Cisco Security Group Access のポリシー
Cisco Security Group Access のポリシー
発行日;2013/01/21 | 英語版ドキュメント(2012/03/19 版) | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 18MB) | フィードバック

目次

Cisco Security Group Access のポリシー

SGA アーキテクチャについて

SGA の機能および用語

SGA の要件

SGA ソリューションを有効にするための の設定

スイッチでの SGA の設定

SGA デバイスの設定

セキュリティ グループ アクセスの設定

セキュリティ グループ アクセス AAA サーバの設定

セキュリティ グループ アクセス AAA サーバの追加および編集

セキュリティ グループの設定

セキュリティ グループの追加および編集

セキュリティ グループ アクセス コントロール リストの設定

セキュリティ グループ アクセス コントロール リストの追加および編集

セキュリティ グループのデバイスへのマッピング

セキュリティ グループ マッピングの追加および編集

デバイスへの SGT 割り当てによる SGA ポリシーの設定

ユーザおよびエンドポイントへのセキュリティ グループの割り当て

出力ポリシー

出力ポリシーの表示

送信元ツリー

宛先ツリー

マトリクス ビュー

出力ポリシー テーブルのソートおよびフィルタリング

クイック フィルタ

拡張フィルタ

フィルタのプリセット

出力ポリシー テーブル セルの設定

出力ポリシー セルのマッピングの追加および編集

デフォルト ポリシーの編集

セルのマッピングの削除

出力ポリシーからの SGT および SGACL の設定

[プッシュ(Push)] ボタン

モニタ モード

モニタ モードのモニタリング

不明セキュリティ グループ

デフォルト ポリシー

OOB SGA PAC

SGA PAC プロビジョニング

[設定(Settings)] 画面からの SGA PAC の生成

[ネットワーク デバイス(Network Devices)] 画面からの SGA PAC の生成

[ネットワーク デバイス リスト(Network Devices List)] 画面からの SGA PAC の生成

SGA PAC のモニタリング

PAC プロビジョニング レポート

SGA CoA

CoA でサポートされるネットワーク デバイス

環境 CoA

環境 CoA の開始

ポリシーごとの CoA

RBACL 名前付きリストの更新 CoA

SGT マトリクスの更新 CoA

ポリシーの更新 CoA

SGA CoA の概要

SGA CoA のモニタリング

SGA CoA アラーム

SGA CoA レポート

Cisco Security Group Access のポリシー

この章では、セキュリティ グループ アクセス(SGA)ポリシーを使用して、Cisco Identity Services Engine(ISE)ノードを認証サーバとして設定する方法について説明します。これを行うには、Cisco SGA ソリューション対応ネットワークが必要です。

この章は次のトピックで構成されています。

「SGA アーキテクチャについて」

「SGA ソリューションを有効にするための ISE の設定」

「ユーザおよびエンドポイントへのセキュリティ グループの割り当て」

「出力ポリシー」

「OOB SGA PAC」

「SGA CoA」

SGA アーキテクチャについて

Cisco Security Group Access(SGA)ソリューションでは、信頼ネットワーク デバイスのクラウドを確立して、セキュアなネットワークを構築します。Cisco SGA クラウド内の個々のデバイスは、そのネイバー(ピア)によって認証されます。SGA クラウド内のデバイス間の通信は、暗号化、メッセージ整合性検査、データパス リプレイ防止メカニズムを組み合わせたセキュリティで保護されます。SGA ソリューションでは、認証中に取得したデバイスおよびユーザ ID 情報を使用して、ネットワークに入ってきたパケットを分類(色付け)します。このパケット分類は、パケットが SGA ネットワークに入ってきたときに、そのパケットにタグ付けすることによって維持されます。これにより、パケットはデータ パス全体で正しく識別され、セキュリティおよびその他のポリシー基準が適用されるようになります。このタグは、セキュリティ グループ タグ(SGT)と呼ばれることもあります。エンドポイント デバイスで SGT に応じてトラフィックをフィルタリングできるようにすることにより、Cisco ISE でアクセス コントロール ポリシーを適用できるようになります。


) SGA サービスを有効にするには、Cisco ISE の拡張ライセンス パッケージが必要です。


SGA ソリューションの詳細については、 http://www.cisco.com/en/US/netsol/ns1051/index.html を参照してください。

図 23-1 に、SGA ネットワーク クラウドの例を示します。

図 23-1 SGA のアーキテクチャ

 

SGA の機能および用語

SGA ソリューションの主要な機能は次のとおりです。

ネットワーク デバイス アドミッション コントロール(NDAC):信頼ネットワークでは、認証中に、SGA クラウド内にある各ネットワーク デバイス(イーサネット スイッチなど)のクレデンシャルおよび信頼性が、そのピア デバイスによって検証されます。NDAC は IEEE 802.1x ポートベース認証を使用し、その拡張認証プロトコル(EAP)方式として Extensible Authentication Protocol-Flexible Authentication via Secure Tunneling(EAP-FAST)を使用します。NDAC プロセスの認証および許可が成功すると、IEEE 802.1AE 暗号化のセキュリティ アソシエーション プロトコル ネゴシエーションが実行されます。

エンドポイント アドミッション コントロール(EAC):SGA クラウドに接続しているエンドポイント ユーザまたはデバイスの認証プロセス。EAC は一般的にアクセス レベル スイッチで実行されます。EAC プロセスの認証および許可が成功すると、ユーザまたはデバイスに対する SGT 割り当てが実行されます。認証および許可の EAC アクセス方法には次のものがあります。

802.1X ポートベースの認証

MAC 認証バイパス(MAB)

Web 認証(WebAuth)

セキュリティ グループ(SG):アクセス コントロール ポリシーを共有するユーザ、エンドポイント デバイス、およびリソースのグループ。SG は、管理者が Cisco ISE で定義します。新規ユーザおよびデバイスが SGA ドメインに追加されると、Cisco ISE では、これらの新規エントリを適切なセキュリティ グループに割り当てます。

セキュリティ グループ タグ(SGT):SGA サービスは各セキュリティ グループに、その範囲が SGA ドメイン内でグローバルな、一意のセキュリティ グループ番号(16 ビット)を割り当てます。スイッチ内のセキュリティ グループの数は、認証されたネットワーク エンティティの数に制限されます。セキュリティ グループ番号を手動で設定する必要はありません。これらは自動的に生成されますが、IP と SGT とのマッピング用に SGT の範囲を予約しておくことができます。

セキュリティ グループ アクセス コントロール リスト(SGACL):SGACL では、割り当てられている SGT に基づいてアクセスおよび権限を制御できます。権限をロールにまとめることにより、セキュリティ ポリシーの管理が容易になります。デバイスを追加するときに、1 つ以上のセキュリティ グループを割り当てるだけで、即座に適切な権限が付与されます。セキュリティ グループを変更することにより、新しい権限を追加したり、現在の権限を制限することもできます。

セキュリティ交換プロトコル(SXP):セキュリティ交換プロトコル(SXP)は、SGA サービス用に開発されたプロトコルで、SGT 対応ハードウェアをサポートしていないネットワーク デバイス間で、SGT/SGACL をサポートしているハードウェアに IP と SGT とのバインディング テーブルを伝播します。

環境データのダウンロード:SGA デバイスは、初めて信頼ネットワークに参加するときに、その環境データを Cisco ISE から取得します。デバイス上の一部のデータは、手動で設定することもできます。デバイスでは、期限切れになる前に環境データを更新する必要があります。SGA デバイスは、次の環境データを Cisco ISE から取得します。

サーバ リスト:クライアントがその後の RADIUS 要求に使用できるサーバのリスト(認証および許可の両方)

デバイス SG:そのデバイス自体が属しているセキュリティ グループ

有効期間:SGA デバイスが環境データをダウンロードまたは更新する頻度を左右する期間

SGT 予約:IP と SGT とのマッピングを有効にするために SGT の範囲を予約する、ISE の拡張機能。

IP と SGT とのマッピング:エンドポイント IP を SGT にバインドして SGA 対応デバイスにプロビジョニングする ISE の拡張機能。

ID とポートとのマッピング:エンドポイントの接続先のポートでスイッチが ID を定義するための方法で、この ID を使用して Cisco ISE サーバ内の特定の SGT 値が検索されます。

表 23-1 に、SGA ソリューションで使用される一般的な用語および SGA 環境でのそれらの意味を示します。

 

表 23-1 SGA の用語

用語
意味

サプリカント

信頼ネットワークへの参加を試行するデバイス。

認証

信頼ネットワークへの参加を許可する前に、各デバイスの ID を検証するプロセス。

許可

信頼ネットワーク上のリソースへのアクセスを要求しているデバイスに対し、デバイスの認証 ID に基づいてアクセスのレベルを決定するプロセス。

アクセス コントロール

各パケットに割り当てられている SGT に基づいて、パケットごとにアクセス コントロールを適用するプロセス。

セキュアな通信

信頼ネットワーク内の各リンクを経由して流れるパケットをセキュリティで保護するための、暗号化、整合性、データパス リプレイ保護のプロセス。

SGA デバイス

SGA ソリューションをサポートする Cisco Catalyst 6000 シリーズまたは Cisco Nexus 7000 シリーズのスイッチ。

SGA 対応デバイス

SGA 対応デバイスとは、SGA 対応のハードウェアとソフトウェアを備えたデバイスです。たとえば、Nexus オペレーティング システムを搭載した Nexus 7000 シリーズ スイッチなどです。

SGA シード デバイス

Cisco ISE サーバに対して直接認証を行う SGA デバイス。オーセンティケータとサプリカントの両方として機能します。

入力

Cisco SGA ソリューションが有効になっているネットワーク内の SGA 対応デバイスにパケットが初めて到達すると、SGT を使用してパケットにタグが付けられます。この信頼ネットワークへの入り口点を入力と呼びます。

出力

Cisco SGA ソリューションが有効になっているネットワーク内の最後の SGA 対応デバイスをパケットが通過すると、タグが解除されます。この信頼ネットワークからの出口点を出力と呼びます。

SGA の要件

Cisco SGA ソリューションが有効になった Cisco ISE ネットワークを設定するには、SGA ソリューションおよび他のコンポーネントをサポートするスイッチが必要です。 表 23-2 に、サポートされている Cisco スイッチのプラットフォームを示します。

 

表 23-2 SGA の要件

サポートされている Cisco スイッチのプラットフォーム
プラットフォーム
オペレーティング システムのバージョン
要件

Cisco Nexus 7000 シリーズ

Cisco Nexus オペレーティング システム Release 5.0.2a

(注) Cisco SGA の拡張サービス パッケージ ライセンスが必要です。

エンフォースメント ポイントとして必須

Supervisor Engine 32 か 720、または Virtual Switching System(VSS)720 を搭載した Cisco Catalyst 6500E スイッチ

Cisco IOS ソフトウェア Release 12.2(33) SXI3 以降

アクセス スイッチとして任意

Cisco Catalyst 4900 シリーズ スイッチ

Cisco IOS ソフトウェア Release 2.2(50) SG7 以降

アクセス スイッチとして任意

Supervisor 6L-E または 6-E を搭載した Cisco Catalyst 4500E スイッチ

Cisco IOS ソフトウェア Release 12.2(50) SG7 以降

アクセス スイッチとして任意

Cisco Catalyst 3750-X または 3560-X シリーズ スイッチ

Cisco IOS ソフトウェア Release 12.2(53) SE1 以降

アクセス スイッチとして任意

Cisco Catalyst 3750 または 3560 シリーズ スイッチ

Cisco IOS ソフトウェア Release 12.2(53) SE1 以降

アクセス スイッチとして任意

Cisco Catalyst ブレード スイッチ 3000 または 3100 シリーズ

Cisco IOS ソフトウェア Release 12.2(53) SE1 以降

アクセス スイッチとして任意

表 23-2 に示されているスイッチ以外に、IEEE 802.1X プロトコルを使用した ID ベースのユーザ アクセス コントロールには、その他のコンポーネントが必要です。Microsoft Active Directory が稼働している Microsoft Windows 2003 または 2008 サーバ、認証局(CA)サーバ、ドメイン ネーム システム(DNS)サーバ、およびダイナミック ホスト コンフィギュレーション プロトコル(DHCP)サーバなどです。Microsoft Windows オペレーティング システムが稼働しているエンド ホストをこの環境に含めることもできます。 表 23-3 に、Cisco SGA 環境に必要となる可能性のあるその他のコンポーネントを示します。

 

表 23-3 その他のコンポーネント

コンポーネント
説明

ユーザ ID リポジトリ

Cisco ISE の内部ユーザ データベースを使用することもできますが、ID 認証には外部データベースを使用することを推奨します。ISE では、Microsoft Active Directory および Lightweight Directory Access Protocol(LDAP)サービスへの接続がサポートされています。

DHCP サービス

DHCP サービスを提供する DHCP サーバ。たとえば、Microsoft Windows Server 2008 DHCP サーバなどです。

DNS サービス

DNS サービスを提供する DNS サーバ。たとえば、Microsoft Windows Server 2008 DNS サーバなどです。

認証権限サーバ

標準の CA サービスを提供する認証権限サーバ。たとえば、Microsoft Windows Server 2008 CA サーバなどです。

ターゲット サーバ

HTTP、FTP、セキュア シェル(SSH)、さらには SGACL をテストするファイル共有などのインターネット サービスを提供するサーバ

エンドポイント PC

SGA はサプリカントにとらわれないソリューションで、エンドポイント PC で稼働する特定のエージェントまたは IEEE 802.1X サプリカントを必要としません。Cisco Secure Services Client サプリカント、Microsoft Windows または別のオペレーティング システムに組み込みのサプリカント、またはその他のサードパーティ製サプリカントを使用できます

Cisco ISE が SGA 展開と相互運用できるようにするには、スイッチに SGA スイッチ ポートを設定する必要があります。詳細については、「Cisco セキュリティ グループ アクセス スイッチ ポートの有効化」を参照してください。

SGA ソリューションを有効にするための ISE の設定

ここでは、Cisco ISE ネットワークで SGA ソリューションを有効にするために実行する必要がある作業について説明します。


) SGA ソリューションを有効にするには、拡張 Cisco ISE ライセンスが必要です。ライセンスの詳細については、「ライセンスの管理」を参照してください。


この項では、次のトピックを扱います。

「スイッチでの SGA の設定」

「SGA デバイスの設定」

「セキュリティ グループ アクセスの設定」

「セキュリティ グループ アクセス AAA サーバの設定」

「セキュリティ グループの設定」

「セキュリティ グループ アクセス コントロール リストの設定」

「セキュリティ グループのデバイスへのマッピング」

「デバイスへの SGT 割り当てによる SGA ポリシーの設定」

スイッチでの SGA の設定

Cisco ISE が SGA 展開と相互運用できるようにするには、スイッチに SGA スイッチ ポートを設定する必要があります。詳細については、「Cisco セキュリティ グループ アクセス スイッチ ポートの有効化」を参照してください。

Cisco ISE での SGA の設定に加えて、SGA デバイスでもいくつかの設定が必要です。これらの設定は Catalyst スイッチと Nexus スイッチとで異なり、次の URL で入手可能な Catalyst および Nexus スイッチ設定ガイドに記載されています。

Catalyst 6500 シリーズ スイッチの場合: http://www.cisco.com/en/US/docs/switches/lan/trustsec/configuration/guide/trustsec.html

Nexus 7000 シリーズ スイッチの場合:

http://www.cisco.com/en/US/docs/switches/datacenter/sw/5_x/nx-os/security/configuration/guide/b_Cisco_Nexus_7000_NX-OS_Security_Configuration_Guide__Release_5.x.html

Nexus 7000 シリーズ スイッチを使用した設定例:

http://www.cisco.com/en/US/docs/switches/datacenter/sw/5_x/nx-os/configuration_examples/
configuration/guide/Cisco_Nexus_7000_Series_NX-OS_Configuration_Examples_Release_5.x
_chapter4.html#con_1191129

SGA デバイスの設定

Cisco ISE で SGA 対応デバイスからの要求を処理するには、これらの SGA 対応デバイスを Cisco ISE で定義しておく必要があります。ここでは、Cisco ISE で SGA 対応デバイスを定義する方法について説明します。

前提条件:

すべての Cisco ISE 管理者アカウントには、1 つ以上の管理ロールが割り当てられています。次の手順で説明されている操作を実行するには、スーパー管理者またはネットワーク デバイス管理者のいずれかのロールを割り当てられている必要があります。さまざまな管理ロールの詳細と、各ロールに関連付けられている権限については、 「Cisco ISE 管理者グループのロールおよび役割」 を参照してください。

SGA デバイスを設定するには、次の手順を実行します。


ステップ 1 「デバイスの追加と編集」の説明に従って、ネットワーク デバイスを追加します。 表 23-4 に、SGA 固有の設定を示します。

ステップ 2 [送信(Submit)] をクリックし、SGA デバイス定義を保存します。


 

次の手順:

「セキュリティ グループ アクセスの設定」

[ネットワーク デバイス(Network Devices)]:SGA 属性

表 23-4 に、[ネットワーク デバイス(Network Devices)] ページにある SGA 固有のフィールドとその説明を示します。

 

表 23-4 [ネットワーク デバイス(Network Devices)]:SGA 属性

フィールド
説明

SGA 属性(SGA Attributes)

(必須)このチェックボックスをオンにして、SGA ソリューションに固有の設定を行います。SGA デバイスはこれらの設定を使用して ISE と通信します。

SGA の通知および更新(SGA Notifications and Updates)

SGA ID にデバイス ID を使用(Use Device ID for SGA Identification)

デバイス名をデバイス ID として [デバイス ID(Device ID)] フィールドにリストする場合は、このチェックボックスをオンにします。

デバイス ID(Device Id)

(必須)SGA デバイスの識別に使用されます。デフォルトでは、このフィールドは空白です。[SGA ID にデバイス ID を使用(Use Device ID for SGA Identification)] チェックボックスをオンにしている場合は、このフィールドにデバイス名が表示されます。この ID は、任意の説明的な名前に変更できます。

パスワード(Password)

(必須)SGA デバイスを認証するためのパスワード(SGA デバイスのコマンドライン インターフェイスで(CLI)で設定したパスワードと同じ)。

環境データのダウンロード間隔(Download Environment Data Every)

(必須)環境データの有効期限を指定します。SGA デバイスはその環境情報を ISE からダウンロードします。これらのダウンロードの時間間隔を秒、分、時、または日数で設定できます。たとえば、60 秒に指定すると、デバイスは 1 分ごとに ISE からその環境データをダウンロードします。デフォルト値は 86,400 秒(1 日)です。有効な範囲は 1 ~ 24850 です。

ピア許可ポリシーのダウンロード間隔(Download Peer Authorization Policy Every)

(必須)ピア許可ポリシーの有効期限を指定します。SGA デバイスは ISE からそのピア許可ポリシーをダウンロードします。これらのダウンロードの時間間隔を秒、分、時、または日数で設定できます。たとえば、60 秒に指定すると、デバイスは 1 分ごとに ISE からそのピア許可ポリシーをダウンロードします。デフォルト値は 86,400 秒(1 日)です。有効な範囲は 1 ~ 24850 です。

再認証間隔(Reauthentication Every)

(必須)802.1X の再認証期間を指定します。SGA ソリューションを使用して設定されたネットワークでは、SGA デバイスは初期認証後に ISE に対して自分自身の再認証を行います。これらの再認証の時間間隔を秒、分、時、または日数で設定できます。たとえば、1000 秒に指定すると、デバイスは 1000 秒ごとに ISE に対して自分自身の認証を行います。デフォルト値は 86,400 秒(1 日)です。有効な範囲は 1 ~ 24850 です。

SGACL リストのダウンロード間隔(Download SGACL Lists Every)

(必須)SGACL リストの有効期限を指定します。SGA デバイスは ISE から SGACL をダウンロードします。これらのダウンロードの時間間隔を設定できます。たとえば、3600 秒に指定すると、デバイスは 3600 秒ごとに ISE から SGACL リストを取得します。デフォルト値は 86,400 秒(1 日)です。有効な範囲は 1 ~ 24850 です。

その他の SGA デバイスでこのデバイスを信頼する(信頼できる SGA)(Other SGA Devices to Trust This Device (SGA Trusted))

すべてのピア デバイスでこのデバイスを信頼する場合は、このチェックボックスをオンにします。このデバイスのチェックをオフにした場合、ピア デバイスはこのデバイスを信頼せず、このデバイスから到着したすべてのパケットが適宜色付けされるかまたはタグ付けされます。このオプションは、デフォルトで有効です。

セキュリティ グループ タグ マッピングの展開時にこのデバイスを含める(Include This Device When Deploying Security Group Tag Mapping Updates)

この SGA デバイスで、デバイス構成クレデンシャルを使用して IP と SGT とのマッピングを取得する場合は、このチェックボックスをオンにします。

SGA 設定の変更についてこのデバイスに通知する(Notify this device about SGA configuration changes)

Cisco ISE でこの SGA デバイスに SGA CoA 通知を送信する場合は、このチェックボックスをオンにします。このオプションは、デフォルトで有効です。

アウトオブバンド(OOB)SGA PAC(Out of Band (OOB) SGA PAC)

発行日(Issuing Date) 1

このデバイス用に Cisco ISE によって生成された最後の SGA PAC の発行日を保持します。

有効期限(Expiration Date) 1

このデバイス用に Cisco ISE によって生成された最後の SGA PAC の有効期限を保持します。

発行元(Issued By) 1

このデバイス用に Cisco ISE によって生成された最後の SGA PAC の発行者(SGA 管理者)の名前を保持します。

1.このフィールドは読み取り専用で、常に無効になっており、デフォルトでは空になっています。ここには、Cisco ISE でこのデバイス用に生成された最後の SGA PAC の発行日、有効期限、または発行者が自動的に入力されます。SGA PAC の詳しい生成方法については、「SGA PAC プロビジョニング」を参照してください。

セキュリティ グループ アクセスの設定

ISE が SGA サーバとして機能して SGA サービスを提供するには、いくつかのグローバル SGA 設定を定義する必要があります。この項では、この作業を行う手順について説明します。

前提条件:

グローバル SGA 設定の前に、グローバル EAP-FAST 設定の定義が完了していることを確認します([管理(Administration)] > [システム(System)] > [グローバル オプション(Global Options)] > [プロトコル設定(Protocol Settings)] > [EAP-FAST] > [EAP-FAST 設定(EAP-FAST Settings)] を選択します)。

[機関識別情報の説明(Authority Identity Info Description)] を Cisco ISE サーバ名に変更する必要があります。この説明は、クレデンシャルをエンドポイント クライアントに送信する ISE サーバを説明したわかりやすい文字列にします。Cisco SGA アーキテクチャのクライアントには、IEEE 802.1X 認証の EAP 方式として EAP-FAST を実行するエンドポイント、または NDAC を実行するサプリカント ネットワーク デバイスのいずれも使用できます。クライアントは、この文字列を Protected Access Credentials(PAC)Type-Length-Value(TLV)情報で認識できます。デフォルト値は [Cisco Identity Services Engine] です。NDAC 認証時に、ネットワーク デバイスで ISE PAC 情報が一意に識別されるように、この値を変更する必要があります。

すべての Cisco ISE 管理者アカウントには、1 つ以上の管理ロールが割り当てられています。次の手順で説明されている操作を実行するには、スーパー管理者またはポリシー管理者のいずれかのロールを割り当てられている必要があります。さまざまな管理ロールの詳細と、各ロールに関連付けられている権限については、 「Cisco ISE 管理者グループのロールおよび役割」 を参照してください。

全般的な SGA 設定を行うには、次の手順を実行します。


ステップ 1 [管理(Administration)] > [システム(System)] > [設定(Settings)] > [セキュリティ グループ アクセス(Security Group Access)] を選択します。

[セキュリティ グループ アクセス(Security Group Access)] ページが表示されます。

ステップ 2 次の説明に従って値を入力します。

[トンネル PAC の存続可能時間(Tunnel PAC Time to Live)]:PAC の有効期限を指定します。トンネル PAC は EAP-FAST プロトコル用のトンネルを生成します。時間を秒、分、時、日数、または週数で指定できます。デフォルト値は 90 日です。有効な範囲は次のとおりです。

1 ~ 157680000 秒

1 ~ 2628000 分

1 ~ 43800 時間

1 ~ 1825 日

1 ~ 260 週

[予防的 PAC 更新が発生するまでの時間(Proactive PAC Update Will Occur After)]:予防的 PAC 更新の時間をこのフィールドで設定します。ISE は、認証に成功した後、設定したパーセンテージのトンネル PAC TTL が残っているときに、新しい PAC をクライアントに予防的に提供します。トンネル PAC 更新は、最初に正常に認証が実行されてから、PAC の有効期限が切れるまでの間に、サーバによって開始されます。このメカニズムにより、クライアントは常に有効な PAC で更新されます。デフォルト値は 10% です。有効な範囲は 1 ~ 100 です。

[システムですべてのタグを自動生成(All Tags Automatically Generated by System)]:すべての SGT を Cisco ISE で自動生成する場合は、このオプションを選択します。詳細については、「セキュリティ グループのデバイスへのマッピング」を参照してください。


) SGA デバイスに特定のセキュリティ グループおよびポリシーを手動で設定する予定の場合にのみ、このオプションを使用することを推奨します。


[範囲の予約(Reserve a Range)]:デバイスに手動で設定するためにセキュリティ グループ タグ(SGT)の範囲を予約する場合は、このオプションを選択します。このオプションを選択する場合は、1 ~ 65535 の範囲を指定する必要もあります。

Cisco ISE はデフォルトでは [不明(Unknown)] で SGT を作成し、これは 0 の値をとります。


) SGT の範囲を設定した場合、Cisco ISE は SGT 値の生成時にこれらの範囲に含まれる値を使用しません。


ステップ 3 [保存(Save)] をクリックします。


 

次の手順:

「セキュリティ グループ アクセス AAA サーバの設定」

セキュリティ グループ アクセス AAA サーバの設定

展開内の Cisco ISE サーバのリストを AAA サーバ リストに設定して、これらの任意のサーバに対して SGA デバイスの認証が行われるようにできます。このリストに ISE サーバを追加すると、これらすべてのサーバの詳細が SGA デバイスにダウンロードされます。SGA デバイスは、認証を試行するときに、このリストから Cisco ISE サーバを選択します。最初のサーバがダウン状態またはビジー状態の場合、SGA デバイスはこのリストにある別の任意のサーバに対して自分自身の認証を行うことができます。デフォルトでは、プライマリ ISE サーバは SGA AAA サーバです。1 つのサーバがビジー状態の場合に、このリストの別のサーバで SGA 要求を処理できるように、この AAA サーバ リスト内に追加の ISE サーバを設定することを推奨します([管理(Administration)] > [ネットワーク リソース(Network Resources)] > [SGA AAA サーバ(SGA AAA Servers)])。

このページには、SGA AAA サーバとして設定した展開内の ISE サーバがリストされます。

[プッシュ(Push)] ボタンをクリックすると、複数の SGA AAA サーバを設定した後に、環境 CoA 通知を開始できます。この環境 CoA 通知は、すべての SGA ネットワーク デバイスに送信され、変更されたすべての SGA AAA サーバの更新が提供されます。

関連項目

セキュリティ グループ アクセス AAA サーバの追加および編集

セキュリティ グループ アクセス AAA サーバの追加および編集

前提条件:

すべての Cisco ISE 管理者アカウントには、1 つ以上の管理ロールが割り当てられています。次の手順で説明されている操作を実行するには、スーパー管理者またはネットワーク デバイス管理者のいずれかのロールを割り当てられている必要があります。さまざまな管理ロールの詳細と、各ロールに関連付けられている権限については、 「Cisco ISE 管理者グループのロールおよび役割」 を参照してください。

AAA サーバ リストに対して追加または編集を行うには、次の手順を実行します。


ステップ 1 [管理(Administration)] > [ネットワーク リソース(Network Resources)] > [SGA AAA サーバ(SGA AAA Servers)] を選択します。

[AAA サーバ(AAA Servers)] ページが表示されます。

ステップ 2 次のいずれかを実行します。

[追加(Add)] をクリックして、このリストに Cisco ISE サーバを追加します。

編集する Cisco ISE サーバの隣にあるチェックボックスをオンにし、[編集(Edit)] をクリックします。

ステップ 3 次の説明に従って値を入力します。

[名前(Name)]:(必須)この AAA サーバ リスト内で Cisco ISE サーバに割り当てる名前。この名前は、Cisco ISE サーバのホスト名と異なっていてもかまいません。

[説明(Description)]:説明(任意)。

[IP]:(必須)AAA サーバ リストに追加する Cisco ISE サーバの IP アドレス。

[ポート(Port)]:(必須)SGA デバイスとサーバ間の通信が実行されるポート。デフォルトは 1812 です。

ステップ 4 [送信(Submit)] をクリックします。


 

次の手順:

「セキュリティ グループの設定」

セキュリティ グループの設定

セキュリティ グループ(SG)またはセキュリティ グループ タグ(SGT)は、SGA ポリシー設定で使用される要素です。SGT は、パケットが信頼ネットワーク内を移動する場合に付加されます。これらのパケットは、信頼ネットワークに入ったとき(入力)にタグ付けされ、信頼ネットワークから離れるとき(出力)にタグ解除されます。

SGT は順次的な方法で自動的に生成されますが、IP と SGT とのマッピング用に SGT の範囲を予約しておくことができます。Cisco ISE は、SGT の生成時に予約済みの番号をスキップします。

特定のセキュリティ グループを削除した場合、このセキュリティ グループに割り当てられている SGT は、後続の SGT がすべて削除されるまで再利用されません。

たとえば、SGT 2、3、および 4 が定義されていて SGT 2 を削除した場合、次に生成される SGT は SGT 5 になります。SGT 2 が次に生成されるようにする場合は、SGT 3 および 4 を削除する必要があります。

SGA サービスはこれらの SGT を使用して、出力時に SGA ポリシーを適用します。「デバイスへの SGT 割り当てによる SGA ポリシーの設定」を参照してください。

次の ISE 管理ユーザ インターフェイスからセキュリティ グループを設定できます。

[ポリシー(Policy)] > [ポリシー要素(Policy Elements)] > [結果(Results)] > [セキュリティ グループ アクセス(Security Group Access)] > [セキュリティ グループ(Security Groups)]。詳細については、「セキュリティ グループの追加および編集」を参照してください。

[出力ポリシー(egress policy)] ページから直接設定できます。[出力ポリシー(egress policy)] ページから SGT を設定するには、「出力ポリシーからの SGT および SGACL の設定」を参照してください。

[ポリシー(Policy)] > [ポリシー要素(Policy Elements)] > [結果(Results)] > [セキュリティ グループ アクセス(Security Group Access)] > [セキュリティ グループ(Security Groups)] ページで、[SGT の生成(Generate SGT)] ボタンをクリックします。詳細については、「セキュリティ グループの追加および編集」を参照してください。

[プッシュ(Push)] ボタンをクリックすると、複数の SGT を更新した後に、環境 CoA 通知を開始できます。この環境 CoA 通知は、すべての SGA ネットワーク デバイスに送信され、変更されたすべての SGT の更新が提供されます。

関連項目

セキュリティ グループの追加および編集

セキュリティ グループの追加および編集

前提条件:

すべての Cisco ISE 管理者アカウントには、1 つ以上の管理ロールが割り当てられています。次の手順で説明されている操作を実行するには、スーパー管理者またはポリシー管理者のいずれかのロールを割り当てられている必要があります。さまざまな管理ロールの詳細と、各ロールに関連付けられている権限については、 「Cisco ISE 管理者グループのロールおよび役割」 を参照してください。

セキュリティ グループを追加または編集するには、次の手順を実行します。


ステップ 1 [ポリシー(Policy)] > [ポリシー要素(Policy Elements)] > [結果(Results)] > [セキュリティ グループ(Security Groups)] を選択します。

[セキュリティ グループ(Security Groups)] ページが表示されます。Cisco ISE には、デフォルトのセキュリティ グループ [不明(Unknown)] があります。このページには、名前、10 進表記および 16 進表記の SGT、およびセキュリティ グループの説明(任意)が表示されます。

ステップ 2 [SGT の生成(Generate SGT)] をクリックします。

ステップ 3 次のいずれかを実行します。

[追加(Add)] をクリックして新規セキュリティ グループを追加します。

右矢印をクリックして、[セキュリティ グループ(Security Groups)] を展開し、編集するセキュリティ グループを選択するか、またはリスト ページで、編集するセキュリティ グループの隣にあるチェックボックスをオンにして、[編集(Edit)] をクリックします。


) 事前定義済みの [不明(Unknown)] セキュリティ グループは編集できません。


ステップ 4 次の説明に従って値を入力します。

[名前(Name)]:セキュリティ グループの名前。

[説明(Description)]:セキュリティ グループの説明(任意)。

[システムで自動的にタグを生成(Allow System to Automatically Generate Tag)]:([セキュリティ グループ アクセスの設定(Security Group Access Settings)] ページで [範囲の予約(Reserve a Range)] オプションを選択した場合にのみ表示されます)。ISE で SGT を自動的に生成する場合は、このオプションを選択します。このオプションを選択すると、タグ値が自動的に入力されます。このオプションが表示されるのは、グローバル SGA 設定のときに SGT の範囲を予約した場合のみです。詳細については、「セキュリティ グループ アクセスの設定」を参照してください。

[予約済みの範囲から値を選択(Select Value from Reserved Range)]:([セキュリティ グループ アクセスの設定(Security Group Access Settings)] ページで [範囲の予約(Reserve a Range)] オプションを選択した場合にのみ表示されます)。特定の IP アドレスに、予約済みの範囲から SGT を割り当てる場合は、このオプションを選択します。このオプションが表示されるのは、グローバル SGA 設定のときに SGT の範囲を予約した場合のみです。詳細については、「セキュリティ グループ アクセスの設定」を参照してください。

[セキュリティ グループ タグ(10 進/16 進)(Security Group Tag (Dec/Hex))]:ISE によってこの値が自動的に割り当てられます。この値は、0 ~ 65,535 まで連続的に番号付けされます。特定のセキュリティ グループ用にタグの範囲を予約して、これらの番号が自動生成されないようにすることができます。詳細については、「セキュリティ グループ アクセスの設定」を参照してください。

ステップ 5 [送信(Submit)] をクリックして、セキュリティ グループを保存します。


 


) SGA ソリューション内の個々のセキュリティ グループに一意の SGT を割り当てる必要があります。Cisco ISE では 65,535 SGT までサポートされていますが、SGT の数を少なくすると、SGA ソリューションをより簡単に展開および管理できるようになります。最大で 64000 SGT までにすることを推奨します。


次の手順:

「セキュリティ グループ アクセス コントロール リストの設定」

「ユーザおよびエンドポイントへのセキュリティ グループの割り当て」

セキュリティ グループ アクセス コントロール リストの設定

セキュリティ グループ アクセス コントロール リスト(SGACL)は、SGA ポリシー評価後に割り当てられる権限です。SGACL によって、IP アドレスまたはサブネット マスクのみではなく、ユーザのロールに基づいて、ユーザが実行できる操作が制限されます。SGACL は、ISE 管理ユーザ インターフェイスから設定できます([ポリシー(Policy)] > [ポリシー要素(Policy Elements)] > [結果(Results)] > [セキュリティ グループ アクセス(Security Group Access)] > [セキュリティ グループ ACL(Security Group ACLs)])。[出力ポリシー(egress policy)] ページから直接セキュリティ グループ ACL を設定することもできます。[出力ポリシー(egress policy)] ページから SGACL を設定するには、「出力ポリシーからの SGT および SGACL の設定」を参照してください。

[プッシュ(Push)] ボタンをクリックすると、複数の SGACL を更新した後に、環境 CoA 通知を開始できます。この環境 CoA 通知は、すべての SGA ネットワーク デバイスに送信され、変更されたすべての SGACL の更新が提供されます。

詳細については、「セキュリティ グループ アクセス コントロール リストの追加および編集」を参照してください。

セキュリティ グループ アクセス コントロール リストの追加および編集

前提条件:

すべての Cisco ISE 管理者アカウントには、1 つ以上の管理ロールが割り当てられています。次の手順で説明されている操作を実行するには、スーパー管理者またはポリシー管理者のいずれかのロールを割り当てられている必要があります。さまざまな管理ロールの詳細と、各ロールに関連付けられている権限については、 「Cisco ISE 管理者グループのロールおよび役割」 を参照してください。

SGACL を作成または編集するには、次の手順を実行します。


ステップ 1 [ポリシー(Policy)] > [ポリシー要素(Policy Elements)] > [結果(Results)] > [セキュリティ グループ ACL(Security Group ACLs)] を選択します。

SGACL のリストを含む [セキュリティ グループ ACL(Security Group ACLs)] ページが表示され、次の情報が示されます。

[名前(Name)]:SGACL の名前

[説明(Description)]:SGACL の説明(任意)

[IP バージョン(IP Version)]:この SGACL でサポートされる IP バージョン:

[IPv4]:IP バージョン 4(IPv4)がサポートされます

[IPv6]:IP バージョン 6(IPv6)がサポートされます

[両方(Agnostic)]:IPv4 と IPv6 の両方がサポートされます

ステップ 2 次のいずれかを実行します。

[追加(Add)] をクリックして SGACL を追加します。

編集する SGACL の隣にあるチェックボックスをオンにして、[編集(Edit)] をクリックするか、[セキュリティ グループ ACL(Security Group ACLs)] オブジェクト セレクタから SGACL を選択します。

ステップ 3 次の説明に従って値を入力します。

[名前(Name)]:(必須)SGACL の名前。

[説明(Description)]:SGACL の説明(任意)。

[IP バージョン(IP Version)]:この SGACL でサポートされる IP バージョンを指定します。

[IPv4]:IPv4 がサポートされます

[IPv6]:IPv6 がサポートされます

[両方(Agnostic)]:IPv4 と IPv6 の両方がサポートされます

[セキュリティ グループ ACL コンテンツ(Security Group ACL Content)]:(必須)アクセス コントロール リスト(ACL)コマンド。次に例を示します。

permit icmp

deny all

ステップ 4 [送信(Submit)] をクリックします。


 

Cisco Nexus オペレーティング システム 4.2 を搭載している Nexus 7000 シリーズでは、次のアクセス コントロール リスト エントリがサポートされています。

deny all

deny icmp

deny igmp

deny ip

deny tcp [{ dest | src } {{ eq | gt | lt | neq } port-number | range port-number1 port-number2 }]

deny udp [{ dest | src } {{ eq | gt | lt | neq } port-number | range port-number1 port-number2 }]

permit all

permit icmp

permit igmp

permit ip

permit tcp [{ dest | src } {{ eq | gt | lt | neq } port-number | range port-number1 port-number2 }]

permit udp [{ dest | src } {{ eq | gt | lt | neq } port-number | range port-number1 port-number2 }]

構文および使用方法の詳細については、次の URL を参照してください。

http://www.cisco.com/en/US/docs/switches/datacenter/sw/5_x/nx-os/security/command/reference/
sec_cmds_d.html#wp1057446

SGACL ACE、SGACL 名、または SGACL の IP バージョンを変更した場合、[プッシュ(Push)] をクリックすることで、累積されたすべての変更を SGA ネットワーク デバイスにプッシュできます。詳細については、「RBACL 名前付きリストの更新 CoA」を参照してください。

次の手順:

「デバイスへの SGT 割り当てによる SGA ポリシーの設定」

セキュリティ グループのデバイスへのマッピング

Cisco ISE では、デバイスのホスト名または IP アドレスがわかっている場合に、SGA デバイスに SGT を割り当てることができます。特定のホスト名または IP アドレスを持つデバイスがネットワークに参加すると、Cisco ISE によって認証前に SGT が割り当てられます。このマッピングは [セキュリティ グループ マッピング(Security Group Mappings)] ページから作成できます。この操作を実行する前に、SGT の範囲が予約済みであることを確認します。詳細については、 [範囲の予約(Reserve a Range)] オプションを参照してください。Cisco ISE 管理ユーザ インターフェイスからセキュリティ グループをデバイスにマッピングできます([ポリシー(Policy)] > [ポリシー要素(Policy Elements)] > [結果(Results)] > [セキュリティ グループ アクセス(Security Group Access)] > [セキュリティ グループ マッピング(Security Group Mappings)])。このページには、設定済みのセキュリティ グループ マッピングがリストされます。

詳細については、「セキュリティ グループ マッピングの追加および編集」を参照してください。

セキュリティ グループ マッピングの追加および編集

Cisco ISE では、Cisco ISE ユーザ インターフェイスからセキュリティ グループ マッピングを追加および編集できます。この項では、この作業を行う手順について説明します。

前提条件:

すべての Cisco ISE 管理者アカウントには、1 つ以上の管理ロールが割り当てられています。次の手順で説明されている操作を実行するには、スーパー管理者またはポリシー管理者のいずれかのロールを割り当てられている必要があります。さまざまな管理ロールの詳細と、各ロールに関連付けられている権限については、 「Cisco ISE 管理者グループのロールおよび役割」 を参照してください。

セキュリティ グループ マッピングを作成または編集するには、次の手順を実行します。


ステップ 1 [ポリシー(Policy)] > [ポリシー要素(Policy Elements)] > [結果(Results)] > [セキュリティ グループ マッピング(Security Group Mappings)] を選択します。

[セキュリティ グループ マッピング(Security Group Mappings)] ページが表示されます。

ステップ 2 次のいずれかを実行します。

[追加(Add)] をクリックして新規セキュリティ グループ マッピングを追加します。

編集する既存のセキュリティ グループ マッピングの隣にあるチェックボックスをオンにし、[編集(Edit)] をクリックします。

再割り当てする既存のセキュリティ グループ マッピングの隣にあるチェックボックスをオンにし、[グループの再割り当て(Reassign Groups)] をクリックします。詳細については、「デバイスへの SGT の再割り当て」を参照してください。

展開する既存のセキュリティ グループ マッピングの隣にあるチェックボックスをオンにし、[展開(Deploy)] をクリックします。詳細については、「SGA デバイスでの SGT の展開」を参照してください。

ステータスを確認する既存のセキュリティ グループ マッピングの隣にあるチェックボックスをオンにし、[>>] を選択してから [ステータスの確認(Check Status)] をクリックします。詳細については、「デバイスのセキュリティ グループ マッピングのステータス確認」を参照してください。

ステップ 3 表 23-5 に説明されているように値を入力します。

 

表 23-5 セキュリティ グループとホストとのマッピング

フィールド
説明

セキュリティ グループ(Security Group)

[選択(Select)] をクリックし、このデバイスに適用する SGT を選択します。

ホスト名(Hostname)

SGA デバイスのホスト名を入力します。

IP アドレス(IP Address)

SGA デバイスの IP アドレスを入力します。

ステップ 4 [送信(Submit)] をクリックします。

ステップ 5 [セキュリティ グループ マッピング リスト(Security Group Mapping List)] リンクをクリックして、リスト ページに戻ります。

フィルタを設定して特定のレコードのみを表示することもできます。単純条件に基づいてクイック フィルタを設定するか、または拡張フィルタを設定して高度な検索を実行できます。また、拡張カスタム ビューを保存することもできます。


 

SGA デバイスでの SGT の展開

セキュリティ グループ マッピングの隣にあるチェックボックスをオンにし、[展開(Deploy)] をクリックして SGA デバイスに SGT をダウンロードします。このオプションでは、SSH を経由してデバイスに接続し、コマンドを実行してデバイスに SGT をダウンロードします。[OK] をクリックしてこのページを閉じます。

デバイスのセキュリティ グループ マッピングのステータス確認

セキュリティ グループ マッピングの隣にあるチェックボックスをオンにし、[ステータスの確認(Check Status)] をクリックして、SGT がデバイスにダウンロードされているかどうかを確認します。このオプションでは、SGA デバイスのステータスを確認できます。[OK] をクリックしてこのページを閉じます。

デバイスへの SGT の再割り当て

セキュリティ グループ マッピングの隣にあるチェックボックスをオンにして [グループの再割り当て(Reassign Groups)] をクリックすると、別の SGT をデバイスのセットに割り当てることができます。[セキュリティ グループの再割り当て(Reassign Security Groups)] ページが表示されます。

1. [選択(Select)] をクリックして新規 SGT を選択します。

2. [OK] をクリックして変更を保存します。


) [編集(Edit)] オプションを使用すると、1 つのデバイスの SGT マッピングを編集できます。複数デバイスの SGT マッピングを同時に変更するには、[グループの再割り当て(Reassign Groups)] オプションを使用します。


デバイスへの SGT 割り当てによる SGA ポリシーの設定

Cisco ISE では、SGT をデバイスに割り当てることによって SGA ポリシーを設定できます。この項では、この作業を行う手順について説明します。

前提条件:

SGA ポリシーを設定する前に、ポリシーで使用するセキュリティ グループを作成しておく必要があります。詳細については、「セキュリティ グループの設定」を参照してください。

SGA デバイス ID を使用することで、セキュリティ グループをデバイスに割り当てることができます。

すべての Cisco ISE 管理者アカウントには、1 つ以上の管理ロールが割り当てられています。次の手順で説明されている操作を実行するには、スーパー管理者またはポリシー管理者のいずれかのロールを割り当てられている必要があります。さまざまな管理ロールの詳細と、各ロールに関連付けられている権限については、 「Cisco ISE 管理者グループのロールおよび役割」 を参照してください。

SGA ポリシーを設定するには、次の手順を実行します。


ステップ 1 [ポリシー(Policy)] > [セキュリティ グループ アクセス(Security Group Access)] > [ネットワーク デバイス許可(Network Device Authorization)] を選択します。

[ネットワーク デバイス許可(Network Device Authorization)] ページが表示されます。このページでは条件に基づいて SGA デバイス ポリシーを定義できます。Cisco ISE では、ポリシー条件に使用できるデバイス属性がサポートされています。

ステップ 2 [デフォルト ルール(Default Rule)] 行の [操作(Action)] アイコンをクリックし、[新規行を上に挿入(Insert New Row Above)] をクリックします。

ステップ 3 ドロップダウン リストをクリックしてこのルールのステータスを選択します。ステータスには、次のいずれかを指定できます。

[有効(Enable)]:ポリシー ルールはアクティブです。

[無効(Disable)]:ポリシー ルールは非アクティブであり、評価されません。

[モニタ(Monitor)]:ポリシー ルールは評価されますが、結果は強制されません。このオプションは、テスト用に使用できます。このポリシー条件の結果は、Monitoring and Report Viewer で表示できます。たとえば、新しいポリシー条件を追加する必要があるが、その条件で正しい結果が得られるかどうかわからないとします。このような場合は、モニタ モードでポリシー条件を作成し、結果を表示したうえでその結果が適切な場合には有効にします。

ステップ 4 最初のテキスト ボックスにこのルールの名前を入力します。

ステップ 5 [条件(Conditions)] の隣にあるプラス記号( + )をクリックして、ポリシー条件を追加します。

ステップ 6 [新しい条件の作成(高度なオプション)(Create New Condition (Advance Option))] をクリックします。

a. [式(Expression)] ドロップダウン リストから、次のいずれかの属性を選択してポリシー条件を定義します。次に例を示します。

SGAdeviceID

デバイスタイプ(Device Type)

場所(Location)

モデル名(Model Name)

ソフトウェア バージョン(Software Version)

b. ドロップダウン リストから演算子を選択します。[EQUALS]、[NOT EQUALS]、または [MATCHES]を選択できます。

c. 属性の値を入力します。たとえば、Nexus 7000 などです。

AND または OR 演算子を使用してさらに条件を追加することで、複合条件を作成できます。

d. 複合条件を作成するには、[条件(Conditions)] ダイアログボックスで、すでに作成済みの条件と同じ行にある [操作(Action)] アイコンをクリックし、[属性/値の追加(Add Attribute/Value)] をクリックして新しい行を追加します。 ステップ 5a で説明されている処理を繰り返します。


) 複合条件の作成時には、AND または OR 演算子しか使用できません。同じ複合条件で AND 演算子と OR 演算子の両方を使用することはできません。


たとえば、New York にある Catalyst 6K モデルのすべてのデバイスを確認する複合条件を作成できます。複合条件は次のように表示されます。

[DEVICE]:[ロケーション(Location)] [EQUALS] [すべてのロケーション(All Locations)]:[New York]

AND

[DEVICE]:[モデル名(Model Name)] [EQUALS] [Catalyst 6K]

ステップ 7 ポップアップのマイナス記号(-)をクリックして閉じます。

ステップ 8 [セキュリティ グループ(Security Group)] ドロップダウン リストから、この条件の評価が true になった場合に割り当てる SGT を選択します。

ステップ 9 この行の [操作(Action)] アイコンをクリックして、現在のルールの上または下に、デバイス属性に基づいた別のルールを追加します。この処理を繰り返して、SGA ポリシーに必要なすべてのルールを作成できます。ルールをドラッグ アンド ドロップし、 アイコンをクリックすることでこれらの順序を変更できます。既存の条件を複製することもできますが、ポリシー名は必ず変更してください。

評価が true になる最初のルールによって、評価の結果が決まります。いずれのルールも一致しなかった場合、デフォルト ルールが適用されます。デフォルト ルールを編集して、いずれのルールも一致しなかった場合にデバイスに適用される SGT を指定できます。

ステップ 10 [保存(Save)] をクリックして SGA ポリシーを保存します。

ネットワーク デバイス ポリシーを設定した後に、SGA デバイスで認証を行おうとすると、デバイスはその SGT およびそのピアの SGT を取得し、関連するすべての詳細をダウンロードできるようになります。


 

ユーザおよびエンドポイントへのセキュリティ グループの割り当て

Cisco ISE では、許可ポリシー評価の結果としてセキュリティ グループを割り当てることができます。このオプションを使用すると、ユーザおよびエンドポイントにセキュリティ グループを割り当てることができます。

前提条件:

許可ポリシーについては、「許可ポリシーについて」を参照してください。

すべての Cisco ISE 管理者アカウントには、1 つ以上の管理ロールが割り当てられています。次の手順で説明されている操作を実行するには、スーパー管理者またはポリシー管理者のいずれかのロールを割り当てられている必要があります。さまざまな管理ロールの詳細と、各ロールに関連付けられている権限については、 「Cisco ISE 管理者グループのロールおよび役割」 を参照してください。

ユーザおよびエンドポイントにセキュリティ グループを割り当てるには、次の手順を実行します。


ステップ 1 「新しい許可ポリシーの作成」の説明に従って、新しい許可ポリシーを作成します。

ステップ 2 [権限(Permissions)] で、許可プロファイルを選択する代わりにセキュリティ グループを選択します。

あるユーザまたはエンドポイントについて、この許可ポリシーで指定した条件が true の場合、このセキュリティ グループがそのユーザまたはエンドポイントに割り当てられ、このユーザまたはエンドポイントによって送信されたすべてのデータ パケットにこの特定の SGT でタグが付けられます。


 

出力ポリシー

出力テーブルには、送信元 SGT および宛先 SGT が、予約済みのものもそうでないものもあわせてリストされます。また、このページでは、出力テーブルをフィルタリングして特定のポリシーを表示することや、カスタム ビューを保存することもできます。送信元 SGT から宛先 SGT に到達しようとすると、SGA 対応デバイスは、出力ポリシーで定義されている SGA ポリシーに基づいて SGACL を適用します。Cisco ISE はポリシーを作成してプロビジョニングします。

SGA ポリシーの作成に必要な基本的構築ブロックである SGT および SGACL を作成した後に、SGACL を送信元 SGT および宛先 SGT に割り当てることによって、それらの関係を確立できます。

送信元 SGT と宛先 SGT のそれぞれの組み合わせが、出力ポリシーのセルになります。


ヒント SGA ポリシーを作成する前に、セキュリティ グループおよび SGACL を設定できます。詳細については、「セキュリティ グループの設定」および「セキュリティ グループ アクセス コントロール リストの設定」を参照してください。

この項の構成は、次のとおりです。

「出力ポリシーの表示」

「マトリクス操作」

「出力ポリシー テーブルのソートおよびフィルタリング」

「出力ポリシー テーブル セルの設定」

「出力ポリシーからの SGT および SGACL の設定」

「不明セキュリティ グループ」

出力ポリシーの表示

前提条件:

各 ISE 管理者アカウントには、1 つまたは複数の管理ロールが割り当てられています。次の手順で説明されている操作を実行するには、スーパー管理者またはポリシー管理者のいずれかのロールを割り当てられている必要があります。さまざまな管理ロールの詳細と、各ロールに関連付けられている権限については、 「Cisco ISE 管理者グループのロールおよび役割」 を参照してください。

出力ポリシーを表示するには:


ステップ 1 [ポリシー(Policy)] > [セキュリティ グループ アクセス(Security Group Access)] > [出力ポリシー(Egress Policy)] を選択します。

[出力ポリシー(Egress Policy)] ページが表示され、次の要素が示されます。

ヘッダー:[出力ポリシー(Egress Policy)] およびカッコで囲まれた選択ビューが表示されます。つまり、[出力ポリシー(Egress Policy)]([マトリクス ビュー(Matrix View)])、[出力ポリシー(Egress Policy)](送信元ツリー ビュー)、または [出力ポリシー(Egress Policy)](宛先ビュー)となります。

ビューのタブ:3 つのビュー間を移動できます。

ツールバー:すべてのビューに共通なボタンおよびウィジェットが表示されます。 表 23-6 に、すべてのツールバー項目を示します。

 

表 23-6 [出力ポリシー(Egress Policy)] ページのオプション

オプション
説明

編集(Edit)

[権限の編集(Edit Permissions)] ポップアップを開いて、選択したマッピングされたセルの設定を編集します。この機能は、少なくとも 1 つのマッピングされたセルを選択すると有効になります。

追加(Add)

[セキュリティ グループ ACL マッピングの作成(Create Security Group ACL Mapping)] ポップアップを開いて、選択したマッピングされていないセルを設定します。

マッピングのクリア(Clear Mapping)

選択したマッピングされたセルの設定を削除します。この機能は、少なくとも 1 つのマッピングされたセルを選択すると有効になります。マッピングされていないセルには影響しません。

設定(Configure)

SGT および SGACL を直接作成できます。 「出力ポリシーからの SGT および SGACL の設定」 を参照してください。

プッシュ(Push)

SGA ネットワーク デバイスに出力ポリシー データをプッシュします。 「[プッシュ(Push)] ボタン」 を参照してください。

すべてをモニタ(Monitor All)

このオプションが選択されている場合、有効なすべてのセルのステータスをモニタ モードに自動的に変更します。 「モニタ モード」 を参照してください。

次元(Dimension)

マトリクス セルの次元を変更できます。これは、マトリクス ビューでのみ機能します。

コンテンツ領域(Content Area)

出力ポリシー データを別のビューに表示し、管理します。

表示(Show)

フィルタおよびプリセット フィルタを管理します。

デフォルト ポリシー(Default Policy)

デフォルト ポリシー設定を表示します。

それぞれ異なる 3 つの方法で出力ポリシーを表示できます。

「送信元ツリー」

「宛先ツリー」

「マトリクス ビュー」

送信元ツリー

送信元ツリー ビューには、簡潔で組織化された送信元 SGT のビューが折りたたまれた状態で表示されます。送信元 SGT を展開すると、選択した送信元 SGT に関連するすべての情報が含まれた内部テーブルを表示できます。このビューには、宛先 SGT にマッピングされている送信元 SGT のみが表示されます。特定の送信元 SGT を展開すると、この送信元 SGT にマッピングされているすべての宛先 SGT とその設定がテーブルに表示されます。

一部のフィールドの隣に 3 つのドット(...)が表示されます。これは、セルに詳細情報が含まれていることを意味します。カーソルを 3 つのドットの上に置くと、クイック ビュー ポップアップに残りの情報が表示されます。カーソルを SGT 名または SGACL 名の上に置くと、クイック ビュー ポップアップが開き、その特定の SGT または SGACL の内容が表示されます。

宛先ツリー

宛先ツリー ビューには、簡潔で組織化された宛先 SGT のビューが折りたたまれた状態で表示されます。宛先 SGT を展開すると、選択した宛先 SGT に関連するすべての情報が含まれた内部テーブルを表示できます。このビューには、送信元 SGT にマッピングされている宛先 SGT のみが表示されます。特定の宛先 SGT を展開すると、この宛先 SGT にマッピングされているすべての送信元 SGT とその設定がテーブルに表示されます。

一部のフィールドの隣に 3 つのドット(...)が表示されます。これは、セルに詳細情報が含まれていることを意味します。カーソルを 3 つのドットの上に置くと、クイック ビュー ポップアップに残りの情報が表示されます。カーソルを SGT 名または SGACL 名の上に置くと、クイック ビュー ポップアップが開き、その特定の SGT または SGACL の内容が表示されます。

マトリクス ビュー

出力ポリシーのマトリクス ビューは、スプレッドシートに似ています。ここには 2 つの軸があります。

送信元軸:垂直軸にはすべての送信元 SGT がリストされます。

宛先軸:水平軸にはすべての宛先 SGT がリストされます。

送信元 SGT と宛先 SGT のマッピングが、セルとして示されます。セルにデータが含まれている場合、対応する送信元 SGT と宛先 SGT 間にマッピングがあるということになります。マトリクス ビューには 2 つのタイプのセルがあります。

マッピングされたセル:送信元 SGT と宛先 SGT のペアが、順序付けされた SGACL のセットに関連付けられ、特定のステータスになっている場合。

マッピングされていないセル:送信元 SGT と宛先 SGT のペアが、SGACL に関連付けられてなく、特定のステータスになっていない場合。

表 23-7 に、マッピングされたセルのフィールドとその説明を示します。

 

表 23-7 マッピングされたセルのフィールド

フィールド
説明

送信元セキュリティ グループ(Source Security Group)

送信元 SGT の名前とその 10 進値および 16 進値が、名前(10 進/16 進)の形式で含まれます。

たとえば、従業員(75/004B)などです。

宛先セキュリティ グループ(Destination Security Group)

宛先 SGT の名前とその 10 進値および 16 進値が、送信元セキュリティ グループと同じ形式で含まれます。

ステータス(Status)

このフィールドには、マッピングのステータスが表示されます。次の 3 つのステータスを設定できます。

[有効(Enabled)]:SGA デバイスは、このセルから SGACL のリストをダウンロードし、これに応じてポリシーを適用します。

[無効(Disabled)]:SGA デバイスはこのセルを無視します。このセルから SGACL のリストをダウンロードしません。

[モニタ対象(Monitored)]:SGA デバイスは、このセルから SGACL のリストをダウンロードします。これに応じたポリシーの適用は行いません。単に、パケットとセル間の一致をロギングすることで、セルをモニタします。

(注) デフォルトのステータスは [有効(Enabled)] です。デフォルト ポリシーには、[有効(Enabled)] および [モニタ対象(Monitored)] ステータスのみ設定できます。

説明(Description)

(任意)。セルに説明を追加できます。

セキュリティ グループ ACL(Security Group ACLs)

(必須)SGACL の順序付きリストが含まれます。

(注) デフォルト ポリシーの場合、必須フィールドではありません。空白にできます。

最終的な catch-all ルール(Final Catch All Rule)

(必須)SGACL リストによって定義されている ACE のセットが含まれます。ステータスには、次のいずれかの値を指定できます。

許可 IP(Permit IP)

拒否 IP(Deny IP)

なし(None)

(注) デフォルト値は、[許可 IP(Permit IP)] です。デフォルト ポリシーの場合、[許可 IP(Permit IP)] および [拒否 IP(Deny IP)] のみ設定できます。

出力ポリシー セルには、送信元 SGT、宛先 SGT、最終的な catch-all ルールが 1 つのリストとして SGACL の下にカンマで区切られて表示されます。最終的な catch-all ルールは、[なし(None)] に設定されている場合には表示されません。マトリクス内の空のセルは、マッピングされていないセルを示します。

出力ポリシーのマトリクス ビューでは、マトリクスをスクロールして目的のセルのセットを表示できます。ブラウザがマトリクス データ全体を一度にロードすることはありません。ブラウザは、ユーザがスクロールした領域に移入されるデータをサーバに要求します。これにより、メモリのオーバーフローおよびパフォーマンスの問題を防ぐことができます。

マトリクス セルで実行できるそれぞれの操作の詳細については、「マトリクス操作」を参照してください。

マトリクス操作

Cisco ISE のマトリクス ビューは、スプレッドシートに似ています。行のタイトルとして発信元 SGT、カラムのタイトルとして宛先 SGT が含まれます。セルは、送信元 SGT と宛先 SGT の交差部分です。マトリクス ビューのセルには、送信元および宛先のペアと SGACL との設定情報が含まれます。マトリクス ビューでは、セル領域を節約するために、すべてのフィールドが表示されることはありません。

マトリクスでの移動

カーソルでマトリクス コンテンツ領域をドラッグするか、または水平および垂直スクロール バーを使用して、マトリクス内を移動できます。セルをクリックしたままにし、マトリクス コンテンツ全体を任意の方向にドラッグできます。送信元および宛先のバーがセルと一緒に移動します。セルを選択すると、マトリクス ビューによってそのセルと対応する行(送信元 SGT)およびカラム(宛先 SGT)が強調表示されます。選択したセルの座標(送信元 SGT および宛先 SGT)がマトリクス コンテンツ領域の下に表示されます。

マトリクスでのセルの選択

マトリクス ビューでセルを選択するには、該当のセルをクリックします。選択したセルが別の色で表示され、送信元 SGT および宛先 SGT が強調表示されます。セルをもう一度クリックするか、または別のセルを選択することで、セルの選択を解除できます。複数セルの選択は、マトリクス ビューでは許可されていません。セルをダブルクリックして、セルの設定を編集します。マトリクス セルの編集の詳細については、「出力ポリシー セルのマッピングの追加および編集」を参照してください。

出力ポリシー テーブルのソートおよびフィルタリング

Cisco ISE では、出力ポリシー テーブルをソートおよびフィルタリングできます。デフォルトでは、出力ポリシー テーブルにフィルタは適用されていません。出力ポリシー テーブルは、次の場合に自動的にデフォルトのフィルタリングおよびソートに設定されます。

ビュー間の切り替え時

[出力ポリシー(egress policy)] ページの更新時

編集したセルの送信が正常に完了した後(デフォルト ポリシーを除く)

追加したセルの送信が正常に完了した後(デフォルト ポリシーを除く)

セルのマッピングを削除した後(デフォルト ポリシーを除く)

SGT/SGACL の直接作成ポップアップの終了時

出力ポリシーは、アルファベット順の昇順または降順でソートできます。大文字と小文字は区別されません。

クイック フィルタ

出力ポリシーのクイック フィルタは、送信元ツリー ビューおよび宛先ツリー ビューでのみ機能します。大文字と小文字は区別されません。

出力ポリシー セルへのクイック フィルタの適用

送信元ツリーまたは宛先ツリーでクイック フィルタを実行するには、次の手順を実行します。


ステップ 1 [ポリシー(Policy)] > [セキュリティ グループ アクセス(Security Group Access)] > [出力ポリシー(Egress Policy)] を選択します。

[出力ポリシー(Egress Policy)] ページが表示されます。

ステップ 2 目的のツリー ビューを選択します。

選択した出力ポリシーのツリー ビューが表示されます。

ステップ 3 [表示(Show)] ドロップダウン リストから [クイック フィルタ(Quick Filter)] を選択します。

これにより、外部テーブルの上部にフィルタ バーが追加されます。

ステップ 4 ドロップダウン リストから適切なセキュリティ グループを選択します。

選択したグループに応じて、ツリー ビューがフィルタリングされます。

ステップ 5 セキュリティ グループを展開して、その内部テーブルを表示します。

クイック フィルタ オプション付きの内部テーブルが開きます。フィルタ バーには、[ステータス(Status)]、[セキュリティ グループ ACL(Security Group ACLs)] および [説明(Description)] フィールドが含まれています。任意のフィールドに基づいてフィルタリングできます。

ステップ 6 ドロップダウン リストから [ステータス(Status)] を選択するか、または [セキュリティ グループ ACL(Security Group ACLs)] および [説明(Description)] フィールドに値を入力します。

アプリケーションによって、値を入力するとすぐに入力に基づいてフィルタが生成されます。単純または複合フィルタリング条件を使用できます。

次に例を示します。

単純条件:[送信元セキュリティ グループ(Source Security Group)] フィールドに値 A を入力すると、アプリケーションによって A を含む送信元セキュリティ グループのフィルタが生成されます。

複合条件:[送信元セキュリティ グループ(Source Security Group)] フィールドに値 A を入力し、[宛先セキュリティ グループ(Destination Security Group)] に B を入力すると、アプリケーションによって AND 条件を含むフィルタが生成されます。つまり、この結果として生成されるフィルタでは、 A を含む送信元 SGT と B を含む宛先がリストされます。


 

拡張フィルタ

出力ポリシーの拡張フィルタは、3 つのビューすべてで使用できます。拡張フィルタ オプションを使用すると、送信元セキュリティ グループ、宛先セキュリティ グループ、SGACL、および説明に基づくフィルタを設定できます。

出力テーブルで拡張フィルタを実行するには、次の手順を実行します。


ステップ 1 [ポリシー(Policy)] > [セキュリティ グループ アクセス(Security Group Access)] > [出力ポリシー(Egress Policy)] を選択します。

ステップ 2 [出力ポリシー(Egress Policy)] ページから、[>>] を選択して [フィルタ(Filter)] を選択し、[クイック フィルタ(Quick Filter)] をクリックして単純フィルタ条件を設定するか、または [拡張フィルタ(Advanced Filter)] をクリックして複合フィルタ条件を設定します。


) [出力ポリシー(Egress Policy)] テーブルに、割り当て済みの SGACL を持つ送信元 SGT および宛先 SGT のみが表示されます。


ステップ 3 [フィルタ(Filter)] ドロップダウン リスト ボックスから、フィルタ条件を設定するフィールドを選択します。たとえば、[送信元セキュリティ グループ(10 進/16 進)(Source Security Group (Dec/Hex))] などです。

ステップ 4 [次へ(Next)] ドロップダウン リストから演算子を選択します。たとえば、[次を含む(Contains)] などです。

ステップ 5 [次へ(Next)] テキスト ボックスに、送信元セキュリティ グループの名前を入力します。たとえば、SGT1 などです。

ステップ 6 [+] ボタンをクリックして、さらに条件を追加できます。

ステップ 7 すべての条件を追加した後、[実行(Go)] をクリックして検索結果を表示します。

ステップ 8 [保存(Save)] ボタン( )をクリックして、このカスタム出力テーブルを後で表示できるように保存します。


) フィルタは、それが作成されたビューに固有となります。たとえば、送信元ツリーで保存したフィルタは送信元ツリー ビューでのみ表示可能で、宛先ツリーまたは出力マトリクス ビューでは表示できません。



 

拡張フィルタには [一致(Match)] フィールドがあり、このフィールドは通常、フィルタで定義されたすべての条件間の論理演算子が AND であるか OR であるかを決定します(それぞれ [すべて(All)] および [任意(Any)] と名前が付けられています)。条件はフィールドで構成されます。そのため同じフィールドに関連する条件すべてが、[一致(Match)] フィールで定義した論理演算子でグループ化されます。これらのグループ化された条件の間には、暗黙的な AND が存在します。

次に例を示します。

次の条件で拡張フィルタを設定します。

[一致(Match)] [任意(Any)]([OR])

[送信元 SGT(Source SGT)] [次で始まる(Starts with)] [A] [+]

[宛先 SGT(Destination SGT)] [次で始まる(Starts with)] [B] [+]

[送信元 SGT(Source SGT)] [次で始まる(Starts with)] [C] [+]

[宛先 SGT(Destination SGT)] [次で始まる(Starts with)] [D] [+]

結果:

((送信元 SGT が A で始まっている)OR(送信元 SGT が C で始まっている))AND((宛先 SGT が B で始まっている)OR(宛先 SGT が D で始まっている))を満たすマッピングされたセル

フィルタリングできるフィールドは、使用するビューによって異なります。

表 23-8 に、フィルタリングできるフィールドをすべて示します。

 

表 23-8 フィルタリング可能なフィールド

 
送信元 SGT(Source SGT)
宛先 SGT(Destination SGT)
ステータス(Status)
SGACL リスト(SGACLs list)
説明(Description)

送信元ツリー

Yes

Yes

Yes

Yes

Yes

宛先ツリー

Yes

Yes

Yes

Yes

Yes

マトリクス

Yes

Yes

No

No

No

拡張フィルタの演算子は明示的かつ選択可能です。 表 23-9 に、フィルタを拡張するために各フィールドで使用できる演算子のリストを示します。

 

表 23-9 高度なフィルタリングを拡張する演算子

 
次を含む(Contains)
次を含まない(Does not contain)
次に等しくない(Does not Equal)
次で終わる(Ends with)
空白(Is Empty)
次に等しい(IS exactly (or equal))
空白ではない(IS not empty)
次で始まる(Starts with)

送信元セキュリティ グループ(Source Security Group)

Yes

Yes

Yes

Yes

No

Yes

No

Yes

宛先セキュリティ グループ(Destination Security Group)

Yes

Yes

Yes

Yes

No

Yes

No

 

Yes

ステータス(Status)

No

No

Yes

No

No

Yes

No

No

説明(Description)

Yes

Yes

Yes

Yes

Yes

Yes

Yes

Yes

セキュリティ グループ ACL(Security Group ACLs)

Yes

Yes

Yes

Yes

No

Yes

No

Yes

フィルタのプリセット

プリセット フィルタは、[表示(show)] ドロップダウン リストで使用可能な拡張フィルタ オプションです。このオプションには、保存されているすべての拡張フィルタ データが含まれます。[保存(Save)] をクリックすると、拡張フィルタにより名前を入力するよう要求されます。[表示(Show)] メニューを選択し、保存されているフィルタから必要なフィルタを選択してフィルタ結果を開きます。プリセット フィルタの名前変更または削除を行うには、[プリセット フィルタの管理(Manage Preset Filters)] オプションを使用します。

出力ポリシー テーブル セルの設定

Cisco ISE では、ツールバーで使用可能なさまざまなオプションを使用して、セルを設定できます。Cisco ISE では、選択した送信元 SGT および宛先 SGT がマッピングされたセルと同一である場合には、セルを設定できません。

ここでは、次の内容について説明します。

「出力ポリシー セルのマッピングの追加および編集」

「デフォルト ポリシーの編集」

「セルのマッピングの削除」

出力ポリシー セルのマッピングの追加および編集

マッピングを追加または編集するには、次の手順を実行します。


ステップ 1 [ポリシー(Policy)] > [セキュリティ グループ アクセス(Security Group Access)] > [出力ポリシー(Egress Policy)] を選択します。

[出力ポリシー(Egress Policy)] ページが表示されます。

ステップ 2 適切なビューのタブをクリックして、マトリクス セルを表示します。

ステップ 3 マトリクス セルを選択するには、次の手順を実行します。

マトリクス ビューで、セルをクリックして選択します。

送信元ツリー ビューおよび宛先ツリー ビューで、内部テーブル内の行のチェックボックスをオンにして選択します。

ステップ 4 次のいずれかをクリックします。

新しいマッピング セルを追加するには [追加(Add)]

既存のマッピング セルを編集するには [編集(Edit)]

[追加(Add)] をクリックすると、[セキュリティ グループ ACL マッピングの作成(create Security Group ACL mapping)] ダイアログボックスが表示され、選択したセルの送信元 SGT および宛先 SGT が示されます。

[編集(Edit)] をクリックすると、[送信元セキュリティ グループ(Source Security Group)]、[宛先セキュリティ グループ(Destination Security Group)]、[ステータス(Status)]、[説明(Description)]、[セキュリティ グループ ACL(Security Group ACLs)]、および [最終的な catch-all ルール(Final Catch All Rule)] の各フィールドを含む単一セル編集ポップアップが表示されます。

[編集(Edit)] ボタンは、セルを選択するとすぐに有効になります。マトリクス セルをダブルクリックして編集することもできます。

ステップ 5 次の項目について適切な値を選択します。

送信元セキュリティ グループ(Source Security Group)

宛先セキュリティ グループ(Destination Security Group)

ステータス(Status)、セキュリティ グループ ACL(Security Group ACLs)

最終的な catch-all ルール(Final Catch All Rule)

これらのフィールドの説明については、 表 23-7 を参照してください。

ステップ 6 設定を保存するには、[送信(Submit)] をクリックします。

セルへのマッピングの追加またはマッピングされたセルの編集が正常に完了します。

ステップ 7 [キャンセル(Cancel)] をクリックして、設定変更を削除します。


 

デフォルト ポリシーの編集

デフォルト ポリシーは、コンテンツ領域の下部にリンクとして示されています。

デフォルト ポリシーを編集するには、次の手順を実行します。


ステップ 1 [ポリシー(Policy)] > [セキュリティ グループ アクセス(Security Group Access)] > [出力ポリシー(Egress Policy)] を選択します。

[出力ポリシー(Egress Policy)] ページが表示されます。

ステップ 2 [デフォルト ポリシー(Default Policy)] をクリックします。

次のフィールドを含むデフォルト ポリシー編集ポップアップが表示されます。

[送信元および宛先セキュリティ グループ(Source and Destination Security Group)]:固定値 <ANY,ANY> を含みます。

[ステータス(Status)]:(必須)デフォルト値は [有効(Enabled)] です。デフォルト ポリシーのステータスには、[有効(Enabled)] および [無効(Disabled)] のみ使用できます。

[説明(Description)]:(任意)選択した設定の説明を入力します。

[セキュリティ グループ ACL(Security Group ACLs)]:(任意)

[最終的な catch-all ルール(Final Catch All Rule)]:(必須)デフォルト値は [許可 IP(Permit IP)] です。デフォルト ポリシーの最終的な catch-all ルールには、[許可 IP(Permit IP)] および [拒否 IP(Deny IP)] のみ使用できます。

ステップ 3 [送信(Submit)] をクリックして新しい設定を保存します。

いずれかのエントリが無効の場合には、システムによって適切な検証エラーが表示されます。

ステップ 4 [キャンセル(Cancel)] をクリックして、設定変更を削除します。


 

セルのマッピングの削除

マッピングのクリア機能を使用すると、選択したセルの設定が削除されます。セルを選択している場合にのみ有効です。

セルのマッピングを削除するには、次の手順を実行します。


ステップ 1 [ポリシー(Policy)] > [セキュリティ グループ アクセス(Security Group Access)] > [出力ポリシー(Egress Policy)] を選択します。

[出力ポリシー(Egress Policy)] ページが表示されます。

ステップ 2 次のように実行して、出力ポリシー テーブルのそれぞれのビューにアクセスします。

マトリクス ビューにアクセスするには [マトリクス(Matrix)] をクリックします。

送信元ツリー ビューにアクセスするには [送信元ツリー(Source Tree)] をクリックします。

宛先ツリー ビューにアクセスするには [宛先ツリー(Destination Tree)] をクリックします。

ステップ 3 マッピングを削除するセルを選択します。

マトリクス ビューでは、マトリクス セルをクリックして選択します。

送信元および宛先ビューでは、内部テーブル内の、マッピングを削除する行のチェックボックスをオンにします。

ステップ 4 [マッピングのクリア(Clear Mapping)] をクリックします。

ビューごとに、次の警告メッセージが表示されます。

マトリクス ビュー:

選択したセルのマッピングをクリアしますか?(Are you sure you want to clear the mappings of the selected cell?) 続行する場合は [OK] を、中止する場合は [キャンセル(Cancel)] をクリックしてください。(OK to continue, Cancel to abort.)

送信元および宛先ツリー ビュー:

X 個のセルのマッピングをクリアしますか?(Are you sure you want to clear the mappings of X cells?) 続行する場合は [OK] を、中止する場合は [キャンセル(Cancel)] をクリックしてください。(OK to continue, Cancel to abort.)

ステップ 5 [OK] をクリックします。

選択したセルの設定が削除されます。


 

出力ポリシーからの SGT および SGACL の設定

セキュリティ グループおよびセキュリティ グループ ACL は、[出力ポリシー(Egress Policy)] ページから直接作成できます。

[出力ポリシー(Egress Policy)] ページからセキュリティ グループを直接作成するには、次の手順を実行します。


ステップ 1 [ポリシー(Policy)] > [セキュリティ グループ アクセス(Security Group Access)] > [出力ポリシー(Egress Policy)] を選択します。

[出力ポリシー(Egress Policy)] ページが表示されます。

ステップ 2 [設定(Configure)] オプション ドロップダウン リストから [セキュリティ グループの作成(Create Security Group)] を選択します。

ステップ 3 「セキュリティ グループの設定」で説明されている手順に従って、セキュリティ グループを作成します。


 

[出力ポリシー(Egress Policy)] ページからセキュリティ グループ ACL を直接作成するには、次の手順を実行します。


ステップ 1 [ポリシー(Policy)] > [セキュリティ グループ アクセス(Security Group Access)] > [出力ポリシー(Egress Policy)] を選択します。

[出力ポリシー(Egress Policy)] ページが表示されます。

ステップ 2 [設定(Configure)] オプション ドロップダウン リストから [セキュリティ グループ ACL の作成(Create Security Group ACLs)] を選択します。

ステップ 3 「セキュリティ グループ アクセス コントロール リストの設定」で説明されている手順に従って、セキュリティ グループ ACL を作成します。


 

[プッシュ(Push)] ボタン

出力ポリシーの [プッシュ(Push)] オプションは CoA 通知を開始します。この通知は、Cisco ISE からの出力ポリシー設定変更に関する更新を、ただちに要求するよう SGA デバイスに伝えます。出力ポリシー CoA の詳細については、「SGT マトリクスの更新 CoA」 を参照してください。

モニタ モード

出力ポリシーの [すべてをモニタ(Monitor All)] オプションを使用すると、出力ポリシー設定ステータス全体を 1 回のクリックでモニタ モードに変更できます。[出力ポリシー(egress policy)] ページの [すべてをモニタ(Monitor All)] チェックボックスをオンにして、すべてのセルの出力ポリシー設定ステータスをモニタ モードに変更します。[すべてをモニタ(Monitor All)] チェックボックスをオンにすると、設定ステータスが次のように変更されます。

ステータスが [有効(Enabled)] であるセルはモニタ対象として動作しますが、有効であるかのように表示されます。

ステータスが [無効(Disabled)] であるセルは何も影響を受けません。

ステータスが [モニタ(Monitor)] であるセルは、[モニタ対象(Monitored)] のままになります。

[すべてをモニタ(Monitor All)] チェックボックスをオフにすると、元の設定ステータスに戻ります。データベース内の実際のセルのステータスは変更されません。[すべてをモニタ(Monitor All)] をオフにすると、出力ポリシーのそれぞれのセルが元の設定ステータスに戻ります。

モニタ モードのモニタリング

モニタ モードのモニタリング機能は次の操作に役立ちます。

フィルタリングされているけれども、モニタ モードではモニタされているトラフィックの量の確認

SGT-DGT ペアがモニタ モードであるか強制モードであるかの確認と、ネットワーク内で異常なパケット ドロップが発生していないかどうかの観察

SGACL ドロップが実際に強制モードによって強制されているのか、またはモニタ モードによって許可されているのかの確認

モードのタイプ(モニタ、強制、または両方)に基づいたカスタム レポートの作成

NAD に適用されている SGACL、および表示の不一致(ある場合)の識別

次のレポートで、モニタ モード データを確認できます。

宛先別上位 N 個の RBACL ドロップ

ユーザ別上位 N 個の RBACL ドロップ

RBACL ドロップ概要

ここでは、これらの各レポートの実行プロセスについて説明します。Cisco ISE レポートの詳細については、「レポート」を参照してください。

宛先別上位 N 個の RBACL ドロップ

宛先別上位 N 個の RBACL ドロップ レポートを実行するには、次の手順を実行します。


ステップ 1 Cisco ISE 管理ダッシュボードで、[操作(Operations)] > [レポート(Reports)] > [カタログ(Catalog)] を選択します。

ステップ 2 [レポート(Reports)] リストで、[セキュリティ グループ アクセス(Security Group Access)] を選択します。

ステップ 3 右側の [レポート(Reports)] パネルで、[宛先別上位 N 個の RBACL ドロップ(Top N RBACL Drops by Destination)] オプション ボタンをクリックします。

ステップ 4 [実行(Run)] ドロップダウン メニューで、レポート データを収集する期間を選択します。

直近の 1 時間(Last hour)

直近の 12 時間(Last 12 hours)

今日(Today)

昨日(Yesterday)

直近 7 日間(Last 7 days)

直近 30 日間(Last 30 days)

[実行(Run)] ボタンを使用してレポートを特定の期間だけ実行するか、[クエリーおよび実行(Query and Run)] オプションを使用できます。[クエリーおよび実行(Query and Run)] オプションを使用すると、さまざまなパラメータを使用して出力に対するクエリーを実行することができます。

ステップ 5 [実行(Run)] ドロップダウン リストから [クエリーおよび実行(Query and Run)] を選択した場合は、[強制モード(Enforcement mode)] ドロップダウン リストからモードを [強制(Enforce)]、[モニタ(Monitor)]、または [両方(Both)] として指定できます。


 

ユーザ別上位 N 個の RBACL ドロップ

ユーザ別上位 N 個の RBACL ドロップ レポートを実行するには、次の手順を実行します。


ステップ 1 Cisco ISE 管理ダッシュボードで、[操作(Operations)] > [レポート(Reports)] > [カタログ(Catalog)] を選択します。

ステップ 2 [レポート(Reports)] リストで、[セキュリティ グループ アクセス(Security Group Access)] を選択します。

ステップ 3 右側の [レポート(Reports)] パネルで、[ユーザ別上位 N 個の RBACL ドロップ(Top N RBACL Drops by User)] オプション ボタンをクリックします。

ステップ 4 [実行(Run)] ドロップダウン メニューで、レポート データを収集する期間を選択します。

直近の 1 時間(Last hour)

直近の 12 時間(Last 12 hours)

今日(Today)

昨日(Yesterday)

直近 7 日間(Last 7 days)

直近 30 日間(Last 30 days)

[実行(Run)] ボタンを使用してレポートを特定の期間だけ実行するか、[クエリーおよび実行(Query and Run)] オプションを使用できます。[クエリーおよび実行(Query and Run)] オプションを使用すると、さまざまなパラメータを使用して出力に対するクエリーを実行することができます。

ステップ 5 [実行(Run)] ドロップダウン リストから [クエリーおよび実行(Query and Run)] を選択した場合は、[強制モード(Enforcement mode)] ドロップダウン リストからモードを [強制(Enforce)]、[モニタ(Monitor)]、または [両方(Both)] として指定できます。


 

RBACL ドロップ概要

RBACL ドロップ概要レポートを実行するには、次の手順を実行します。


ステップ 1 Cisco ISE 管理ダッシュボードで、[操作(Operations)] > [レポート(Reports)] > [カタログ(Catalog)] を選択します。

ステップ 2 [レポート(Reports)] リストで、[セキュリティ グループ アクセス(Security Group Access)] を選択します。

ステップ 3 右側の [レポート(Reports)] パネルで、[RBACL ドロップ概要(RBACL Drop Summary)] オプション ボタンをクリックします。

ステップ 4 [実行(Run)] ドロップダウン メニューで、レポート データを収集する期間を選択します。

直近の 1 時間(Last hour)

直近の 12 時間(Last 12 hours)

今日(Today)

昨日(Yesterday)

直近 7 日間(Last 7 days)

直近 30 日間(Last 30 days)

レポートは、期間を選択した時点で実行されます。[強制モード(Enforcement mode)] カラムの下でモードのタイプを確認できます。デフォルト値は [両方(Both)] です。

ステップ 5 [実行(Run)] ドロップダウン リストから [クエリーおよび実行(Query and Run)] を選択した場合は、[強制モード(Enforcement mode)] ドロップダウン リストからモードを [強制(Enforce)]、[モニタ(Monitor)]、または [両方(Both)] として指定できます。


 

不明セキュリティ グループ

不明セキュリティ グループは事前に設定されているセキュリティ グループで、変更不可能であり、ox000 SGT を表します。

Cisco Security Group ネットワーク デバイスは、送信元または宛先のいずれかの SGT がない場合に不明 SGT を参照するセルを要求します。送信元のみが不明の場合、要求は <不明, 宛先 SGT> セルに適用されます。宛先のみが不明の場合、要求は <送信元 SGT, 不明> セルに適用されます。送信元および宛先の両方が不明の場合、要求は <不明, 不明> セルに適用されます。

デフォルト ポリシー

デフォルト ポリシーは、<ANY,ANY> セルを参照します。任意の送信元 SGT が任意の宛先 SGT にマッピングされています。ここでは、ANY SGT は変更不可能であり、送信元 SGT にも宛先 SGT にも表示されません。ANY SGT は ANY SGT とのみペアにできます。他の SGT とはペアにできません。SGA ネットワーク デバイスでは、デフォルト ポリシーを特定セルのポリシーの最後に付加します。

つまり、セルが空白の場合は、デフォルト ポリシーのみが含まれることになります。

セルにポリシーが含まれる場合、結果のポリシーは、セル固有のポリシーとその後に続くデフォルト ポリシーの組み合わせになります。

Cisco ISE では、セル ポリシーおよびデフォルト ポリシーは 2 つの別々の SGACL セットになり、デバイスは 2 つの別々のポリシー クエリーの応答としてこれらのセットを取得します。

デフォルト ポリシーの設定は、他のセルと次の点で異なります。

ステータスは [有効(Enabled)] または [モニタ対象(Monitored)] の 2 つの値しかとることができません。

セキュリティ グループ ACL は、デフォルト ポリシーでは任意のフィールドであるため、空白のままにできます。

最終的な catch-all ルールは、[許可 IP(Permit IP)] または [拒否 IP(Deny IP)] のいずれかにできます。デフォルト ポリシーを上回る安全策はないため、ここで [なし(None)] オプションを使用できないことは明らかです。

OOB SGA PAC

すべての SGA ネットワーク デバイスで、EAP-FAST プロトコルの一部として SGA PAC が保持されています。これはセキュアな RADIUS プロトコルでも使用され、ここでは RADIUS 共有秘密が PAC で伝送されるパラメータから作成されます。これらのパラメータの 1 つである発信側 ID には、SGA ネットワーク デバイス ID、つまりデバイス ID が保持されます。

デバイスが SGA PAC を使用して識別される場合、Cisco ISE でそのデバイス用に設定されているデバイス ID と、PAC の発信側 ID が一致していない場合、認証に失敗します。

一部の SGA デバイス(Cisco ファイアウォール ASA など)では EAP-FAST プロトコルをサポートしていません。したがって、Cisco ISE ではこれらのデバイスを EAP-FAST を介した SGA PAC でプロビジョニングできません。代わりに、SGA PAC は Cisco ISE 上で生成され、手動でデバイスにコピーされます。そのため、これをアウトオブバンド(OOB)SGA PAC 生成と呼びます。

Cisco ISE で PAC を生成すると、暗号キーで暗号化された PAC ファイルが生成されます。

ここでは、次の内容について説明します。

「SGA PAC プロビジョニング」

「SGA PAC のモニタリング」

[設定(Settings)] 画面からの SGA PAC の生成

[設定(Settings)] 画面から SGA PAC を生成するには、次の手順を実行します。


ステップ 1 [管理(Administration)] > [システム(System)] > [設定(Settings)] を選択します。

ステップ 2 左側の [設定(Settings)] ナビゲーション ペインで [プロトコル(Protocols)] をクリックします。

ステップ 3 [EAP-FAST] > [PAC の生成(Generate PAC)] を選択します。

[PAC の生成(Generate PAC)] ページが表示されます。

ステップ 4 「EAP-FAST の PAC の生成」の手順に従って、SGA PAC を生成します。


 

[ネットワーク デバイス(Network Devices)] 画面からの SGA PAC の生成

[ネットワーク デバイス(Network Devices)] 画面から SGA PAC を生成するには、次の手順を実行します。


ステップ 1 [管理(Administration)] > [ネットワーク リソース(Network Resources)] > [ネットワーク デバイス(Network Devices)] を選択します。

ステップ 2 左側の [ネットワーク デバイス(Network Devices)] ナビゲーション ペインで、[ネットワーク デバイス(Network Devices)] をクリックします。

[ネットワーク デバイス(Network Devices)] ページが表示され、設定済みのデバイスのリストが示されます。

ステップ 3 [追加(Add)] をクリックするか、デバイスの隣にあるチェックボックスをオンにし、[編集(Edit)] をクリックして編集するか、または [複製(Duplicate)] をクリックして複製エントリを作成します。また、[ネットワーク デバイス(Network Devices)] ナビゲーション ペインのアクション アイコンで [新規デバイスの追加(Add new device)] をクリックするか、リストのデバイス名をクリックして編集することもできます。

ステップ 4 新規デバイスを追加する場合は、デバイス名を入力します。

ステップ 5 [セキュリティ グループ アクセス(SGA)(Security Group Access (SGA))] チェックボックスをオンにして、SGA デバイスを設定します。

ステップ 6 [アウトオブバンド(OOB)SGA PAC(Out of Band (OOB) SGA PAC)] サブ セクションで、[PAC の生成(Generate PAC)] をクリックします。

ステップ 7 図 23-2 に示すように、[PAC の生成(Generate PAC)] ダイアログボックスが表示されます。

図 23-2 [PAC の生成(Generate PAC)] ダイアログボックス

 

 

ステップ 8 次の詳細事項を入力します。

[PAC 存続可能時間(PAC Time to Live)]:(必須)日、週、月、および年の単位で値を入力します。デフォルト値は 1 年です。最小値は 1 日、最大値は 10 年です。

[暗号キー(Encryption Key)]:(必須)暗号キーを入力します。キーの長さは、8 ~ 256 文字にする必要があります。キーには、大文字や小文字、数字、または英数字の組み合わせを含めることができます。

暗号キーを使用して、生成されるファイルの PAC が暗号化されます。このキーは、デバイスで PAC ファイルを復号化する場合にも使用されます。したがって、後で使用できるように管理者が暗号キーを保存しておくことを推奨します。

[ID(Identity)] フィールドは SGA ネットワーク デバイスのデバイス ID を示し、このフィールドには EAP-FAST プロトコルによって発信側 ID が提供されます。[ID(Identity)] の文字列は、デバイス ホスト名と一致している必要があります。そうでない場合は、認証が失敗し、デバイスで PAC ファイルをインポートできません。

有効期限は、PAC 存続可能時間に基づいて計算されます。

ステップ 9 [PAC の生成(Generate PAC)] をクリックします。


 

[ネットワーク デバイス リスト(Network Devices List)] 画面からの SGA PAC の生成

[ネットワーク デバイス リスト(Network Devices list)] 画面から SGA PAC を生成するには、次の手順を実行します。


ステップ 1 [管理(Administration)] > [ネットワーク リソース(Network Resources)] > [ネットワーク デバイス(Network Devices)] を選択します。

ステップ 2 左側の [ネットワーク デバイス(Network Devices)] ナビゲーション ペインで、[ネットワーク デバイス(Network Devices)] をクリックします。

[ネットワーク デバイス(Network Devices)] ページが表示され、設定済みのデバイスのリストが示されます。

ステップ 3 SGA PAC を生成するデバイスの隣にあるチェックボックスをオンにし、[PAC の生成(Generate PAC)] をクリックします。

図 23-2 に示すように、[PAC の生成(Generate PAC)] ダイアログボックスが表示されます。

ステップ 4 「[ネットワーク デバイス(Network Devices)] 画面からの SGA PAC の生成」の手順 8 の説明に従って詳細を入力します。

ステップ 5 [PAC の生成(Generate PAC)] をクリックします。


 

SGA PAC のモニタリング

PAC プロビジョニング レポートの形式で SGA PAC プロビジョニングを表示できます。

この項では、このレポートの実行プロセスについて説明します。Cisco ISE レポートの詳細については、「レポート」を参照してください。

PAC プロビジョニング レポート

PAC プロビジョニング データを表示するには、次の手順を実行します。


ステップ 1 Cisco ISE 管理ダッシュボードで、[操作(Operations)] > [レポート(Reports)] > [カタログ(Catalog)] を選択します。

ステップ 2 [レポート(Reports)] リストで、[セキュリティ グループ アクセス(Security Group Access)] を選択します。

ステップ 3 右側の [レポート(Reports)] パネルで、[PAC プロビジョニング(PAC Provisioning)] オプション ボタンをクリックします。

ステップ 4 [実行(Run)] ドロップダウン メニューで、レポート データを収集する期間を選択します。

直近の 1 時間(Last hour)

直近の 12 時間(Last 12 hours)

今日(Today)

昨日(Yesterday)

直近 7 日間(Last 7 days)

直近 30 日間(Last 30 days)

クエリーおよび実行(Query and Run)

[実行(Run)] ボタンを使用してレポートを特定の期間だけ実行するか、[クエリーおよび実行(Query and Run)] オプションを使用できます。[クエリーおよび実行(Query and Run)] オプションを使用すると、さまざまなパラメータを使用して出力に対するクエリーを実行することができます。


 

SGA CoA

Cisco ISE では SGA 許可変更(CoA)がサポートされています。これを使用すると、Cisco ISE でセキュリティ グループの変更を SGA デバイスに通知でき、デバイスでは関連データの取得要求でこれに応答できるようになります。

CoA 通知では、SGA ネットワーク デバイスをトリガーし、環境 CoA またはポリシーごとの CoA のいずれかを送信できます。

ここでは、次の内容について説明します。

「CoA でサポートされるネットワーク デバイス」

「環境 CoA」

「ポリシーごとの CoA」

「SGA CoA の概要」

「SGA CoA のモニタリング」

CoA でサポートされるネットワーク デバイス

Cisco ISE は次のネットワーク デバイスに CoA 通知を送信します。

単一の IP アドレスを持つネットワーク デバイス(サブネットはサポートされません)

SGA デバイスとして設定されているネットワーク デバイス

CoA サポート対象として設定されているネットワーク デバイス

複数のセカンダリが存在する分散環境に Cisco ISE が展開されており、これらのセカンダリがそれぞれ異なるデバイス セットと相互運用している場合、CoA 要求は Cisco ISE プライマリ ノードからすべてのネットワーク デバイスに送信されます。そのため、SGA ネットワーク デバイスは、Cisco ISE プライマリ ノードで CoA クライアントとして設定されている必要があります。

デバイスは、Cisco ISE プライマリ ノードに CoA NAK または ACK を返します。ただし、SGA CoA の後に続く SGA セッションは、関連する Cisco ISE セカンダリ ノードによって処理されます。

環境 CoA

図 23-3 に、環境 CoA 通知のフローを示します。

図 23-3 環境 CoA 通知のフロー

 

 

1. Cisco ISE は、SGA ネットワーク デバイスに環境 CoA 通知を送信します。

2. デバイスは、環境要求を返します。

3. 環境データ要求への応答で、Cisco ISE は次の情報を返します。

a. 要求を送信したデバイスの環境データ:これには、(NDAC ポリシーから推測される)SGA デバイスの SGT およびダウンロード環境 TTL が含まれます。

b. SGA AAA サーバ リストの名前および生成 ID。

c. (複数の可能性がある)SGT テーブルの名前および生成 ID:これらのテーブルには SGT 名と SGT 値がリストされ、一緒に SGT の完全リストも保持されます。

4. デバイスが SGA AAA サーバ リストを保持していない場合、または生成 ID が受信した生成 ID と異なる場合、デバイスは別の要求を送信して、AAA サーバ リストの内容を取得します。

5. デバイスが応答にリストされている SGT テーブルを保持していない場合、または生成 ID が受信した生成 ID と異なる場合、デバイスは別の要求を送信して、その SGT テーブルの内容を取得します。

環境 CoA の開始

環境 CoA は次のものに関して開始できます。

「ネットワーク デバイス」

「セキュリティ グループ」

「SGA AAA サーバ」

「NDAC ポリシー」

ネットワーク デバイス

ネットワーク デバイスに関する環境 CoA をトリガーするには、次の手順を実行します。


ステップ 1 [管理(Administration)] > [ネットワーク リソース(Network Resources)] > [ネットワーク デバイス(Network Devices)] を選択します。

ステップ 2 ネットワーク デバイスを追加または編集します。

ステップ 3 [SGA 属性(SGA Attributes)] セクションの下にあるセキュリティ グループ パラメータを更新します。

環境 TTL の変更は、変更が発生した特定の SGA ネットワーク デバイスにのみ通知されます。

単一のデバイスのみが影響を受けるため、環境 CoA 通知は送信直後に送信されます。結果として、そのデバイスの環境 TTL が更新されます。


 

セキュリティ グループ

セキュリティ グループに関する環境 CoA をトリガーするには、次の手順を実行します。


ステップ 1 [ポリシー(Policy)] > [ポリシー要素(Policy Elements)] > [結果(Results)] を選択します。

ステップ 2 左側の [結果(Results)] ナビゲーション ペインから、[セキュリティ グループ アクセス(Security Group Access)] の隣にある [>] ボタンをクリックし、[セキュリティ グループ(Security Groups)] をクリックします。

ステップ 3 [セキュリティ グループ(security group)] ページで、SGT の名前を変更します。これにより、その SGT のマッピング値の名前が変更されます。これで環境変更がトリガーされます。

ステップ 4 複数の SGT の名前を変更した後、[プッシュ(Push)] ボタンをクリックして、環境 CoA 通知を開始します。この環境 CoA 通知は、すべての SGA ネットワーク デバイスに送信され、変更されたすべての SGT の更新が提供されます。


 

SGA AAA サーバ

SGA AAA サーバに関する環境 CoA をトリガーするには、次の手順を実行します。


ステップ 1 [管理(Administration)] > [ネットワーク リソース(Network Resources)] > [SGA AAA サーバ(SGA AAA Servers)] を選択します。

ステップ 2 [SGA AAA サーバ(SGA AAA Servers)] ページで、SGA AAA サーバの設定を作成、削除、または更新します。これで環境変更がトリガーされます。

ステップ 3 複数の SGA AAA サーバを設定した後、[プッシュ(Push)] ボタンをクリックして、環境 CoA 通知を開始します。この環境 CoA 通知は、すべての SGA ネットワーク デバイスに送信され、変更されたすべての SGA AAA サーバの更新が提供されます。


 

NDAC ポリシー

NDAC ポリシーに関する環境 CoA をトリガーするには、次の手順を実行します。

[NDAC ポリシー(NDAC policy)] ページで、NDAC ポリシーのルールを作成、削除、または更新できます。これらの環境変更は、すべてのネットワーク デバイスに通知されます。

[NDAC ポリシー(NDAC policy)] ページで [プッシュ(Push)] ボタンをクリックすることで、環境 CoA 通知を開始できます。この環境 CoA 通知は、すべての SGA ネットワーク デバイスに送信され、「環境 CoA」で説明されているとおり、ネットワーク デバイス自体の SGT の更新を提供します。

ポリシーごとの CoA

ポリシーごとの CoA 通知には 3 つのタイプがあります。

RBACL 名前付きリストの更新 CoA:SGACL(RBACL)のダウンロード要求をトリガーします。

SGT マトリクスの更新 CoA:特定の宛先 SGT に関連するすべての出力ポリシー セルの(出力ポリシー カラムへの)ダウンロード要求をトリガーします。

ポリシーの更新 CoA:これは、1 つの CoA 通知で、RBACL コンテンツと出力ポリシー セルの両方に対する複数要求を開始できる、最も効果的な方法です。

RBACL 名前付きリストの更新 CoA

図 23-4 に、RBACL 名前付きリストの更新 CoA のフローを示します。

図 23-4 RBACL 名前付きリストの更新 CoA 通知のフロー

 

 

1. Cisco ISE は、SGA ネットワーク デバイスに RBACL 名前付きリストの更新 CoA 通知を送信します。通知には、SGACL 名と生成 ID が含まれます。

2. デバイスは、次の両方の条件が満たされた場合に、SGACL(RBACL)データ要求で応答できます。

a. SGACL が、デバイスが保持する出力セルに含まれている場合。デバイスには出力ポリシー データのサブセットが保持されます。これらは、そのネイバー デバイスおよびエンドポイントの SGT に関連するセルです(選択した宛先 SGT の出力ポリシー カラム)。

b. CoA 通知内の生成 ID が、この SGACL 用にデバイスが保持している生成 ID と異なっている。

3. SGACL データ要求への応答で、Cisco ISE は SGACL のコンテンツ(ACE)を返します。

RBACL 名前付きリストの更新 CoA の開始

RBACL 名前付きリストの更新 CoA をトリガーするには、次の手順を実行します。


ステップ 1 [ポリシー(Policy)] > [ポリシー要素(Policy Elements)] > [結果(Results)] を選択します。

ステップ 2 左側の [結果(Results)] ナビゲーション ペインから、[セキュリティ グループ アクセス(Security Group Access)] の隣にある [>] ボタンをクリックし、[セキュリティ グループ ACL(Security Group ACLs)] をクリックします。

ステップ 3 「セキュリティ グループ アクセス コントロール リストの設定」の説明に従って、SGACL を追加または編集します。

SGACL を送信すると、SGACL の生成 ID が変更されます。

ステップ 4 複数の SGACL のコンテンツを変更した後、[プッシュ(Push)] ボタンをクリックして、RBACL 名前付きリストの更新 CoA 通知を開始します。この通知は、すべての SGA ネットワーク デバイスに送信され、関連するデバイスのその SGACL コンテンツの更新が提供されます。


 

SGACL の名前または IP バージョンを変更しても、その生成 ID は変更されません。そのため、RBACL 名前付きリストの更新 CoA 通知を送信する必要はありません。

ただし、出力ポリシーで使用中の SGACL の名前または IP バージョンを変更することは、その SGACL を含むセルが変更されることを意味するため、この変更でそのセルの宛先 SGT の生成 ID が変更されます。出力ポリシーの変更について説明されている「出力ポリシーからの、SGT マトリクスの更新 CoA の開始」を参照してください。

SGT マトリクスの更新 CoA

図 23-5 に、SGT マトリクスの更新 CoA のフローを示します。

図 23-5 SGT マトリクスの更新 CoA のフロー

 

 

1. Cisco ISE は、SGA ネットワーク デバイスに SGT マトリクスの更新 CoA 通知を送信します。通知には、SGT 値と生成 ID が含まれます。

2. デバイスは、次の両方の条件が満たされた場合に、SGT データ要求で応答できます。

a. SGT がネイバー デバイスまたはエンドポイントの SGT である場合。デバイスは、ネイバー デバイスおよびエンドポイントの SGT に関連するセルをダウンロードして保持します(宛先 SGT)。

b. CoA 通知内の生成 ID が、この SGT 用にデバイスが保持している生成 ID と異なっている。

3. SGT データ要求に対する応答で、Cisco ISE は、送信元および宛先 SGT、セルのステータス、そのセルに設定されている SGACL 名の順序リストなど、すべての出力セルのデータを返します。

出力ポリシーからの、SGT マトリクスの更新 CoA の開始


ステップ 1 [ポリシー(Policy)] > [セキュリティ グループ アクセス(Security Group Access)] > [出力ポリシー(Egress Policy)] を選択します。

ステップ 2 [出力ポリシー(Egress Policy)] ページで、セルの内容(ステータス、SGACL)を変更します。

ステップ 3 変更を送信すると、そのセルの宛先 SGT の生成 ID が変更されます。

ステップ 4 複数の出力セルの内容を変更した後、[プッシュ(Push)] ボタンをクリックして、SGT マトリクスの更新 CoA 通知を開始します。この通知は、すべての SGA ネットワーク デバイスに送信され、関連するデバイスのセルの内容の更新が提供されます。


 

ポリシーの更新 CoA

図 23-6 に、ポリシーの更新 CoA のフローを示します。

図 23-6 ポリシーの更新 CoA のフロー

 

 

1. Cisco ISE は、SGA ネットワーク デバイスにポリシーの更新 CoA 通知を送信します。通知には、複数の SGACL 名とその生成 ID、および複数の SGT 値とその生成 ID が含まれることがあります。

2. デバイスは、複数の SGACL データ要求か複数の SGT データ、またはその両方で応答できます。

3. 各 SGACL データ要求または SGT データ要求に対する応答で、Cisco ISE は関連するデータを返します。

SGA CoA の概要

表 23-10 に、SGA CoA の開始を要求するさまざまなシナリオ、各シナリオで使用される CoA のタイプ、および関連する UI ページの概要を示します。

 

表 23-10 SGA CoA の概要

UI ページ
CoA をトリガーする操作
トリガー方法
CoA のタイプ
送信先

ネットワーク デバイス(Network Device)

ページの [SGA] セクションでの環境 TTL の変更

SGA ネットワークデバイスで正常に送信が行われたとき

環境

特定のネットワーク デバイス

SGA AAA サーバ(SGA AAA Server)

SGA AAA サーバの変更(作成、更新、削除、順序変更)

[SGA AAA サーバ(SGA AAA servers)] リスト ページの [プッシュ(Push)] ボタンをクリックすると、累積された変更をプッシュできます。

環境

すべての SGA ネットワーク デバイス

セキュリティ グループ(Security Group)

SGT の変更(作成、名前変更、削除)

[SGT] リスト ページの [プッシュ(Push)] ボタンをクリックすると、累積された変更をプッシュできます。

環境

すべての SGA ネットワーク デバイス

NDAC ポリシー(NDAC Policy)

NDAC ポリシーの変更(作成、更新、削除)

[NDAC ポリシー(NDAC policy)] ページの [プッシュ(Push)] ボタンをクリックすると、累積された変更をプッシュできます。

環境

すべての SGA ネットワーク デバイス

SGACL

 

SGACL ACE の変更

[SGACL] リスト ページの [プッシュ(Push)] ボタンをクリックすると、累積された変更をプッシュできます。

RBACL 名前付きリストの更新

すべての SGA ネットワーク デバイス

SGACL 名または IP バージョンの変更

[SGACL] リスト ページの [プッシュ(Push)] ボタンまたは出力テーブルのポリシー プッシュ ボタンをクリックすると、累積された変更をプッシュできます。

SGT マトリクスの更新

すべての SGA ネットワーク デバイス

出力ポリシー(Egress Policy)

SGT の生成 ID を変更するすべての操作

[出力ポリシー(egress policy)] ページの [プッシュ(Push)] ボタンをクリックすると、累積された変更をプッシュできます。

SGT マトリクスの更新

すべての SGA ネットワーク デバイス

SGA CoA のモニタリング

SGA CoA 通知は、アラーム、ログ、およびレポートとして表示できます。

ここでは、次の表示を行う手順について説明します。

「SGA CoA アラーム」

「SGA CoA レポート」

SGA CoA アラーム

図 23-7 に示すように、CoA が CoA-NAK を返すとアラームが生成されます。

SGA CoA アラームを表示するには、[操作(Operations)] > [アラーム(Alarms)] > [ルール(Rules)] に移動します。

図 23-7 SGA CoA アラーム

 

 

ライブ ログでも SGA CoA アラームを表示できます。ライブ ログを表示するには、図 23-8に示すように [操作(Operations)] > [アラーム(Alarms)] > [受信トレイ(Inbox)] に移動します。

図 23-8 ライブ ログの SGA CoA アラーム

 

SGA CoA レポート

SGA CoA 通知データを表示するには、次の手順を実行します。


ステップ 1 Cisco ISE 管理ダッシュボードで、[操作(Operations)] > [レポート(Reports)] > [カタログ(Catalog)] を選択します。

ステップ 2 [レポート(Reports)] リストで、[セキュリティ グループ アクセス(Security Group Access)] を選択します。

ステップ 3 右側の [レポート(Reports)] パネルで、[ポリシー CoA(Policy CoA)] オプション ボタンをクリックします。

ステップ 4 [実行(Run)] ドロップダウン メニューで、レポート データを収集する期間を選択します。

直近の 1 時間(Last hour)

直近の 12 時間(Last 12 hours)

今日(Today)

昨日(Yesterday)

直近 7 日間(Last 7 days)

直近 30 日間(Last 30 days)

クエリーおよび実行(Query and Run)

[実行(Run)] ボタンを使用してレポートを特定の期間だけ実行するか、[クエリーおよび実行(Query and Run)] オプションを使用できます。[クエリーおよび実行(Query and Run)] オプションを使用すると、さまざまなパラメータを使用して出力に対するクエリーを実行することができます。 図 23-9 を参照してください。


 

図 23-9 SGA CoA レポート