイントをグループ化し、エンドポイントのプロファイリング ポリシーをグループに適用すると、対応するエンドポイント プロファイリング ポリシーを確認してエンドポイント プロファイルへのエンドポイントのマッピングを決定できます。

Cisco ISE におけるエンドポイント プロファイリングの詳細については、「エンドポイント プロファイリング」を参照してください。

プロファイリング サービスのためにインストールする必要があるライセンスの詳細については、「プロファイリング サービスのライセンス」を参照してください。

プロファイリング サービスの展開方法の詳細については、「プロファイリング サービスの展開」を参照してください。

[プロファイリングされたエンドポイント(Profiled Endpoints)] ダッシュレットの詳細については、「[プロファイリングされたエンドポイント(Profiled Endpoints)] ダッシュレット」を参照してください。

エンドポイント プロファイリング レポートの詳細については、「プロファイラ レポートの表示」を参照してください。

エンドポイント プロファイリング

Cisco ISE のエンドポイント プロファイリングでは、ネットワーク上の各エンドポイントを識別し、それらのエンドポイントをプロファイルに従ってグループ化します。

Cisco ISE プロファイラを使用すると、次に示す次世代のセキュリティ メカニズムの展開および管理における問題を効率的かつ効果的に解決できます。

IEEE 規格 802.1X ポートベースの認証アクセス コントロール、MAC 認証バイパス(MAB)認証、およびネットワーク アドミッション コントロール(NAC)をさまざまな規模および複雑度の企業ネットワークに使用して、認証の効率的かつ効果的な展開および継続的な管理を容易にします。

デバイス タイプにかかわらず、接続されたすべてのネットワーク エンドポイントの機能を特定、検索、および決定します。

一部のエンドポイントへのアクセスを誤って拒否しないようにします。

プロファイラには、ネットワーク リソースを使用しているすべてのエンドポイントの状況に応じたインベントリが用意されています。これにより、ネットワークに接続されているデバイスやそのネットワーク上の位置を識別できます。プロファイラでは、スタティック エンドポイント プロファイリングとダイナミック エンドポイント プロファイリングの両方が可能です。ダイナミック エンドポイント プロファイリングを使用すると、Cisco ISE 対応のネットワーク上のエンドポイントを検出し、ネットワークから行われた属性変更を Cisco ISE 展開に通知できます。

ネットワーク上のエンドポイントを効果的にプロファイリングするには、ネットワークに接続されているエンドポイント(デバイス)のタイプ、その場所、および現在常駐しているポートの状態に応じた機能をよく理解する必要があります。Cisco ISE でエンドポイント プロファイリングのポリシーを定義し、そのプロファイルに従ってエンドポイントをグループ化できます。Cisco ISE 展開により、3 つのエンドポイント ID グループ(Blacklist、Profiled、および Unknown)が作成されます。

エンドポイント プロファイリング ポリシーには、単一の条件、または AND 演算子や OR 演算子を使用して論理的に結合された条件のセット(複合条件)を含めることができます。これらの条件と照合してエンドポイントをチェックおよび分類できます。すべての条件は、ポリシー内の特定のルールに対して、AND 演算子または OR 演算子とともに使用できます。ただし、特定のポリシー内のルールは、個別に、OR 演算子のみを使用して評価されます。

条件は、収集されたエンドポイント属性値をエンドポイントの条件に指定されている値と照合するために使用されます。複数の属性をマッピングする場合は、条件を論理的にグループ化して、ネットワーク上のエンドポイントの分類に使用できます。エンドポイントは、ルールで対応する確実度メトリック(定義済みの整数値)が関連付けられている 1 つ以上の条件と照合できます。各ルールの確実度メトリックは、エンドポイント プロファイルからエンドポイント カテゴリを決定するための全体的な照合の計算に使用されます。すべての有効なルールの確実度メトリックが合計され、照合の確実度が求められます。確実度メトリックにより、各条件がネットワーク上のエンドポイントの全体的な分類の向上にどの程度役立っているかがわかります。各ポリシーには、最小の確実度メトリック(整数値)が関連付けられています。

例外アクションは、エンドポイント プロファイリング ポリシーで参照できる設定可能なアクションであり、アクションに関連付けられている例外条件が満たされるとトリガーされます。

エンドポイント スキャン アクションは、エンドポイント プロファイリング ポリシーで参照できる設定可能なアクションであり、ネットワーク スキャン アクションに関連付けられている条件が満たされるとトリガーされます。

プロファイリング サービスのライセンス

前提条件:

Cisco ISE でプロファイリング サービスを有効にするには、基本ライセンス上に拡張ライセンス パッケージをインストールする必要があります。設定に応じて、ネットワーク アクセス、ゲスト、ポスチャ、クライアント プロビジョニング、プロファイリング サービス、セキュリティ グループ アクセス(SGA)などのあらゆるセッション サービスを利用できます。

Cisco ISE では、分散 Cisco ISE 展開のポリシー サービス ペルソナを担当する複数のノードで実行するようにプロファイリング サービスを設定できます。スタンドアロン Cisco ISE 展開の単一ノードにプロファイリング サービスを設定することもできます。


) ポリシー サービス ISE ノード間でのデバイス ステータスの複製とネットワーク プロファイリングの効率を高めるには、複数のポリシー サービス ISE ノードを、管理 ISE ノードに接するローカル エリア ネットワーク セグメント内に設置することを推奨します。ポリシー サービス ISE ノード間をワイドエリア ネットワーク接続することは、できる限り避けてください。


基本ライセンスがインストールされていても、ネットワーク上のエンドポイントをプロファイリングすることはできません。[エンドポイント(Endpoints)] ページを使用したインポートやエンドポイントのスタティック割り当てなどのエンドポイントの管理、および [エンドポイント ID グループ(Endpoint Identity Groups)] ページでのエンドポイントの表示のみ可能です。詳細については、「ID および管理者アクセスの管理」「エンドポイント」「エンドポイント ID グループ(Endpoint Identity Groups)」の項を参照してください。

Cisco ISE では、エンドポイントを許可ポリシーと照合するときに、拡張ライセンスを使用します。詳細については、「拡張ライセンスにおけるスタティック エンドポイントの除外」を参照してください。

Cisco ISE のライセンス パッケージの詳細については、『 Cisco Identity Services Engine Hardware Installation Guide, Release 1.1.1 』の「Performing Post Installation Tasks」の章を参照してください。

プロファイリング サービスの展開

前提条件:

始める前に、分散展開における Cisco ISE ノードの中央集中型の構成と管理について理解していることを確認してください。

Cisco ISE 分散展開の詳細については、「分散環境での Cisco ISE の設定」を参照してください。

Cisco ISE プロファイリング サービスは、スタンドアロン環境(単一ノード)または分散環境(複数ノード)に展開できます。展開タイプとインストールされているライセンスに応じて、Cisco ISE のプロファイリング サービスを単一ノードまたは複数ノードで実行できます。基本ライセンス(基本的サービスを利用する場合)または拡張ライセンス(Cisco ISE のすべてのサービスを利用する場合)をインストールする必要があります。

Cisco ISE の分散展開には、次のサポートが含まれます。

[展開ノード(Deployment Nodes)] ページでは、分散展開内の分散ノード用のインフラストラクチャがサポートされます。

プローブのノード固有設定。[プロファイリング設定(Profiling Configuration)] ページを使用して、管理 ISE ノードからノードごとにプローブを設定できます。

プロファイラの許可変更(CoA)のグローバル実装。

syslog を適切なプロファイラ ノードに送信できるようにする設定。

Cisco ISE のプロファイリング サービスの設定

[管理(Administration)] メニューから [展開(Deployment)] を選択して、単一ノードまたは複数ノードの Cisco ISE 展開を管理できます。[展開ノード(Deployment Nodes)] ページを使用すると、Cisco ISE 展開のプロファイリング サービスを設定できます。

Cisco ISE 展開を管理するには、次の手順を実行します。


ステップ 1 [管理(Administration)] > [システム(System)] > [展開(Deployment)] を選択します。

[展開(Deployment)] ナビゲーション ペインが表示されます。フォーマット セレクタのアイコンを使用すると、ノードを行形式で表示するかタブ付きで表示するかを選択できます。

ステップ 2 行ビュー アイコンをクリックします。

ステップ 3 クイック ピッカー (右矢印)をクリックして、展開に登録されているノードを表示します。

行ビューでは、登録済みのすべてのノードが行形式で [展開ノード(Deployment Nodes)] ページに表示されます。


) 展開内のノードをツリーで表示するには、タブ付きビュー アイコンをクリックします。[展開(Deployment)] ナビゲーション ペインの「展開(Deployment)」の前に矢印が表示されます。この [展開(Deployment)] ナビゲーション ペインの前の矢印をクリックすると、展開内の登録済みノードがタブ付きで表示されます。


[展開ノード(Deployment Nodes)] ページでは、分散展開のポリシー サービス ペルソナを担当する Cisco ISE ノードのプロファイリング サービスを設定できます。


 

プロファイリング サービスを展開するには、次の手順を実行します。


ステップ 1 [管理(Administration)] > [システム(System)] > [展開(Deployment)] を選択します。

[展開(Deployment)] ナビゲーション メニューが表示されます。テーブル ビューまたはリスト ビューを使用して、展開内のノードを表示します。

ステップ 2 [テーブル(Table)] ビューをクリックします。

ステップ 3 クイック ピッカー(右矢印)をクリックして、展開に登録されているノードを表示します。

テーブル ビューでは、登録済みのすべてのノードが行形式で [展開ノード(Deployment Nodes)] ページに表示されます。[展開ノード(Deployment Nodes)] ページには、登録済みのノードが名前、ペルソナ、ロール、および展開内のセカンダリ ノードの複製ステータスとともに表示されます。

ステップ 4 Cisco ISE ノードを [展開ノード(Deployment Nodes)] ページで選択します。


) 分散展開に複数のノードを登録している場合は、登録したすべてのノードがプライマリ ノードとともに [展開ノード(Deployment Nodes)] ページに表示されます。各ノードを Cisco ISE ノード(管理、ポリシー サービス、およびモニタリング ペルソナ)またはインライン ポスチャ ノードとして設定できます。ポリシー サービス ペルソナが有効でも、[プロファイリング サービスの有効化(Enable Profiling Services)] チェックボックスがオフになっている場合は、[プロファイリング設定(Profiling Configuration)] タブが表示されません。ノードでポリシー サービス ペルソナが無効になっている場合は、[全般設定(General Settings)] タブのみが表示され、[プロファイリング設定(Profiling Configuration)] タブは表示されないため、ノードのプローブを設定できません。


ステップ 5 [編集(Edit)] をクリックします。

[ノードの編集(Edit Node)] ページが表示されます。このページには、展開を設定するための [全般設定(General Settings)] タブと各ノードのプローブを設定するための [プロファイリング設定(Profiling Configuration)] タブがあります。セカンダリ管理 ISE ノードでは、[プロファイリング設定(Profiling Configuration)] タブを使用できません。


) ポリシー サービス ペルソナが無効になっている場合、またはポリシー サービス ペルソナが有効で [プロファイリング サービスの有効化(Enable Profiling Services)] オプションがオフになっている場合は、Cisco ISE 管理ユーザ インターフェイスに [プロファイリング設定(Profiling Configuration)] タブは表示されません。Cisco ISE ノードでポリシー サービス ペルソナが無効になっている場合は、[全般設定(General Settings)] タブのみが表示されます。[プロファイリング設定(Profiling Configuration)] タブが表示されないため、ノードのプローブを設定できません。


ステップ 6 [全般設定(General Settings)] タブで、[ポリシー サービス(Policy Service)] チェックボックスをオンにします(まだアクティブになっていない場合)。

[ポリシー サービス(Policy Service)] チェックボックスがオフになっている場合は、セッション サービスとプロファイリング サービスの両方のチェックボックスが無効になります。

ステップ 7 ポリシー サービス ペルソナによってネットワーク アクセス、ポスチャ、ゲスト、およびクライアント プロビジョニングのセッション サービスを実行するには、[セッション サービスの有効化(Enable Session Services)] チェックボックスをオンにします(まだアクティブになっていない場合)。セッション サービスを停止するには、[セッション サービスの有効化(Enable Session Services)] チェックボックスをオフにします。

ステップ 8 ポリシー サービス ペルソナでプロファイリング サービスを実行するには、[プロファイリング サービスの有効化(Enable Profiling Services)] チェックボックスをオンにします。プロファイリング サービスを停止するには、[プロファイリング サービスの有効化(Enable Profiling Services)] チェックボックスをオフにします。


) プロファイリング サービスは、ポリシー サービス ペルソナを担当する Cisco ISE ノードでのみ実行され、分散展開で管理ペルソナとモニタリング ペルソナを担当する Cisco ISE ノードでは実行されません。


ステップ 9 [保存(Save)] をクリックしてノード設定を保存します。


 

次の手順:

ネットワークの Cisco ISE アプリケーションのインストール後にプロファイラ プローブを設定する方法の詳細については、「プローブの設定」を参照してください。

[プロファイリングされたエンドポイント(Profiled Endpoints)] ダッシュレット

[プロファイリングされたエンドポイント(Profiled Endpoints)] ダッシュレットは、現在のシステム時刻から 24 時間以内および 60 分以内に動的にプロファイリングされたエンドポイントの数をまとめたものです。ダッシュレットに表示されるデータは、1 分間隔で更新されます。特定の期間の 24 時間および 60 分間のスパークラインに表示されるツール チップからエンドポイント プロファイラ概要レポートを呼び出すことができます。積み上げ棒には、エンドポイントの分散の詳細がネットワーク内の場所(PIN)、一致するエンドポイント プロファイル、および ID グループ別に表示されます。

[プロファイリングされたエンドポイント(Profiled Endpoints)] ダッシュレットには、次のタイプの伝度ポイントは反映されません。

Unknown として分類されたエンドポイント

エンドポイント プロファイルに静的に割り当てられたエンドポイント。(スタティック割り当ては、[エンドポイント(Endpoints)] リスト ページでエンドポイントを編集し、スタティック割り当てフラグを true に設定することで実行できます)。

指定したプロファイルでインポートされたエンドポイント。

エンドポイントが .csv ファイルからインポートされた場合、[プロファイリングされたエンドポイント(Profiled Endpoints)] ダッシュレットに、エンドポイント プロファイルが指定されていないエンドポイントが反映されます。

ダッシュレットには、現在のシステム時刻から 24 時間以内および 60 分以内のプロファイラ分散の詳細が表示されます。

表 18-1 に、Cisco ISE の [プロファイリングされたエンドポイント(Profiled Endpoints)] ダッシュレットの詳細を示します。

 

表 18-1 [プロファイリングされたエンドポイント(Profiled Endpoints)] ダッシュレット

名前
説明

一意(Unique)

現在のシステム時刻から 24 時間以内に Cisco ISE にプロファイリングされた一意のエンドポイントの概要。

PIN(ネットワーク内の場所)(PIN (Place in Network))

サブネット マスク情報による、すべてのプロファイリングされたエンドポイントの場所。

プロファイル(Profile)

エンドポイントのプロファイリングに使用されているエンドポイント プロファイリング ポリシー。

ID グループ(Identity Group)

エンドポイント ID グループ(Endpoint Identity Group)

802.1X で認証されないエンドポイントが属しているエンドポイント ID グループが表示されます。さらに、802.1X で認証されるエンドポイントのエンドポイント ID グループとユーザのユーザ ID グループも表示されます。

ユーザ ID グループ(User Identity Group)

エンドポイントが 802.1X で認証される場合に、ユーザのユーザ ID グループが表示されます。

プロファイラ レポートの表示

Cisco ISE には、エンドポイント プロファイリングに関するさまざまなレポートと、ネットワークの効率的な管理に使用できるトラブルシューティング ツールが用意されています。過去と現在のどちらのデータについてもレポートを生成できます。レポートの一部をドリルダウンして詳細を表示できます。レポートのサイズが大きい場合は、レポートのスケジュールを設定しておいて、さまざまな形式でダウンロードすることもできます。

レポートの生成と Interactive Viewer の操作方法の詳細については、「レポート」を参照してください。

エンドポイント プロファイリング レポートの詳細については、「標準レポート」を参照してください。

標準レポート

ユーザの便宜を図るために、よく使用されるレポートが標準レポートとして事前定義されています。[レポート名(Report Name)] リンクをクリックして今日のレポートを実行できます。出力に対してクエリーを実行するには、さまざまなシステム事前定義済みパラメータを使用します。このパラメータに対して、特定の値を入力できます。

[実行(Run)] ボタンを使用して指定期間のレポートを実行することも、[クエリーおよび実行(Query and Run)] オプションを使用することもできます。[クエリーおよび実行(Query and Run)] オプションを使用すると、さまざまなパラメータを使用して出力に対するクエリーを実行することができます。[お気に入りに追加(Add to Favorite)] ボタンを使用すると、頻繁に使用するレポートを [操作(Operations)] > [レポート(Reports)] > [お気に入り(Favorites)] に追加できます。[レポートのリセット(Reset Reports)] ボタンを使用すると、このカタログ内のレポートを工場出荷時のデフォルトにリセットできます。

エンドポイント プロファイルに関するレポートは、次の場所から実行できます。

[操作(Operations)] > [レポート(Reports)] > [カタログ(Catalog)] > [エンドポイント(Endpoint)]

エンドポイント プロファイリングの標準レポートを次に示します。

Endpoint_MAC_Authentication_Summary:選択された期間における特定の MAC/MAB の RADIUS 認証概要情報をグラフとともに表示できるレポート。

Endpoint_Profiler_Summary:選択された期間における特定の MAC アドレスのプロファイラ概要情報を表示できるレポート。

Endpoint_Time_To_Profile:選択された期間における特定の MAC アドレスの情報をプロファイリングする時間を表示できるレポート。

Top_N_Authentications_By_Endpoint_Calling_Station_ID:RADIUS プロトコルについて、選択された期間におけるエンドポイント発信側ステーション ID 別の上位 N の成功/失敗/合計認証数を表示できるレポート。

Top_N_Authentications_By_Machine:RADIUS プロトコルについて、選択された期間におけるマシン情報別の上位 N の成功/失敗/合計認証数を表示できるレポート。

さらに、組み込み IOS センサーを使用するエンドポイントをプロファイリングするための拡張オプションにより、1 時間未満の間隔で少ないアカウンティング レコードを表示できます。

詳細については、「RADIUS アカウンティング レポート」を参照してください。

許可変更

Cisco ISE では、グローバル コンフィギュレーションによって、すでにネットワークに入ることが認証されているエンドポイントに対して許可変更(CoA)を発行できます。Cisco ISE の CoA のグローバル コンフィギュレーションを使用すると、プロファイリング サービスでエンドポイントをより細かく制御できます。

デフォルトの [CoA なし(No CoA)] オプションを使用して CoA を無効にするか、ポート バウンスと再認証オプションを使用して CoA を有効にするグローバル コンフィギュレーション オプションを使用できます。Cisco ISE でポート バウンス CoA を設定している場合は、「CoA 免除」の項で説明されているように、プロファイリング サービスにより他の CoA が発行されることがあります。CoA 免除の詳細については、「CoA 免除」を参照してください。

主に RADIUS プローブまたはモニタリング ペルソナの REST API を使用して、エンドポイントの認証に対応できます。パフォーマンス上の理由から、RADIUS プローブを有効にして、パフォーマンスを向上させることができます。CoA を有効にした場合は、Cisco ISE アプリケーションで CoA 設定と合わせて RADIUS プローブを有効にすることを推奨します。これにより、プロファイリング サービスは収集された RADIUS 属性を使用して、エンドポイントに適切な CoA を発行できます。Cisco ISE アプリケーションで RADIUS プローブを無効にした場合は、モニタリング ペルソナの REST API を使用して CoA を発行することもできます。これにより、RADIUS プローブがサポートされていない場合でも、プロファイリング サービスで広範なエンドポイントをサポートできます。


) プライマリとセカンダリの両方のモニタリング ノードに同じセッション ディレクトリ情報があるため、任意でいずれか 1 つのノードが REST クエリーのデフォルトの宛先として指定されます。


CoA なし(No CoA)

このデフォルト オプションを使用して、CoA のグローバル コンフィギュレーションを無効にすることができます。

ポート バウンス(Port Bounce)

このオプションを使用できるのは、スイッチ ポートにセッションが 1 つしかない場合のみです。ポートに複数のセッションが存在する場合は、CoA オプションとして [再認証(Reauth)] オプションが使用されます。

再認証(Reauth)

このオプションを使用して、すでに認証されているエンドポイントをプロファイリング時に再認証します。

1 つのポートに複数のアクティブなセッションがある場合は、CoA に [ポート バウンス(Port Bounce)] オプションを設定しても、プロファイリング サービスによって [再認証(Reauth)] オプションが指定された CoA が発行されます。この機能を使用すると、[ポート バウンス(Port Bounce)] オプションの場合のように他のセッションが切断されるのを回避できる可能性があります。

次の場合に、プロファイリング サービスによって CoA が開始されます。

エンドポイントのスタティック割り当て

例外アクションが設定されている場合

エンドポイントが初めてプロファイリングされる場合

エンドポイントが削除される場合

エンドポイント ID グループが変更されている場合

エンドポイントのスタティック割り当て

既存のエンドポイントがネットワーク上ですでに認証に成功し、別のプロファイルまたは別のエンドポイント ID グループに静的に割り当てられ、エンドポイント プロファイリング ポリシーが変更されている場合、プロファイリング サービスは CoA を発行します。

例外アクションが設定されている場合

プロファイルに従って例外アクションが設定され、エンドポイントで異常イベントまたは受け入れられないイベントが発生したために、プロファイリング サービスが CoA を発行してエンドポイントを対応するスタティック プロファイルに移動した場合、プロファイリング サービスはそのエンドポイントに対して CoA を発行します。

例外アクションの詳細については、「プロファイリング例外アクション」を参照してください。

エンドポイントが初めてプロファイリングされる場合

エンドポイントが静的に割り当てられておらず、初めてプロファイリングされる場合(たとえば、プロファイルが不明プロファイルから既知のプロファイルに変更された場合)、プロファイリング サービスはそのエンドポイントに対して CoA を発行します。

エンドポイントが削除される場合

[エンドポイント(Endpoints)] ページからエンドポイントが削除され、そのエンドポイントがネットワークから切断または削除される可能性が高い場合、プロファイリング サービスは CoA を発行します。

エンドポイント ID グループが変更されている場合

エンドポイントが許可ポリシーで使用されるエンドポイント ID グループに対して追加または削除される場合、プロファイリング サービスは CoA を発行します。

エンドポイント ID グループが変更され、エンドポイント ID グループが次のために許可ポリシーで使用されている場合、プロファイリング サービスは CoA を発行します。

動的にプロファイリングされる場合のエンドポイントに対するエンドポイント ID グループの変更

ダイナミック エンドポイントに対してスタティック割り当てフラグが true に設定されている場合のエンドポイント ID グループの変更

エンドポイント ID グループが変更され、スタティック割り当てがすでに true の場合、プロファイリング サービスは CoA を発行しません。

CoA 免除の詳細については、「CoA 免除」を参照してください。

CoA 設定の詳細については、 表 18-2 を参照してください。

CoA 免除

Cisco ISE における CoA の実装については、「許可変更」を参照してください。

ここでは、「許可変更」の項で説明されているように一致する場合でもプロファイラによって CoA が発行されない Cisco ISE の環境について説明します。

ネットワークから切断されたエンドポイント

ネットワークから切断されたエンドポイントが検出された場合、プロファイリング サービスは CoA を発行しません。

認証された有線 EAP 対応エンドポイント

認証された有線 EAP 対応エンドポイントが検出された場合、プロファイリング サービスは CoA を発行しません。

各ポートの複数のアクティブ セッション

1 つのポートに複数のアクティブなセッションがある場合は、CoA に [ポート バウンス(Port Bounce)] オプションを設定しても、プロファイリング サービスは [再認証(Reauth)] オプションが指定された CoA を発行します。この機能を使用すると、[ポート バウンス(Port Bounce)] オプションの場合のように他のセッションが切断されるのを回避できる可能性があります。

ワイヤレス エンドポイント検出時の切断パケット CoA(セッション終了)

エンドポイントの NAS-Port-Type 属性に従って Wireless - 802.11 値または Wireless - Other 値(RADIUS 属性 61 の値)を使用してエンドポイントがワイヤレスとして検出された場合、ポート バウンス CoA ではなく切断パケット CoA(セッション終了)が発行されます。この変更の利点は、ワイヤレス LAN コントローラ(WLC)CoA の照合です。


) ここでは、[CoA なし(No CoA)] および [再認証(Reauth)] CoA 設定は影響を受けず、有線エンドポイントとワイヤレス エンドポイントに同じように適用されます。表 18-2 を参照してください。


表 18-2 は、Cisco ISE における各 CoA 設定の各種環境の CoA をまとめたものです。

 

表 18-2 各 CoA 設定の許可変更

シナリオ
CoA 設定:[CoA なし(No CoA)]
CoA 設定:[ポート バウンス(Port Bounce)]
CoA 設定:[再認証(Reauth)]
その他の情報

Cisco ISE における CoA グローバル コンフィギュレーション(一般的)

CoA なし(No CoA)

ポート バウンス(Port Bounce)

再認証(Reauthentication)

 

エンドポイントがネットワークで検出された場合

CoA なし(No CoA)

CoA なし(No CoA)

CoA なし(No CoA)

RADIUS 属性の Acct -Status -Type 値 Stop で判別されます。

認証された有線 EAP 対応エンドポイント

CoA なし(No CoA)

CoA なし(No CoA)

CoA なし(No CoA)

認証に失敗した場合は、一般的な設定と同じです。

同じスイッチ ポートで複数のアクティブ セッションと有線接続

CoA なし(No CoA)

再認証(Reauthentication)

再認証(Reauthentication)

他のセッションの切断を回避します。

ワイヤレス エンドポイント

CoA なし(No CoA)

セッションの終了(PoD)

 

再認証(Reauthentication)

WLC に対するサポート

不完全な CoA データ

CoA なし(No CoA)

CoA なし(No CoA)

CoA なし(No CoA)

原因は RADIUS 属性の欠落。

CoA グローバル コンフィギュレーション

[設定(Settings)] メニュー ウィンドウを使用して、Cisco ISE 分散展開にグローバルに CoA を設定できます。

CoA を設定するには、次の手順を実行します。


ステップ 1 [管理(Administration)] > [システム(System)] > [設定(Settings)] を選択します。

ステップ 2 [設定(Settings)] ナビゲーション ペインの [プロファイリング(Profiling)] を選択します。

ステップ 3 CoA を設定します。

CoA のプロファイリング設定には次のオプションがあります。

[CoA なし(No CoA)](デフォルト)

ポート バウンス(Port Bounce)

再認証(Reauth)

ステップ 4 [保存(Save)] をクリックします。


 

プローブの設定

前提条件:

始める前に、Cisco ISE 分散展開の基礎を理解しておく必要があります。次のことを確認してください。

Cisco ISE 分散展開でプロファイリング サービスを有効にする方法については、 プロファイリング サービスの展開を参照してください。

プローブは、ネットワーク上のエンドポイントから属性を収集するために使用される方法です。プローブを使用して、エンドポイントをデータベース内の一致するプロファイルで作成または更新できます。[ノードの編集(Edit Node)] ページの [プロファイリング設定(Profiling Configuration)] タブには、各ノードでプローブを有効または無効にすることができる設定オプションがあり、Cisco ISE アプリケーションでプローブのノード固有設定を行うことができます。

エンドポイント属性のフィルタリングの詳細については、「エンドポイント属性のフィルタリング」を参照してください。

[管理(Administration)] メニューから [展開(Deployment)] メニューにアクセスできます。[展開(Deployment)] メニュー ウィンドウには、展開内の登録済みノードが表示されます。テーブル ビューまたはリスト ビューを使用して、展開内のノードを表示できます。[展開(Deployment)] メニュー ウィンドウからノードを選択することもできます。

ノードにプローブを設定するには、次の手順を実行します。


ステップ 1 [管理(Administration)] > [システム(System)] > [展開(Deployment)] を選択します。

ステップ 2 [展開ノード(Deployment Nodes)] ページで、ノードをクリックします。

[展開ノード(Deployment Nodes)] ページには、登録済みのノードが名前、ペルソナ、ロール、および展開内の複製ステータスとともに表示されます。


) 単一ノードを登録している場合は、登録済みのそのノードのみが [展開ノード(Deployment Nodes)] ページに表示されます。そのノードに対して管理、ポリシー サービス、およびモニタリング ペルソナを有効にする必要があります。複数のノードを登録している場合は、登録したすべてのノードが [展開ノード(Deployment Nodes)] ページに表示されます。各ノードを ISE ノード(管理、ポリシー サービス、およびモニタリング ペルソナ)またはインライン ポスチャ ノードとして設定できます。ノードでポリシー サービス ペルソナが無効になっている場合は、[全般設定(General Settings)] タブのみが表示され、[プロファイリング設定(Profiling Configuration)] タブは表示されないため、ノードのプローブを設定できません。


ステップ 3 [展開ノード(Deployment Nodes)] ページで [編集(Edit)] を選択します。

[ノードの編集(Edit Node)] ページが表示されます。このページには、Cisco ISE 展開を設定するための [全般設定(General Settings)] タブと各ノードのプローブを設定するための [プロファイリング設定(Profiling Configuration)] タブがあります。


) ポリシー サービス ペルソナが有効でも、[プロファイリング サービスの有効化(Enable Profiling Services)] チェックボックスがオフになっている場合は、[プロファイリング設定(Profiling Configuration)] タブが表示されません。ノードでポリシー サービス ペルソナが無効になっている場合は、[全般設定(General Settings)] タブのみが表示され、ノードのプローブを設定できる [プロファイリング設定(Profiling Configuration)] タブは表示されません。


ステップ 4 [プロファイリング設定(Profiling Configuration)] タブをクリックします。

[プローブ設定(Probe Configuration)] ページでは、Cisco ISE によってサポートされているすべてのプローブとその設定オプションが 1 ページに表示されます。

ステップ 5 各プローブの [ノードの編集(Edit Node)] ページで値を設定します。

プロファイリング サービスでノードの各プローブを設定する手順には、次の作業が含まれます。

NetFlow プローブの設定

DHCP プローブの設定

DHCP SPAN プローブの設定

HTTP プローブの設定

RADIUS プローブの設定

ネットワーク スキャン(NMAP)プローブの設定

DNS プローブの設定

簡易ネットワーク管理プロトコル

SNMP クエリー プローブの設定

SNMP トラップ プローブの設定

ステップ 6 [保存(Save)] をクリックしてプローブ設定を保存します。


 

トラブルシューティング項目

「Cisco ISE Profiler がエンドポイントのデータを収集できない」

「プロファイリングされたエンドポイントで認証を実行できない」

エンドポイント属性のフィルタリング

Cisco ISE でノードごとに複数のプローブが有効になっている場合は、各エンドポイントについて多数の属性が収集され、管理ノード データベースに格納されるため、パフォーマンスが大幅に低下します。収集される属性の一部は一時的であり、エンドポイント プロファイリングには必要ありません。各エンドポイントのプローブごとにエンドポイント プロファイルで使用できない属性が多数収集されると、Cisco ISE 管理ノード データベースの永続性とパフォーマンスが低下します。

Cisco ISE のパフォーマンスの低下に対処するために、RADIUS、DHCP(DHCP ヘルパーと DHCP SPAN の両方)、HTTP、および SNMP プローブ用のフィルタがプロファイラ プローブに実装されています(NetFlow プローブを除く)。各プローブ フィルタには、一時的でエンドポイント プロファイルとは関係のない属性のリストが含まれ、これらの属性はプローブによって収集された属性から削除されます。

プロファイラのフォワーダ コンポーネントによって、各フィルタで指定されている属性を削除するフィルタ イベントが呼び出されます。属性が収集された属性から削除されるのは、エンドポイント キャッシュ内の既存の属性およびその値とマージされる前です。すべてのプローブから収集された属性から属性が削除される以外に、プロファイラ ディクショナリもエンドポイント プロファイリングに必要な属性のリストで更新されます。

DHCP ヘルパーと DHCP SPAN の両方の DHCP フィルタには、不要なすべての属性が含まれ、これらの属性は DHCP パケットの解析後に削除されます。フィルタリング後の属性は、エンドポイントのエンドポイント キャッシュ内にある既存の属性とマージされます。

HTTP フィルタは、HTTP パケットからの属性のフィルタリングに使用され、フィルタリング後の属性セットに大幅な変更はありません。

RADIUS フィルタは、syslog 解析が完了すると使用され、エンドポイント属性がプロファイリングのためにエンドポイント キャッシュにマージされます。

SNMP フィルタは、SNMP クエリー プローブによって大量の属性が収集された後、関係のない属性をすべて削除します。

Cisco ISE ブートストラップ ログには、ディクショナリの作成およびディクショナリからの属性のフィルタリングを処理するメッセージが含まれます。エンドポイントがフィルタリング フェーズを通過するときに、フィルタリングが行われたことを示すデバッグ メッセージをログに記録することもできます。

NetFlow プローブの設定

表 18-3 に、[ノードの編集(Edit Nodes)] ページで NetFlow プローブの設定に使用できるフィールドを示します。

 

表 18-3 NetFlow の設定

フィールド
説明

[有効(Enable)] チェックボックス

ノードの NetFlow プローブを有効にするには、[有効(Enable)] チェックボックスをオンにします。

ノードの NetFlow プローブを無効にするには、[有効(Enable)] チェックボックスをオフにします。

インターフェイス(Interface)

ドロップダウン矢印をクリックしてインターフェイスを選択します。

ポート(Port)

ポート番号を入力します。

説明(Description)

NetFlow プローブの説明。

Cisco ISE プロファイラは、Cisco IOS NetFlow Version 9 を実装し、Version 5 以降の旧バージョンをサポートします。NetFlow の旧バージョンでは、MAC アドレスは IP フローの一部ではありません。そのため、ネットワーク アクセス デバイスから収集されたエンドポイント キャッシュ内の属性情報を相互に関連付けることによって、エンドポイントをその IP アドレスでプロファイリングする必要があります。

Cisco IOS NetFlow Version 9 は独自のシスコ製品で、ネットワーク上の IP フローにアクセスしたり、NetFlow 対応のネットワーク アクセス デバイスから IP フローをエクスポートできます。Cisco IOS ソフトウェアを使用すると、NetFlow で UDP(輻輳非対応プロトコル)を使用して IP フローをエクスポートできます。

NetFlow の基本出力はフロー レコードで、最新のフロー レコード形式は NetFlow Version 9 です。NetFlow Version 9 の特徴的な機能は、フロー レコードがテンプレートに基づいていることです。テンプレートには、フロー レコード形式とフロー レコード内のフィールドの属性(タイプや長さなど)が記述されています。テンプレートは柔軟性があり、フロー レコード形式に合わせて拡張できます。この形式を使用すると、基本出力の同時変更を行うことなく、NetFlow サービスの将来の拡張が可能になります。テンプレートには、新しいフィールドやレコード タイプのサポートに必要な汎用性もあります。テンプレートは、ネットワーク アクセス デバイスに格納できず、常に IP フローから更新されます。

NetFlow Version 9 の属性を NetFlow 対応のネットワーク アクセス デバイスから収集して、エンドポイントを作成したり、Cisco ISE データベース内の既存のエンドポイントを更新できます。NetFlow Version 9 は、エンドポイントの送信元 MAC アドレスと宛先 MAC アドレスを割り当てて、更新するように設定できます。NetFlow 属性のディクショナリを作成して NetFlow ベースのプロファイリングに対応することもできます。

Cisco IOS NetFlow Version 9 がある場合、ICMP_TYPE フィールドの値は、NetFlow プローブによって収集された NetFlow 属性の PROTOCOL フィールドに基づきます。

NetFlow プローブによって収集された NetFlow 属性の PROTOCOL フィールドの値が 6(TCP)または 17(UDP)の場合、ICMP_TYPE フィールドの値は常に L4_DST_PORT フィールドの値と等しくなります。

NetFlow プローブによって収集された NetFlow 属性の PROTOCOL フィールドの値が 1(ICMP)の場合、ICMP_TYPE フィールドの値は ICMP タイプと ICMP コードの組み合わせになります。

詳細については、次のリンクの「NetFlow Version 9 Flow Record Format」の「Table 6. NetFlow Version 9 Field Type Definitions」を参照してください。

http://www.cisco.com/en/US/technologies/tk648/tk362/technologies_white_paper09186a00800a3db9_ps6601_Products_White_Paper.html

NetFlow プローブによって収集される既知の属性は次のとおりです。

 

IN_BYTES

IN_PKTS

FLOWS

PROTOCOL

SRC_TOS

TCP_FLAGS

L4_SRC_PORT

IPV4_SRC_ADDR

SRC_MASK

L4_DST_PORT

IPV4_DST_ADDR

DST_MASK

IPV4_NEXT_HOP

LAST_SWITCHED

FIRST_SWITCHED

OUT_BYTES

OUT_PKTS

IPV6_SRC_ADDR

IPV6_DST_ADDR

IPV6_SRC_MASK

IPV6_DST_MASK

IPV6_FLOW_LABEL

ICMP_TYPE

DST_TOS

IN_SRC_MAC

OUT_DST_MAC

SRC_VLAN

DST_VLAN

IP_PROTOCOL_VERSION

DIRECTION

Cisco IOS NetFlow Version 5

Cisco IOS NetFlow Version 5 パケットには、エンドポイントの MAC アドレスが含まれません。NetFlow Version 5 から収集された属性は、Cisco ISE データベースに直接追加できません。IP アドレスを使用してエンドポイントを検出し、NetFlow Version 5 属性をエンドポイントに追加できます。ただし、これらのエンドポイントを RADIUS または SNMP プローブで事前に検出しておく必要があります。これは、ネットワーク アクセス デバイスの IP アドレスと NetFlow Version 5 属性から取得した IP アドレスを組み合わせることによって実行できます。

NetFlow Version 5 のレコード形式の詳細については、次のリンクを参照してください。

http://www.cisco.com/en/US/docs/ios/solutions_docs/netflow/nfwhite.html#wp1030618

Cisco ISE プロファイリング サービスをサポートするには、プロファイラの操作に必要な機能が追加された NetFlow の最新バージョン(Version 9)を使用することを推奨します。ネットワークで NetFlow Version 5 を使用する場合は、Version 5 をアクセス レイヤのプライマリ NAD でのみ使用できます。他のデバイスでは動作しません。

NetFlow Version 5 によって収集される既知の属性は次のとおりです。

 

srcaddr

dstaddr

nexthop

input

output

first

last

srcport

dstport

tcp_flags

prot

flow_sequence

sys_uptime

--

--

DHCP プローブの設定

表 18-4 に、[ノードの編集(Edit Nodes)] ページで DHCP プローブの設定に使用できるフィールドを示します。

 

表 18-4 DHCP の設定

フィールド
説明

[有効(Enable)] チェックボックス

ノードの DHCP プローブを有効にするには、[有効(Enable)] チェックボックスをオンにします。

ノードの DHCP プローブを無効にするには、[有効(Enable)] チェックボックスをオフにします。

インターフェイス(Interface)

ドロップダウン矢印をクリックしてインターフェイスを選択します。

ポート(Port)

ポート番号を入力します。

説明(Description)

DHCP プローブの説明。

ダイナミック ホスト コンフィギュレーション プロトコル(DHCP)は、IP ネットワーク上で IP アドレスを動的または静的に割り当てるために使用される自動コンフィギュレーション プロトコルです。クライアント サーバ通信における信頼性を定期的な更新、再バインド、フェールオーバーなどのさまざまな方法で提供します。DHCP には 2 つのバージョンがあります。1 つは IPv4 用、もう 1 つは IPv6 用です。両方のバージョンは同じ名前の DHCP で、まったく同じ目的を果たしますが、IPv4 用の DHCP プロトコルと IPv6 用の DHCP プロトコルの詳細は異なるため、別のプロトコルと見なすことができます。

DHCP サーバは IP アドレスのプールとクライアント設定パラメータに関する情報を管理します。IP アドレスの割り当て以外に、DHCP では、サブネット マスク、デフォルト ゲートウェイ、ドメイン名、ネーム サーバなどの他の設定情報を IP ネットワーク上の DHCP クライアントに提供します。IP アドレスの設定に DHCP を使用しない DHCP クライアントでも、DHCP を使用して他の設定パラメータを取得することがあります。

DHCP では、インターネット割り当て番号局(IANA)によって BOOTP プロトコルに定義されているのと同じ UDP ポートが使用されます。DHCP メッセージは、クライアントから DHCP サーバの UDP ポート 67 を経由してサーバに送信され、サーバからクライアントへの送信には、DHCP クライアントの UDP ポート 68 が使用されます。DHCP 通信はコネクションレスであるため、同じサブネット上の DHCP クライアントとサーバは UDP ブロードキャストを使用して通信します。クライアントとサーバが別々のサブネット上にある場合、クライアントは DHCP 検出の送信とメッセージの要求に UDP ブロードキャストを使用しますが、DHCP リース提案と確認応答メッセージの受信にはユニキャストを使用します。

DHCP サーバは DHCP クライアントからの着信 DHCP メッセージ(DHCPDISCOVER、DHCPREQUEST、DHCPDECLINE、DHCPRELEASE、DHCPINFORM など)をそのクライアントの現在のバインディング状態に基づいて処理します。DHCP サーバは、DHCP メッセージ(DHCPOFFER、DHCPACK、DHCPNAK など)でクライアントに応答します。

DHCPDISCOVER:DHCP クライアントが使用可能な DHCP サーバを探すためにブロードキャストするメッセージ。

DHCPOFFER:DHCP サーバがディスカバリ メッセージへの応答として DHCP クライアントに送信するメッセージで、クライアント設定パラメータの提案が含まれます。

DHCPREQUEST:DHCP クライアントが DHCP サーバに送信するメッセージで、提案パラメータをあるサーバに要求して他のすべてのサーバからの提案を暗黙的に拒否するか、システム リブート後に前に割り当てられたアドレスの正確性を確認するか、特定のネットワーク アドレスのリースを延長します。

DHCPACK:DHCP サーバが DHCP クライアントに送信するメッセージで、確定されたネットワーク アドレスなどの設定パラメータが含まれます。

Cisco ISE 展開の DHCP プローブを有効にすると、Cisco ISE プロファイリング サービスで INIT-REBOOT および SELECTING メッセージ タイプの新しい要求だけに基づいてエンドポイントを再プロファイリングできます。RENEWING や REBINDING などの他の DHCP メッセージ タイプは処理されますが、エンドポイントのプロファイリングには使用されません。DHCP パケットから解析された属性は、エンドポイント属性にマッピングされます。

INIT-REBOOT 状態で生成される DHCPREQUEST:

DHCP クライアントが前に割り当てられてキャッシュされた設定を確認する場合、クライアントはサーバ識別子(server-ip)オプションを入力できませんが、前に割り当てられた IP アドレスを要求された IP アドレス(requested-ip)オプションに入力する必要があります。また、DHCPREQUEST メッセージの「ciaddr」(クライアントのネットワーク アドレス)フィールドをゼロで埋める必要があります。要求された IP アドレスが正しくない場合、またはクライアントが誤ったネットワークに配置されている場合、DHCP サーバは DHCPNAK メッセージをクライアントに送信します。

SELECTING 状態で生成される DHCPREQUEST:

DHCP クライアントは、サーバ識別子オプションで選択された DHCP サーバの IP アドレスを挿入し、要求された IP アドレス(requested-ip)オプションにクライアントによって選択された DHCPOFFER の「yiaddr」フィールドの値を入力します。また、DHCPREQUEST メッセージの「ciaddr」フィールドをゼロで埋めます。

表 18-5 に、DHCP クライアント メッセージのさまざまな状態を示します。DHCP の詳細については、 www.faqs.org/rafts/rfc2131.html を参照してください。

 

表 18-5 さまざまな状態からの DHCP クライアント メッセージ

 
INIT-REBOOT
SELECTING
RENEWING
REBINDING

ブロードキャスト/ユニキャスト

ブロードキャスト

ブロードキャスト

ユニキャスト

ブロードキャスト

server-ip

MUST NOT

MUST

MUST NOT

MUST NOT

requested-ip

MUST

MUST

MUST NOT

MUST NOT

ciaddr

ゼロ

ゼロ

IP アドレス

IP アドレス

DHCP IP ヘルパー

DHCP クライアントは、ディスカバリ メッセージ(ブロードキャスト)を送信してネットワーク上の DHCP サーバを探します。処理中、これらのメッセージはリモート DHCP サーバにユニキャストとしてリレーされます。DHCP クライアントとサーバが同じサブネット上にない場合、DHCP サーバの IP アドレスとともに「ip helper-address x.x.x.x」コマンドを使用して、ネットワーク上のネットワーク アクセス デバイスを設定できます。これにより、Cisco ISE プロファイラで 1 つ以上のインターフェイスから DHCP パケットを受信し、それらのパケットを解析してプロファイリングに使用できるエンドポイント属性を取得できます。

次に例を示します。

Router(config-if)#ip helper-address x.x.x.x
 

DHCP タイプのプロファイリング条件を作成し、エンドポイントのプロファイリングに dhcp-requested-address 属性を使用できます。完全修飾ドメイン名(FQDN)ルックアップの場合、ドメイン ネーム システム(DNS)プローブは、送信元 IP アドレスを DHCP によって収集された dhcp-requested-address 属性から抽出します。

ワイヤレス LAN コントローラ の設定

WLC は DHCP ブリッジ モードで設定することを推奨します。このモードでは、ワイヤレス クライアントからのすべての DHCP パケットを Cisco ISE に転送できます。DHCP IP ヘルパー コマンドが Cisco ISE ポリシー サービス ノードを指していることも確認する必要があります。

WLC Web インターフェイスで [コントローラ(Controller)] > [詳細設定(Advanced)] > [DHCP マスター コントローラ モード(DHCP Master Controller Mode)] > [DHCP パラメータ(DHCP Parameters)] > [DHCP プロキシの有効化(Enable DHCP proxy)] を使用して、[DHCP プロキシの有効化(Enable DHCP Proxy)] チェックボックスをオフにする必要があります。

DHCP SPAN プローブの設定

表 18-6 に、[ノードの編集(Edit Nodes)] ページで DHCP SPAN プローブの設定に使用できるフィールドを示します。

 

表 18-6 DHCP SPAN の設定

フィールド
説明

[有効(Enable)] チェックボックス

ノードの DHCP SPAN プローブを有効にするには、[有効(Enable)] チェックボックスをオンにします。

ノードの DHCP SPAN プローブを無効にするには、[有効(Enable)] チェックボックスをオフにします。

インターフェイス(Interface)

ドロップダウン矢印をクリックしてインターフェイスを選択します。

説明(Description)

DHCP SPAN プローブの説明。

DHCP スイッチド ポート アナライザ(SPAN)プローブは、Cisco ISE ノードで初期化されると、特定インターフェイス上のネットワーク アクセス デバイスからのネットワーク トラフィックをリッスンします。DHCP SPAN パケットを DHCP サーバから Cisco ISE プロファイラに転送するようにネットワーク アクセス デバイスを設定する必要があります。プロファイラはこれらの DHCP SPAN パケットを受信して解析し、エンドポイントのプロファイリングに使用できるエンドポイント属性を取得します。

DHCP タイプのプロファイリング条件を作成し、エンドポイントのプロファイリングに dhcp-requested-address 属性を使用できます。FQDN ルックアップの場合、ドメイン ネーム システム(DNS)プローブは、送信元 IP アドレスを DHCP SPAN プローブによって収集された dhcp-requested-address 属性から抽出します。

HTTP プローブの設定

表 18-7 に、[ノードの編集(Edit Nodes)] ページで HTTP プローブの設定に使用できるフィールドを示します。

 

表 18-7 HTTP の設定

フィールド
説明

[有効(Enable)] チェックボックス

ノードの HTTP プローブを有効にするには、[有効(Enable)] チェックボックスをオンにします。

ノードの HTTP プローブを無効にするには、[有効(Enable)] チェックボックスをオフにします。

インターフェイス(Interface)

ドロップダウン矢印をクリックしてインターフェイスを選択します。

説明(Description)

HTTP プローブの説明。

ハイパーテキスト転送プロトコル(HTTP)は、インターネット プロトコル スイートのフレームワーク内に設計されたアプリケーション層プロトコルです。分散オブジェクト管理システムで使用できる汎用のステートレス プロトコルで、ハイパーテキスト以外の用途にも使用できます。分散クライアント/サーバアーキテクチャ内での通信に幅広く使用される要求応答プロトコルとして動作します。Web ブラウザは、HTTP を実装して HTTP 要求メッセージを発信するクライアント アプリケーション(ユーザ エージェントと呼ばれることが多い)です。Web ブラウザは動作するときに、通常は特徴的な ID 文字列を動作ピアに送信して、ブラウザ自身、そのアプリケーション タイプ、オペレーティング システム、ソフトウェア ベンダー、およびソフトウェア リビジョンを識別します。HTTP では、これが HTTP 要求ヘッダーのフィールド User-Agent で送信されます。

User-Agent は、IP タイプのプロファイリング条件の作成と Web ブラウザ情報の確認に使用できる属性です。プロファイラは Web ブラウザ情報を User-Agent 属性および要求メッセージの他の HTTP 属性から取得し、エンドポイント属性のリストに追加します。Cisco ISE には、多くのデフォルト プロファイルが用意されています。これらのプロファイルはシステムに組み込まれ、User-Agent 属性に基づいてエンドポイントを識別します。

HTTP SPAN プローブ

HTTP セッションは、ネットワークの要求応答トランザクションのシーケンスです。Web ブラウザから HTTP 要求メッセージが発信され、これにより Web サーバ上の特定のポート(通常はポート 80)への伝送制御プロトコル(TCP)接続が確立されます。そのポートをリッスンする Web サーバは、Web ブラウザからの HTTP 要求メッセージを待機します。Cisco ISE 展開の HTTP プローブを SPAN プローブとともに有効にすると、プロファイラは指定されたインターフェイスからの HTTP パケットをキャプチャできます。SPAN 機能は、Cisco ISE サーバが Web ブラウザからの通信をリッスンするポート 80 で使用できます。

HTTP スイッチド ポート アナライザ(SPAN)は、HTTP 要求ヘッダー メッセージの HTTP 属性を IP ヘッダー(L3 ヘッダー)の IP アドレスとともに収集し、L2 ヘッダーのエンドポイントの MAC アドレスに基づいてエンドポイントに関連付けることができます。この情報は、Apple デバイスやさまざまなオペレーティング システムのコンピュータなどの各種モバイルおよびポータブル IP 対応デバイスを識別するのに役立ちます。ゲスト ログインまたはクライアント プロビジョニング ダウンロード時に Cisco ISE サーバでキャプチャをリダイレクトすることにより、各種モバイルおよびポータブル IP 対応デバイスの識別の信頼性が向上しました。これにより、プロファイラは User-Agent 属性とその他の HTTP 属性を要求メッセージから取得し、Apple デバイスなどのデバイスを識別できます。Cisco ISE サーバは、ポート 80 とポート 8080 の両方で Web ブラウザからの通信をリッスンします。

IP タイプのプロファイリング条件を作成し、Web ブラウザの送信元 IP アドレスの取得に IP 属性を使用できます。FQDN ルックアップの場合、ドメイン ネーム システム(DNS)プローブは、送信元 IP アドレスを HTTP SPAN プローブによって収集された IP 属性から抽出します。

Cisco ISE プロファイラは VMware での実行時に HTTP トラフィックを収集しない

Cisco ISE を ESX サーバ(VMware)に展開している場合、Cisco ISE プロファイラは DHCP トラフィックを収集しますが、vSphere クライアント上の設定の問題により HTTP トラフィックを収集しません。

VMware セットアップで HTTP トラフィックを収集するには、Cisco ISE プロファイラのために作成する仮想スイッチの無差別モードを Accept から Reject(デフォルト)に変更して、セキュリティを設定する必要があります。DHCP および HTTP の SPAN プローブが有効になっている場合は、Cisco ISE プロファイラによって DHCP トラフィックと HTTP トラフィックの両方が収集されます。

RADIUS プローブの設定

表 18-8 に、[ノードの編集(Edit Nodes)] ページで RADIUS プローブの設定に使用できるフィールドを示します。

 

表 18-8 RADIUS の設定

フィールド
説明

[有効(Enable)] チェックボックス

ノードの RADIUS プローブを有効にするには、[有効(Enable)] チェックボックスをオンにします。

ノードの RADIUS プローブを無効にするには、[有効(Enable)] チェックボックスをオフにします。

説明(Description)

RADIUS プローブの説明。

RADIUS は、クライアント サーバ通信で使用されるアプリケーション層プロトコルです。ネットワーク サービスへのアクセスを許可する前にユーザやデバイスを認証および許可するための中央集中型の認証、許可、アカウンティング(AAA)管理とネットワーク サービスを使用するためのアカウンティングを提供します。ユーザ名とパスワードを使用したさまざまなユーザ認証方式をサポートします。RADIUS は拡張可能なプロトコルで、すべてのクライアント サーバ トランザクションは可変長の属性と値のペア(AVP)で構成され、プロトコルの既存の実装を妨げることなく新しい属性と値のペアを追加できます。属性の値のペアにより、認証、許可、アカウンティング トランザクションのデータが RADIUS の要求メッセージと応答メッセージの両方で伝送されます。

ネットワーク アクセス サーバ(NAS)は RADIUS のクライアントとして動作し、RADIUS サーバにユーザ クレデンシャルを送信します。RADIUS サーバは、NAS が要求されたサービスをユーザに提供するために必要な設定情報を返します。Cisco ISE は RADIUS サーバおよび他の RADIUS サーバに対する RADIUS プロキシ クライアントとして動作できます。プロキシ クライアントとして動作する場合は、外部の RADIUS サーバを使用して RADIUS 要求および応答メッセージを処理します。Cisco ISE で認証に RADIUS を使用するように設定し、クライアント サーバ トランザクションで使用できる共有秘密を定義できます。Cisco ISE ネットワーク デバイス設定の詳細については、「ネットワーク デバイスの管理」を参照してください。

RADIUS サーバから RADIUS 要求および応答メッセージを受信すると、プロファイラはエンドポイントのプロファイリングに使用できる RADIUS 属性を収集できます。

RADIUS タイプのプロファイリング条件を作成し、エンドポイントのプロファイリングに Framed-IP-Address 属性を使用できます。FQDN ルックアップの場合、ドメイン ネーム システム(DNS)プローブは、送信元 IP アドレスを RADIUS プローブによって収集された Framed-IP-Address 属性から抽出します。

属性と RADIUS RFC のリストについては、 http://en.wikipedia.org/wiki/RADIUS を参照してください。

RADIUS プローブによって収集される既知の属性は次のとおりです。

 

User-Name

NAS-IP-Address

NAS-Port

Framed-IP-Address

Calling-Station-Id

Acct-Session-Id

Acct-Session-Time

Acct-Terminate-Cause

ネットワーク スキャン(NMAP)プローブの設定

表 18-9 に、[ノードの編集(Edit Nodes)] ページでネットワーク スキャン(NMAP)プローブの設定に使用できるフィールドを示します。

ネットワーク スキャン プローブを有効にするには、次のフィールドを設定します。

 

表 18-9 ネットワーク スキャンの設定

フィールド
説明

[有効(Enable)] チェックボックス

Policy Service ISE ノードのネットワーク スキャンを有効にするには、[有効(Enable)] チェックボックスをオンにします。

Policy Service ISE ノードのネットワーク スキャンを無効にするには、[有効(Enable)] チェックボックスをオフにします。

説明(Description)

ネットワーク スキャン プローブの説明。

サブネットの手動スキャン(Manual Scan Subnet)

サブネット スキャンを手動で開始するための有効なサブネット形式を入力します。

[サブネットの手動スキャン(Manual Scan Subnet)] フィールドに 10.0.10.10 のような無効なサブネット形式を入力すると、エラー メッセージ「無効なサブネット:10.0.10.10。10.0.10.10/24 や 10.0.10.10/32 などの有効な形式のサブネットを入力してください。(Invalid Subnet: 10.0.10.10. Enter a valid subnet format, such as: 10.0.10.10/24 and 10.0.10.10/32.)」が表示されます。

このフィールドは、[ノードの編集(Edit Nodes)] ページで手動スキャンを実行するようにネットワーク スキャン プローブを有効にした場合のみアクティブになり、サブネットを入力できます。

スキャンの実行(Run Scan)

[スキャンの実行(Run Scan)] ボタンをクリックすると、手動サブネット スキャンが開始されます。このボタンがアクティブなのは、サブネット スキャンを手動で開始する前のみです。

スキャンのキャンセル(Cancel Scan)

[スキャンのキャンセル(Cancel Scan)] ボタンをクリックすると、手動サブネット スキャンが停止します。このボタンがアクティブなのは、手動サブネット スキャンが実行されている間のみです。

[クリックして最新のスキャン結果を表示(Click to see latest scan results)] リンク

[クリックして最新のスキャン結果を表示(Click to see latest scan results)] リンクをクリックすると、[管理(Administration)] > [ID(Identities)] > [ID(Identities)] にリダイレクトされます。最近検出されたエンドポイントを表示するには、[最新のネットワーク スキャン結果(Latest Network Scan Results)] を選択します。

サブネット スキャンを開始すると、NMAP プローブによって指定したサブネットがスキャンされ、エンドポイントで SNMP ポート(UDP 161 と 162)が開いている場合はエンドポイントとそのオペレーティング システムが検出されます。

次の NMAP コマンドを使用すると、サブネットがスキャンされます。

nmap -O -sU -p U:161,162 -oN /opt/CSCOcpm/logs/nmapSubnet.log --append-output -oX - <subnet>

 

表 18-10 サブネット スキャンの NMAP コマンド

-O

OS 検出を有効にします

-sU

UDP スキャン

-p <port ranges>

指定されたポートのみをスキャンします。たとえば、U:161, 162 と指定します。

oN

通常の出力

oX

XML 出力

ネットワーク スキャン

ネットワーク スキャンは、Policy Service ISE ノードから実行するネットワーク スキャン プローブを使用して、ネットワーク上のサブネットをスキャンする特殊な方法です。ネットワーク スキャンを使用すると、指定したサブネット上のエンドポイント、そのオペレーティング システム、および分散展開内の SNMP ポート(UDP 161 と 162)を検出できます。

ネットワーク スキャンはサブネットのサイズと密度に依存するため、指定したサブネットに対するネットワーク スキャンの実行に時間がかかることを示すメッセージが表示されます。サブネットのスキャンでは、リソースも大量に消費されます。サブネット スキャンの進行中にいつでもサブネット スキャンをキャンセルできます。アクティブなスキャンの数は常に 1 つに制限されるため、同時にスキャンできるサブネットは 1 つだけです。

各サブネット スキャンには、エンドポイント ソース情報をそのスキャン ID で更新するために使用される一意の数値 ID があります。検出時に、エンドポイント ソース情報を更新して、ネットワーク スキャン プローブで検出されたことを示すこともできます。

ネットワーク スキャンは、スキャンによってエンドポイント上で UDP ポート 161 が開いていることが検出されるたびに、SNMP クエリーで拡張されます。この SNMP クエリーにより、より多くの属性を収集して、分類の正確性を向上できます。SNMP クエリーでは、デフォルトのコミュニティ ストリング設定(public)が使用されます。これにより、システムの説明などの追加属性を収集できます。

スキャン対象のサブネットの場所に応じて、ネットワーク スキャンによってエンドポイントの MAC アドレスが返される場合と返されない場合があります。ARP 解決はネットワーク トポロジおよび Policy Services ISE ノードから離れた場所にあるスキャン対象のサブネットに完全に依存するため、ネットワーク スキャンではエンドポイントの MAC アドレスを解決できない場合があります。IP-MAC バインディングを実装して、Cisco ISE で受信した IP アドレスからそれらのエンドポイントの MAC アドレスを解決できるようにする必要があります。IP アドレスが MAC アドレスに解決されない場合は、IP アドレスを実際のエンドポイントにマッピングする方法がないため、それらの IP アドレスはドロップされます。

MAC アドレスはすべてのエンドポイントの固有識別子であるため、NMAP の手動サブネット スキャンでは、エンドポイントをデータベースに追加するためにエンドポイントの MAC アドレスが必要です。

次の制限は、Cisco ISE ネットワークに参加するダイナミック エンドポイントには適用されません。これらのエンドポイントは動的に認証され、IP アドレスに割り当てられ、RADIUS プローブと DHCP プローブを使用したプロファイリング サービスで検出されるからです。

Cisco ISE では、NMAP の手動サブネット スキャンを使用してデバイスを検出できます。手動サブネット スキャンは、割り当てられたスタティック IP アドレスを使用して常に ISE ネットワークに接続されているため他のプローブでは検出できないデバイス(プリンタなど)を検出するのに役立ちます。

スキャンされたデバイスは、IP アドレスから MAC アドレスへのバインディングが存在する場合にのみエンドポイント リストに追加されます。手動サブネット スキャン中は、NMAP プローブによって、デバイスで SNMP ポート 161 が開いているかどうかが検出されます。ポートが開いている場合は、デフォルトのコミュニティ ストリング(public)を使用して SNMP クエリーがトリガーされます。デバイスで SNMP がサポートされ、デフォルトのコミュニティ ストリングが public に設定されている場合は、デバイスの MAC アドレスを MIB 値「ifPhysAddress」から取得できます。

Policy Service ノードに隣接しないサブネットをスキャンし、そのサブネットに SNMP をサポートしないデバイスが含まれている場合は、Cisco ISE 管理者ユーザ インターフェイスでサブネットに常駐する NAD を定義する必要があります。サブネット内のスキャンされたエンドポイントに IP アドレスから MAC アドレスへのバインディングを提供する ARP テーブルを NAD から取得するには、Policy Service ノードの SNMP プローブも有効にする必要があります。

手動サブネット スキャンを実行する Policy Service ノードとの L2 隣接関係が存在する場合は、NMAP スキャンで MAC アドレスを検出し、エンドポイントを Cisco ISE に追加できます。

iDevice および SNMP をサポートしないその他のデバイスでは、ARP テーブルによって MAC アドレスを検出でき、SNMP クエリー プローブによってネットワーク アクセス デバイス(NAD)からクエリーを実行できます。iDevice は、DHCP を使用してプロファイリングすることもできます。

最新のネットワーク スキャン結果

最新のネットワーク スキャン結果は、[管理(Administration)] > [ID(Identities)] > [ID(Identities)](メニュー ウィンドウ)> [最新のネットワーク スキャン結果(Latest Network Scan Results)] に保存されます。

最新のネットワーク スキャン結果の詳細については、「最新のネットワーク スキャン結果」の項を参照してください。

手動でのネットワーク スキャンの詳細については、「ネットワーク スキャン(NMAP)プローブの設定」を参照してください。

DNS プローブの設定

表 18-11 に、[ノードの編集(Edit Nodes)] ページで DNS プローブの設定に使用できるフィールドを示します。

 

表 18-11 DNS の設定

フィールド
説明

[有効(Enable)] チェックボックス

ノードの DNS プローブを有効にするには、[有効(Enable)] チェックボックスをオンにします。

ノードの DNS プローブを無効にするには、[有効(Enable)] チェックボックスをオフにします。

タイムアウト(Timeout)

タイムアウトを秒単位で入力します。

説明(Description)

DNS の説明。


) DNS プローブを分散展開内の特定の ISE ノードで動作させるには、DHCP、DHCP SPAN、HTTP、RADIUS、SNMP のいずれかのプローブを有効にする必要があります。DNS ルックアップの場合、上記のいずれかのプローブを DNS プローブとともに起動する必要があります。


Cisco ISE をスタンドアロンで展開する場合、または初めて分散環境に展開する場合は、セットアップ ユーティリティを実行して Cisco ISE アプライアンスを設定するように求められます。ここで、ドメイン ネーム システム(DNS)ドメインとプライマリ ネームサーバ(プライマリ DNS サーバ)を設定します。設定時には、1 つのプライマリ ネームサーバと 1 つ以上のネームサーバを設定できます。Cisco ISE の展開後に、CLI コマンドを使用して DNS ネームサーバを変更または追加することもできます。

CLI コマンドの詳細については、『 Cisco Identity Services Engine CLI Reference Guide, Release 1.1.x 』を参照してください。

Cisco ISE 展開の DNS プローブを有効にすると、プロファイラはエンドポイントを検索し、そのエンドポイントの完全修飾名(FQDN)を取得できます。DNS ルックアップでは、エンドポイントの完全修飾名を特定しようとします。Cisco ISE 対応のネットワークでエンドポイントが検出されると、エンドポイント属性のリストが NetFlow、DHCP、DHCP SPAN、HTTP、RADIUS、または SNMP プローブから収集されます。DNS ルックアップの場合、DHCP、DHCP SPAN、HTTP、RADIUS、または SNMP のいずれかのプローブを DNS プローブとともに起動する必要があります。

次のリストに、特定のエンドポイント属性および属性を収集するプローブを示します。

dhcp-requested-address 属性:DHCP プローブと DHCP SPAN プローブによって収集される属性

SourceIP 属性:HTTP プローブによって収集される属性

Framed-IP-Address 属性:RADIUS プローブによって収集される属性

cdpCacheAddress 属性:SNMP プローブによって収集される属性

これにより、プロファイラの DNS プローブは、Cisco ISE 展開に定義されている、指定されたネームサーバに対して逆引き DNS ルックアップ(FQDN ルックアップ)を実行できます。新しい属性がエンドポイントの属性リストに追加され、エンドポイント プロファイリング ポリシーの評価に使用できます。FQDN は、システム IP ディクショナリに存在する新しい属性です。エンドポイント プロファイリング条件を作成して、FQDN 属性およびそのプロファイリング用の値を検証できます。

ブリッジ モードのインライン ポスチャ展開と DNS プローブ

インライン ポスチャ展開の詳細については、「インライン ポスチャの設定」を参照してください。

DNS プローブをブリッジ モードのインライン ポスチャ展開で使用するには、ワイヤレス LAN コントローラ(WLC)に RADIUS メッセージで送信される callStationIdType 情報が設定されていることを確認する必要があります。WLC は、現在の IP アドレス形式ではなく MAC アドレス形式の発信側ステーション ID を RADIUS メッセージで送信するように設定する必要があります。この設定を WLC で行うと、選択した発信側ステーション ID が RADIUS サーバおよびその他のアプリケーションとの通信に使用されます。これにより、エンドポイントが認証され、DNS プローブは指定されたネームサーバに対して逆引き DNS ルックアップ(FQDN ルックアップ)を実行し、エンドポイントの FQDN を更新します。

ワイヤレス LAN コントローラ GUI の設定

WLC Web インターフェイスを使用して、呼出端末 ID タイプ情報を設定できます。WLC Web インターフェイスの [セキュリティ(Security)] タブに移動し、[RADIUS] > [AAA からの認証(Authentication from AAA)] を選択します。ここで、[RADIUS 認証サーバ(RADIUS Authentication Servers)] ページのドロップダウン リストからシステム MAC アドレスを呼出端末 ID タイプに設定できます。[MAC デリミタ(MAC Delimiter)] フィールドはデフォルトで [コロン(Colon)] に設定されています。

さまざまな WLC GUI 設定の詳細については、『 Cisco Wireless LAN Controller Configuration Guide, Release 7.0 』の「Using the GUI to Configure RADIUS」の項(第 6 章「Configuring Security Solutions」)を参照してください。

ワイヤレス LAN コントローラ CLI の設定

ワイヤレス LAN コントローラのコマンドライン インターフェイス(CLI)で macAddr オプションを指定した config radius callStationIdType コマンドを使用できます。

WLC CLI 設定の詳細については、『 Cisco Wireless LAN Controller Command Reference, Release 7.0 』の config radius callStationIdType コマンド(第 2 章「CLI Commands」)を参照してください。

たとえば、WLC のコンフィギュレーション モードを開始して次のコマンドを入力できます。

config radius callStationIdType {ipAddr | macAddr | ap-macAddr-only | ap-macAddr-ssid}

 
構文の説明

config

パラメータを設定します。

radius callStationIdType

callStationIdType 情報を設定します。

{ipAddr | macAddr | ap-macAddr-only | ap-macaddr-ssid}

呼出端末 ID タイプを IP アドレスに設定するには、ipAddr と入力します(レイヤ 3 のみ)。

呼出端末 ID タイプをシステムの MAC アドレスに設定するには、macAddr と入力します(レイヤ 2 およびレイヤ 3)。

呼出端末 ID タイプとしてアクセス ポイントの MAC アドレスを使用するには、ap-macAddr-only と入力します(レイヤ 2 およびレイヤ 3)。

呼出端末 ID タイプとしてアクセス ポイントの MAC アドレスと SSID を使用するには、as-macAddr-ssid と入力します。

 
コマンド モード

コンフィギュレーション。

 
使用上のガイドライン

RADIUS メッセージの Framed-IP-Address 属性には、MAC アドレス形式の呼出端末 ID タイプは含まれません。したがって、RADIUS メッセージをエンドポイントの MAC アドレスに関連付けることも、DNS プローブで逆引き DNS ルックアップを実行することもできません。エンドポイントをプロファイリングするには、Cisco ISE で RADIUS プローブと DNS プローブを有効にし、現在の IP アドレス形式ではなく MAC アドレス形式の発信側ステーション ID を RADIUS メッセージで送信するように WLC を設定します。

config radius callStationIdType macAddr

SNMP クエリー プローブの設定

表 18-12 に、[ノードの編集(Edit Nodes)] ページで SNMP クエリー プローブの設定に使用できるフィールドを示します。

 

表 18-12 SNMP クエリーの設定

フィールド
説明

[有効(Enable)] チェックボックス

ノードの SNMP クエリー プローブを有効にするには、[有効(Enable)] チェックボックスをオンにします。

ノードの SNMP クエリー プローブを無効にするには、[有効(Enable)] チェックボックスをオフにします。

再試行(Retries)

許可される試行回数を入力します。

タイムアウト(Timeout)

タイムアウトを秒単位で入力します。

EventTimeout

SNMP イベントのタイムアウトを秒単位で入力します。

説明(Description)

SNMP クエリー プローブの説明。

SNMP の詳細については、「簡易ネットワーク管理プロトコル」を参照してください。

[ネットワーク デバイス(Network Devices)] リスト ページで、SNMP 設定を行うことができる新しいネットワーク デバイスを設定できます。ここでポーリング間隔を指定すると、ネットワーク アクセス デバイスに対して定期的にクエリーが実行されます。SNMP クエリー プローブ以外に、次の場所で他の SNMP 設定も行う必要があります。

[管理(Administration)] > [ネットワーク リソース(Network Resources)] > [ネットワーク デバイス(Network Devices)]

次の設定に基づいて、特定の NAD の SNMP クエリーをオンおよびオフにすることができます。

[リンクアップ時に SNMP クエリー(SNMP Query on Link up)] および [新しい MAC の通知(New MAC notification)] のオンまたはオフ

[リンクアップ時に CDP SNMP クエリー(CDP SNMP Query on Link up)] および [新しい MAC の通知(New MAC notification)] のオンまたはオフ

SNMP クエリー タイマーをデフォルトでスイッチごとに 1 時間に 1 度


) ネットワーク デバイスで SNMP 設定を行う場合は、ネットワーク デバイスのすべてのポートでシスコ デバイス プロトコル(CDP)が有効(デフォルト)になっていることを確認する必要があります。ネットワーク デバイスのいずれかのポートで CDP を無効にすると、接続されているすべてのエンドポイントの CDP 情報が失われるため、正しいプロファイリングを実行できなくなる可能性があります。また、ネットワーク デバイスのすべてのポートで Link Layer Discovery Protocol(LLDP)が動作していることも確認する必要があります。


CDP 属性の収集

Cisco Discovery Protocol(CDP)は、すべてのシスコ デバイス(ルータ、ブリッジ、アクセス サーバ、およびスイッチ)においてレイヤ 2(データ リンク層)上で動作するデバイス検出プロトコルです。CDP を使用すると、ネットワーク管理アプリケーションは、ネットワークに接続されている他のシスコ デバイスを自動的に検出して、そのデバイスについて学習できます。

ネットワーク デバイスで cdp run コマンドを使用して CDP をグローバルに有効にし、ネットワーク アクセス デバイスのインターフェイスで cdp enable コマンドを使用して CDP を有効にする必要があります。ネットワーク デバイスとインターフェイスで CDP を無効にするには、コマンドの先頭で no キーワードを使用します。

LLDP 属性の収集

IEEE 802.1AB Link Layer Discovery Protocol(LLDP)は、レイヤ 2(データ リンク層)上で動作するネイバー探索プロトコルで、異なるネットワーク層プロトコルを実行する 2 つのシステムは相互のシステムについて学習できます。LLDP を使用すると、ネットワーク デバイスはネットワーク デバイスに関する情報を、ネットワーク上の他のデバイスにアドバタイズできます。IEEE 802.1AB LLDP をサポートするスイッチは、シスコ デバイス以外のデバイスに対してサポートを提供し、他のデバイス間の相互運用を可能にします。

Cisco ISE プロファイラでは、SNMP クエリーを使用して LLDP 属性を収集するため、データ収集機能が拡張されました。RADIUS プローブを使用して、ネットワーク デバイスに組み込まれている IOS センサーから LLDP 属性を収集することもできます。

デバイスで LLDP パケットを送信できるようにするには、ネットワーク デバイスで lldp run コマンドを使用して LLDP をグローバルに有効にする必要がありますが、インターフェイス レベルでの変更は必要ありません。 lldp transmit コマンドと lldp receive コマンドを使用して、LLDP パケットを送受信するようにインターフェイスを設定することもできます。ネットワーク デバイスとインターフェイスで LLDP を無効にするには、コマンドの先頭で no キーワードを使用します。

デフォルトの LLDP 設定を変更するには、ネットワーク アクセス デバイスで LLDP グローバル コンフィギュレーション コマンドと LLDP インターフェイス コンフィギュレーション コマンドを使用します。

表 18-13 に、デフォルトの LLDP 設定を示します。

 

表 18-13 デフォルトの LLDP 設定

機能
機能

LLDP グローバル ステート

無効

LLDP ホールドタイム(廃棄までの時間)

120 秒

LLDP タイマー(パケット更新頻度)

30 秒

LLDP 再初期化遅延

2 秒

LLDP tlv-select

有効(すべての TLV の送受信が可能)

LLDP インターフェイス ステート

有効

LLDP 受信

有効

LLDP 転送

有効

LLDP med-tlv-select

有効(すべての LLDP-MED TLV の送信が可能)

エンドポイントの 属性リスト には、lldpCacheCapabilities 属性と lldpCapabilitiesMapSupported 属性の 1 文字の値が表示されます。値は、cdp と lldp を実行するネットワーク アクセス デバイスに対して表示される機能コードです。

例 1

lldpCacheCapabilities S
lldpCapabilitiesMapSupported S

例 2

lldpCacheCapabilities B;T
lldpCapabilitiesMapSupported B;T

例 3

Switch#show cdp neighbors
Capability Codes:
R - Router, T - Trans Bridge, B - Source Route Bridge, S - Switch, H - Host, I - IGMP,
r - Repeater, P - Phone, D - Remote, C - CVTA, M - Two-port Mac Relay
...
Switch#
 
Switch#show lldp neighbors
Capability codes:
(R) Router, (B) Bridge, (T) Telephone, (C) DOCSIS Cable Device
(W) WLAN Access Point, (P) Repeater, (S) Station, (O) Other
...
Switch#
 

LLDP-MIB(v1)

詳細については、 LLDP-MIB (1) を参照してください。LLDP-MIB (v1) は、SNMP クエリーに対してサポートされている MIB の既存のリストに最近追加された MIB です。

ローカル属性は、LLDP 対応のローカル ネットワーク デバイスに対するポーリングの結果として SNMP クエリー時に一度収集されます。リモート属性は表形式で、ローカル ネットワーク デバイスに接続された各 LLDP 対応のリモート デバイスに対応しています。これらの属性は、MIB に対するポーリングの結果として SNMP クエリー時に収集されるか、トラップまたは RADIUS アカウンティング開始メッセージ(「start」値を持つ Acct-Status-Type 属性を含む RADIUS アカウンティング要求パケット)を介して通知を受信するときに収集されます。

Cisco ISE プロファイラは、エンドポイントの作成時に LLDP 対応のネットワーク デバイスのリモート属性をすべて読み取り、MIB データを使用してそれらをローカル属性に関連付けます。

たとえば、Cisco ISE は、エンドポイントの lldpRemSysName(リモート属性)を読み取るときにエンドポイントを作成し、そのシステム名属性を表す lldpLocSysName(ローカル属性)に関連付けます。

lldpLocalSystemData グループから収集されるローカル属性は次のとおりです。

lldpLocalSystemData グループ(1.0.8802.1.1.2.1.3):次を参照します。iso(1).std(0).iso8802(8802).ieee802dot1(1).ieee802dot1mibs(1).lldpMIB(2).lldpObjects(1).lldpLocalSystemData(3)

 

lldpLocSysCapSupported

1.0.8802.1.1.2.1.3.5.0

lldpLocSysCapEnabled

1.0.8802.1.1.2.1.3.6.0

LLDP 対応のリモート ネットワーク デバイスの属性を参照する lldpRemoteSystemsData グループから収集されるリモート属性は次のとおりです。

lldpRemoteSystemsData group(1.0.8802.1.1.2.1.4):次を参照します。iso(1). std(0). iso8802(8802). ieee802dot1(1). ieee802dot1mibs(1). lldpMIB(2). lldpObjects(1). lldpRemoteSystemsData(4) を参照します。std(0).iso8802(8802).ieee802dot1(1).ieee802dot1mibs(1).lldpMIB(2).lldpObjects(1).lldpRemoteSystemsData(4)

 

lldpRemPortId

1.0.8802.1.1.2.1.4.1.1.7

lldpRemPortDesc

1.0.8802.1.1.2.1.4.1.1.8

lldpRemSysName

1.0.8802.1.1.2.1.4.1.1.9

lldpRemSysDesc

1.0.8802.1.1.2.1.4.1.1.10

lldpRemSysCapSupported

1.0.8802.1.1.2.1.4.1.1.11

ldpRemSysCapEnabled

1.0.8802.1.1.2.1.4.1.1.12

SNMP トラップ プローブの設定

表 18-14 に、[ノードの編集(Edit Nodes)] ページで SNMP トラップ プローブの設定に使用できるフィールドを示します。

表 18-14 SNMP トラップの設定

フィールド
説明

[有効(Enable)] チェックボックス

ノードの SNMP トラップ プローブを有効にするには、[有効(Enable)] チェックボックスをオンにします。

ノードの SNMP トラップ プローブを無効にするには、[有効(Enable)] チェックボックスをオフにします。

[リンク トラップ クエリー(Link Trap Query)] チェックボックス

SNMP トラップを介して linkup 通知と linkdown 通知を受信し、解釈するには、[リンク トラップ クエリー(Link Trap Query)] チェックボックスをオンにします。

[MAC トラップ クエリー(MAC Trap Query)] チェックボックス

SNMP トラップを介して MAC 通知を受信し、解釈するには、[MAC トラップ クエリー(MAC Trap Query)] チェックボックスをオンにします。

インターフェイス(Interface)

ドロップダウン矢印をクリックしてインターフェイスを選択します。

ポート(Port)

ポート番号を入力します。

説明(Description)

SNMP トラップ プローブの説明。

SNMP トラップは、MAC 通知、linkup、linkdown、および informs をサポートする特定の NAD から情報を受信します。SNMP トラップを完全に機能させるには、SNMP クエリーも有効にする必要があります。SNMP トラップ プローブは、ポートが起動するかダウンし、エンドポイントがネットワークから切断されるかネットワークに接続すると、特定の NAD から情報を受信します。受信した情報だけでは、Cisco ISE にエンドポイントを作成できません。


) Cisco ISE では、ワイヤレス LAN コントローラ(WLC)とアクセス ポイント(AP)から受信した SNMP トラップはサポートされません。


Cisco ISE でサポートされている MIB の詳細については、「SNMP OID マッピング」を参照してください。

SNMP トラップを完全に機能させて Cisco ISE にエンドポイントを作成する必要がある場合は、トラップの受信時に SNMP クエリー プローブによって NAD の特定のポートに対してポーリング イベントがトリガーされるように、SNMP クエリーも有効にする必要があります。この機能を完全に動作させるには、NAD と SNMP トラップを設定する必要があります。

ネットワーク デバイスの設定の詳細については、「ネットワーク デバイスの管理」を参照してください。

NAD を設定するには、次の手順を実行します。


ステップ 1 [管理(Administration)] > [ネットワーク リソース(Network Resources)] > [ネットワーク デバイス(Network Devices)] を選択します。

ステップ 2 [追加(Add)] をクリックします。

ステップ 3 ネットワーク デバイスの名前を入力します。

ステップ 4 ネットワーク デバイスの説明を入力します。

ステップ 5 [SNMP 設定(SNMP Settings)] チェックボックスをオンにします。

ステップ 6 ドロップダウン リストから SNMP バージョン(必須フィールド)を選択します。

SNMP バージョン 1、2c、または 3 を選択できます。

ステップ 7 選択した SNMP バージョンにより、必要に応じて他の必須の SNMP 設定を行います。

ステップ 8 [ポーリング間隔(Polling interval)] フィールド(必須フィールド)に、SNMP ポーリング間隔を秒単位で入力します。

ステップ 9 [リンク トラップ クエリー(Link Trap Query)] チェックボックスをオンにします。

ステップ 10 [MAC トラップ クエリー(MAC Trap Query)] チェックボックスをオンにします。

ステップ 11 [送信(Submit)] をクリックします。


 

SNMP トラップを設定するには、次の手順を実行します。


ステップ 1 [管理(Administration)] > [システム(System)] > [展開(Deployment)] > [展開ノード(Deployment Nodes)] > [ノードの編集(Edit Node)] > [プロファイリング設定(Profiling Configuration)] を選択します。

ステップ 2 [リンク トラップ クエリー(Link Trap Query)] チェックボックスをオンにします。

ステップ 3 [MAC トラップ クエリー(MAC Trap Query)] チェックボックスをオンにします。

ステップ 4 ドロップダウン リストからインターフェイスを選択します。

たとえば、GigabitEthernet 0 を選択します。

ステップ 5 ポート番号を入力します。

たとえば 162 と入力します。

ステップ 6 SNMP トラップの説明を入力します。

たとえば、SNMP TRAP と入力します。

ステップ 7 [保存(Save)] をクリックします。


 

簡易ネットワーク管理プロトコル

簡易ネットワーク管理プロトコル(SNMP)は、ネットワーク デバイス間で管理情報をやり取りするためのアプリケーション層プロトコルです。伝送制御プロトコル/インターネット プロトコル(TCP/IP)プロトコル スイートの一部です。ほとんどの場合、ネットワークに接続したデバイスの管理上の注意が必要な状態をモニタするために、ネットワーク管理システム(NMS)で使用されます。

SNMP は、システム設定を表す変数の形式で管理対象デバイス上の管理データを公開します。これらの変数に対してクエリーを実行し、管理アプリケーションでこれらの変数を設定できることもあります。SNMP では、これらの変数のリモート変更による、設定の変更や新しい設定の適用などのアクティブ ネットワーク管理タスクを許可します。SNMP 経由でアクセス可能なこれらの変数は、すべてすべて階層構造に編成されています。これらの階層および他のメタデータ(変数のタイプや説明など)は、管理情報ベース(MIB)で記述されます。MIB は仮想データベースで、データベースは階層構造(ツリー構造)になっています。エントリは、オブジェクト ID(OID)を使用して指定されます。オブジェクト ID(OID)は、MIB 階層の管理対象オブジェクトを一意に識別します。管理対象オブジェクト(MIB オブジェクト、オブジェクト、または MIB と呼ばれることがある)は、管理対象デバイスの特性の 1 つです。管理対象オブジェクトは、1 つまたは複数のオブジェクト インスタンス(OID で識別される)で構成され、基本的に変数です。

詳細については、 RFC 1155 『Structure and Identification of Management Information for TCP/IP based internets』とそれに関連する 2 つの RFC、 RFC 1213 『Management Information Base for Network Management of TCP/IP-based internets』および RFC 1157 『A Simple Network Management Protocol』を参照してください。

エージェントから送信されたトラップがネットワーク管理システムで理解されるには、オブジェクト識別子(OID)で定義されている内容が、管理システムで把握されている必要があります。そのためには、そのトラップの MIB をロードしておく必要があります。そうすれば、適切な OID 情報が提供されて、ネットワーク管理システムに送信されたトラップが正しく理解されます。

1.3.6.1.2.1 は、MIB-2 で定義されている SNMP 変数の基本 OID、1.3.6.1.4.1 は IANA に登録された民間企業および IEEE 802.1X を管理するための IEEE8021-PAE-MIB: RFC IEEE 802.1X の基本 OID です。

Cisco ISE でサポートされている MIB の詳細については、「SNMP OID マッピング」を参照してください。

SNMP で管理されるネットワークは、管理対象デバイス、エージェント、およびネットワーク管理システム(NMS)という 3 つの主要コンポーネントで構成されています。

管理対象デバイスは SNMP インターフェイスを実装するネットワーク ノードで、ノード固有情報への単方向(読み取り専用)または双方向アクセスが可能です。管理対象デバイスでは、SNMP を使用して NMS とノード固有情報を交換します。これらの管理対象デバイスはネットワーク要素と呼ばれることがあり、ルータ、アクセス サーバ、スイッチ、ブリッジ、ハブ、IP 電話、IP ビデオ カメラ、コンピュータ ホスト、プリンタなどがあります。

エージェントは、管理対象デバイス上のネットワーク管理ソフトウェア モジュールです。エージェントには管理情報に関するローカルな知識があり、その情報を SNMP と互換性のある形式に変換します。

NMS では、管理対象デバイスをモニタおよび制御するアプリケーションが実行されます。ネットワーク管理に必要な大量の処理リソースやメモリ リソースが提供されます。どの管理対象ネットワークにも 1 つ以上の NMS が必要です。

SNMP OID マッピング

#IF-MIB
1.3.6.1.2.1.2.2.1.1=ifIndex
1.3.6.1.2.1.2.2.1.2=ifDescr
1.3.6.1.2.1.2.2.1.3=ifType
1.3.6.1.2.1.2.2.1.5=ifSpeed
1.3.6.1.2.1.2.2.1.6=ifPhysAddress
1.3.6.1.2.1.2.2.1.7=ifAdminStatus
1.3.6.1.2.1.2.2.1.8=ifOperStatus

#SNMPv2-MIB
1.3.6.1.2.1.1=system
1.3.6.1.2.1.1.1.0=sysDescr
1.3.6.1.2.1.1.2.0=sysObjectID
1.3.6.1.2.1.1.3.0=sysUpTime
1.3.6.1.2.1.1.4.0=sysContact
1.3.6.1.2.1.1.5.0=sysName
1.3.6.1.2.1.1.6.0=sysLocation
1.3.6.1.2.1.1.7.0=sysServices
1.3.6.1.2.1.1.8.0=sysORLastChange
1.3.6.1.2.1.1.9.0=sysORTable

#IP-MIB
1.3.6.1.2.1.4.20.1.2=ipAdEntIfIndex
1.3.6.1.2.1.4.20.1.3=ipAdEntNetMask
1.3.6.1.2.1.4.22.1.2=ipNetToMediaPhysAddress

#CISCO-CDP-MIB
1.3.6.1.4.1.9.9.23.1.2.1.1=cdpCacheEntry
1.3.6.1.4.1.9.9.23.1.2.1.1.1=cdpCacheIfIndex
1.3.6.1.4.1.9.9.23.1.2.1.1.2=cdpCacheDeviceIndex
1.3.6.1.4.1.9.9.23.1.2.1.1.3=cdpCacheAddressType
1.3.6.1.4.1.9.9.23.1.2.1.1.4=cdpCacheAddress
1.3.6.1.4.1.9.9.23.1.2.1.1.5=cdpCacheVersion
1.3.6.1.4.1.9.9.23.1.2.1.1.6=cdpCacheDeviceId
1.3.6.1.4.1.9.9.23.1.2.1.1.7=cdpCacheDevicePort
1.3.6.1.4.1.9.9.23.1.2.1.1.8=cdpCachePlatform
1.3.6.1.4.1.9.9.23.1.2.1.1.9=cdpCacheCapabilities
1.3.6.1.4.1.9.9.23.1.2.1.1.10=cdpCacheVTPMgmtDomain
1.3.6.1.4.1.9.9.23.1.2.1.1.11=cdpCacheNativeVLAN
1.3.6.1.4.1.9.9.23.1.2.1.1.12=cdpCacheDuplex
1.3.6.1.4.1.9.9.23.1.2.1.1.13=cdpCacheApplianceID
1.3.6.1.4.1.9.9.23.1.2.1.1.14=cdpCacheVlanID
1.3.6.1.4.1.9.9.23.1.2.1.1.15=cdpCachePowerConsumption
1.3.6.1.4.1.9.9.23.1.2.1.1.16=cdpCacheMTU
1.3.6.1.4.1.9.9.23.1.2.1.1.17=cdpCacheSysName
1.3.6.1.4.1.9.9.23.1.2.1.1.18=cdpCacheSysObjectID
1.3.6.1.4.1.9.9.23.1.2.1.1.19=cdpCachePrimaryMgmtAddrType
1.3.6.1.4.1.9.9.23.1.2.1.1.20=cdpCachePrimaryMgmtAddr
1.3.6.1.4.1.9.9.23.1.2.1.1.21=cdpCacheSecondaryMgmtAddrType
1.3.6.1.4.1.9.9.23.1.2.1.1.22=cdpCacheSecondaryMgmtAddr
1.3.6.1.4.1.9.9.23.1.2.1.1.23=cdpCachePhysLocation
1.3.6.1.4.1.9.9.23.1.2.1.1.24=cdpCacheLastChange

# CISCO-VTP-MIB
1.3.6.1.4.1.9.9.46.1.3.1.1.18.1=vtpVlanIfIndex
1.3.6.1.4.1.9.9.46.1.3.1.1.4.1=vtpVlanName
1.3.6.1.4.1.9.9.46.1.3.1.1.2.1=vtpVlanState

# CISCO-STACK-MIB
1.3.6.1.4.1.9.5.1.4.1.1.11=portIfIndex
1.3.6.1.4.1.9.5.1.9.3.1.3.1=vlanPortVlan

# BRIDGE-MIB
1.3.6.1.2.1.17.4.3.1.2=dot1dTpFdbPort
1.3.6.1.2.1.17.1.4.1.2=dot1dBasePortIfIndex

# OLD-CISCO-INTERFACE-MIB
1.3.6.1.4.1.9.2.2.1.1.20=locIfReason

# CISCO-LWAPP-AP-MIB
1.3.6.1.4.1.9.9.513.1.1.1=cLApEntry
1.3.6.1.4.1.9.9.513.1.1.1.1.1=cLApSysMacAddress
1.3.6.1.4.1.9.9.513.1.1.1.1.2=cLApIfMacAddress
1.3.6.1.4.1.9.9.513.1.1.1.1.3=cLApMaxNumberOfDot11Slots
1.3.6.1.4.1.9.9.513.1.1.1.1.4=cLApEntPhysicalIndex
1.3.6.1.4.1.9.9.513.1.1.1.1.5=cLApName
1.3.6.1.4.1.9.9.513.1.1.1.1.6=cLApUpTime
1.3.6.1.4.1.9.9.513.1.1.1.1.7=cLLwappUpTime
1.3.6.1.4.1.9.9.513.1.1.1.1.8=cLLwappJoinTakenTime
1.3.6.1.4.1.9.9.513.1.1.1.1.9=cLApMaxNumberOfEthernetSlots
1.3.6.1.4.1.9.9.513.1.1.1.1.10=cLApPrimaryControllerAddressType
1.3.6.1.4.1.9.9.513.1.1.1.1.11=cLApPrimaryControllerAddress
1.3.6.1.4.1.9.9.513.1.1.1.1.12=cLApSecondaryControllerAddressType
1.3.6.1.4.1.9.9.513.1.1.1.1.13=cLApSecondaryControllerAddress
1.3.6.1.4.1.9.9.513.1.1.1.1.14=cLApTertiaryControllerAddressType
1.3.6.1.4.1.9.9.513.1.1.1.1.15=cLApTertiaryControllerAddress
1.3.6.1.4.1.9.9.513.1.1.1.1.16=cLApLastRebootReason
1.3.6.1.4.1.9.9.513.1.1.1.1.17=cLApEncryptionEnable
1.3.6.1.4.1.9.9.513.1.1.1.1.18=cLApFailoverPriority
1.3.6.1.4.1.9.9.513.1.1.1.1.19=cLApPowerStatus
1.3.6.1.4.1.9.9.513.1.1.1.1.20=cLApTelnetEnable
1.3.6.1.4.1.9.9.513.1.1.1.1.21=cLApSshEnable
1.3.6.1.4.1.9.9.513.1.1.1.1.22=cLApPreStdStateEnabled
1.3.6.1.4.1.9.9.513.1.1.1.1.23=cLApPwrInjectorStateEnabled
1.3.6.1.4.1.9.9.513.1.1.1.1.24=cLApPwrInjectorSelection
1.3.6.1.4.1.9.9.513.1.1.1.1.25=cLApPwrInjectorSwMacAddr
1.3.6.1.4.1.9.9.513.1.1.1.1.26=cLApWipsEnable
1.3.6.1.4.1.9.9.513.1.1.1.1.27=cLApMonitorModeOptimization
1.3.6.1.4.1.9.9.513.1.1.1.1.28=cLApDomainName
1.3.6.1.4.1.9.9.513.1.1.1.1.29=cLApNameServerAddressType
1.3.6.1.4.1.9.9.513.1.1.1.1.30=cLApNameServerAddress
1.3.6.1.4.1.9.9.513.1.1.1.1.31=cLApAMSDUEnable
1.3.6.1.4.1.9.9.513.1.1.1.1.32=cLApEncryptionSupported
1.3.6.1.4.1.9.9.513.1.1.1.1.33=cLApRogueDetectionEnabled

# CISCO-LWAPP-DOT11-CLIENT-MIB
1.3.6.1.4.1.9.9.599.1.3.1.1=cldcClientEntry
1.3.6.1.4.1.9.9.599.1.3.1.1.1=cldcClientMacAddress
1.3.6.1.4.1.9.9.599.1.3.1.1.2=cldcClientStatus
1.3.6.1.4.1.9.9.599.1.3.1.1.3=cldcClientWlanProfileName
1.3.6.1.4.1.9.9.599.1.3.1.1.4=cldcClientWgbStatus
1.3.6.1.4.1.9.9.599.1.3.1.1.5=cldcClientWgbMacAddress
1.3.6.1.4.1.9.9.599.1.3.1.1.6=cldcClientProtocol
1.3.6.1.4.1.9.9.599.1.3.1.1.7=cldcAssociationMode
1.3.6.1.4.1.9.9.599.1.3.1.1.8=cldcApMacAddress
1.3.6.1.4.1.9.9.599.1.3.1.1.9=cldcIfType
1.3.6.1.4.1.9.9.599.1.3.1.1.10=cldcClientIPAddress
1.3.6.1.4.1.9.9.599.1.3.1.1.11=cldcClientNacState
1.3.6.1.4.1.9.9.599.1.3.1.1.12=cldcClientQuarantineVLAN
1.3.6.1.4.1.9.9.599.1.3.1.1.13=cldcClientAccessVLAN
1.3.6.1.4.1.9.9.599.1.3.1.1.14=cldcClientLoginTime
1.3.6.1.4.1.9.9.599.1.3.1.1.15=cldcClientUpTime
1.3.6.1.4.1.9.9.599.1.3.1.1.16=cldcClientPowerSaveMode
1.3.6.1.4.1.9.9.599.1.3.1.1.17=cldcClientCurrentTxRateSet
1.3.6.1.4.1.9.9.599.1.3.1.1.18=cldcClientDataRateSet

# CISCO-AUTH-FRAMEWORK-MIB
1.3.6.1.4.1.9.9.656.1.2.1.1=cafPortConfigEntry
1.3.6.1.4.1.9.9.656.1.4.1.1.2=cafSessionClientMacAddress
1.3.6.1.4.1.9.9.656.1.4.1.1.5=cafSessionStatus
1.3.6.1.4.1.9.9.656.1.4.1.1.6=cafSessionDomain
1.3.6.1.4.1.9.9.656.1.4.1.1.10=cafSessionAuthUserName
1.3.6.1.4.1.9.9.656.1.4.1.1.12=cafSessionAuthorizedBy
1.3.6.1.4.1.9.9.656.1.4.1.1.14=cafSessionAuthVlan

# EEE8021-PAE-MIB: RFC IEEE 802.1X
1.0.8802.1.1.1.1.2.1.1.5=dot1xAuthAuthControlledPortStatus
1.0.8802.1.1.1.1.2.1.1.6=dot1xAuthAuthControlledPortControl
1.0.8802.1.1.1.1.2.4.1.9=dot1xAuthSessionUserName

SNMP バージョン 1(PDU)

SNMP バージョン 1(SNMPv1)は、SNMP プロトコルの最初の実装です。SNMPv1 はユーザ データグラム プロトコル(UDP)、インターネット プロトコル(IP)、OSI コネクションレス型ネットワーク サービス(CLNS)、AppleTalk Datagram-Delivery Protocol(DDP)、Novell Internet Packet Exchange(IPX)などのプロトコル上で動作します。インターネット コミュニティで幅広く使用されているネットワーク管理プロトコルです。

SNMPv1 では、次の 5 つのコア プロトコル データ ユニット(PDU)が規定されています。

GetRequest:マネージャからエージェントへの要求で、変数の値または変数のリストを取得するために使用されます。変数の現在の値を含む応答が返されます。

SetRequest:マネージャからエージェントへの要求で、変数の値または変数のリストを変更するために使用されます。変数の(現在の)新しい値を含む応答が返されます。

GetNextRequest:マネージャからエージェントへの要求で、使用可能な変数とその値を検出するために使用されます。MIB 内の次の変数の変数バインドを含む応答が返されます。エージェントの MIB 全体は、OID 0 から始めて GetNextRequest を反復的に適用することでウォークできます。テーブルの行は、要求の変数バインドでカラム OID を指定して読み取ることができます。

Response:変数バインドと、GetRequest、SetRequest、GetNextRequest、GetBulkRequest、および InformRequest に対するエージェントからマネージャへの確認応答を返します。GetRequest および SetRequest の両方の PDU に対する応答として使用されますが、SNMPv1 ではこの PDU は GetResponse とも呼ばれます。

Trap:エージェントからマネージャに送信される非同期通知。トラップ メッセージの形式は SNMPv2 で変更され、この PDU は SNMPv2-Trap に名前が変更されています。

SNMP バージョン 2c の PDU

SNMP バージョン 2(SNMPv2)は初期バージョン SNMPv1 が進化したもので、パフォーマンス、セキュリティ、機密性、およびマネージャ間の通信に改良が加えられています。大量の管理データを 1 回の要求で取得できるように、SNMP v1 の反復的な GetNextRequest の代わりに GetBulkRequest を導入しています。コミュニティ ベースの簡易ネットワーク管理プロトコル バージョン 2(SNMP v2c)は SNMP v2 で構成され、SNMPv1 の単純なコミュニティ ベースのセキュリティ スキームを使用します。

SNMPv2 ではさらに 2 つの PDU、GetBulkRequest と InformRequest が追加され、SNMPv3 に継承されます。

GetBulkRequest:SNMPv2 で導入されました。GetNextRequest を最適化したバージョンで、GetNextRequest を複数回反復するためのマネージャからエージェントへの要求です。要求内の変数バインドからウォークされる複数の変数バインドを含む応答を返します。

InformRequest:SNMPv2 で導入されました。マネージャ間要求からの確認応答された非同期通知です。この PDU では、SNMPv2 バージョンの Trap(SNMPv2-Trap)と同じ形式が使用されます。マネージャ間通知はすでに(Trap を使用して)SNMPv1 で可能ですが、一般に SNMP プロトコルは配信が保証されない UDP 上で動作し、ドロップされたパケットは報告されないため、Trap の配信は保証されません。InformRequest では、受信時に確認応答を返送することでこれを修正し、受信者は InformRequest のすべての情報を繰り返して Response で応答します。

SNMP バージョン 3

SNMPv3 ではプロトコルに変更は加えられていませんが、主にセキュリティが強化され、SNMP のリモート設定が拡張されました。

SNMPv3 は、次の重要なセキュリティ機能を備えています。

機密性:パケットの暗号化により、不正な送信元によるスヌーピングを防止します。

整合性:オプションのパケット リプレイ保護メカニズムなど、メッセージ整合性により、パケットが送信中に改ざんされていないことを保証します。

認証:メッセージの送信元が有効かどうかを検証します。

エンドポイント プロファイリング ポリシー

Cisco ISE のエンドポイント プロファイリング ポリシーを使用すると、ネットワーク上で検出されたエンドポイントを分類し、特定のエンドポイント ID グループに割り当てることができます。Cisco ISE では、デフォルトで 3 つの ID グループが作成され、さらにシステム内の Cisco IP Phone とワークステーションに固有の 2 つの ID グループが作成されます。エンドポイントを動的または静的に割り当てることができる独自の ID グループを作成することもできます。プロファイリング ポリシーは階層構造になっており、エンドポイント ID グループ レベルで適用されます。エンドポイントをエンドポイント ID グループにグループ化し、プロファイリング ポリシーを ID グループに適用すると、対応するエンドポイント プロファイリング ポリシーを確認してエンドポイント プロファイルへのエンドポイントのマッピングを決定できます。

エンドポイント プロファイリング ポリシーには、単一の条件、または論理的に結合された複数の単一条件の組み合わせを含めることができます。これらの条件と照合してエンドポイントの分類およびグループ化を行うことができます。Cisco ISE では、評価されたポリシーではなくエンドポイントに選択されたポリシーが考慮されます。これは、システム内のエンドポイントのプロファイリングのために、プロファイリング ポリシーに定義されているプロファイリング条件が満たされたときに一致するポリシーです。

エンドポイント プロファイリング ポリシーのルールが一致した場合、プロファイリング ポリシーおよび一致するポリシーは、ネットワーク上で動的に検出されるエンドポイントで同じです。各ルールの確実度メトリックは、エンドポイント プロファイルからエンドポイント カテゴリを決定するための全体的な照合の計算に使用されます。すべての有効なルールの確実度係数が合計され、各係数はエンドポイント プロファイリング ポリシーに定義されている最小の確実度係数を超えている必要があります。ここで、そのエンドポイントのスタティック割り当てのステータスがシステムで false に設定されます。ただし、エンドポイントの編集時にスタティック割り当て機能を使用して、システム内の既存のプロファイリング ポリシーに静的に再割り当てした後は、true に設定されることがあります。

エンドポイント プロファイリング ポリシーの各ルールには、確実度メトリック(整数値)が関連付けられています。確実度メトリックは、エンドポイント プロファイリング ポリシーのすべての有効なルールに対して追加される尺度です。ルールに例外アクションまたはネットワーク スキャン アクションを関連付けることもできます。例外アクションまたはネットワーク スキャン アクションは、エンドポイントの全体の分類に関してプロファイリング ポリシーを評価するときに、設定可能なアクションをトリガーするために使用されます。

一致 ID グループの作成(Create a Matching Identity Group)

このオプションを使用すると、エンドポイントの一致 ID グループを作成できます。このグループは、エンドポイント プロファイルが既存のプロファイルに一致する場合にプロファイリングされた ID グループの子になります。

階層の使用(Use Hierarchy)

このオプションを使用すると、エンドポイント プロファイリング ポリシー階層を利用して、エンドポイントをいずれかの一致する親エンドポイント ID グループ、関連付けられたエンドポイント ID グループ、さらに親エンドポイント ID グループに割り当てることができます。Cisco-IP-Phone および Workstation エンドポイント ID グループは、システム内のプロファイリングされたエンドポイント ID グループに関連付けられます。

ポリシー有効(Policy Enabled)

このオプションを使用すると、エンドポイントのプロファイリング時に一致プロファイリング ポリシーを関連付けることができます。

最小確実度係数(Minimum Certainty Factor)

各ポリシーには、最小の確実度メトリック(整数値)が関連付けられています。

例外アクション(Exception Action)

このオプションを使用すると、エンドポイント プロファイリング ポリシーが一致し、少なくとも 1 つの例外ルールが一致するときに、エンドポイント プロファイリング ポリシーに関連付けられている例外アクション(単一の設定可能なアクション)をトリガーできます。

ネットワーク スキャン(NMAP)アクション(Network Scan (NMAP) Action)

このオプションを使用すると、エンドポイント プロファイリング ポリシーが一致し、少なくとも 1 つのネットワーク スキャン アクション ルールが一致するときに、エンドポイント プロファイリング ポリシーに関連付けられているネットワーク スキャン アクション(単一の設定可能なアクション)をトリガーできます。

ルールに定義されているネットワーク スキャン アクションをトリガーするには、[管理(Administration)] > [システム(System)] > [展開(Deployment)] > [ノードの編集(Edit Node)] > [プロファイリング設定(Profiling Configuration)] でネットワーク スキャン(NMAP)プローブを有効にする必要があります。

親ポリシー(Parent Policy)

このオプションを使用すると、子に条件を継承できるエンドポイント プロファイリング ポリシーを選択できます。

前提条件:

Cisco ISE でエンドポイント プロファイリング ポリシーの設定を開始する前に、エンドポイント プロファイリング ポリシーに関する基礎を理解しておく必要があります。次のことを確認してください。

「エンドポイント プロファイリング階層」

「不明プロファイル」

「静的に追加されたエンドポイントのプロファイリング」

「スタティック IP デバイスのプロファイリング」

エンドポイント プロファイリング階層

エンドポイント プロファイリング ポリシーは階層構造になっており、ルール(1 つ以上の条件)を親プロファイリング ポリシーから子に継承できます。デバイスの一般的なポリシーを作成し、条件をその子プロファイリング ポリシーに継承できます。エンドポイントを分類する必要がある場合は、まずエンドポイント プロファイルを親およびその子孫(子)ポリシーと照合する必要があります。

たとえば、エンドポイントを Cisco-IP-Phone 7960 として分類する必要がある場合は、まずこのエンドポイントのエンドポイント プロファイルを親の Cisco-Device ポリシー、その子の Cisco-IP-Phone ポリシーと照合する必要があり、その後さらに分類するために Cisco-IP-Phone 7960 プロファイリング ポリシーと照合します。

不明プロファイル

不明プロファイルは、エンドポイントに割り当てられるデフォルトのシステム プロファイルで、そのエンドポイントについて収集された属性は Cisco ISE の既存のプロファイルと一致しません。エンドポイントが Cisco ISE で動的に検出され、そのエンドポイントに一致するエンドポイント プロファイリング ポリシーがない場合、エンドポイントは不明プロファイルに割り当てられます。静的に追加されたエンドポイントに一致するエンドポイント プロファイリング ポリシーがない場合は、不明プロファイルをエンドポイントに割り当てて、後でそのプロファイルを変更できます。

静的に追加されたエンドポイントのプロファイリング

ネットワークに静的に追加されたエンドポイントがある場合、そのエンドポイントは Cisco ISE のプロファイリング サービスによってプロファイリングされません。静的に追加されたエンドポイントをプロファイリングするために、プロファイリング サービスは、新しい MATCHEDPROFILE 属性をエンドポイントに追加することによって、エンドポイントのプロファイルを計算します。計算されたプロファイルは、動的に割り当てられるときのエンドポイントの実際のプロファイルです。これにより、計算されたプロファイルと動的に割り当てられるときのそのエンドポイントのエンドポイント プロファイルを併用することで、静的に追加されたエンドポイントのプロファイリングにおける不一致を見つけることができます。

静的に追加されたエンドポイントのエンドポイント プロファイリング ポリシーが変更されることはありません。静的に割り当てられたエンドポイントの場合、プロファイリング サービスは MATCHEDPROFILE を計算します。動的に割り当てられたすべてのエンドポイントの場合、MATCHEDPROFILE はエンドポイント プロファイルと同じです。

スタティック IP デバイスのプロファイリング

静的に割り当てられた IP アドレスを持つエンドポイントがある場合、そのスタティック IP デバイスのプロファイルを作成できます。RADIUS プローブまたは SNMP クエリー プローブと SNMP トラップ プローブが有効になっている場合は、エンドポイントをプロファイリングできます。

関連項目:

「許可ポリシーおよびプロファイルの管理」「DACL の設定」の項

エンドポイント プロファイリング ポリシーのフィルタリング、作成、編集、複製、インポート、およびエクスポート

ここでは、[エンドポイント ポリシー(Endpoint Policies)] ページからエンドポイント プロファイリング ポリシーを管理できる基本操作について説明します。

[エンドポイント ポリシー(Endpoint Policies)] ページでは、エンドポイント プロファイリング ポリシーを管理でき、プロファイリング ポリシーを名前や説明でフィルタリングするためのオプションを使用できます。このページには、Apple デバイス、ノートブック、ワークステーション、プリンタ、アクセス ポイント、スマートフォン、およびゲーム機用に事前定義されたポリシー(デフォルト ポリシー)のリストが表示されます。

エンドポイント プロファイリング ポリシーを管理するための手順には、次の作業が含まれます。

「エンドポイント ポリシーのフィルタリング」

「エンドポイント プロファイリング ポリシーの作成」

「エンドポイント プロファイリング ポリシーの編集」

「エンドポイント プロファイリング ポリシーの削除」

「エンドポイント プロファイリング ポリシーの複製」

「エンドポイント プロファイリング ポリシーのエクスポート」

「エンドポイント プロファイリング ポリシーのインポート」

エンドポイント ポリシーのフィルタリング

[エンドポイント ポリシー(Endpoint Policies)] ページで [表示(Show)] ドロップダウン リストを使用するか [フィルタ(Filter)] アイコンをクリックして、クイック フィルタを呼び出したり、閉じたりすることができます。クイック フィルタは、[エンドポイント ポリシー(Endpoint Policies)] ページでエンドポイント プロファイリング ポリシーをフィルタリングするために使用できる簡単なフィルタです。クイック フィルタを使用すると、プロファイリング ポリシーが [エンドポイント ポリシー(Endpoint Policies)] ページのエンドポイント ポリシーの名前や説明などのフィールド説明に基づいてフィルタリングされます。

[表示(Show)] ドロップダウン リストを使用して、拡張フィルタを呼び出すことができます。拡張フィルタは複雑なフィルタであり、[エンドポイント ポリシー(Endpoint Policies)] ページで結果とともに、後で使用したり取得したりするためにプリセットしておくことができます。拡張フィルタを使用すると、プロファイリング ポリシーがフィールド説明に関連付けられた特定の値に基づいてフィルタリングされます。フィルタを追加または削除したり、一連のフィルタを組み合わせて 1 つの拡張フィルタにしたりすることができます。

プリセット フィルタを管理するには、[プリセット フィルタの管理(Manage Preset Filters)] オプションを使用します。このオプションを選択すると、すべてのプリセット フィルタが一覧表示されます。プリセット フィルタにはセッション ライフタイムがあり、この間、[エンドポイント ポリシー(Endpoint Policies)] ページにフィルタリングされた結果が表示されます。プリセット フィルタを作成して保存したら、リストからプリセット フィルタを選択できます。プリセット フィルタを編集することも、プリセット フィルタ リストから削除することもできます。

エンドポイント プロファイリング ポリシーをフィルタリングするには、次の手順を実行します。


ステップ 1 [ポリシー(Policy)] > [プロファイリング(Profiling)] > [プロファイリング ポリシー(Profiling Policies)] を選択します。

[エンドポイント ポリシー(Endpoint Policies)] ページに、事前定義されたすべてのプロファイリング ポリシーが表示されます。

ステップ 2 [エンドポイント ポリシー(Endpoint Policies)] ページの [表示(Show)] ドロップダウン リストをクリックしてフィルタ オプションを選択します。

ここでは、クイック フィルタ、フィルタリング用の拡張フィルタ、[プリセット フィルタの管理(Manage Preset Filters)] オプション(フィルタリング用のプリセット フィルタを管理できる)を選択できます。 表 18-15 を参照してください。

詳細については、「クイック フィルタ オプションを使用してフィルタリングするには、次の手順を実行します。」および「拡張フィルタ オプションを使用してフィルタリングするには、次の手順を実行します。」を参照してください。


) プロファイリング ポリシー リストに戻るには、[表示(Show)] ドロップダウン リストから [すべて(All)] を選択します。フィルタリングなしですべてのプロファイリング ポリシーが表示されます。



 

クイック フィルタ オプションを使用してフィルタリングするには、次の手順を実行します。

クイック フィルタを使用すると、プロファイリング ポリシーが [エンドポイント ポリシー(Endpoint Policies)] ページの各フィールド説明に基づいてフィルタリングされます。いずれかのフィールドの内部をクリックし、フィールドに検索条件を入力すると、ページが更新されて結果が [エンドポイント ポリシー(Endpoint Policies)] ページに表示されます。フィールドをクリアすると、[エンドポイント ポリシー(Endpoint Policies)] ページにすべてのプロファイリング ポリシーのリストが表示されます。


ステップ 1 フィルタリングするには、各フィールドで [実行(Go)] をクリックします。ページが更新されて結果が [エンドポイント ポリシー(Endpoints Policies)] ページに表示されます。

ステップ 2 フィールドをクリアするには、各フィールドで [クリア(Clear)] をクリックします。


 

拡張フィルタ オプションを使用してフィルタリングするには、次の手順を実行します。

拡張フィルタでは、より複雑な変数を使用してプロファイリング ポリシーをフィルタリングできます。フィールド説明に一致する値に基づいてプロファイリング ポリシーをフィルタリングする 1 つ以上のフィルタが含まれています。1 行に 1 つのフィルタの場合、プロファイリング ポリシーは各フィールド説明とフィルタに定義した値に基づいてフィルタリングされます。複数のフィルタを使用して値を照合し、プロファイリング ポリシーのフィルタリングを行うには、1 つの拡張フィルタ内のフィルタのいずれかまたはすべてを使用します。


ステップ 1 フィールドの説明を選択するには、ドロップダウン矢印をクリックします。

ステップ 2 演算子を選択するには、ドロップダウン矢印をクリックします。

ステップ 3 選択したフィールドの説明の値を入力します。

ステップ 4 フィルタを追加するには [行の追加(Add Row)](プラス [+] 記号)をクリックし、フィルタを削除するには [行の削除(Remove Row)](マイナス [-] 記号)をクリックします。

ステップ 5 各フィルタの値に一致させるには [すべて(All)] をクリックし、いずれか 1 つのフィルタの値に一致させるには [任意(Any)] をクリックします。

ステップ 6 [実行(Go)] をクリックしてフィルタリングを開始します。

ステップ 7 [保存(Save)] アイコンをクリックしてフィルタを保存します。

[プリセット フィルタの保存(Save a Preset Filter)] ダイアログが表示されます。フィルタを保存するファイル名を入力し、[保存(Save)] をクリックするか、[キャンセル(Cancel)] をクリックしてフィルタをクリアします。 作成するプリセット フィルタの名前にはスペースは使用できません。 現在のフィルタを保存しないでフィルタをクリアするには、[キャンセル(Cancel)] をクリックします。

ステップ 8 フィルタリングを行った後に [フィルタのクリア(Clear Filter)] をクリックします。


 

表 18-15 に、[エンドポイント ポリシー(Endpoint Policies)] ページでエンドポイント プロファイリング ポリシーのフィルタリングに使用できるフィールドを示します。

表 18-15 エンドポイント プロファイリング ポリシーのフィルタリング

フィルタリング方法
フィルタリング フィールド
フィルタリング フィールドの説明

クイック フィルタ

エンドポイント ポリシー名(Endpoint Policy Name)

このフィールドを使用すると、エンドポイント プロファイリング ポリシーの名前でエンドポイント プロファイリング ポリシーをフィルタリングできます。

ポリシー有効(Policy Enabled)

このフィールドを使用すると、一致するプロファイリング ポリシーとの関連付けでエンドポイント プロファイリング ポリシーをフィルタリングできます。

説明(Description)

このフィールドを使用すると、エンドポイント プロファイリング ポリシーの説明でエンドポイント プロファイリング ポリシーをフィルタリングできます。

拡張フィルタ

次の中からフィールドの説明を選択します。

エンドポイント ポリシー名(Endpoint Policy Name)

ポリシー有効(Policy Enabled)

説明(Description)

ドロップダウン矢印をクリックしてフィールドの説明を選択します。

演算子(Operator)

[演算子(Operator)] フィールドのドロップダウン矢印をクリックして、エンドポイント プロファイリング ポリシーのフィルタリングに使用できる演算子を選択します。

値(Value)

[値(Value)] フィールドで、選択したフィールド説明の値を選択します。この値に基づいてエンドポイント プロファイリング ポリシーがフィルタリングされます。

トラブルシューティング項目

「Cisco ISE Profiler がエンドポイントのデータを収集できない」

「プロファイリングされたエンドポイントで認証を実行できない」

エンドポイント プロファイリング ポリシーの作成

[エンドポイント ポリシー(Endpoint Policies)] ページでは、新しいエンドポイント プロファイリング ポリシーを既存のデフォルト プロファイルに追加できます。デフォルト プロファイルは Cisco ISE に事前定義されており、展開時にインストールされます。エンドポイント プロファイリング ポリシーは階層構造になっているため、[エンドポイント ポリシー(Endpoint Policies)] ページには、Apple、Cisco、Aruba、Avaya、HP などのデバイスの一般的な(親)ポリシーおよびこのページで親ポリシーが関連付けられている子ポリシーのリストが表示されます。すべての Android スマートフォンや BlackBerry スマートフォンのポリシーもこのページで使用でき、一連のデバイスが含まれます。


注意 [エンドポイント ポリシー(Endpoint Policies)] ページでエンドポイント プロファイリング ポリシーを作成する場合は、Web ブラウザの停止ボタンを使用しないでください。この操作により、Cisco ISE の [新規プロファイラ ポリシー(New profiler Policy)] ページのロードが停止します。Cisco ISE では、アクセス時に他のリスト ページとそのリスト ページ内のメニューもロードされます。ただし、リスト ページ内では、[フィルタ(Filter)] メニューを除くすべてのメニューで操作を実行できません。リスト ページ内ですべてのメニューの操作を実行するには、Cisco ISE からログアウトし、再度ログインする必要があります。

[エンドポイント ポリシー(Endpoint Policies)] ページでプロファイリング ポリシーを作成するには、次の手順を実行します。


ステップ 1 [ポリシー(Policy)] > [プロファイリング(Profiling)] > [プロファイリング ポリシー(Profiling Policies)] を選択します。

[エンドポイント ポリシー(Endpoint Policies)] ページが表示されます。

ステップ 2 [エンドポイント ポリシー(Endpoint Policies)] ページで [作成(Create)] を選択します。

表 18-16 に示すように、[新規プロファイラ ポリシー(New Profiler Policy)] ページの値を変更します。

ステップ 3 [送信(Submit)] をクリックします。

作成したプロファイリング ポリシーが [エンドポイント ポリシー(Endpoint Policies)] ページに表示されます。

ステップ 4 [新規プロファイラ ポリシー(New Profiler Policy)] ページで [プロファイラ ポリシー リスト(Profiler Policy List)] リンクをクリックして、[エンドポイント ポリシー(Endpoint Policies)] ページに戻ります。


 

表 18-16 に、エンドポイント プロファイリング ポリシーの作成に使用できる [エンドポイント ポリシー(Endpoint Policies)] ページのフィールドを示します。

 

表 18-16 エンドポイント プロファイリング ポリシーの作成

フィールド名
説明

名前(Name)

[名前(Name)] フィールドに、作成するエンドポイント プロファイリング ポリシーの名前を入力します。

説明(Description)

[説明(Description)] フィールドに、作成するエンドポイント プロファイリング ポリシーの説明を入力します。

ポリシー有効(Policy Enabled)

一致するプロファイリング ポリシーを関連付けるには、[ポリシー有効(Policy Enabled)] チェックボックスをオンにします。

最小確実度係数(Minimum Certainty Factor)

プロファイリング ポリシーに関連付ける最小値を入力します。

例外アクション(Exception Action)

例外アクションをプロファイリング ポリシーに関連付けるには、ドロップダウン矢印をクリックして、すでに定義されている例外アクションを表示します。

例外アクションを選択します。

ネットワーク スキャン(NMAP)アクション(Network Scan (NMAP) Action)

ネットワーク スキャン アクションをプロファイリング ポリシーに関連付けるには、ドロップダウン矢印をクリックして、すでに定義されているネットワーク スキャン アクションを表示します。

ネットワーク スキャン アクションを選択します。

一致する ID グループの作成(Create matching identity group)

このオプションをオンにすると、エンドポイント プロファイルが既存のプロファイルに一致する場合に、プロファイリングされた ID グループの子として一致する ID グループが作成されます。

たとえば、ネットワーク上で検出されたエンドポイントが Xerox-Device プロファイルに一致する場合は、[エンドポイント ID グループ(Endpoint Identity Groups)] ページで Xerox-Device エンドポイント ID グループが作成されます。

一致する ID グループを作成するには、[一致する ID グループの作成(Create matching identity group)] チェックボックスをオンにします。

階層の使用(Use Hierarchy)

このオプションをオンにすると、エンドポイント プロファイリング ポリシー階層を利用して、エンドポイントをいずれかの一致する親エンドポイント ID グループ、関連付けられたエンドポイント ID グループ、さらに親 ID グループに割り当てることができます。

たとえば、既存のプロファイルに一致するエンドポイントは、適切な親エンドポイント ID グループの下にグループ化されます。ここで、不明プロファイルに一致するエンドポイントは、[不明(Unknown)] の下にグループ化され、既存のプロファイルに一致するエンドポイントは、プロファイリングされたエンドポイント ID グループの下にグループ化されます。エンドポイントが Cisco-IP-Phone プロファイルに一致する場合は Cisco-IP-Phone の下にグループ化され、Workstation プロファイルに一致するエンドポイントは Workstation エンドポイント ID グループの下にグループ化されます。Cisco-IP-Phone および Workstation は、システム内のプロファイリングされたエンドポイント ID グループに関連付けられます。

エンドポイントを一致する親エンドポイント ID グループに割り当てるには、[階層の使用(Use Hierarchy)] チェックボックスをオンにします。

親ポリシー(Parent Policy)

[親ポリシー(Parent Policy)] フィールドでドロップダウン矢印をクリックして、システムに存在する親ポリシーを表示します。

新しいプロファイリング ポリシーに関連付ける親ポリシーを選択します。

ルール(Rules)

ルールを定義するには、ライブラリから 1 つ以上のプロファイリング条件を選択し、各条件の確実度係数の整数値を関連付けるか、エンドポイントの全体の分類のためにその条件の例外アクションまたはネットワーク スキャン アクションを関連付けます。

If 条件(If Condition)

[条件(Conditions)] フィールドから 1 つ以上の条件を選択します。

ここで、[保存(Save)] アイコン ボタンを使用して、作成したすべての条件をライブラリに保存できます。

(注) 複数の条件を選択してエンドポイント プロファイリング ポリシーを定義する場合、条件はデフォルトで AND 演算子を使用して論理的に結合されます。

条件(Conditions)

[既存の条件をライブラリから選択(Select Existing Condition from Library)] オプションまたは [新しい条件の作成(Create New Condition)] オプションを選択します。

既存の条件をライブラリから選択(Select Existing Condition from Library)

事前定義された条件をポリシー要素ライブラリから選択して、式を定義できます。

[操作(Action)] アイコンをクリックして次の操作を実行します。

属性/値の追加(Add Attribute/Value)

条件をライブラリから追加(Add Condition from Library)

削除(Delete)

ここでは、AND または OR 演算子を使用できます。

以降の手順で、事前定義ではない属性/値ペアを式に追加できます。

[操作(Action)] アイコンをクリックして次の操作を実行します。

属性/値の追加(Add Attribute/Value)

条件をライブラリから追加(Add Condition from Library)

複製(Duplicate)

条件をライブラリに追加(Add Condition to Library)

削除(Delete)

新しい条件の作成(高度なオプション)(Create New Condition (Advance Option))

システム定義またはユーザ定義のさまざまなディクショナリから属性を選択して式を定義することができます。

[操作(Action)] アイコンをクリックして次の操作を実行します。

属性/値の追加(Add Attribute/Value)

条件をライブラリから追加(Add Condition from Library)

複製(Duplicate)

条件をライブラリに追加(Add Condition to Library)

削除(Delete)

ここでは、AND または OR 演算子を使用できます。

以降の手順で、事前定義済みの条件をポリシー要素ライブラリから追加できます。

[操作(Action)] アイコンをクリックして次の操作を実行します。

属性/値の追加(Add Attribute/Value)

条件をライブラリから追加(Add Condition from Library)

削除(Delete)

実行されるアクション(Then)

ドロップダウン矢印をクリックして、プロファイリング条件に関連付ける次のいずれかの事前定義された設定を選択します。

確実度係数が増加(Certainty Factor Increases)

例外アクションを実行(Take Exception Action)

ネットワーク スキャン アクションを実行(Take Network Scan Action)

値(Value)

[確実度係数が増加(Certainty Factor Increases)] オプションを選択した場合は、全体の分類に関してすべての一致するルールに対して追加できる各ルールの確実度値を入力します。

[操作(Action)] アイコン

次の操作を行うには、[操作(Action)] アイコンをクリックします。

新規ルールを上に挿入(Insert New Rule Above)

新規ルールを下に挿入(Insert New Rule Below)

削除(Delete)

トラブルシューティング項目

「Cisco ISE Profiler がエンドポイントのデータを収集できない」

「プロファイリングされたエンドポイントで認証を実行できない」

Cisco ISE における新規エンドポイント プロファイリング ポリシーの作成のクイック リファレンス

Cisco ISE には、ワークステーション、ノートブック、IP Phone、スマートフォン、ゲーム機、プリンタ、ファクス機などのエンドポイント用の事前定義されたデフォルト プロファイリング ポリシーが用意されています。

[新規プロファイラ ポリシー(New Profiler Policy)] ページでエンドポイントの新しいエンドポイント プロファイリング ポリシーを作成する前に、次のトピックを参照することを推奨します。

「プローブの設定」:この項では、Cisco ISE で使用されるさまざまな属性収集方法について説明しています。

「エンドポイント プロファイリング ポリシー」:この項では、エンドポイント プロファイリング ポリシーの詳細およびエンドポイント プロファイリング ポリシーの設定に使用されるフィールドについて説明しています。

「エンドポイント プロファイリング」:この項では、ルールの作成に必要な条件(チェック)の設定方法について説明しています。ルールには関連付けられた 1 つ以上の条件が含まれ、エンドポイント プロファイリング ポリシーには 1 つ以上のルールが含まれます。

「プロファイリング例外アクション」:この項では、エンドポイント プロファイリング ポリシーに関連付けられる単一の設定可能アクションについて説明しています。

「プロファイリング ネットワーク スキャン アクション」:この項では、エンドポイント プロファイリング ポリシーに関連付けられる単一の設定可能アクションについて説明しています。

「エンドポイント」:この項では、Cisco ISE でエンドポイントを静的および動的に管理する方法について説明しています。

「エンドポイント ID グループ(Endpoint Identity Groups)」:この項では、Cisco ISE でエンドポイントを管理する方法について説明しています。

ここでは、[新規プロファイラ ポリシー(New Profiler Policy)] ページでエンドポイントの新しいエンドポイント プロファイリング ポリシーを作成する方法について説明します。

表 18-16 に、新しいエンドポイント プロファイリング ポリシーの作成に使用するフィールドを示します。

Cisco ISE では、[新規プロファイラ ポリシー(New Profiler Policy)] ページの [ポリシー有効(Policy Enabled)]、[階層の使用(Use Hierarchy)]、および [親ポリシー(Parent Policy)] オプションを使用して、事前定義されたポリシーとその階層構造を利用できます。エンドポイントを識別時に一致するエンドポイント ID グループに分類することもできます。

一連のエンドポイントの一般的なポリシー(親)を作成して、その子がルールと条件を継承できるようにすることを推奨します。エンドポイントをプロファイリングするときに、エンドポイントは子ポリシーと階層におけるその親ポリシーに一致している必要があります。たとえば、Apple-Device は、すべての Apple デバイスの一般的なエンドポイント プロファイリング ポリシーです。Apple デバイスの他のポリシーは、Apple-Device の子です。エンドポイントの固有のエンドポイント プロファイリング ポリシーを作成することもできます。たとえば、SonyPS3 は Sony ゲーム機用のエンドポイント プロファイリング ポリシーです。

Cisco ISE で新しく識別されたエンドポイントを適切にプロファイリングするには、まずそのエンドポイントの特性を識別する必要があります。不明プロファイルは、エンドポイントに割り当てられるデフォルトのシステム プロファイルで、そのエンドポイントについて収集された属性は Cisco ISE の既存のプロファイルと一致しません。エンドポイントが Cisco ISE で動的に検出され、そのエンドポイントに一致するエンドポイント プロファイリング ポリシーがない場合、エンドポイントは不明プロファイルに割り当てられます。静的に追加されたエンドポイントに一致するエンドポイント プロファイリング ポリシーがない場合は、不明プロファイルをエンドポイントに割り当てて、後でそのプロファイルを変更できます。

[新規プロファイラ ポリシー(New Profiler Policy)] ページでエンドポイント プロファイリング ポリシーを作成するには、次の手順を実行します。


ステップ 1 [ポリシー(Policy)] > [プロファイリング(Profiling)] > [プロファイリング ポリシー(Profiling Policies)] に移動します。

ステップ 2 [エンドポイント ポリシー(Endpoint Policies)] ページで [作成(Create)] を選択します。

この項では、デバイスのエンドポイント プロファイルを作成する方法について説明します。

次の操作を実行します。

ポリシー名を入力します。一連のデバイスの一般的な(親)ポリシーを作成してから、このグループに所属する他のデバイスの子ポリシーを作成する必要があります。

たとえば、Apple デバイス用に作成するすべてのポリシーのポリシー名には、プレフィックスとして Apple を使用します。すべての Apple デバイスの親エンドポイント プロファイリング ポリシー Apple-Device を作成してから、その子として各 Apple デバイスのポリシーを作成します。

エンドポイント プロファイリング ポリシーの説明を入力します。

たとえば、Apple-Device の説明には「すべての Apple デバイスの一般的なポリシー」と入力し、Apple ノートブックの説明には「すべての Apple MacBook のポリシー」と入力します。

[ポリシー有効(Policy Enabled)] オプションをオンにします。

たとえば、Cisco ISE では、すべてのポリシーが有効なエンドポイント プロファイリング ポリシーとその子ポリシーを使用して、検出されたエンドポイントを照合します。

[最小確実度係数(Minimum Certainty Factor)] の値を入力します。すべての有効な条件の確実度値が合計され、照合の確実度が求められます。ポリシーを一致と見なすには、この値がポリシーに定義されている最小の確実度係数を超えている必要があります。

例外アクション を選択します。デフォルト値は NONE です。詳細については、「プロファイリング例外アクション」を参照してください。

ネットワーク スキャン(NMAP)アクション を選択します。デフォルト値は NONE です。詳細については、「プロファイリング ネットワーク スキャン アクション」を参照してください。

[一致する ID グループの作成(Create matching identity group)] を選択してプロファイリングされたエンドポイントをエンドポイント ID グループに割り当てるか、[階層の使用(Use Hierarchy)] を選択します。

親ポリシー を選択します。任意の親ポリシーを作成する場合は NONE です。他のポリシーの場合は、ドロップダウン リストから親エンドポイント プロファイリング ポリシーを選択できます。

たとえば、Apple-Device は、Apple デバイスの他のすべての子ポリシーの親ポリシーです。

ポリシーごとに 1 つ以上のルールを定義します。ルールは、AND または OR 演算子を使用して論理的に結合された 1 つ以上の条件で構成されます。各ルールに確実度値、例外アクション、またはネットワーク スキャン アクションを関連付けることができます。Cisco ISE では、すべての有効な条件の確実度値が合計され、1 つ以上のルールから照合の確実度が求められます。または、エンドポイントのプロファイリング時に、関連付けられている例外アクションまたはネットワーク スキャン アクションが開始されます。

エンドポイント プロファイリング ポリシーの新しいルールを作成するときに、[既存の条件をライブラリから選択(Select Existing Condition from Library)] を使用して既存の条件を選択できます。 図 18-1 を参照してください。

図 18-1 新しいエンドポイント プロファイリング ポリシーの作成

 

 

Cisco ISE には、一連の事前定義されたチェックが用意されています。これらのチェックは、[管理(Administration)] > [ポリシー要素(Policy Elements)] > [条件(Conditions)] > [プロファイリング(Profiling)] > [条件(Conditions)] リスト ページにあります。

エンドポイント プロファイリング ポリシーのルールを 1 つ以上作成するには、次の操作を実行します。

[条件(Conditions)] フィールドを選択します。プラス [ + ] 記号をクリックして、[条件(Conditions)] 固定オーバーレイを展開します。固定オーバーレイを閉じるには、マイナス [ - ] 記号をクリックします。

[既存の条件をライブラリから選択(Select Existing Condition from Library)] を選択します。

[条件名(Condition Name)] フィールドを選択します。[条件名(Condition Name)] フィールドで、[条件の選択(Select Condition)] クイック ピッカー(下矢印)アイコンをクリックします。[ディクショナリ(Dictionaries)] ウィジェットが表示されます。このウィジェットには、[管理(Administration)] > [ポリシー要素(Policy Elements)] > [条件(Conditions)] > [プロファイリング(Profiling)] > [条件(Conditions)] リスト ページで作成して保存したすべてのチェックが含まれます。

[Apple-MacBookRuleCheck1] を選択します。

[AND] または [OR] 論理演算子を選択します。

[条件をライブラリから追加(Add Condition from Library)] を選択して、ポリシー要素ライブラリから別の既存の条件を追加します。ここで、新しい条件を作成し、ポリシー要素ライブラリに保存することもできます。CDP、DHCP、IP、LLDP、MAC、NETFLOW、NMAP、SNMP などのプロファイラ ディクショナリのリストから新しい属性を選択し、その属性の値を入力します。条件をポリシー要素ライブラリに保存した場合は、ライブラリから使用できます。

[Apple-MacBookRuleCheck2] を選択します。

たとえば、Apple-MacBook では、Apple-MacBookRuleCheck1 条件と Apple-MacBookRuleCheck2 条件を含む、確実度値が関連付けられた 1 つのルールを使用します。これらの両方のチェックでは、値が Mackintosh と Mac OS の IP User-Agent 属性を使用します。

図 18-2 および図 18-3 を参照してください。

図 18-2 既存の条件からの新規ルールの作成:ステップ 1

 

図 18-3 既存の条件を使用したルールの作成:ステップ 2

 

エンドポイント プロファイリング ポリシーの新しいルールを作成する場合は、使用可能なシステム ディクショナリから属性を選択し、[新しい条件の作成(高度なオプション)(Create New Condition (Advance Option))] を使用して値を属性に関連付けることができます。

ルールの新しい条件を作成するには、次の作業を実行します。

[条件(Conditions)] フィールドを選択します。プラス [ + ] 記号をクリックして、[条件(Conditions)] 固定オーバーレイを展開します。固定オーバーレイを閉じるには、マイナス [ - ] 記号をクリックします。

[新しい条件の作成(高度なオプション)(Create New Condition (Advance Option))] を選択します。

[式(Expression)] フィールドを選択します。[式(Expression)] フィールドで、[属性の選択(Select Attribute)] クイック ピッカー アイコンをクリックします。[ディクショナリ(Dictionaries)] ウィジェットが表示され、プロファイラの CDP、DHCP、IP、LLDP、MAC、NETFLOW、NMAP、および SNMP ディクショナリが表示されます。詳細については、[ポリシー(Policy)] > [ポリシー要素(Policy Elements)] > [ディクショナリ(Dictionaries)] のシステム ディクショナリを参照してください。

一部の製品では、OUI(固有識別子情報)がデバイスの製造組織を識別するために最初に使用できる固有属性です。これはデバイスの MAC アドレスのコンポーネントです。MAC ディクショナリには、MACAddress および OUI 属性が含まれています。

たとえば、MAC:OUI CONTAINS Apple などの式を新しい条件として作成し、ルールに Apple-DeviceRule1Check1 として保存します。このルールには、Apple デバイスを確認する Apple-Device ポリシー内の 1 つの条件として Apple-DeviceRule1Check1 が含まれます。エンドポイントが Apple デバイスの場合、Apple-Device が一致するポリシーで、これはすべての Apple デバイスの一般的な(親)ポリシーです。他の Apple デバイスでは、さらに絞り込むために条件で IP User-Agent と DHCP ホスト名が使用されます。

Xerox-Device は、すべての Xerox 社製デバイスの親ポリシーです。まず、1 つのルールの Xerox-DeviceRule1Check1 で MAC:OUI CONTAINS XEROX CORPORATION を使用します。次に、他の Xerox デバイスをプロファイリングするために、その子の他の条件で dhcp-class-identifier を使用してエンドポイント プロファイリングを絞り込むことができます。デバイス製造元、デバイスのタイプ、モデル番号などのデバイス固有の情報が提供されます。Xerox-Printer-Phaser3250 は Xerox-Device の子です。DHCP/DHCP SPAN プローブを有効にする必要があります。たとえば、[新規プロファイラ ポリシー(New Profiler Policy)] ページで、Xerox-Printer-Phaser3250 の 2 つの式を作成できます。

DHCP:dhcp-class-identifier CONTAINS Xerox などの式を作成し、Xerox-Printer-Phaser3250Rule1Check1 として保存します。DHCP:dhcp-class-identifier CONTAINS Phaser 3250 などの式を作成し、Xerox-Printer-Phaser3250Rule1Check2 として保存します。図 18-4図 18-5 に、[新規プロファイラ ポリシー(New Profiler Policy)] ページから新しい条件を作成する方法を示します。

図 18-4 新規条件の作成:ステップ 1

 

図 18-5 新規条件の作成:ステップ 2

 

一部の製品では、ネットワーク(NMAP)スキャンの結果として、SNMP を介して MIB 情報を取得することもできます。SNMP がデバイスで有効になっている場合は、hrDeviceDescr、hrDeviceStatus、sysContact、sysDescr、sysLocation、sysName、sysObjectID、および sysUpTime 属性を新しい条件で使用できます。SNMP クエリー プローブを有効にし、ネットワーク(NMAP)スキャンを実行する必要があります。

次の中から選択します。

確実度係数が増加(Certainty Factor Increases)

例外アクションを実行(Take Exception Action)

ネットワーク スキャン アクションを実行(Take Network Scan Action)

[送信(Submit)] をクリックして、新しいエンドポイント プロファイルを作成します。


 

Draeger 医療機器

Cisco ISE には、Draeger 医療機器用のデフォルトのエンドポイント プロファイルがあります。これには、Draeger 医療機器の一般的なポリシー、Draeger-Delta 医療機器のポリシー、および Draeger-M300 医療機器のポリシーが含まれます。両方の医療機器に共通のポート 2050 と 2150 があるため、デフォルトの Draeger エンドポイント プロファイリング ポリシーを使用しても、Draeger-Delta 医療機器と Draeger-M300 医療機器を適切に分類できません。

Cisco ISE には、Draeger 医療機器のエンドポイント プロファイリング ポリシーで使用される次のプロファイリング条件があります。

ポート 2000 が含まれる Draeger-Delta-PortCheck1

ポート 2050 が含まれる Draeger-Delta-PortCheck2

ポート 2100 が含まれる Draeger-Delta-PortCheck3

ポート 2150 が含まれる Draeger-Delta-PortCheck4

ポート 1950 が含まれる Draeger-M300PortCheck1

ポート 2050 が含まれる Draeger-M300PortCheck2

ポート 2150 が含まれる Draeger-M300PortCheck3

使用中の環境では、これらの Draeger デバイスに共通のポート 2050 と 2150 があるため、デフォルトの Draeger-Delta and Draeger-M300 エンドポイント プロファイリング ポリシーでデバイスの宛先 IP アドレスのチェックに加えて、これらの医療機器を区別するためのルールを追加する必要があります。

エンドポイント プロファイリング ポリシーの編集

[エンドポイント ポリシー(Endpoint Policies)] ページでエンドポイント プロファイリング ポリシーを選択して編集できます。


) アップグレード時に、事前定義されたエンドポイント プロファイルに保存した設定が上書きされます。事前定義されたエンドポイント プロファイルのみのコピーに自分の設定をすべて保存する必要があります。


プロファイリング ポリシーを編集するには、次の手順を実行します。


ステップ 1 [ポリシー(Policy)] > [プロファイリング(Profiling)] > [プロファイリング ポリシー(Profiling Policies)] を選択します。

[エンドポイント ポリシー(Endpoint Policies)] ページが表示されます。

ステップ 2 [エンドポイント ポリシー(Endpoint Policies)] ページで、プロファイリング ポリシーを選択します。

ステップ 3 [編集(Edit)] を選択します。

ステップ 4 表 18-16 に示すように、編集ページでフィールドの値を変更します。

編集中に、編集ページの現在の入力データを保存しないで [リセット(Reset)] ボタンをクリックできます。ここで、編集ページの現在の入力データを保存しないで設定を保持できます。編集ページで [プロファイラ ポリシー リスト(Profiler Policy List)] リンクをクリックすると、[エンドポイント ポリシー(Endpoint Policies)] ページに戻ります。

ステップ 5 [保存(Save)] をクリックして、編集ページの現在の入力データを保存します。

ステップ 6 エンドポイント プロファイリング ポリシーの編集後に編集ページで [プロファイラ ポリシー リスト(Profiler Policy List)] リンクをクリックして、[エンドポイント ポリシー(Endpoint Policies)] ページに戻ります。


 

エンドポイント プロファイリング ポリシーの削除

[エンドポイント ポリシー(Endpoint Policies)] ページには、展開用に Cisco ISE ですでに作成されている既定のプロファイルがすべて表示されます。[エンドポイント ポリシー(Endpoint Policies)] ページでは、作成したエンドポイント プロファイリング ポリシーを選択して削除できます。

[エンドポイント ポリシー(Endpoint Policies)] ページですべてのエンドポイント ポリシーを選択して、Cisco ISE 展開から削除することもできます。すべてのエンドポイント ポリシーを削除するには、[エンドポイント ポリシー(Endpoint Policies)] ページの [エンドポイント ポリシー名(Endpoint Policy Name)] タイトルの前に表示されるチェックボックスをオンにする必要があります。

[エンドポイント ポリシー(Endpoint Policies)] ページですべてのエンドポイント ポリシーを選択して削除しようとすると、その一部が削除されない場合があります。エンドポイント ポリシーは他のエンドポイント ポリシーの親であったり、許可ポリシーや他のエンドポイント ポリシーの親にマッピングされている可能性があります。


) エンドポイント プロファイルが他のエンドポイント プロファイルの親として定義されている場合は、[エンドポイント ポリシー(Endpoint Policies)] ページで親プロファイルを削除できません。たとえば、Cisco-Device は、シスコ デバイスの他のエンドポイント ポリシーの親です。許可ポリシーにマッピングされているエンドポイント プロファイルは削除できません。たとえば、Cisco-IP-Phone は Profiled Cisco IP Phones 許可ポリシーにマッピングされ、Cisco IP Phone の他のエンドポイント ポリシーの親です。


プロファイリング ポリシーを削除するには、次の手順を実行します。


ステップ 1 [ポリシー(Policy)] > [プロファイリング(Profiling)] > [プロファイリング ポリシー(Profiling Policies)] を選択します。

[エンドポイント ポリシー(Endpoint Policies)] ページが表示されます。

ステップ 2 [エンドポイント ポリシー(Endpoint Policies)] ページで、プロファイリング ポリシーを選択します。

ステップ 3 [削除(Delete)] を選択します。

[エンドポイント ポリシー(Endpoint Policies)] ページからエンドポイント プロファイルを削除する場合は、確認ダイアログが表示されます。ダイアログで [OK] をクリックすると、[エンドポイント ポリシー(Endpoint Policies)] ページでポリシーが削除されます。ダイアログで [キャンセル(Cancel)] をクリックすると、[エンドポイント ポリシー(Endpoint Policies)] ページに戻り、ポリシーは削除されません。


 

トラブルシューティング項目

「Cisco ISE Profiler がエンドポイントのデータを収集できない」

「プロファイリングされたエンドポイントで認証を実行できない」

エンドポイント プロファイリング ポリシーの複製

エンドポイント プロファイリング ポリシーを複製すると、すべての条件を再定義して新しいプロファイリング ポリシーを作成する代わりに、変更可能な似た特性を持つプロファイリング ポリシーをすばやく作成できます。

プロファイリング ポリシーを複製するには、次の手順を実行します。


ステップ 1 [ポリシー(Policy)] > [プロファイリング(Profiling)] > [プロファイリング ポリシー(Profiling Policies)] を選択します。

[エンドポイント ポリシー(Endpoint Policies)] ページが表示されます。

ステップ 2 [エンドポイント ポリシー(Endpoint Policies)] ページで、プロファイリング ポリシーを選択します。

ステップ 3 [複製(Duplicate)] を選択します。

プロファイリング ポリシーのコピーが [エンドポイント ポリシー(Endpoint Policies)] ページに表示されます。


 

トラブルシューティング項目

「Cisco ISE Profiler がエンドポイントのデータを収集できない」

「プロファイリングされたエンドポイントで認証を実行できない」

エンドポイント プロファイリング ポリシーのエクスポート

[エンドポイント ポリシー(Endpoint Policies)] ページでエンドポイント プロファイリング ポリシーを選択して、他の Cisco ISE 展開にエクスポートできます。または、エンドポイント プロファイリング ポリシーを独自のポリシーを作成するためのテンプレートとして使用してインポートできます。

[エンドポイント ポリシー(Endpoint Policies)] ページでプロファイリング ポリシーをエクスポートするには、次の手順を実行します。


ステップ 1 [ポリシー(Policy)] > [プロファイリング(Profiling)] > [プロファイリング ポリシー(Profiling Policies)] を選択します。

[エンドポイント ポリシー(Endpoint Policies)] ページが表示されます。

ステップ 2 エクスポートする 1 つ以上のプロファイリング ポリシーを選択します。

ステップ 3 [エクスポート(Export)] を選択します。

ダイアログが表示され、profiler_policies.xml を適切なアプリケーションで開くか保存するように求められます。これは XML 形式のファイルで、Web ブラウザまたは他の適切なアプリケーションで開くことができます。ファイルをシステムのデフォルトの場所にダウンロードして、後でインポートに使用することもできます。

ステップ 4 [OK] をクリックします。


 

トラブルシューティング項目

「Cisco ISE Profiler がエンドポイントのデータを収集できない」

「プロファイリングされたエンドポイントで認証を実行できない」

エンドポイント プロファイリング ポリシーのインポート

エクスポート機能で前に作成したのと同じ形式を使用して、XML ファイルからエンドポイント プロファイリング ポリシーをインポートできます。親ポリシーが関連付けられている、新しく作成されたプロファイリング ポリシーをインポートする場合は、子ポリシーを定義する前に親ポリシーを定義する必要があります。インポート ファイルでは、エンドポイント プロファイリング ポリシーが階層構造になっており、最初に親ポリシー、次にポリシーに定義されているルールとチェックとともにインポートしたプロファイルが含まれます。

[エンドポイント ポリシー(Endpoint Policies)] ページでプロファイリング ポリシーをインポートするには、次の手順を実行します。


ステップ 1 [ポリシー(Policy)] > [プロファイリング(Profiling)] > [プロファイリング ポリシー(Profiling Policies)] を選択します。

[エンドポイント ポリシー(Endpoint Policies)] ページが表示されます。

ステップ 2 [インポート(Import)] を選択します。

ステップ 3 前にエクスポートしてこれからインポートするファイルを参照し、特定します。


) ファイルが前にエクスポート機能で作成した XML 形式であることに注意してください。


ステップ 4 [送信(Submit)] をクリックします。

インポートされたプロファイリング ポリシーが [エンドポイント ポリシー(Endpoint Policies)] ページに表示されます。

ステップ 5 [プロファイラ ポリシーのインポート(Import Profiler Policies)] ページで [プロファイラ ポリシー リスト(Profiler Policy List)] リンクをクリックして、[エンドポイント ポリシー(Endpoint Policies)] ページに戻ります。


 

トラブルシューティング項目

「Cisco ISE Profiler がエンドポイントのデータを収集できない」

「プロファイリングされたエンドポイントで認証を実行できない」

エンドポイント プロファイリング

プロファイリング条件は、エンドポイントの属性のセットに関連付けることができる特定の値をプロビジョニングするために使用できるチェックです。これらの条件の 1 つ以上をルールに論理的にグループ化して、エンドポイントを検証し、カテゴリに分類できます。エンドポイントの 1 つ以上の属性に対して特定の値をプロビジョニングできる条件を作成すると、エンドポイントの検証およびカテゴリへの分類に役立ちます。

この項では、エンドポイントの属性に対して特定の値をプロビジョニングできる基本操作について説明します。[条件(Conditions)] ページを使用して、Cisco ISE のプロファイリング条件を表示および管理できます。

プロファイリング条件を管理するための手順は、次の内容で構成されています。

プロファイリング条件のフィルタリング、作成、編集、および削除

関連項目:

「エンドポイント プロファイリング ポリシー」

「プロファイリング例外アクション」

「プロファイリング ネットワーク スキャン アクション」

トラブルシューティング項目

「Cisco ISE Profiler がエンドポイントのデータを収集できない」

「プロファイリングされたエンドポイントで認証を実行できない」

プロファイリング条件のフィルタリング、作成、編集、および削除

[条件(Conditions)] ページでは、プロファイリング条件を管理したり、プロファイリング条件をフィルタリングするためのオプションを使用できます。このページには、プロファイリング条件が名前、説明、および [条件(Conditions)] ページでこれらの条件に定義した式とともに表示されます。

プロファイリング条件を管理するための手順には、次の作業が含まれます。

「条件のフィルタリング」

「プロファイリング条件の作成」

「プロファイリング条件の編集」

「プロファイリング条件の削除」

条件のフィルタリング

[条件(Conditions)] ページで [表示(Show)] ドロップダウン リストを使用するか [フィルタ(Filter)] アイコンをクリックして、クイック フィルタを呼び出したり、閉じたりすることができます。クイック フィルタは、[条件(Conditions)] ページでプロファイリング条件をフィルタリングするために使用できる簡単なフィルタです。クイック フィルタを使用すると、条件がプロファイリング チェックの名前、説明、[条件(Conditions)] ページの条件で使用されている式などのフィールド説明に基づいてフィルタリングされます。

[表示(Show)] ドロップダウン リストを使用して、拡張フィルタを呼び出すことができます。拡張フィルタは複雑なフィルタであり、[条件(Conditions)] ページで結果とともに、後で使用したり取得したりするためにプリセットしておくことができます。拡張フィルタを使用すると、条件がフィールド説明に関連付けられた特定の値に基づいてフィルタリングされます。フィルタを追加または削除したり、一連のフィルタを組み合わせて 1 つの拡張フィルタにしたりすることができます。

プリセット フィルタを管理するには、[プリセット フィルタの管理(Manage Preset Filters)] オプションを使用します。このオプションを選択すると、すべてのプリセット フィルタが一覧表示されます。プリセット フィルタにはセッション ライフタイムがあり、この間、[条件(Conditions)] ページにフィルタリングされた結果が表示されます。プリセット フィルタを作成して保存したら、リストからプリセット フィルタを選択できます。プリセット フィルタを編集することも、プリセット フィルタ リストから削除することもできます。

条件を [条件(Conditions)] ページからフィルタリングするには、次の手順を実行します。


ステップ 1 [ポリシー(Policy)] > [ポリシー要素(Policy Elements)] > [条件(Conditions)] を選択します。

ステップ 2 [条件(Conditions)] ナビゲーション ペインの [プロファイリング(Profiling)] を選択します。

[条件(Conditions)] ページが表示され、事前定義されたすべての条件が表示されます。

ステップ 3 [条件(Conditions)] ページの [表示(Show)] ドロップダウン矢印をクリックしてフィルタ オプションを表示します。

ここでは、クイック フィルタ、フィルタリング用の拡張フィルタ、[プリセット フィルタの管理(Manage Preset Filters)] オプション(フィルタリング用のプリセット フィルタを管理できる)を選択できます。 表 18-17 を参照してください。

詳細については、「クイック フィルタ オプションを使用してフィルタリングするには、次の手順を実行します。」および「拡張フィルタ オプションを使用してフィルタリングするには、次の手順を実行します。」を参照してください。


) 条件リストに戻るには、[表示(Show)] ドロップダウン リストから [すべて(All)] を選択します。フィルタリングなしですべての条件が表示されます。



 

クイック フィルタ オプションを使用してフィルタリングするには、次の手順を実行します。

クイック フィルタを使用すると、プロファイリング条件が [条件(Conditions)] ページの各フィールド説明に基づいてフィルタリングされます。いずれかのフィールドの内部をクリックし、フィールドに検索条件を入力すると、ページが更新されて結果が [条件(Conditions)] ページに表示されます。フィールドをクリアすると、[条件(Conditions)] ページにすべての条件のリストが表示されます。


ステップ 1 フィルタリングするには、各フィールドで [実行(Go)] をクリックします。ページが更新されて結果が [条件(Conditions)] ページに表示されます。

ステップ 2 フィールドをクリアするには、各フィールドで [クリア(Clear)] をクリックします。


 

拡張フィルタ オプションを使用してフィルタリングするには、次の手順を実行します。

拡張フィルタでは、より複雑な変数を使用してプロファイリング条件をフィルタリングできます。フィールド説明に一致する値に基づいて条件をフィルタリングする 1 つ以上のフィルタが含まれています。1 行に 1 つのフィルタの場合、条件は各フィールド説明とフィルタに定義した値に基づいてフィルタリングされます。複数のフィルタを使用して値を照合し、条件のフィルタリングを行うには、1 つの拡張フィルタ内のフィルタのいずれかまたはすべてを使用します。


ステップ 1 フィールドの説明を選択するには、ドロップダウン矢印をクリックします。

ステップ 2 演算子を選択するには、ドロップダウン矢印をクリックします。

ステップ 3 選択したフィールドの説明の値を入力します。

ステップ 4 フィルタを追加するには [行の追加(Add Row)](プラス [+] 記号)をクリックし、フィルタを削除するには [行の削除(Remove Row)](マイナス [-] 記号)をクリックします。

ステップ 5 各フィルタの値に一致させるには [すべて(All)] をクリックし、いずれか 1 つのフィルタの値に一致させるには [任意(Any)] をクリックします。

ステップ 6 [実行(Go)] をクリックしてフィルタリングを開始します。

ステップ 7 [保存(Save)] アイコンをクリックしてフィルタを保存します。

[プリセット フィルタの保存(Save a Preset Filter)] ダイアログが表示されます。フィルタを保存するファイル名を入力し、[保存(Save)] をクリックするか、[キャンセル(Cancel)] をクリックしてフィルタをクリアします。作成するプリセット フィルタの名前にはスペースは使用できません。現在のフィルタを保存しないでフィルタをクリアするには、[キャンセル(Cancel)] をクリックします。

ステップ 8 フィルタリングを行った後に [フィルタのクリア(Clear Filter)] をクリックします。


 

表 18-17 に、プロファイリング条件のフィルタリングに使用できる [条件(Conditions)] ページのフィールドを示します。

表 18-17 条件のフィルタリング

フィルタリング方法
フィルタリング フィールド
フィルタリング フィールドの説明

クイック フィルタ

プロファイラ チェック名(Profiler Check Name)

このフィールドを使用すると、プロファイリング チェック(条件)の名前で条件をフィルタリングできます。

式(Expression)

このフィールドを使用すると、プロファイリング チェック内の属性とその属性値で条件をフィルタリングできます。

説明(Description)

このフィールドを使用すると、プロファイリング チェックの説明で条件をフィルタリングできます。

拡張フィルタ

次の中からフィールドの説明を選択します。

プロファイラ チェック名(Profiler Check Name)

式(Expression)

説明(Description)

ドロップダウン矢印をクリックしてフィールドの説明を選択します。

演算子(Operator)

[演算子(Operator)] フィールドでドロップダウン矢印をクリックして、プロファイリング条件のフィルタリングに使用できる演算子を選択します。

値(Value)

[値(Value)] フィールドで、選択したフィールド説明の値を選択します。この値に基づいてプロファイリング条件がフィルタリングされます。

プロファイリング条件の作成

[条件(Conditions)] ページでプロファイリング条件を作成するには、次の手順を実行します。


ステップ 1 [ポリシー(Policy)] > [ポリシー要素(Policy Elements)] > [条件(Conditions)] > [プロファイリング(Profiling)] を選択します。

[条件(Conditions)] ページが表示されます。

ステップ 2 [条件(Conditions)] ページで [作成(Create)] を選択します。

DHCP、MAC、SNMP、IP、RADIUS、NetFlow、CDP、LLDP、および NMAP タイプの条件を作成できます。

ステップ 3 表 18-18 に示すように、[新規プロファイラ条件(New Profiler Condition)] ページで値を変更します。

ステップ 4 [送信(Submit)] をクリックします。

作成したプロファイリング条件が [条件(Conditions)] ページに表示されます。

ステップ 5 [新規プロファイラ条件(New Profiler Condition)] ページの [プロファイル条件リスト(Profile Condition List)] リンクをクリックして、[条件(Conditions)] ページに戻ります。


 

表 18-18 に、プロファイリング条件の作成に使用できる [条件(Conditions)] ページのフィールドを示します。

 

表 18-18 プロファイリング条件の作成

フィールド名
説明

名前(Name)

[名前(Name)] フィールドに、作成するプロファイリング条件の名前を入力します。

説明(Description)

[説明(Description)] フィールドに、作成するプロファイリング条件の説明を入力します。

タイプ(Type)

[タイプ(Type)] フィールドでドロップダウン矢印をクリックして、次の事前定義されたプロファイリング条件タイプを表示します。

DHCP

MAC

SNMP

IP

RADIUS

Netflow

CDP

LLDP

NMAP

タイプを選択します。

属性名(Attribute Name)

[属性名(Attribute Name)] フィールドでドロップダウン矢印をクリックして、[タイプ(Type)] フィールドで選択したタイプの事前定義済み属性を表示します。

演算子(Operator)

ドロップダウン矢印をクリックして、次の事前定義された演算子を表示します。

EQUALS

NOTEQUALS

GREATERTHAN

LESSTHAN

CONTAINS

演算子を選択します。

属性値(Attribute Value)

[属性名(Attribute Name)] で選択した属性名の値を入力します。

プロファイリング条件の編集

[条件(Conditions)] ページでプロファイリング条件を編集できます。

[条件(Conditions)] ページで条件を編集するには、次の手順を実行します。


ステップ 1 [ポリシー(Policy)] > [ポリシー要素(Policy Elements)] > [条件(Conditions)] > [プロファイリング(Profiling)] を選択します。

[条件(Conditions)] ページが表示されます。

ステップ 2 [条件(Conditions)] ページで、プロファイリング条件を選択します。

ステップ 3 [編集(Edit)] を選択します。

ステップ 4 表 18-18 に示すように、編集ページでフィールドの値を変更します。

編集中に、編集ページの現在の入力データを保存しないで [リセット(Reset)] をクリックできます。ここで、編集ページの現在の入力データを保存しないで設定を保持できます。編集ページで [プロファイラ条件リスト(Profiler Condition List)] リンクをクリックすると、[条件(Conditions)] ページに戻り、現在の入力データは保存されません。

ステップ 5 [保存(Save)] をクリックして、編集ページの現在の入力データを保存します。

ステップ 6 プロファイリング条件の編集後に編集ページで [プロファイラ条件リスト(Profiler Condition List)] リンクをクリックして、[条件(Conditions)] ページに戻ります。


 

プロファイリング条件の削除

[条件(Conditions)] ページからプロファイリング条件を削除できます。

[条件(Conditions)] ページから条件を削除するには、次の手順を実行します。


ステップ 1 [ポリシー(Policy)] > [ポリシー要素(Policy Elements)] > [条件(Conditions)] > [プロファイリング(Profiling)] を選択します。

[条件(Conditions)] ページが表示されます。

ステップ 2 [条件(Conditions)] ページで、プロファイリング条件を選択します。

ステップ 3 [削除(Delete)] を選択します。

[条件(Conditions)] ページからプロファイリング条件を削除する場合は、確認ダイアログが表示されます。ダイアログで [OK] をクリックすると、[条件(Conditions)] ページで条件が削除されます。ダイアログで [キャンセル(Cancel)] をクリックすると、[条件(Conditions)] ページに戻り、プロファイリング条件は削除されません。


 

結果のプロファイリング

Cisco ISE は、アイデンティティへの設定可能なネットワーク アクセスを提供します。

Cisco ISE のポリシー モデルは、Cisco ISE 内のアイデンティティに対する認証と許可、プロファイリング、ポスチャ、クライアント プロビジョニング、およびシスコ セキュリティ グループ アクセスのためのポリシーベースのサービスで構成されます。


ステップ 1 [ポリシー(Policy)] > [ポリシー要素(Policy Elements)] > [結果(Results)] を選択します。

ステップ 2 [結果(Results)] ナビゲーション ペインで、[プロファイリング(Profiling)] を選択します。

ステップ 3 [プロファイリング(Profiling)] の横にある矢印をクリックして、プロファイリング アクション タイプのリストを表示します。

[例外アクション(Exception Actions)] メニューと [ネットワーク スキャン(NMAP)アクション(Network Scan (NMAP) Actions)] メニューが表示されます。

ステップ 4 [例外アクション(Exception Actions)] を選択します。 「プロファイリング例外アクション」 を参照してください。

ここで、Cisco ISE ネットワーク上のエンドポイントのプロファイリングに使用できる編集可能な例外アクションを作成できます。Cisco ISE には、EndpointDelete、FirstTimeProfile、StaticAssignment といった 3 つの編集できない例外アクションがあります。

または

ステップ 5 [ネットワーク スキャン(NMAP)アクション(Network Scan (NMAP) Actions)] を選択します。 「プロファイリング ネットワーク スキャン アクション」 を参照してください。

ここで、Cisco ISE ネットワーク上のエンドポイントのプロファイリングに使用できる編集可能なネットワーク スキャン アクションを作成できます。Cisco ISE には、OS-scan、SNMPPortsAndOS-scan、CommonPortsAndOS-scan といった 3 つの事前定義されたネットワーク スキャン アクションがあります。


 

プロファイリング例外アクション

例外アクションは、エンドポイント プロファイリング ポリシーに関連付けられる単一の設定可能アクションです。1 つ以上の例外ルールを定義し、1 つのプロファイリング ポリシーに関連付けることができます。この関連付けにより、Cisco ISE でエンドポイントをプロファイリングする際にプロファイリング ポリシーが一致し、少なくとも 1 つの例外ルールが一致する場合、例外アクションがトリガーされます。

Cisco ISE では、Cisco ISE ネットワーク上のエンドポイントをプロファイリングするときに、次の編集不能なプロファイリング例外アクションがトリガーされます。

エンドポイント削除

エンドポイントが [エンドポイント(Endpoints)] ページでシステムから削除されるか、Cisco ISE ネットワーク上で編集ページから不明プロファイルに再割り当てされると、Cisco ISE で例外アクションがトリガーされ、CoA が発行されます。

スタティック割り当て

エンドポイントが Cisco ISE ネットワークに接続されている場合に、そのエンドポイントのエンドポイント プロファイルを静的に割り当てると、Cisco ISE で例外アクションがトリガーされ、CoA が発行されます。

FirstTimeProfiled

エンドポイントが Cisco ISE で初めてプロファイリングされ、そのエンドポイントのプロファイルが不明プロファイルから既存のプロファイルに変更されて、そのエンドポイントが Cisco ISE ネットワーク上で認証に失敗すると、Cisco ISE で例外アクションがトリガーされ、CoA が発行されます。

例外アクションを管理するための手順は、次の内容で構成されています。

「プロファイリング例外アクションのフィルタリング、作成、編集、および削除」

関連項目:

「エンドポイント プロファイリング ポリシー」

プロファイリング例外アクションのフィルタリング、作成、編集、および削除

[例外アクション(Exception Actions)] ページでは、例外アクションを管理でき、例外アクションをフィルタリングするためのオプションを使用できます。このページには、すべての例外アクションが名前および説明とともに表示されます。

例外アクションを管理するための手順には、次の作業が含まれます。

「例外アクションのフィルタリング」

「例外アクションの作成」

「例外アクションの編集」

「例外アクションの削除」

例外アクションのフィルタリング

[例外アクション(Exception Actions)] ページで [表示(Show)] ドロップダウン リストを使用するか [フィルタ(Filter)] アイコンをクリックして、クイック フィルタを呼び出したり、閉じたりすることができます。クイック フィルタは、[例外アクション(Exception Actions)] ページでプロファイリング例外アクションをフィルタリングするために使用できる簡単なフィルタです。クイック フィルタを使用すると、例外アクションが [例外アクション(Exception Actions)] ページのプロファイリング例外アクションの名前や説明などのフィールド説明に基づいてフィルタリングされます。

[表示(Show)] ドロップダウン リストを使用して、拡張フィルタを呼び出すことができます。拡張フィルタは複雑なフィルタであり、[例外アクション(Exception Actions)] ページで結果とともに、後で使用したり取得したりするためにプリセットしておくことができます。拡張フィルタを使用すると、例外アクションがフィールド説明に関連付けられた特定の値に基づいてフィルタリングされます。フィルタを追加または削除したり、一連のフィルタを組み合わせて 1 つの拡張フィルタにしたりすることができます。

プリセット フィルタを管理するには、[プリセット フィルタの管理(Manage Preset Filters)] オプションを使用します。このオプションを選択すると、すべてのプリセット フィルタが一覧表示されます。プリセット フィルタにはセッション ライフタイムがあり、[例外アクション(Exception Actions)] ページにフィルタリングされた結果が表示されます。プリセット フィルタを作成して保存したら、[例外アクション(Exception Actions)] ページでフィルタリングされた結果のプリセット フィルタを選択できます。プリセット フィルタを編集することも、プリセット フィルタ リストから削除することもできます。

例外アクションを [例外アクション(Exception Actions)] ページからフィルタリングするには、次の手順を実行します。


ステップ 1 [ポリシー(Policy)] > [ポリシー要素(Policy Elements)] > [結果(Results)] を選択します。

ステップ 2 [結果(Results)] ナビゲーション ペインで、[プロファイリング(Profiling)] を選択します。

ステップ 3 右向きのナビゲーション矢印をクリックして、[プロファイリング(Profiling)] を展開し、プロファイリング アクション タイプのリストを表示します。

[例外アクション(Exception Actions)] メニューと [ネットワーク スキャン(NMAP)アクション(Network Scan (NMAP) Actions)] メニューが表示されます。

ステップ 4 [例外アクション(Exceptions Actions)] をクリックします。

[例外アクション(Exception Actions)] ページが表示されます。

ステップ 5 [例外アクション(Exception Actions)] ページの [表示(Show)] ドロップダウン リストをクリックしてフィルタ オプションを選択します。

ここでは、クイック フィルタ、フィルタリング用の拡張フィルタ、[プリセット フィルタの管理(Manage Preset Filters)] オプション(フィルタリング用のプリセット フィルタを管理できる)を選択できます。 表 18-19 を参照してください。

詳細については、「クイック フィルタ オプションを使用してフィルタリングするには、次の手順を実行します。」および「拡張フィルタ オプションを使用してフィルタリングするには、次の手順を実行します。」を参照してください。


) 例外アクション リストに戻るには、[表示(Show)] ドロップダウン リストから [すべて(All)] を選択します。フィルタリングなしですべての例外アクションが表示されます。



 

クイック フィルタ オプションを使用してフィルタリングするには、次の手順を実行します。

クイック フィルタを使用すると、プロファイリング例外アクションが [例外アクション(Exception Actions)] ページの各フィールド説明に基づいてフィルタリングされます。いずれかのフィールドの内部をクリックし、フィールドに検索条件を入力すると、ページが更新されて結果が [例外アクション(Exception Actions)] ページに表示されます。フィールドをクリアすると、[例外アクション(Exception Actions)] ページにすべての例外アクションのリストが表示されます。


ステップ 1 フィルタリングするには、各フィールドで [実行(Go)] をクリックします。ページが更新されて結果が [例外アクション(Exceptions Actions)] ページに表示されます。

ステップ 2 フィールドをクリアするには、各フィールドで [クリア(Clear)] をクリックします。


 

拡張フィルタ オプションを使用してフィルタリングするには、次の手順を実行します。

拡張フィルタでは、より複雑な変数を使用してプロファイリング例外アクションをフィルタリングできます。フィールド説明に一致する値に基づいて例外アクションをフィルタリングする 1 つ以上のフィルタが含まれています。1 行に 1 つのフィルタの場合、例外アクションは各フィールド説明とフィルタに定義した値に基づいてフィルタリングされます。複数のフィルタを使用して値を照合し、例外アクションのフィルタリングを行うには、1 つの拡張フィルタ内のフィルタのいずれかまたはすべてを使用します。


ステップ 1 フィールドの説明を選択するには、ドロップダウン矢印をクリックします。

ステップ 2 演算子を選択するには、ドロップダウン矢印をクリックします。

ステップ 3 選択したフィールドの説明の値を入力します。

ステップ 4 フィルタを追加するには [行の追加(Add Row)](プラス [+] 記号)をクリックし、フィルタを削除するには [行の削除(Remove Row)](マイナス [-] 記号)をクリックします。

ステップ 5 各フィルタの値に一致させるには [すべて(All)] をクリックし、いずれか 1 つのフィルタの値に一致させるには [任意(Any)] をクリックします。

ステップ 6 [実行(Go)] をクリックしてフィルタリングを開始します。

ステップ 7 [保存(Save)] アイコンをクリックしてフィルタを保存します。

[プリセット フィルタの保存(Save a Preset Filter)] ダイアログが表示されます。フィルタを保存するファイル名を入力し、[保存(Save)] をクリックします。 現在のフィルタを保存しないでフィルタをクリアするには、[キャンセル(Cancel)] をクリックします。

ステップ 8 フィルタリングを行った後に [フィルタのクリア(Clear Filter)] をクリックします。


 

表 18-19 に、例外アクションのフィルタリングに使用できる [例外アクション(Exception Actions)] ページのフィールドを示します。

表 18-19 例外アクションのフィルタリング

フィルタリング方法
フィルタリング フィールド
フィルタリング フィールドの説明

クイック フィルタ

プロファイラ例外アクション名(Profiler Exception Action Name)

このフィールドを使用すると、プロファイリング例外アクションの名前で例外アクションをフィルタリングできます。

説明(Description)

このフィールドを使用すると、プロファイリング例外アクションの説明で例外アクションをフィルタリングできます。

拡張フィルタ

次の中からフィールドの説明を選択します。

プロファイラ例外アクション名(Profiler Exception Action Name)

説明(Description)

ドロップダウン矢印をクリックしてフィールドの説明を選択します。

演算子(Operator)

[演算子(Operator)] フィールドでドロップダウン矢印をクリックして、例外アクションのフィルタリングに使用できる演算子を選択します。

値(Value)

[値(Value)] フィールドで、選択したフィールド説明の値を選択します。この値に基づいて例外アクションがフィルタリングされます。

例外アクションの作成

[例外アクション(Exception Actions)] ページで例外アクションを作成するには、次の手順を実行します。


ステップ 1 [ポリシー(Policy)] > [ポリシー要素(Policy Elements)] > [結果(Results)] を選択します。

ステップ 2 [結果(Results)] ナビゲーション ペインで、[プロファイリング(Profiling)] を選択します。

ステップ 3 右向きのナビゲーション矢印をクリックして、[プロファイリング(Profiling)] を展開し、プロファイリング アクション タイプのリストを表示します。

[例外アクション(Exception Actions)] メニューと [ネットワーク スキャン(NMAP)アクション(Network Scan (NMAP) Actions)] メニューが表示されます。

ステップ 4 [例外アクション(Exception Actions)] をクリックします。

[例外アクション(Exception Actions)] ページが表示されます。

ステップ 5 [例外アクション(Exception Actions)] ページで [作成(Create)] をクリックします。

ステップ 6 表 18-20 に示すように、[新規プロファイラ例外条件(New Profiler Exception Action)] ページで値を変更します。

ステップ 7 [送信(Submit)] をクリックします。

作成した例外アクションが [例外アクション(Exception Actions)] ページに表示されます。


 

表 18-20 に、例外アクションの作成に使用できる [新規プロファイラ例外条件(New Profiler Exception Action)] ページのフィールドを示します。

 

表 18-20 例外アクションの作成

フィールド名
フィールドの説明

名前(Name)

[名前(Name)] フィールドに、作成する例外アクションの名前を入力します。

説明(Description)

[説明(Description)] フィールドに、作成する例外アクションの説明を入力します。

CoA を適用するための [CoA アクション(CoA Action)] チェックボックス

CoA を適用するには、[CoA アクション(CoA Action)] チェックボックスをオンにします。

エンドポイント プロファイリング ポリシーで例外アクションを関連付けて CoA を適用する場合は、Cisco ISE で CoA をグローバルに設定する必要があります。これは、[管理(Administration)] > [システム(System)] > [設定(Settings)] > [プロファイリング(Profiling)] で実行できます。

詳細については、「許可変更」を参照してください。

ポリシー割り当て(Policy Assignment)

ドロップダウン矢印をクリックして、設定されているエンドポイント プロファイルを表示し、例外アクションがトリガーされたときに一致する値に関係なくエンドポイントをプロファイリングするためのプロファイルを選択します。

例外アクションの編集

例外アクションは、[例外アクション(Exception Actions)] ページから編集できます。

[例外アクション(Exception Actions)] ページで例外アクションを編集するには、次の手順を実行します。


ステップ 1 [ポリシー(Policy)] > [ポリシー要素(Policy Elements)] > [結果(Results)] を選択します。

ステップ 2 [結果(Results)] ナビゲーション ペインで、[プロファイリング(Profiling)] を選択します。

ステップ 3 右向きのナビゲーション矢印をクリックして、[プロファイリング(Profiling)] を展開し、プロファイリング アクション タイプのリストを表示します。

[例外アクション(Exception Actions)] メニューと [ネットワーク スキャン(NMAP)アクション(Network Scan (NMAP) Actions)] メニューが表示されます。

ステップ 4 [例外アクション(Exception Actions)] をクリックします。

[例外アクション(Exception Actions)] ページが表示されます。

ステップ 5 [例外アクション(Exception Actions)] ページで、例外アクションを選択します。

ステップ 6 [編集(Edit)] をクリックします。

ステップ 7 表 18-20 に示すように、編集ページでフィールド値を変更します。

編集中に、編集ページの現在の入力データを保存しないで [リセット(Reset)] をクリックします。ここで、現在の入力データを保存しないで設定を保持できます。編集ページで [プロファイラ例外アクション リスト(Profiler Exception Action List)] リンクをクリックすると、[例外アクション(Exception Actions)] ページに戻り、現在の入力データは保存されません。

ステップ 8 [保存(Save)] をクリックして、編集ページの現在の入力データを保存します。

ステップ 9 例外アクションの編集後に編集ページで [プロファイラ例外アクション リスト(Profiler Exception Action List)] リンクをクリックして、[例外アクション(Exception Actions)] ページに戻ります。


 

例外アクションの削除

例外アクションは、[例外アクション(Exception Actions)] ページから削除できます。

[例外アクション(Exception Actions)] ページで例外アクションを削除するには、次の手順を実行します。


ステップ 1 [ポリシー(Policy)] > [ポリシー要素(Policy Elements)] > [結果(Results)] を選択します。

ステップ 2 [結果(Results)] ナビゲーション ペインで、[プロファイリング(Profiling)] を選択します。

ステップ 3 右向きのナビゲーション矢印をクリックして、[プロファイリング(Profiling)] を展開し、プロファイリング アクション タイプのリストを表示します。

[例外アクション(Exception Actions)] メニューと [ネットワーク スキャン(NMAP)アクション(Network Scan (NMAP) Actions)] メニューが表示されます。

ステップ 4 [例外アクション(Exception Actions)] をクリックします。

[例外アクション(Exception Actions)] ページが表示されます。

ステップ 5 [例外アクション(Exception Actions)] ページで、例外アクションを選択します。

ステップ 6 [削除(Delete)] を選択します。

[例外アクション(Exception Actions)] ページからプロファイリング例外アクションを削除する場合は、確認ダイアログが表示されます。ダイアログで [OK] をクリックすると、[例外アクション(Exception Actions)] ページで例外アクションが削除されます。ダイアログで [キャンセル(Cancel)] をクリックすると、[例外アクション(Exception Actions)] ページに戻り、例外アクションは削除されません。


 

プロファイリング ネットワーク スキャン アクション

ネットワーク スキャン アクションは、エンドポイント プロファイリング ポリシーに関連付けられる単一の設定可能アクションです。1 つ以上のネットワーク スキャン ルールを定義し、1 つのエンドポイント プロファイリング ポリシーに関連付けることができます。各ネットワーク スキャン アクションのスキャン タイプを定義することもできます。この関連付けにより、Cisco ISE でエンドポイントをプロファイリングする際にプロファイリング ポリシーが一致し、少なくとも 1 つのネットワーク スキャン ルールが一致する場合、ネットワーク スキャン アクションがトリガーされます。


) エンドポイントのオペレーティング システムをスキャンする場合、NMAP OS-scan の結果は信頼できないことがあります。これは、OS-scan に使用する NMAP ツールの制限によるものです。たとえば、スイッチやルータなどのネットワーク デバイスのオペレーティング システムをスキャンすると、NMAP OS-scan から、それらのデバイスについて正しくない operating-system 属性が返されることがあります。これらのデバイスについては、ルールで NMAP operating-system 属性を使用するエンドポイント ポリシーに低い確実度値の条件(確実度係数の値)を設定できます。


ネットワーク スキャン アクションを管理するための手順は、次の内容で構成されています。

「プロファイリング ネットワーク スキャン アクションのフィルタリング、作成、編集、および削除」

関連項目:

「エンドポイント プロファイリング ポリシー」

プロファイリング ネットワーク スキャン アクションのフィルタリング、作成、編集、および削除

[ネットワーク スキャン アクション(Network Scan Actions)] ページでは、ネットワーク スキャン アクションを管理でき、ネットワーク スキャン アクションをフィルタリングするためのオプションを使用できます。このページには、すべてのネットワーク スキャン アクションが名前および説明とともに表示されます。

ネットワーク スキャン アクションを管理するための手順には、次の作業が含まれます。

「ネットワーク スキャン アクションのフィルタリング」

「ネットワーク スキャン アクションの作成」

「ネットワーク スキャン アクションの編集」

「ネットワーク スキャン アクションの削除」

ネットワーク スキャン アクションのフィルタリング

[ネットワーク スキャン アクション(Network Scan Actions)] ページで [表示(Show)] ドロップダウン リストを使用するか [フィルタ(Filter)] アイコンをクリックして、クイック フィルタを呼び出したり、閉じたりすることができます。クイック フィルタは、[ネットワーク スキャン アクション(Network Scan Actions)] ページでプロファイリング ネットワーク スキャン アクションをフィルタリングするために使用できる簡単なフィルタです。クイック フィルタを使用すると、ネットワーク スキャン アクションが [ネットワーク スキャン アクション(Network Scan Actions)] ページのプロファイリング ネットワーク スキャン アクションの名前や説明などのフィールド説明に基づいてフィルタリングされます。

[表示(Show)] ドロップダウン リストを使用して、拡張フィルタを呼び出すことができます。拡張フィルタは複雑なフィルタであり、[ネットワーク スキャン アクション(Network Scan Actions)] ページで結果とともに、後で使用したり取得したりするためにプリセットしておくことができます。拡張フィルタを使用すると、ネットワーク スキャン アクションがフィールド説明に関連付けられた特定の値に基づいてフィルタリングされます。フィルタを追加または削除したり、一連のフィルタを組み合わせて 1 つの拡張フィルタにしたりすることができます。

プリセット フィルタを管理するには、[プリセット フィルタの管理(Manage Preset Filters)] オプションを使用します。このオプションを選択すると、すべてのプリセット フィルタが一覧表示されます。リスト内のプリセット フィルタにはセッション ライフタイムがあり、[ネットワーク スキャン アクション(Network Scan Actions)] ページにフィルタリングされた結果が表示されます。プリセット フィルタを作成して保存したら、[ネットワーク スキャン アクション(Network Scan Actions)] ページでフィルタリングされた結果のプリセット フィルタを選択できます。プリセット フィルタを編集することも、プリセット フィルタ リストから削除することもできます。

ネットワーク スキャン アクションを [ネットワーク スキャン アクション(Network Scan Actions)] ページからフィルタリングするには、次の手順を実行します。


ステップ 1 [ポリシー(Policy)] > [ポリシー要素(Policy Elements)] > [結果(Results)] を選択します。

ステップ 2 [結果(Results)] ナビゲーション ペインで、[プロファイリング(Profiling)] を選択します。

ステップ 3 右向きのナビゲーション矢印をクリックして、[プロファイリング(Profiling)] を展開し、プロファイリング アクション タイプのリストを表示します。

[例外アクション(Exception Actions)] メニューと [ネットワーク スキャン(NMAP)アクション(Network Scan (NMAP) Actions)] メニューが表示されます。

ステップ 4 [ネットワーク スキャン(NMAP)アクション(Network Scan (NMAP) Actions)] をクリックします。

[ネットワーク スキャン アクション(Network Scan Actions)] ページが表示されます。

ステップ 5 [ネットワーク スキャン アクション(Network Scan Actions)] ページの [表示(Show)] ドロップダウン リストをクリックしてフィルタ オプションを選択します。

ここでは、クイック フィルタ、フィルタリング用の拡張フィルタ、[プリセット フィルタの管理(Manage Preset Filters)] オプション(フィルタリング用のプリセット フィルタを管理できる)を選択できます。 表 18-19 を参照してください。

詳細については、「クイック フィルタ オプションを使用してフィルタリングするには、次の手順を実行します。」および「拡張フィルタ オプションを使用してフィルタリングするには、次の手順を実行します。」を参照してください。


) ネットワーク スキャン アクション リストに戻るには、[表示(Show)] ドロップダウン リストから [すべて(All)] を選択します。フィルタリングなしですべてのネットワーク スキャン アクションが表示されます。



 

クイック フィルタ オプションを使用してフィルタリングするには、次の手順を実行します。

クイック フィルタを使用すると、プロファイリング ネットワーク スキャン アクションが [ネットワーク スキャン アクション(Network Scan Actions)] ページの各フィールド説明に基づいてフィルタリングされます。いずれかのフィールドの内部をクリックし、フィールドに検索条件を入力すると、ページが更新されて結果が [ネットワーク スキャン アクション(Network Scan Actions)] ページに表示されます。フィールドをクリアすると、[ネットワーク スキャン アクション(Network Scan Actions)] ページにすべてのネットワーク スキャン アクションのリストが表示されます。


ステップ 1 フィルタリングするには、各フィールドで [実行(Go)] をクリックします。ページが更新されて結果が [ネットワーク スキャン アクション(Network Scan Actions)] ページに表示されます。

ステップ 2 フィールドをクリアするには、各フィールドで [クリア(Clear)] をクリックします。


 

拡張フィルタ オプションを使用してフィルタリングするには、次の手順を実行します。

拡張フィルタでは、より複雑な変数を使用してプロファイリング ネットワーク スキャン アクションをフィルタリングできます。フィールド説明に一致する値に基づいてネットワーク スキャン アクションをフィルタリングする 1 つ以上のフィルタが含まれています。1 行に 1 つのフィルタの場合、ネットワーク スキャン アクションは各フィールド説明とフィルタに定義した値に基づいてフィルタリングされます。複数のフィルタを使用して値を照合し、ネットワーク スキャン アクションのフィルタリングを行うには、1 つの拡張フィルタ内のフィルタのいずれかまたはすべてを使用します。


ステップ 1 フィールドの説明を選択するには、ドロップダウン矢印をクリックします。

ステップ 2 演算子を選択するには、ドロップダウン矢印をクリックします。

ステップ 3 選択したフィールドの説明の値を入力します。

ステップ 4 フィルタを追加するには [行の追加(Add Row)](プラス [+] 記号)をクリックし、フィルタを削除するには [行の削除(Remove Row)](マイナス [-] 記号)をクリックします。

ステップ 5 各フィルタの値に一致させるには [すべて(All)] をクリックし、いずれか 1 つのフィルタの値に一致させるには [任意(Any)] をクリックします。

ステップ 6 [実行(Go)] をクリックしてフィルタリングを開始します。

ステップ 7 [保存(Save)] アイコンをクリックしてフィルタを保存します。

[プリセット フィルタの保存(Save a Preset Filter)] ダイアログが表示されます。フィルタを保存するファイル名を入力し、[保存(Save)] をクリックします。 フィルタを保存しないでフィルタをクリアするには、[キャンセル(Cancel)] をクリックします。

ステップ 8 フィルタリングを行った後に [フィルタのクリア(Clear Filter)] をクリックします。


 

表 18-21 に、例外アクションのフィルタリングに使用できる [ネットワーク スキャン アクション(Network Scan Actions)] ページのフィールドを示します。

表 18-21 ネットワーク スキャン アクションのフィルタリング

フィルタリング方法
フィルタリング フィールド
フィルタリング フィールドの説明

クイック フィルタ

プロファイラ ネットワーク スキャン アクション名(Profiler Network Scan Action Name)

このフィールドを使用すると、プロファイリング ネットワーク スキャン アクションの名前でネットワーク スキャン アクションをフィルタリングできます。

説明(Description)

このフィールドを使用すると、プロファイリング ネットワーク スキャン アクションの説明でネットワーク スキャン アクションをフィルタリングできます。

拡張フィルタ

次の中からフィールドの説明を選択します。

プロファイラ ネットワーク スキャン アクション名(Profiler Network Scan Action Name)

説明(Description)

ドロップダウン矢印をクリックしてフィールドの説明を選択します。

演算子(Operator)

[演算子(Operator)] フィールドでドロップダウン矢印をクリックして、ネットワーク スキャン アクションのフィルタリングに使用できる演算子を選択します。

値(Value)

[値(Value)] フィールドで、選択したフィールド説明の値を選択します。この値に基づいてネットワーク スキャン アクションがフィルタリングされます。

ネットワーク スキャン アクションの作成

[ネットワーク スキャン アクション(Network Scan Actions)] ページでネットワーク スキャン アクションを追加するには、次の手順を実行します。


ステップ 1 [ポリシー(Policy)] > [ポリシー要素(Policy Elements)] > [結果(Results)] を選択します。

ステップ 2 [結果(Results)] ナビゲーション ペインで、[プロファイリング(Profiling)] を選択します。

ステップ 3 右向きのナビゲーション矢印をクリックして、[プロファイリング(Profiling)] を展開し、プロファイリング アクション タイプのリストを表示します。

[例外アクション(Exception Actions)] メニューと [ネットワーク スキャン(NMAP)アクション(Network Scan (NMAP) Actions)] メニューが表示されます。

ステップ 4 [ネットワーク スキャン(NMAP)アクション(Network Scan (NMAP) Actions)] をクリックします。

[ネットワーク スキャン アクション(Network Scan Actions)] ページが表示されます。

ステップ 5 [ネットワーク スキャン アクション(Network Scan Actions)] ページで [追加(Add)] をクリックします。

ステップ 6 表 18-22 に示すように、[新規ネットワーク スキャン アクション(New Network Scan Action)] ページで値を変更します。

ステップ 7 [送信(Submit)] をクリックします。

作成したネットワーク スキャン アクションが [ネットワーク スキャン アクション(Network Scan Actions)] ページに表示されます。


 

表 18-22 に、例外アクションの追加に使用できる [ネットワーク スキャン アクション(Network Scan Actions)] ページのフィールドを示します。

 

表 18-22 ネットワーク スキャン アクションの作成

フィールド名
フィールドの説明

名前(Name)

[名前(Name)] フィールドに、作成するネットワーク スキャン アクションの名前を入力します。

説明(Description)

[説明(Description)] フィールドに、作成するネットワーク スキャン アクションの説明を入力します。

スキャン(Scan)

次の中からスキャンのオプションを選択します。

[OS のスキャン(Scan OS)]:オペレーティング システムをスキャンします。

[SNMP ポートのスキャン(Scan SNMP Port)]:SNMP ポート(161、162)をスキャンします。

[一般ポートのスキャン(Scan Common Port)]:一般ポートをスキャンします。 表 18-26 を参照してください。

エンドポイント プロファイリング ポリシーに関連付けられたネットワーク スキャン アクションでは、エンドポイントのオペレーティング システム、SNMP ポート、および一般ポートがスキャンされます。

[OS のスキャン(Scan OS)] をエンドポイント プロファイリング ポリシーに関連付けた場合、次の NMAP コマンドはオペレーティング システムをスキャンします。

nmap -sS -O -F -oN /opt/CSCOcpm/logs/nmap.log -append-output -oX - <IP address>

 

表 18-23 エンドポイントの OS スキャンの NMAP コマンド

-sS

TCP SYN スキャン。SYN スキャンがデフォルトです

-O

OS 検出を有効にします

-F

(高速(限定ポート)スキャン)。デフォルトよりも少ないポートをスキャンするように指定します。通常、Nmap では、スキャン対象のプロトコルごとに最も一般的な 1,000 個のポートをスキャンします。-F を指定すると、これが 100 個に減少します。

oN

通常の出力

oX

XML 出力

IP address

スキャン対象のエンドポイントの IP アドレス

[SNMP ポートのスキャン(Scan SNMP Port)] をエンドポイント プロファイリング ポリシーに関連付けた場合、次の NMAP コマンドは SNMP ポート(UDP 161 と 162)をスキャンします。

nmap -sU -p U:161,162 -oN /opt/CSCOcpm/logs/nmap.log --append-output -oX - <IP address>

 

表 18-24 エンドポイントの SNMP ポート スキャンの NMAP コマンド

-sU

UDP スキャン

-p <port ranges>

指定されたポートのみをスキャンします。たとえば、UDP ポート 161 と 162 をスキャンします

oN

通常の出力

oX

XML 出力

IP address

スキャン対象のエンドポイントの IP アドレス

[一般ポートのスキャン(Scan Common Port)] をエンドポイント プロファイリング ポリシーに関連付けた場合、次の NMAP コマンドは一般ポートをスキャンします。

nmap -sTU -p T:21,22,23,25,53,80,110,135,139,143,443,445,3306,3389,8080,U:53,67,68,123,135,137,138,139,161,445,500,520,631,1434,1900 -oN /opt/CSCOcpm/logs/nmap.log --append-output -oX - <IP address>

 

表 18-25 エンドポイントの一般ポート スキャンの NMAP コマンド

-sTU

TCP 接続スキャンと UDP スキャンの両方

-p <port ranges>

TCP と UDP の指定されたポートをスキャンします

たとえば、TCP ポート 21、22、23、25、53、80、110、135、139、143、443、445、3306、3389、8080 および UDP ポート 53、67、68、123、135、137、138、139、161、445、500、520、631、1434、1900 をスキャンします。

oN

通常の出力

oX

XML 出力

IP address

スキャン対象のエンドポイントの IP アドレス。

ネットワーク スキャン アクションの編集

ネットワーク スキャン アクションは、[ネットワーク スキャン アクション(Network Scan Actions)] ページから編集できます。

[ネットワーク スキャン アクション(Network Scan Actions)] ページでネットワーク スキャン アクションを編集するには、次の手順を実行します。


ステップ 1 [ポリシー(Policy)] > [ポリシー要素(Policy Elements)] > [結果(Results)] を選択します。

ステップ 2 [結果(Results)] ナビゲーション ペインで、[プロファイリング(Profiling)] を選択します。

ステップ 3 右向きのナビゲーション矢印をクリックして、[プロファイリング(Profiling)] を展開し、プロファイリング アクション タイプのリストを表示します。

ステップ 4 [ネットワーク スキャン(NMAP)アクション(Network Scan (NMAP) Actions)] をクリックします。

[ネットワーク スキャン アクション(Network Scan Actions)] ページが表示されます。

ステップ 5 [ネットワーク スキャン アクション(Network Scan Actions)] ページで、ネットワーク スキャン アクションを選択します。

ステップ 6 [編集(Edit)] を選択します。

ステップ 7 表 18-22 に示すように、編集ページでフィールドの値を変更します。

編集中に、編集ページの現在の入力データを保存しないで [リセット(Reset)] をクリックします。ここで、現在の入力データを保存しないで設定を保持できます。編集ページで [ネットワーク スキャン アクション リスト(Network Scan Action List)] リンクをクリックすると、[ネットワーク スキャン アクション(Network Scan Actions)] ページに戻り、現在の入力データは保存されません。

ステップ 8 [保存(Save)] をクリックして、編集ページの現在の入力データを保存します。

ステップ 9 ネットワーク スキャン アクションの編集後に編集ページで [ネットワーク スキャン アクション リスト(Network Scan Action List)] リンクをクリックして、[ネットワーク スキャン アクション(Network Scan Actions)] ページに戻ります。


 

ネットワーク スキャン アクションの削除

ネットワーク スキャン アクションは、[ネットワーク スキャン アクション(Network Scan Actions)] ページから削除できます。

[ネットワーク スキャン アクション(Network Scan Actions)] ページでネットワーク スキャン アクションを削除するには、次の手順を実行します。


ステップ 1 [ポリシー(Policy)] > [ポリシー要素(Policy Elements)] > [結果(Results)] を選択します。

ステップ 2 [結果(Results)] ナビゲーション ペインで、[プロファイリング(Profiling)] を選択します。

ステップ 3 右向きのナビゲーション矢印をクリックして、[プロファイリング(Profiling)] を展開し、プロファイリング アクション タイプのリストを表示します。

[例外アクション(Exception Actions)] メニューと [ネットワーク スキャン(NMAP)アクション(Network Scan (NMAP) Actions)] メニューが表示されます。

ステップ 4 [ネットワーク スキャン(NMAP)アクション(Network Scan (NMAP) Actions)] をクリックします。

[ネットワーク スキャン アクション(Network Scan Actions)] ページが表示されます。

ステップ 5 [ネットワーク スキャン アクション(Network Scan Actions)] ページで、ネットワーク スキャン アクションを選択します。

ステップ 6 [削除(Delete)] を選択します。

[ネットワーク スキャン アクション(Network Scan Actions)] ページからプロファイリング ネットワーク スキャン アクションを削除する場合は、確認ダイアログが表示されます。ダイアログで [OK] をクリックすると、[ネットワーク スキャン アクション(Network Scan Actions)] ページでネットワーク スキャン アクションが削除されます。ダイアログで [キャンセル(Cancel)] をクリックすると、[ネットワーク スキャン アクション(Network Scan Actions)] ページに戻り、ネットワーク スキャン アクションは削除されません。


 

Cisco ISE での Network Mapper の統合によるエンドポイント プロファイリング

Network Mapper(NMAP)は、ネットワークを探索したり、他のネットワーク関連の作業を実行するために使用できる無料のオープン ソース ユーティリティです。大規模なネットワークを迅速にスキャンするように設計され、単一のホスト上で動作します。NMAP では、エンドポイント(利用可能なホスト)、実行されているオペレーティング システム(および OS バージョン)、提供されるサービス(アプリケーションの名前とバージョン)などの多くのネットワーク関連作業に未処理の IP パケットを使用します。

NMAP は、何十万ものマシンで構成される巨大なネットワークをスキャンするために使用できる強力なツールです。ポータブルで、多くのオペレーティング システムをサポートしています。コマンドラインから実行できるだけでなく、NMAP スイートには拡張グラフィカル ユーザ インターフェイス、結果ビューア、柔軟なデータ転送リダイレクション、デバッグ ツール、スキャン結果を比較するためのユーティリティ、およびパケット生成と応答分析のツールが含まれています。IP フィルタ、ファイアウォール、ルータなどのデバイスが存在するネットワークを把握するための高度な技術をサポートする高い柔軟性を備えています。たとえば、ポート スキャン メカニズム(TCP と UDP の両方)、オペレーティング システム検出、バージョン検出、ping スイープなどがあります。

NMAP の詳細については、『 Network Mapper (NMAP) 』および http://nmap.org/docs.html から入手できる NMAP ドキュメントを参照してください。

NMAP は、プロファイリング機能を拡張して、特に iDevice やその他のモバイル デバイスのエンドポイント分類をより適切に行うために、Cisco ISE プロファイラに統合されています。ネットワーク スキャン プローブを使用して特定のサブネットに対して手動サブネット スキャンを実行するか、ネットワーク スキャン アクションをエンドポイント プロファイル(特定のプロファイル)に関連付けてエンドポイントに対してスキャンを実行できます。

ネットワーク スキャンの詳細については、「ネットワーク スキャン」を参照してください。

エンドポイント スキャンの詳細については、「エンドポイント スキャン」を参照してください。

エンドポイント スキャン

Cisco ISE システムにおけるリソース使用量を制限するために、エンドポイントをスキャンする場合はエンドポイント スキャンが使用されます。ネットワーク スキャン アクションでは、リソースを大量に消費するネットワーク スキャンと比較して 1 つのエンドポイントをスキャンします。これにより、エンドポイントの全体的な分類が向上し、エンドポイントのエンドポイント プロファイルが再定義されます。エンドポイント スキャンは、1 度に 1 つずつしか処理できません。

1 つのネットワーク スキャン アクションをエンドポイント プロファイリング ポリシーに関連付けることができます。Cisco ISE には、ネットワーク スキャン アクションに 3 つの走査方式が事前定義されています。たとえば、OS-scan、SNMPPortsAndOS-scan、および CommonPortsAndOS-scan といった 3 つの走査方式のいずれか、またはすべての含めることができます。独自の新しいネットワーク スキャン アクションを作成することもできます。エンドポイントを適切にプロファイリングしたら、設定済みのネットワーク スキャン アクションをエンドポイントに対して使用できません。

たとえば、Apple-Device をスキャンすると、スキャンされたエンドポイントを Apple デバイスに分類できます。OS-scan によってエンドポイントで実行されているオペレーティング システムが特定されたら、Apple-Device プロファイルに一致しなくなりますが、Apple デバイスの適切なプロファイルに一致します。

ネットワーク スキャン アクションに定義されているエンドポイント スキャン用の走査方式を次に示します。

OS-scan

このタイプでは、エンドポイントで実行されているオペレーティング システム(および OS バージョン)がスキャンされます。これはリソースを大量に使用するスキャンです。

SNMPPortsAndOS-scan

このタイプでは、エンドポイントで実行されているオペレーティング システム(および OS バージョン)がスキャンされ、SNMP ポート(161 と 162)が開いている場合は SNMP クエリーがトリガーされます。さらに分類するために、識別されて不明プロファイルと最初に一致したエンドポイントに使用できます。

CommonPortsAndOS-scan

このタイプでは、エンドポイントで実行されているオペレーティング システム(および OS バージョン)がスキャンされ、SNMP ポートではなく一般ポート(TCP と UDP)もスキャンされます。

表 18-26 に、NMAP でスキャンに使用される合計 30 個の一般ポート(15 個の TCP ポートと 15 個の UDP ポート)を示します。

 

表 18-26 一般ポート

TCP ポート
UDP ポート
ポート
サービス
ポート
サービス

21/tcp

ftp

53/udp

domain

22/tcp

ssh

67/udp

dhcps

23/tcp

telnet

68/udp

dhcpc

25/tcp

smtp

123/udp

ntp

53/tcp

domain

135/udp

msrpc

80/tcp

http

137/udp

netbios-ns

110/tcp

pop3

138/udp

netbios-dgm

135/tcp

msrpc

139/udp

netbios-ssn

139/tcp

netbios-ssn

161/udp

snmp

143/tcp

imap

445/udp

microsoft-ds

443/tcp

https

500/udp

isakmp

445/tcp

microsoft-ds

520/udp

route

3306/tcp

mysql

631/udp

ipp

3389/tcp

ms-term-serv

1434/udp

ms-sql-m

8080/tcp

http-proxy

1900/udp

upnp

ネットワーク アクセス デバイスでの IOS センサーを使用したエンドポイント プロファイリング

Cisco ISE は、DHCP プローブに対して特定の設定を適用します。たとえば、ネットワーク デバイスまたは特定のインターフェイスに対して ip helper - address コマンドを使用して DHCP IP ヘルパーを設定した場合にのみ、DHCP SPAN を使用して DHCP パケットを 1 つ以上のインターフェイスから収集できます。Cisco ISE プロファイラはこれらの DHCP パケットを受信し、解析して、エンドポイントの他の属性を DHCP 属性とともに取得します。同様に、SNMP クエリー プローブが有効になっている場合にのみ、接続されているすべてのエンドポイントの CDP/LLDP 属性を収集できます。CDP と LLDP がネットワーク デバイスのすべてのポートで有効になっていることを確認する必要があります。

Cisco ISE は、スイッチに組み込まれている IOS ベースのセンサーと連携する機能を実装することで、これらの設定の制約事項に対応します。前のリリースでは、エンドポイント属性のイベントがさまざまなプローブから収集されるという性質により、展開にトポロジ制約がありましたが、IOS センサーの統合によりそれが解決されます。IOS センサーの統合によって、Cisco ISE ランタイムと Cisco ISE プロファイラでスイッチから送信された任意またはすべての属性を収集できるようになりました。既存の RADIUS プロトコルを使用して、DHCP、CDP、および LLDP 属性をスイッチから直接収集できます。DHCP、CDP、および LLDP について収集された属性は、解析され、Cisco ISE ディクショナリの属性にマッピングされます。

Cisco ISE システム ディクショナリおよびディクショナリに定義されている属性の詳細は、管理ユーザ インターフェイスから [ポリシー(Policy)] > [ポリシー要素(Policy Elements)] > [ディクショナリ(Dictionaries)] に移動して確認できます。

Cisco ISE には、LLDP について更新されるデフォルト プロファイルのリストと新しいプロファイルがあります。Cisco ISE のデフォルト プロファイルの詳細は、[ポリシー(Policy)] > [プロファイリング(Profiling)] > [エンドポイント プロファイリング(Endpoint Profiling)] に移動して確認できます。

IOS センサーでサポートされているネットワーク アクセス デバイスの詳細については、『 Cisco Identity Services Engine Network Component Compatibility, Release 1.1.1 』を参照してください。

IOS センサーと Cisco ISE の統合

IOS センサーに対応したスイッチと Cisco ISE の統合には、IOS センサー、DHCP、CDP、および LLDP データを収集するためにネットワーク デバイス(スイッチ)に組み込まれたデータ コレクタ、およびデータを処理してエンドポイントのデバイス タイプを特定するためのアナライザが関係します。センサーをスイッチに組み込む際の明確な利点は、センサーがデータ ソースに最も近いポイントになる点です。

アナライザを展開するには次の 2 つの方法がありますが、2 つを組み合わせて使用することは想定されていません。

- アナライザを Cisco ISE に展開する

- アナライザをセンサーとしてスイッチに組み込む

どちらの方法でアナライザを展開するかは、実装によって異なります。両方の実装で同じ分類ルールセットが使用されますが、Cisco ISE に展開されたアナライザには、スイッチに展開されたアナライザの組み込み機能のスーパーセットが用意されています。両方のアナライザは IOS センサー コンポーネットセットのクライアントであり、センサーからの同じ情報を必要とします。スイッチに組み込まれたアナライザは、Cisco ISE を表示専用の展開に利用できない場合、または OEM AAA サーバと組み合わせて利用できない場合に使用できます。

IOS センサーとアナライザ

ネットワーク アクセス デバイス(スイッチ)には IOS センサーが組み込まれており、センサーには内部クライアント(アナライザ)と 1 つの外部クライアント(Cisco ISE アナライザ)の両方があります。

IOS センサーでは、ターゲット データセットを定義する CLI を使用して属性フィルタを指定できます。属性フィルタは、システムでの余分なメモリの使用や処理を最小限に抑えるために、できる限り属性ソースの近くに適用する必要があります。

フィルタ コマンドに次の機能を含める必要があります。

プロトコルごとに all オプション(デフォルト)

プロトコルごとに none オプション

プロトコルごとに許可リスト

プロトコルごとにブロック リスト

Device Classifier(ローカル アナライザ)などの内部クライアントでは、セッション管理(ID)インフラストラクチャによって公開されているセッション API が使用されます。Device Classifier(DC)以外に、主に接続されているエンドポイントのデバイス タイプを必要とする他の内部クライアントとして、ASP、MSI-Proxy、および EnergyWise コンポーネントがあります。特定されたデバイス タイプは、同じセッション API を使用してセッション管理インフラストラクチャに返され、適切なセッションに対して保存されます。将来は RADIUS CoA の形式でも保存されるようになります。セッション API のクライアントから、(通知を介して、または直接クエリーへの応答として)利用することもできます。同じセッション管理インフラストラクチャでは両方のケースに対応し、エンドポイント プロファイリングを一般的なアイデンティティ展開または表示専用の展開のアクセス コントロールと組み合わせて設定できます。

外部クライアントである Cisco ISE アナライザは、追加のエンドポイント データを受信するために最初に RADIUS アカウンティング メッセージを使用します。既存の RADIUS アカウンティング メッセージ タイプ(start と interim)は、プロファイリング データで拡張されます。セッションの途中でプロファイリング データが変更された場合、追加のアカウンティング メッセージを生成できます。

センサー機能付きのスイッチを適切に設定すると、CDP、LLDP、DHCP、および MAC OUI からエンドポイント情報が取得され、(将来の実装フェーズで動的に設定できる静的に設定されたフィルタに従って)この情報を(ネットワーク デバイスへのエンドポイントの接続を表す)アクセス セッションのコンテキストで登録済みのクライアントから利用できるようになります。通知を生成できるのは、(静的に設定されたフィルタに応じて)エンドポイントによって提供された情報で変更が検出された場合のみです。

NAD で IOS センサーが有効になっている Cisco ISE におけるエンドポイント プロファイリング

IOS センサーに対応したスイッチを使用して、エンドポイントを作成し、Cisco ISE でデフォルトで現在使用できるエンドポイント プロファイリング ポリシー(DHCP、CDP、および LLDP 属性を含む)に従って分類できます。これにより、既存の RADIUS プローブだけで DHCP および SNMP クエリー プローブにおける初期の設定制限を解消できます。

IOS センサーでネットワークに接続されたエンドポイントから DHCP、CDP、および LLDP 情報を収集し、RADIUS アカウンティング メッセージを介して Cisco ISE に送信できるようにネットワーク アクセス デバイスを設定する必要があります。Cisco ISE はこれらの RADIUS アカウンティング メッセージをスイッチから受信し、これらのメッセージはランタイム プロトコルによって syslog として解析され、プロファイラの RADIUS プローブに転送されます。RADIUS プローブは、syslog からエンドポイントの DHCP、CDP、および LLDP 属性にデータを読み込み、エンドポイントの分類に使用されます。この分類の結果は、将来のリリースで属性とともに RADIUS CoA の形式でも返すことができます。

前提条件:

ネットワーク アクセス デバイス(スイッチ)と Cisco ISE が適切に設定されていることを確認する必要があります。

ここでは、スイッチと Cisco ISE に対して実行する必要がある作業の概要を示します。

次のことを確認してください。

RADIUS プローブが Cisco ISE で有効になっていることを確認します。

ネットワーク アクセス デバイスで DHCP、CDP、および LLDP 情報を収集するための IOS センサーがサポートされていることを確認します。

ネットワーク アクセス デバイスで、エンドポイントから CDP 情報と LLDP 情報を取得するために次の CDP コマンドと LLDP コマンドが実行されていることを確認します。

cdp enable
lldp run

標準の AAA コマンドと RADIUS コマンドを使用して、セッション アカウンティングが個別に有効になっていることを確認します。

コマンドの使用例を示します。

aaa new-model
aaa accounting dot1x default start-stop group radius
 
radius-server host <ip> auth-port <port> acct-port <port> key <shared-secret>
radius-server vsa send accounting

IOS センサー固有のコマンドを実行していることを確認します。

アカウンティング拡張の有効化

ネットワーク アクセス デバイスで IOS センサー プロトコル データを RADIUS アカウンティング メッセージに追加したり、新しいセンサー プロトコル データの検出時に追加のアカウンティング イベントを生成したりできるようにする必要があります。つまり、RADIUS アカウンティング メッセージには、すべての CDP、LLDP、および DHCP 属性が含まれている必要があります。

次の(新しい)グローバル コマンドを入力します。

device-sensor accounting

アカウンティング拡張の無効化

(アカウンティング機能がグローバルに有効になっている場合、)(アカウンティング)ネットワーク アクセス デバイスで、特定のポートでホストされているセッションについて IOS センサー プロトコル データを RADIUS アカウンティング メッセージに追加できないようにするには、適切なポートで次のコマンドを入力します。

no device-sensor accounting

TLV 変更のトラッキング

デフォルトでは、サポートされている各ピア プロトコルでクライアント通知とアカウンティング イベントが生成されるのは、特定のセッションのコンテキストで前に受信したことのない TLV(タイプ、長さ、値)が着信パケットに含まれている場合だけです。

新しい TLV が存在するか、または前に受信した TLV の値が異なる場合は、すべての TLV 変更に対するクライアント通知とアカウンティング イベントを有効にする必要があります。次のコマンドを入力します。

device-sensor notify all-changes

ネットワーク アクセス デバイスで IOS Device Classifier(ローカル アナライザ)が無効になっていることを確認します。

次のコマンドを入力します。

no macro auto monitor

) このコマンドにより、ネットワーク アクセス デバイスは変更ごとに 2 つの同じ RADIUS アカウンティング メッセージを送信できなくなります。


Cisco ISE における Auto Smartport 設定

Cisco ISE では、値「auto-smart-port=event trigger」を持つ VSA cisco-av-pair を有効にするイベント トリガーを使用して、Auto Smartport を許可プロファイルで設定できます。イベント トリガーは、Auto Smartport マクロをイベントの送信元ポートにマッピングするために使用されます。

たとえば、ポートに Cisco IP Phone を接続した場合は、Auto Smartport により自動的に Cisco IP Phone マクロが適用されます。Cisco IP Phone マクロが適用されると、遅延に影響されやすい音声トラフィックを正しく処理できるように Quality of Service(QoS)、セキュリティ機能、および専用の音声 VLAN が有効になります。

スイッチ ソフトウェアに組み込まれているマクロは、コマンドライン インターフェイス(CLI)コマンドのグループです。

Auto Smartport マクロ

Auto Smartport マクロは、ポートで検出されたデバイス タイプに基づいてポートを動的に設定します。スイッチは、ポート上で新しいデバイスを検出すると、そのポートに適切なマクロを適用します。ポート上でリンク ダウン イベントが発生した場合、スイッチはそのマクロを削除します。Auto Smartport では、デバイスからポート マクロへのマッピングにイベント トリガーが使用されます。

Static SmartPort マクロ

Static SmartPort マクロにはポート設定が用意されています。これは、ポートに接続されているデバイスに基づいて手動で適用するものです。スタティック マクロを適用すると、マクロの CLI コマンドが既存のポート設定に追加されます。ポート上でリンクダウン イベントが発生しても、スイッチはスタティック マクロの設定を削除しません。

イベント トリガー

Auto Smartport はイベント トリガーを使用して、マクロをイベントの送信元ポートにマッピングします。接続されたデバイスから受信した Cisco Discovery Protocol(CDP)メッセージに基づくトリガーが最も一般的です。

CDP イベント トリガーは、これらのデバイスが次のものを検出したときに発生します。

Cisco スイッチ

Cisco ルータ

Cisco IP Phone

Cisco ワイヤレス アクセス ポイント(autonomous および lightweight アクセス ポイントなど)

Cisco IP ビデオ監視カメラ

シスコ デバイスおよびサードパーティ デバイスのためのその他のイベント トリガーは、ユーザ定義の MAC アドレス グループ、MAC 認証バイパス(MAB)メッセージ、IEEE 802.1x 認証メッセージ、Link Layer Discovery Protocol(LLDP)メッセージなどです。

LLDP は一連の属性をサポートし、これらを使用してネイバー デバイスを検出します。これらのタイプ、長さ、値の属性、および説明は TLV と呼ばれます。LLDP でサポートされるデバイスは、TLV を使用して情報を受信および送信します。このプロトコルは、デバイスの設定情報、機能、ID などの詳細をアドバタイズします。Auto Smartport は、LLDP システム機能の TLV をイベント トリガーとして使用します。検出方法、デバイス タイプ、または設定されているトリガーに基づいてスイッチをマクロに適用するかどうかを指定するには、イベント トリガーのコントロール機能を使用できます。

ネットワーク プリンタ、LLDP、レガシー Cisco デジタル メディア プレーヤーなどの CDP、MAB、または 802.1x 認証をサポートしていないデバイスについては、MAC の Operationally Unique Identifier(OUI)ベースのトリガーで MAC アドレス グループを設定できます。MAC アドレスを、必要な設定がされている組み込みマクロまたはユーザ定義マクロにマッピングします。

macro auto execute

組み込みマクロのデフォルト値を置き換えて、イベント トリガーから組み込みマクロ、またはユーザ定義マクロへのマッピングを設定するには、グローバル コンフィギュレーション モードで macro auto execute コマンドを使用します。

macro auto execute event trigger {[ builtin built-in macro name ]} [ parameter=value ]

 
構文の説明

macro auto execute

イベント トリガーから組み込みマクロへのマッピングを設定します。

event trigger

Auto Smartports マクロをイベントの送信元ポートにマッピングするために使用するイベント トリガーを指定します。

builtin

イベント トリガーから組み込みマクロへのマッピングを定義します。

built-in macro name

組み込みマクロの名前を指定します。

parameter=value

built-in-macro name のパラメータ値のデフォルト値を置き換えます。それぞれの名前と値のペアをスペースで区切る形式で新しい値を入力します(例:[<name1>=<value1> <name2>=<value2>...])。

 
デフォルト

このコマンドにはデフォルト設定はありません。

 
コマンド モード

グローバル コンフィギュレーション

 
使用上のガイドライン

組み込みマクロのデフォルト値を、スイッチに固有の値で置き換えるには、 macro auto execute グローバル コンフィギュレーション コマンドを使用します。

イベント トリガーから組み込みマクロへのマッピングは、スイッチで自動的に実行されます。組み込みマクロはシステム定義のマクロであり、ソフトウェア イメージに含まれています。Cisco IOS シェルのスクリプト機能を使用してユーザ定義のマクロを作成することもできます。

次の例では、Cisco スイッチと Cisco IP Phone をスイッチへ接続するために、2 つの組み込みマクロを使用する方法を示します。

例 1

Switch# configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
Switch(config)#!!! the next command modifies the access and voice vlans
Switch(config)#!!! for the built in Cisco IP phone auto smartport macro
Switch(config)# macro auto execute CISCO_PHONE_EVENT builtin CISCO_PHONE_AUTO_SMARTPORT ACCESS_VLAN=10 VOICE_VLAN=20
Switch(config)#

例 2

Switch(config)#
Switch(config)#!!! the next command maps the switch event to the built in Cisco switch Switch(config)#!!! auto smartport macro
Switch(config)# macro auto execute CISCO_SWITCH_EVENT builtin CISCO_SWITCH_AUTO_SMARTPORT Switch(config)#

RADIUS アカウンティング レポート

RADIUS アカウンティング レポートには、レポートを 1 時間未満の間隔で実行するための拡張オプションがあります。[実行(Run)] ボタンをクリックすると、最小の 1 分から始まる短い間隔のリストが表示されます。これにより、アカウンティング レコードを 1 時間未満の短い間隔で表示できるため、表示するレコードの数を間隔に応じて少なくすることができます。

[クエリーおよび実行(Query and Run)] オプションを選択して RADIUS アカウンティング レポートを 1 分おきに実行し、その後、過去 5 分間、15 分間、30 分間、1 時間などの他の間隔で実行できます。[実行(Run)] ボタンから [クエリーおよび実行(Query and Run)] オプションを使用してレポートを実行する場合は、[RADIUS_Accounting] > [クエリーおよび実行(Query and Run)] ページを表示できます。このページには、[時間範囲(Time Range)] フィールドが表示され、1 時間未満の時間範囲で分単位の間隔を選択できます。

拡張ライセンスにおけるスタティック エンドポイントの除外

Cisco ISE では、適用するライセンスに応じて、増加するエンドポイントや複雑なポリシー サービスに対応できます。Cisco ISE のライセンスは、基本、拡張、およびワイヤレスのパッケージで利用できます。各パッケージには、パッケージに含まれているライセンスと同じ数の SKU が含まれています。Cisco ISE を使用するには、有効な基本ライセンス、基本および拡張ライセンス、またはワイヤレス ライセンスのパッケージが必要です。

Cisco ISE のライセンスは、基本ライセンス、拡張ライセンス、およびワイヤレス ライセンスでは展開全体における同時エンドポイントの数(カウント値)に基づきます。これにより、使用している現在のライセンス スキームに定義されているエンドポイントの数に対して、ライセンスを利用するエンドポイントの数の決定方法が定義されます。

Cisco ISE では、エンドポイントがプロファイルに静的に割り当てられている場合に、Cisco ISE で拡張ライセンスを消費できないことについて変更が加えられました。動的にプロファイリングされたエンドポイントの数および許可ポリシーで使用されているこれらのエンドポイントのプロファイルだけを拡張ライセンスの制限と比較できます。

現在は、プロファイルに静的に割り当てられたエンドポイントが拡張ライセンス パッケージに含まれているライセンスの利用から除外されるようになりました。ただし、基本ライセンスの制限とは比較されます。旧バージョンでは、展開全体の同時エンドポイントの合計数が拡張ライセンスの制限と比較されます。

Cisco ISE プロファイリング サービスでライセンスを使用する方法の詳細については、「プロファイリング サービスのライセンス」を参照してください。

Cisco ISE でライセンスを管理する方法の詳細については、「ライセンスの管理」を参照してください。

Cisco ISE のライセンス スキームで利用可能なライセンス タイプの詳細については、『 Cisco Identity Services Engine Hardware Installation Guide, Release 1.1 』を参照してください。

Cisco ISE における IP アドレスと MAC アドレスのバインディング

エンドポイントを作成または更新するには、企業ネットワークの MAC アドレスを使用する必要があります。ARP キャッシュにエントリが見つからない場合は、Cisco ISE で HTTP パケットの L2 MAC アドレスと NetFlow パケットの IN_SRC_MAC を使用してエンドポイントを作成または更新できます。

旧バージョンでは、エンドポイントが 1 ホップだけ離れている場合、プロファイリング サービスは L2 隣接関係に依存します。エンドポイントに L2 隣接関係がある場合、エンドポイントの IP アドレスと MAC アドレスはすでにマッピングされているため、IP-MAC キャッシュ マッピングは必要ありません。エンドポイントに L2 隣接関係が存在せず、エンドポイントが複数ホップ離れている場合、信頼できるマッピングが存在しない可能性があります。

収集する NetFlow パケットの既知の属性には、PROTOCOL、L4_SRC_PORT、IPV4_SRC_ADDR、L4_DST_PORT、IPV4_DST_ADDR、IN_SRC_MAC、OUT_DST_MAC、IN_SRC_MAC、OUT_SRC_MAC などがあります。エンドポイントに L2 隣接関係が存在せず、L3 ホップに関して複数ホップ離れている場合は、IN_SRC_MAC 属性で L3 ネットワーク デバイスの MAC アドレスのみが伝送されます。

Cisco ISE で HTTP プローブが有効になっている場合は、HTTP 要求メッセージによってペイロード データでエンドポイントの IP アドレスと MAC アドレスが伝送されないため、HTTP パケットの MAC アドレスのみを使用してエンドポイントを作成できます。

Cisco ISE では、プロファイリング サービスで ARP キャッシュが実装されるため、エンドポイントの IP アドレスと MAC アドレスを確実にマッピングできます。ARP キャッシュを機能させるには、DHCP プローブまたは RADIUS プローブを有効にする必要があります。DHCP プローブと RADIUS プローブは、ペイロード データでエンドポイントの IP アドレスと MAC アドレスを伝送します。DHCP プローブの dhcp-requested address 属性と RADIUS プローブの Framed-IP-address 属性によって、エンドポイントの IP アドレスがその MAC アドレスとともに伝送されます。これらのアドレスは、マッピングして ARP キャッシュに格納できます。

ネットワーク スキャンでは、エンドポイントの MAC アドレスが返される場合と返されない場合があります。これらのエンドポイントには、受信した IP アドレスに基づく IP-MAC アドレスのバインディングが使用されます。

Cisco ISE と Cisco Network Admission Control アプライアンスの統合

Cisco ISE では、Cisco Network Admission Control(NAC)アプライアンス リリース 4.9 との統合をサポートしています。統合のサポートは Cisco NAC アプライアンス リリース 4.9 とのみ互換性があり、Cisco ISE に拡張ライセンスまたはワイヤレス ライセンスがインストールされている場合に使用できます。

Cisco ISE を Cisco NAC アプライアンス リリース 4.9 と統合すると、Cisco NAC 展開で Cisco ISE プロファイリング サービスを利用できます。Cisco ISE プロファイラは、企業ネットワークを管理する Cisco NAC 展開の Cisco Network Admission Control(NAC)プロファイラに似ています。この統合により、Cisco NAC 展開にインストールされている既存の Cisco NAC プロファイラを置き換えることができます。Cisco ISE プロファイラからのプロファイル名およびエンドポイント分類の結果を Cisco Clean Access Manager(CAM)と同期できます。

前提条件:

Clean Access Manager(CAM)および Clean Access Server(CAS)をネットワークに導入するには、Cisco NAC アプライアンスを設置し、初期設定を実行している必要があります。


) Cisco ISE と CAM 間でセキュアな通信を適切に行えるように、[管理(Administration)] > [Clean Access Manager] > [SSL] で X509 証明書の内容を Clean Access Manager からエクスポートし、同じ内容を [管理(Administration)] > [システム(System)] > [証明書(Certificates)] [証明書信頼ストア(Certificate Trust Store)] で Cisco ISE のプライマリ管理 ISE ノードにインポートする必要があります。


Cisco NAC アプライアンス ハードウェアの設置方法の詳細については、『 Cisco NAC Appliance Hardware Installation Guide, Release 4.9 』を参照してください。Cisco NAC アプライアンス リリース 4.9 の設置、設定、および管理を行う際には、『 Cisco NAC Appliance - Clean Access Manager Configuration Guide, Release 4.9 』と『 Cisco NAC Appliance - Clean Access Server Configuration Guide, Release 4.9 』も参照してください。

次の場所にある、Cisco NAC アプライアンス リリース 4.9 の互換性のあるマニュアル セットを参照してください。

http://www.cisco.com/en/US/products/ps6128/prod_installation_guides_list.html

http://www.cisco.com/en/US/products/ps6128/products_installation_and_configuration_guides_list.html

http://www.cisco.com/en/US/products/ps6128/prod_release_notes_list.html

Cisco ISE で CAM を設定する方法の詳細については、「Cisco ISE での Cisco Clean Access Manager の設定」を参照してください。

Cisco ISE での Cisco Clean Access Manager の設定

プライマリ管理 ISE ノードは、Cisco ISE と Cisco NAC アプライアンス間のすべての通信を担当します。分散展開にはプライマリ管理 ISE ノードを 1 つだけ設置し、そのノードで管理ペルソナを担当する必要があります。ハイ アベイラビリティを実現するために、管理ペルソナを担当する管理 ISE ノードを最大 2 つ設置し、1 つをプライマリ ノード、もう 1 つをセカンダリ ノードにすることもできます。これにより、Cisco ISE 分散展開のハイ アベイラビリティ構成でフェールオーバーがサポートされます。管理 ISE ノードには自動フェールオーバーがありません。

ハイ アベイラビリティ構成では、プライマリ管理 ISE ノードがアクティブ状態で、すべての設定変更はそのノードに対して行われます。セカンダリ管理 ISE ノードはスタンバイ状態で、すべての設定変更はプライマリ管理 ISE ノードからそのノードに対して更新されます。プライマリ管理 ISE ノードがダウンした場合、セカンダリ管理 ISE ノードのユーザ インターフェイスにログインし、そのノードをプライマリ ノードにする必要があります。したがって、常にプライマリ管理 ISE ノードからの設定の完全なコピーが存在することになります。

詳細については、「分散環境での Cisco ISE の設定」を参照してください。

Cisco ISE では、CAM をプライマリ管理 ISE ノードでのみ設定できます。1 つ以上の CAM をプライマリ管理 ISE ノードで登録するときに使用されたクレデンシャルが CAM との接続の認証に使用されます。

Cisco ISE と Cisco NAC アプライアンス間の通信は、Secure Sockets Layer(SSL)上で安全に行われます。Cisco ISE はプロファイラ設定の変更を CAM にプッシュし、CAM はエンドポイントの MAC アドレスと対応するプロファイルのリストおよびすべてのプロファイル名のリストを Cisco ISE から定期的にプルするため、通信は実際には双方向です。

Cisco ISE プロファイラは、プロファイラ設定の変更をプライマリ管理 ISE ノードからすべての登録済み CAM に通知します。これにより、Cisco ISE 分散展開における通知の重複が回避されます。Cisco ISE データベースでエンドポイントの追加や削除、およびエンドポイント ポリシーの変更が行われると、プロファイラ設定の変更を通知するために REST API が使用されます。エンドポイントのインポート時、Cisco ISE プロファイラはインポートの完了後にのみ CAM に通知します。

プロファイラ設定の変更を CAM にプッシュするために、次の REST API フローが実装されます。

Cisco ISE プロファイラ エンドポイント変更のプッシュ:Cisco ISE でエンドポイントがプロファイリングされ、エンドポイントのプロファイルに変更がある場合、Cisco ISE プロファイラは、エンドポイント プロファイルの変更をすべての登録済み CAM に通知します。

CAM で Cisco ISE を設定し、CAM の [同期設定(Sync Settings)] に応じて CAM を Cisco ISE と同期することもできます。ルールを作成し、Cisco ISE プロファイルのリストから 1 つ以上の一致するプロファイルを選択し、エンドポイントを CAM のいずれかのアクセス タイプにマッピングできます。CAM はエンドポイントと対応するプロファイル、およびプロファイル名のリストを Cisco ISE プロファイラから定期的に取得します。

プロファイラ設定の変更を Cisco ISE プロファイラからプルするために、次の REST API フローが実装されます。

NAC Manager のエンドポイント プル:エンドポイントの MAC アドレスと既知のエンドポイントの対応するプロファイルのリストをプルします。

NAC Manager のプロファイル プル:プロファイル名を Cisco ISE プロファイラからプルします。

Cisco ISE プロファイラは、Cisco ISE と Cisco NAC アプライアンス リリース 4.9 との統合のモニタとトラブルシューティングに使用できるすべてのイベントを Cisco ISE モニタリング ペルソナに通知します。

Cisco ISE プロファイラ ログには、統合のモニタリングとトラブルシューティングに関する次のイベントが取り込まれます。

NAC 設定の変更(情報)

NAC 通知イベント障害(エラー)

Cisco ISE における Clean Access Manager のフィルタリング、追加、編集、および削除

Cisco ISE では、REST API 通信設定のために分散展開のプライマリ管理 ISE ノードで複数の CAM を登録できます。Cisco ISE に登録されている CAM のリストは、すべてのプロファイラ設定変更が通知されるリストです。CAM を Cisco ISE に登録するときに、CAM の IP アドレスおよび CAM へのログインに使用するユーザ名とパスワードを指定する必要があります。


) ハイ アベイラビリティ構成で CAM のペアが共有する仮想サービス IP アドレスを使用できます。これで、ハイ アベイラビリティ構成で CAM のフェールオーバーをサポートできます。ハイ アベイラビリティのために CAM のペアを設定する方法の詳細については、Cisco NAC アプライアンス リリース 4.9 の互換性のあるリンクを参照してください。http://www.cisco.com/en/US/docs/security/nac/appliance/installation_guide/hardware/49/hi_ha.html#wp1084663


[NAC Managers] ページでは、複数の CAM を設定でき、登録した CAM をフィルタリングするためのオプションを使用できます。このページには、CAM が名前、説明、IP アドレス、および CAM でエンドポイント通知が有効になっているかどうかを示すステータスとともに表示されます。

Cisco CAM を管理するための手順には、次の作業が含まれます。

「Cisco ISE での Cisco Clean Access Manager のフィルタリング」

「Cisco ISE への Cisco Clean Access Manager の追加」

「Cisco ISE での Cisco Clean Access Manager の編集」

「Cisco ISE での Cisco Clean Access Manager の削除」

Cisco ISE での Cisco Clean Access Manager のフィルタリング

[NAC Managers] ページで [表示(Show)] ドロップダウン リストを使用するか [フィルタ(Filter)] アイコンをクリックして、クイック フィルタを呼び出したり、閉じたりすることができます。クイック フィルタは、[NAC Managers] ページで CAM をフィルタリングするために使用できる簡単なフィルタです。クイック フィルタを使用すると、CAM が [NAC Managers] ページの名前、説明、IP アドレスなどのフィールド説明に基づいてフィルタリングされます。

[表示(Show)] ドロップダウン リストを使用して、拡張フィルタを呼び出すことができます。拡張フィルタは複雑なフィルタであり、[NAC Managers] ページで結果とともに、後で使用したり取得したりするためにプリセットしておくことができます。拡張フィルタを使用すると、CAM がフィールド説明に関連付けられた特定の値に基づいてフィルタリングされます。フィルタを追加または削除したり、一連のフィルタを組み合わせて 1 つの拡張フィルタにしたりすることができます。

プリセット フィルタを管理するには、[プリセット フィルタの管理(Manage Preset Filters)] オプションを使用します。このオプションを選択すると、すべてのプリセット フィルタが一覧表示されます。リスト内のプリセット フィルタにはセッション ライフタイムがあり、[NAC Managers] ページに結果が表示されます。プリセット フィルタを作成して保存したら、[NAC Managers] ページでフィルタリングされた結果のプリセット フィルタを選択できます。プリセット フィルタを編集することも、プリセット フィルタ リストから削除することもできます。

CAM を [NAC Managers] ページでフィルタリングするには、次の手順を実行します。


ステップ 1 [管理(Administration)] > [ネットワーク リソース(Network Resources)] > [NAC Managers] を選択します。

[NAC Managers] ページに、Cisco ISE に登録されているすべての CAM が一覧表示されます。

ステップ 2 [NAC Managers] ページの [表示(Show)] ドロップダウン矢印をクリックしてフィルタ オプションを表示します。

ここでは、クイック フィルタ、フィルタリング用の拡張フィルタ、[プリセット フィルタの管理(Manage Preset Filters)] オプション(フィルタリング用のプリセット フィルタを管理できる)を選択できます。 表 18-27 を参照してください。

詳細については、「クイック フィルタ オプションを使用してフィルタリングするには、次の手順を実行します。」および「拡張フィルタ オプションを使用してフィルタリングするには、次の手順を実行します。」を参照してください。


) CAM のリストに戻るには、[表示(Show)] ドロップダウン リストから [すべて(All)] を選択します。フィルタリングなしですべての CAM が表示されます。



 

クイック フィルタ オプションを使用してフィルタリングするには、次の手順を実行します。

クイック フィルタを使用すると、CAM が [NAC Managers] ページの各フィールド説明に基づいてフィルタリングされます。いずれかのフィールドの内部をクリックし、フィールドに検索条件を入力すると、ページが更新されて結果が [NAC Managers] ページに表示されます。フィールドをクリアすると、[NAC Managers] ページにすべての CAM のリストが表示されます。


ステップ 1 フィルタリングするには、各フィールドで [実行(Go)] をクリックします。ページが更新されて結果が [NAC Managers] ページに表示されます。

ステップ 2 フィールドをクリアするには、各フィールドで [クリア(Clear)] をクリックします。


 

拡張フィルタ オプションを使用してフィルタリングするには、次の手順を実行します。

拡張フィルタでは、より複雑な変数を使用して CAM をフィルタリングできます。フィールド説明に一致する値に基づいて CAM をフィルタリングする 1 つ以上のフィルタが含まれています。1 行に 1 つのフィルタの場合、CAM は各フィールド説明とフィルタに定義した値に基づいてフィルタリングされます。複数のフィルタを使用して値の照合を行い、1 つの拡張フィルタ内でそれらのフィルタのいずれか 1 つまたは全部を使用して CAM をフィルタリングできます。


ステップ 1 フィールドの説明を選択するには、ドロップダウン矢印をクリックします。

ステップ 2 演算子を選択するには、ドロップダウン矢印をクリックします。

ステップ 3 選択したフィールドの説明の値を入力します。

ステップ 4 フィルタを追加するには [行の追加(Add Row)](プラス [+] 記号)をクリックし、フィルタを削除するには [行の削除(Remove Row)](マイナス [-] 記号)をクリックします。

ステップ 5 各フィルタの値に一致させるには [すべて(All)] をクリックし、いずれか 1 つのフィルタの値に一致させるには [任意(Any)] をクリックします。

ステップ 6 [実行(Go)] をクリックしてフィルタリングを開始します。

ステップ 7 [保存(Save)] アイコンをクリックしてフィルタを保存します。

[プリセット フィルタの保存(Save a Preset Filter)] ダイアログが表示されます。フィルタを保存するファイル名を入力し、[保存(Save)] をクリックするか、[キャンセル(Cancel)] をクリックしてフィルタをクリアします。作成するプリセット フィルタの名前にはスペースは使用できません。現在のフィルタを保存しないでフィルタをクリアするには、[キャンセル(Cancel)] をクリックします。

ステップ 8 フィルタリングを行った後に [フィルタのクリア(Clear Filter)] をクリックします。


 

表 18-27 に、[NAC Managers] ページで CAM のフィルタリングに使用できるフィールドを示します。

表 18-27 Clean Access Manager のフィルタリング

フィルタリング方法
フィルタリング フィールド
フィルタリング フィールドの説明

クイック フィルタ

名前(Name)

このフィールドを使用すると、CAM の名前を使用して CAM をフィルタリングできます。

IP アドレス(IP Address)

このフィールドを使用すると、Cisco ISE に登録されている IP アドレスを使用して CAM をフィルタリングできます。

説明(Description)

このフィールドを使用すると、CAM の説明を使用して CAM をフィルタリングできます。

拡張フィルタ

次の中からフィールドの説明を選択します。

名前(Name)

IP アドレス(IP Address)

説明(Description)

ドロップダウン矢印をクリックしてフィールドの説明を選択します。

演算子(Operator)

[演算子(Operator)] フィールドでドロップダウン矢印をクリックして、CAM のフィルタリングに使用できる演算子を選択します。

値(Value)

[値(Value)] フィールドで、選択したフィールド説明の値を選択します。この値に基づいて CAM がフィルタリングされます。

Cisco ISE への Cisco Clean Access Manager の追加

CAM を [NAC Managers] ページで追加するには、次の手順を実行します。


ステップ 1 [管理(Administration)] > [ネットワーク リソース(Network Resources)] > [NAC Managers] を選択します。

[NAC Managers] ページが表示されます。

ステップ 2 [NAC Managers] ページで、[追加(Add)] をクリックします。


注意 作成して保存した後は、CAM の IP アドレスは編集できません。

[新規 NAC Manager(New NAC Manager)] ページが表示されます。

ステップ 3 表 18-28 に示すように、[新規 NAC Manager(New NAC Manager)] ページで値を変更します。

ステップ 4 [保存(Save)] をクリックします。

設定した Cisco Clean Access Manager が [NAC Managers] ページに表示されます。

ステップ 5 [新規 NAC Manager(New NAC Manager)] ページの [NAC Manager リスト(NAC Manager List)] リンクをクリックして、[NAC Managers] ページに戻ります。


 

表 18-28 に、CAM の作成に使用できる [NAC Managers] ページのフィールドを示します。

 

表 18-28 NAC Manager の追加

フィールド名
説明

名前(Name)

[名前(Name)] フィールドに、Cisco Access Manager(CAM)の名前を入力します。

ステータス(Status)

[ステータス(Status)] チェックボックスは、CAM への接続を認証する Cisco ISE Profiler からの REST API 通信を有効にする場合にオンにします。

説明(Description)

[説明(Description)] に、CAM の説明を入力します。

IP アドレス(IP Address)

[IP アドレス(IP Address)] フィールドに、CAM の IP アドレスを入力します。Cisco ISE で CAM を作成して保存したら、CAM の IP アドレスは編集できません。0.0.0.0 と 255.255.255.255 は、Cisco ISE で CAM の IP アドレスを検証するときに除外され、CAM の [IP アドレス(IP Address)] フィールドで使用できる有効な IP アドレスではないため、使用できません。

ユーザ名(Username)

[ユーザ名(Username)] に、CAM のユーザ インターフェイスにログオンできる CAM 管理者のユーザ名を入力します。

パスワード(Password)

[パスワード(Password)] に、CAM のユーザ インターフェイスにログオンできる CAM 管理者のパスワードを入力します。

Cisco ISE での Cisco Clean Access Manager の編集

[NAC Managers] ページでは、CAM の詳細(CAM の IP アドレスを除く)を編集できます。

CAM を [NAC Managers] ページで編集するには、次の手順を実行します。


ステップ 1 [管理(Administration)] > [ネットワーク リソース(Network Resources)] > [NAC Managers] を選択します。

[NAC Managers] ページが表示されます。

ステップ 2 [NAC Managers] ページで CAM を選択します。

ステップ 3 [編集(Edit)] をクリックします。

ステップ 4 表 18-28 に示すように、編集ページでフィールド値を変更します。

編集ページで [NAC Manager リスト(NAC Manager List)] リンクをクリックすると、[NAC Managers] ページに戻り、現在の入力データは保存されません。編集中に、編集ページの現在の入力データを保存しないで [リセット(Reset)] をクリックすることもできます。ここで、編集ページの現在の入力データを保存しないで設定を保持できます。

ステップ 5 [保存(Save)] をクリックして、編集ページの現在の入力データを保存します。

ステップ 6 CAM の編集後に編集ページで [NAC Manager リスト(NAC Manager List)] リンクをクリックして、[NAC Managers] ページに戻ります。


 

Cisco ISE での Cisco Clean Access Manager の削除

[NAC Managers] ページから CAM を削除できます。

CAM を [NAC Managers] ページで削除するには、次の手順を実行します。


ステップ 1 [管理(Administration)] > [ネットワーク リソース(Network Resources)] > [NAC Managers] を選択します。

[NAC Managers] ページが表示されます。[NAC Managers] ページで CAM を選択します。

ステップ 2 [削除(Delete)] を選択します。

[NAC Managers] ページから CAM を削除する場合は、確認ダイアログが表示されます。ダイアログで [削除(Delete)] をクリックすると、[NAC Managers] ページから CAM が削除されます。ダイアログで [キャンセル(Cancel)] をクリックすると、[NAC Managers] ページに戻り、CAM は削除されません。