Cisco TrustSec スイッチ コンフィギュレーション ガイド Cisco Catalyst スイッチについて
エンドポイント アドミッション コントロールの設定
エンドポイント アドミッション コントロールの設定
発行日;2012/12/19 | 英語版ドキュメント(2012/10/16 版) | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 3MB) | フィードバック

目次

エンドポイント アドミッション コントロールの設定

エンドポイント アドミッション コントロールに関する情報

基本的な EAC の設定シーケンス

802.1X 認証の設定

802.1X 設定の確認

MAC 認証バイパスの設定

MAB 設定の確認

Web 認証プロキシの設定

Web 認証プロキシ設定の確認

柔軟な認証シーケンスおよびフェールオーバー コンフィギュレーション

802.1X ホスト モード

認証前オープン アクセス

DHCP スヌーピングおよび SGT の割り当て

SGT とエンドポイント ホストのバインディングの確認

エンドポイント アドミッション コントロールに関する情報

TrustSec ネットワークでは、パケットはネットワークへの入力ではなく出力でフィルタリングされます。TrustSec エンドポイント認証では、TrustSec ドメイン(エンドポイントの IP アドレス)にアクセスするホストは DHCP スヌーピングおよび IP デバイス トラッキングによってアクセス デバイスでセキュリティ グループ タグ(SGT)に関連付けられます。アクセス デバイスは、継続的に更新される送信元 IP と SGT のバインディング テーブルを維持する TrustSec ハードウェア対応出力のデバイスに、SXP 経由でそのアソシエーション(バインド)を送信します。パケットは、TrustSec ハードウェア対応デバイスでセキュリティ グループ ACL(SGACL)を適用することで、出力でフィルタリングされます。

認証および認可のエンドポイント アドミッション コントロール(EAC)のアクセス方式には次のものがあります。

802.1X ポートベースの認証

MAC 認証バイパス(MAB)

Web 認証(WebAuth)

すべてのポートベース認証は、 authentication コマンドでイネーブルにできます。各アクセス方式はポート単位で個別に設定する必要があります。複数の認証モードが設定され、アクティブ方式が失敗すると柔軟な認証シーケンスおよびフェールオーバー機能により管理者は、フェールオーバーおよびフォールバック シーケンスを指定することができます。802.1X ホスト モードは、802.1X ポートごとに接続できるエンドポイントのホスト数を決定します。

表 6-1 に、TrustSec をサポートする Cisco Catalyst スイッチのコンフィギュレーション ガイドをリストします。この章の TrustSec に固有でないトピックはコンフィギュレーション ガイドでさらに詳しく説明します。

 

表 6-1 Cisco スイッチのコンフィギュレーション ガイド

コンフィギュレーション ガイド
URL

『Catalyst 3560 Software Configuration Guide, Release 12.2(52)SE』

http://www.cisco.com/en/US/docs/switches/lan/catalyst3560/software/release/12.2_52_se/configuration/guide/3560scg.html

『Catalyst 3750 Switch Software Configuration Guide, 12.2(52)SE』

http://www9.cisco.com/en/US/docs/switches/lan/catalyst3750/software/release/12.2_52_se/configuration/guide/3750scg.html

『Catalyst 4500 Series Switch Software Configuration Guide, 12.2(53)SG』

http://www.cisco.com/en/US/docs/switches/lan/catalyst4500/12.2/53SG/configuration/config.html

『Catalyst 6500 Release 12.2SXH and Later Software Configuration Guide』

http://www.cisco.com/en/US/docs/switches/lan/catalyst6500/ios/12.2SX/configuration/guide/dot1x.html

『Cisco IOS Security Configuration Guide: Securing User Services』

http://www.cisco.com/en/US/docs/ios-xml/ios/security/config_library/15-0sy/secuser-15-0sy-library.html

基本的な EAC の設定シーケンス

1. 認証されたエンドポイント ホストに SGT をプロビジョニングするために、Cisco Secure ACS を設定します。

2. アクセス スイッチで SXP をイネーブルにします。 の章を参照してください。

3. アクセス スイッチで 802.1X、MAB、または WebAuth 認証方式の任意の組み合わせをイネーブルにします。

4. アクセス スイッチで DHCP および IP デバイス トラッキングをイネーブルにします。

802.1X 認証の設定

次に、ギガビット イーサネット ポートでの基本的な 802.1x の設定例を示します。

Router(config)# dot1x system-auth-control
Router(config)# interface GigabitEthernet2/1
Router(config-if)# authentication port-control auto
Router(config-if)# dot1x pae authenticator
 

802.1x 認証の設定の詳細については、 表 6-1 にリストされている、アクセス スイッチのコンフィギュレーション ガイドを参照してください。

802.1X 設定の確認

802.1X 認証設定を確認するには、 show authentication interface コマンドを使用します。

Router# show authentication interface gigabitEthernet 2/1
*May 7 11:22:06: %SYS-5-CONFIG_I: Configured from console by console
 
Client list:
Interface MAC Address Domain Status Session ID
Gi2/1 000c.293a.048e DATA Authz Success AC1AD01F0000000904BBECD8
 
Available methods list:
Handle Priority Name
3 0 dot1x
Runnable methods list:
Handle Priority Name
3 1 dot1x
 

ポートが正常に認証されたことを確認するには、次のようにします。

Router# show dot1x interface gigabitEthernet 2/1 details
 
Dot1x Info for GigabitEthernet2/1
-----------------------------------
PAE = AUTHENTICATOR
PortControl = AUTO
ControlDirection = Both
HostMode = SINGLE_HOST
QuietPeriod = 60
ServerTimeout = 30
SuppTimeout = 30
ReAuthMax = 2
MaxReq = 2
TxPeriod = 30
 
Dot1x Authenticator Client List
-------------------------------
Supplicant = 000c.293a.048e
Session ID = AC1AD01F0000000904BBECD8
Auth SM State = AUTHENTICATED
Auth BEND SM State = IDLE
Port Status = AUTHORIZED

MAC 認証バイパスの設定

MAC 認証バイパス(MAB)は 802.1X 対応ではないホストまたはクライアントが 802.1X をイネーブルにしたネットワークに参加できるようにします。MAB をイネーブルにする前に、802.1X 認証をイネーブルにする必要はありません。

次の例では、Catalyst スイッチでの基本的な MAB 設定の例を示します。

switch(config)# interface GigabitEthernet2/1
switch(config-if)# authentication port-control auto
switch(config-if)# mab
 

MAB 認証の設定の詳細については、 表 6-1 にリストされている、アクセス スイッチのコンフィギュレーション ガイドを参照してください。

MAB 設定の確認

MAC 認証バイパスの設定を確認するには、 show authentication interface コマンドを使用します。

switch# show authentication interface gigabitEthernet 2/1
 
Client list:
Interface MAC Address Domain Status Session ID
Gi2/1 000c.293a.048e DATA Authz Success AC1AD01F0000000A04CD41AC
 
Available methods list:
Handle Priority Name
2 1 mab
Runnable methods list:
Handle Priority Name
2 0 mab

 

ポートが認証に成功したことを確認するには、 show mab interface コマンドを使用します。

switch# show mab interface gigabitEthernet 2/1 details
MAB details for GigabitEthernet2/1
-------------------------------------
Mac-Auth-Bypass = Enabled
 
MAB Client List
---------------
Client MAC = 000c.293a.048e
Session ID = AC1AD01F0000000A04CD41AC
MAB SM state = ACQUIRING
Auth Status = UNAUTHORIZED

Web 認証プロキシの設定

Web 認証プロキシ(WebAuth)は、ユーザが Web ブラウザを使用して、アクセス デバイスの Cisco IOS Web サーバ経由で Cisco Secure ACS にログイン クレデンシャルを送信できるようにするものです。WebAuth は独立してイネーブルにできます。これは、802.1X または MAB の設定は必要ではありません。

次の例では、ギガビット イーサネット ポートでの基本的な WebAuth 設定の例を示します。

switch(config)# ip http server
switch(config)# ip access-list extended POLICY
switch(config-ext-nacl)# permit udp any any eq bootps
switch(config-ext-nacl)# permit udp any any eq domain
switch(config)# ip admission name HTTP proxy http
switch(config)# fallback profile FALLBACK_PROFILE
switch(config-fallback-profile)# ip access-group POLICY in
switch(config-fallback-profile)# ip admission HTTP
switch(config)# interface GigabitEthernet2/1
switch(config-if)# authentication port-control auto
switch(config-if)# authentication fallback FALLBACK_PROFILE6500(config-if)#ip access-group POLICY in
 

Web ベース認証の設定の詳細については、 表 6-1 にリストされている、アクセス スイッチのコンフィギュレーション ガイドを参照してください。

ip http server コマンドの詳細については、次の URL で『 Cisco IOS Network Management Command Reference 』のエントリを参照してください。

http://www.cisco.com/en/US/docs/ios/netmgmt/command/reference/nm_08.html#wp1022387

Web 認証プロキシ設定の確認

Web 認証プロキシの設定を確認するには、Web ブラウザを使用してインターフェイスの IP アドレスにアクセスします。正しく設定されていれば、それらのアクセス デバイスは身元証明要求を生成し、有効なログイン情報を受け入れます。

CLI で Web 認証プロキシの設定を確認するには、 show authentication interface コマンドを使用します。

switch# show authentication interface gigabitEthernet 2/1
 
Client list:
Interface MAC Address Domain Status Session ID
Gi2/1 000c.293a.048e DATA Authz Success AC1AD01F0000000904BBECD8
 
Available methods list:
Handle Priority Name
1 2 webauth
Runnable methods list:
Handle Priority Name
1 0 webauth

柔軟な認証シーケンスおよびフェールオーバー コンフィギュレーション

認証方式の 1 つ以上が利用可能でない場合、Flexible Authentication Sequence(FAS)では、フォールバック シーケンスを指定して、アクセス ポートが 802.1X、MAB、および WebAuth 認証方式で設定されるようにできます。デフォルトのフェールオーバー シーケンスは次のとおりです。

802.1X ポートベースの認証

MAC 認証バイパス

Web 認証

レイヤ 2 認証はレイヤ 3 の認証前に常に実行されます。つまり、802.1X および MAB は、WebAuth の前に発生する必要があります。

次の例では、MAB、dot1X および WebAuth の順で認証シーケンスを指定します。

switch(config)# interface gigabitEthernet 2/1
switch(config-if)# authentication order mab dot1x webauth
switch(config-if)^Z
 

認証方式シーケンスの設定の詳細については、 表 6-1 にリストされている、アクセス スイッチのコンフィギュレーション ガイドを参照してください。

FAS の詳細については、次の URL の『 Flexible Authentication Order, Priority, and Failed Authentication 』を参照してください。

http://www.cisco.com/en/US/prod/collateral/iosswrel/ps6537/ps6586/ps6638/application_note_c27-573287_ps6638_Products_White_Paper.html

802.1X ホスト モード

ポート単位で 4 種類の分類モードを設定できます。

Single Host:1 個の MAC アドレスを持つインターフェイス ベースのセッション

Multi Host:ポートごとに複数の MAC アドレスを持つインターフェイス ベースのセッション

Multi Domain:MAC + ドメイン(VLAN)セッション

Multi Auth:ポートごとに複数の MAC アドレスを持つ MAC ベースのセッション

802.1x ホスト モードの設定の詳細については、 表 6-1 にリストされている、アクセス スイッチのコンフィギュレーション ガイドを参照してください。

認証前オープン アクセス

認証前オープン アクセス機能は、ポートの認証の実行前に、クライアントとデバイスがネットワーク アクセスを取得できるようにするものです。このプロセスが主に、PXE がタイムアウトする前にデバイスがネットワークにアクセスし、サプリカントが含まれる可能性のあるブート可能イメージをダウンロードする必要がある PXE のブートのシナリオで必要です。

認証前オープン アクセスの設定の詳細については、 表 6-1 にリストされている、アクセス スイッチのコンフィギュレーション ガイドを参照してください。

DHCP スヌーピングおよび SGT の割り当て

認証プロセス後は、デバイス認証が発生します(たとえば、ダイナミック VLAN 割り当て、ACL プログラミングなど)。TrustSec ネットワークの場合、セキュリティ グループ タグ(SGT)は Cisco ACS のユーザ コンフィギュレーションごとに割り当てられます。SGT はそのエンドポイントから DHCP スヌーピングおよび IP デバイス トラッキング インフラストラクチャを使用して送信されたトラフィックにバインドされます。

次の例では、アクセス スイッチで DHCP スヌーピングおよび IP デバイス トラッキングをイネーブルにします。

switch# conf t
Enter configuration commands, one per line. End with CNTL/Z.
switch(config)# ip dhcp snooping
switch(config)# ip dhcp snooping vlan 10
switch(config)# no ip dhcp snooping information option
switch(config)# ip device tracking
 

DHCP スヌーピングおよび IP デバイス トラッキングの設定に関する詳細については、 表 6-1 にリストされている、アクセス スイッチのコンフィギュレーション ガイドを参照してください。

SGT とエンドポイント ホストのバインディングの確認

ホストが DHCP スヌーピングおよび IP デバイス トラッキングで表示されることを確認するには、 show ip dhcp snooping binding および show ip device tracking コマンドを使用します。

switch# show ip dhcp snooping binding
MacAddress IpAddress Lease(sec) Type VLAN Interface
------------------ --------------- ---------- ------------- ---- --------------------
00:0C:29:3A:04:8E 10.252.10.10 84814 dhcp-snooping 10 GigabitEthernet2/1
Total number of bindings: 1
 
 
switch# show ip device tracking all
IP Device Tracking = Enabled
IP Device Tracking Probe Count = 3
IP Device Tracking Probe Interval = 30
--------------------------------------------------------------
IP Address MAC Address Interface STATE
--------------------------------------------------------------
10.252.10.10 000c.293a.048e GigabitEthernet2/1 ACTIVE

 

正しい SGT がエンドポイントの IP アドレスにバインドされていることを確認するには、 show cts role-based sgt-map コマンドを使用します。

switch# show cts role-based sgt-map all
Active IP-SGT Bindings Information
IP Address SGT Source
============================================
1.1.1.1 7 INTERNAL
10.252.10.1 7 INTERNAL
10.252.10.10 3 LOCAL
10.252.100.1 7 INTERNAL
172.26.208.31 7 INTERNAL
 
IP-SGT Active Bindings Summary
============================================
Total number of LOCAL bindings = 1
Total number of INTERNAL bindings = 4
Total number of active bindings = 5