方法設定する Cisco ISE (インライン タギング)を使用した Cisco TrustSec (SGTs)を
目次
目次
概要
この資料に Cisco Catalyst スイッチおよび Cisco Identity Services Engine を使用している Ciscoワイヤレス LAN コントローラの Cisco TrustSec 機能を設定し確認する方法を記述されています
前提条件
次の項目に関する知識が推奨されます。
- Cisco TrustSec (CTS)コンポーネントの基本的な知識
- Catalyst スイッチの CLI 設定に関する基本的な知識
- Ciscoワイヤレス LAN コントローラの GUI 設定の基本的な知識
- Identity Services Engine(ISE)設定の経験
要件
ネットワークで展開される Cisco ISE がありワイヤレスに接続するか、または配線したときエンドユーザは 802.1X ちがいありません(または他の方式)によって Cisco ISE に認証したに。 無線ネットワークに認証すれば Cisco ISE はトラフィックにセキュリティグループ タグ(SGT)を割り当てます。
下記の例では、エンドユーザは門脈 Cisco ISE BYOD にリダイレクトされ、証明書提供されます従って EAP-TLS によって安全に 無線ネットワークにアクセスできます一度 BYOD ポータル ステップを完了する。
使用するコンポーネント
このドキュメントの情報は、次のハードウェアとソフトウェアのバージョンに基づいています。
- 2.4 を実行する Cisco Identity Services Engine
- 3.7.5E を実行する Cisco Catalyst 3850 シリーズスイッチ
- 8.5.120.0 を実行する Cisco WLC
- ローカル モードの Cisco Aironet ワイヤレスアクセスポイント
Cisco TrustSec を展開する前に、Cisco Catalyst スイッチや Cisco WLC+AP モデル + ソフトウェア バージョンにサポートがのためのあることを確認して下さい:
- TrustSec/タグ セキュリティグループの
- インライン タギング(そうでなかったら、インライン タギングの代りに SXP を使用できます)
- マッピング IP にSGT スタティック(もし必要なら)
- マッピング サブネットにSGT スタティック(もし必要なら)
- マッピング VLAN にSGT スタティック(もし必要なら)
設定
ネットワーク図
例では、WLC は SGT 15 としてパケットをコンサルタント + SGT 7 から従業員からタグ付けします
スイッチは SGT 15 から SGT から 8 である場合それらのパケットを拒否します(コンサルタントは SGT として 8)タグ付けされるアクセス サーバできません
スイッチは SGT 7 から SGT から 8 である場合それらのパケットを可能にします(従業員は SGT として 8)タグ付けされるアクセス サーバできます
目標
だれでも割り当てられる GuestSSID にアクセスするため
制限された アクセスを用いるコンサルタント アクセス EmployeeSSID を許可して下さい
フルアクセスを用いる従業員アクセス EmployeeSSID を許可して下さい
| デバイス | IP アドレス | VLAN |
| ISE | 10.201.214.230 | 463 |
| Catalyst スイッチ | 10.201.235.102 | 1115 |
| WLC | 10.201.214.229 | 463 |
| アクセス ポイント | 10.201.214.138 | 455 |
| 名前 | username | AD グループ | SG | SGT |
| ジェイソン スミス | jsmith | コンサルタント | BYODconsultants | 15 |
| サリー スミス | ssmith | 従業員 | BYODemployees | 7 |
| 該当なし | 該当なし | 該当なし | TrustSec_Devices | 2 |
設定
ISE の設定 TrustSec
TrustSec AAAサーバとして設定 Cisco ISE
設定し、スイッチが Cisco ISE の RADIUS デバイスとして追加されることを確認して下さい
設定し、WLC が Cisco ISE の TrustSec デバイスとして追加されることを確認して下さい
SSH のためのログオン資格情報を入力して下さい。 これはスイッチにマッピング IP にSGT スタティックを展開することを Cisco ISE が可能にします
作業センター >> TrustSec >> コンポーネント >> 下記のステップの IP SGT 静的マッピングの下で Cisco ISE Web GUI でこれらを作成します
ヒント: まだ Catalyst スイッチの SSH を設定しない場合、下記のガイドに続くことができます。
Catalyst スイッチのセキュア シェル(SSH)の設定方法
ヒント: SSH 上の Catalyst スイッチにアクセスすればことを Cisco ISE が可能にしたいと思わない場合 CLI を使用して Catalyst スイッチのマッピング IP にSGT スタティックを代りに作成できます(下記のステップで示されていて)。
(オプションの)それらを確かめるデフォルトが TrustSec 設定受諾可能であることを確認して下さい
無線ユーザ向けのセキュリティグループ タグを作成して下さい
作成して下さい BYODconsultants のためのセキュリティグループを- SGT 15
作成して下さい BYODemployees のためのセキュリティグループを- SGT 7
制限 Webサーバのためのマッピング IP にSGT スタティックを作成して下さい
(MAB によって Cisco ISE に、プロファイルする 802.1X 認証しないネットワークの他のどの IP アドレスかサブネットのためにもこれをして下さい等)
証明書認証 プロファイルを作成して下さい
上でからの証明書認証 プロファイルを使用して識別出典 シーケンスを作成して下さい
無線ユーザに(従業員およびコンサルタント)適切な SGT を割り当てて下さい
| 名前 | username | AD グループ | SG | SGT |
| ジェイソン スミス | jsmith | コンサルタント | BYODconsultants | 15 |
| サリー スミス | ssmith | 従業員 | BYODemployees | 7 |
| 該当なし | 該当なし | 該当なし | TrustSec_Devices | 2 |
実機器に SGTs 自身を割り当てて下さい(スイッチおよび WLC)
出力ポリシーを規定 するために SGACLs を定義して下さい
コンサルタントをどこでも外部にアクセスする内部を制限することを許可して下さい
従業員をどこでも内部どこでも外部にアクセスすることを許可すれば
(オプションの)割り当てその他のデバイスは基本サービスにアクセスします
それが Cisco ISE に行くべきではないので Cisco ISE にすべてのエンドユーザを(BYOD 門脈リダイレクションのために) -含まれていません DNS、DHCP、PING または WebAuth トラフィックがリダイレクトして下さい
Cisco ISE の TrustSec ポリシー行列の ACL を実施して下さい
コンサルタントをどこでも外部にアクセスする https://10.201.214.132 のような内部Webサーバを制限することを許可して下さい
従業員をどこでも外部にアクセスし、内部Webサーバを許可することを許可して下さい
Cisco TrustSec を展開すればネットワークのデバイスに出入する割り当てマネジメントトラフィック(SSH、HTTPS、CAPWAP) (スイッチおよび WLC)そう SSH または HTTPS アクセスを失いません
多重 SGACLs」を許可するイネーブル Cisco ISE 「
「デバイスに設定を押下げる Cisco ISE の右上隅のプッシュをクリックして下さい。 同様にこの以降をまたやる必要があります。
Catalyst スイッチの設定 TrustSec
Catalyst スイッチの AAA のために Cisco TrustSec を使用するためにスイッチを設定して下さい
ヒント: この資料は無線ユーザが Cisco ISE によってすべてを下記にことを設定する前に既に正常に BYOD をしていることを仮定します。 下記のコマンドはこれ前にグレーで下記の既に設定されました(ISE によってはたらく BYOD ワイヤレスのために)
CatalystSwitch(config)#aaa new-model
CatalystSwitch(config)#aaa server radius policy-device
CatalystSwitch(config)#ip device tracking
CatalystSwitch(config)#radius server CISCOISE
CatalystSwitch(config-radius-server)#address ipv4 10.201.214.230 auth-port 1812 acct-port 1813
CatalystSwitch(config)#aaa group server radius AAASERVER
CatalystSwitch(config-sg-radius)#server name CISCOISE
CatalystSwitch(config)#aaa authentication dot1x default group radius
CatalystSwitch(config)#cts authorization list SGLIST
CatalystSwitch(config)#aaa authorization network SGLIST group radius
CatalystSwitch(config)#aaa authorization network default group AAASERVER
CatalystSwitch(config)#aaa authorization auth-proxy default group AAASERVER
CatalystSwitch(config)#aaa accounting dot1x default start-stop group AAASERVER
CatalystSwitch(config)#aaa server radius policy-device
CatalystSwitch(config)#aaa server radius dynamic-author
CatalystSwitch(config-locsvr-da-radius)#client 10.201.214.230 server-key Admin123
注: 上で pac キーは「管理 >> 規定 した RADIUS 共有秘密がネットワークデバイスの下で >> デバイス >> RADIUS認証設定セクション」を追加すると同じである必要があります
CatalystSwitch(config)#radius-server attribute 6 on-for-login-auth
CatalystSwitch(config)#radius-server attribute 6 support-multiple
CatalystSwitch(config)#radius-server attribute 8 include-in-access-req
CatalystSwitch(config)#radius-server attribute 25 access-request include
CatalystSwitch(config)#radius-server vsa send authentication
CatalystSwitch(config)#radius-server vsa send accounting
CatalystSwitch(config)#dot1x system-auth-control
Cisco ISE にスイッチを認証する RADIUSサーバの下の設定 PAC キー
CatalystSwitch(config)#radius server CISCOISE
CatalystSwitch(config-radius-server)#address ipv4 10.201.214.230 auth-port 1812 acct-port 1813
CatalystSwitch(config-radius-server)#pac key Admin123
注: 上で pac キーは「管理 >> 規定 した RADIUS 共有秘密がネットワークデバイスの下で >> Cisco ISE がのデバイス >> RADIUS認証設定セクション」を追加すると同じである必要があります(上でスクリーン ショットで)
Cisco ISE にスイッチを認証するために CTS 資格情報を設定して下さい
CatalystSwitch#cts credentials id CatalystSwitch password Admin123
注: 上記の cts 資格情報は「管理 >> 規定 した デバイスID + パスワードがネットワークデバイスの下で >> デバイスを >> Cisco ISE がの高度 TrustSec 設定セクション」追加すると同じである必要があります(上でスクリーン ショットで)
それから、PAC をリフレッシュして下さいそうすれば Cisco ISE に再度手を差し伸べます:
CatalystSwitch(config)#radius server CISCOISE
CatalystSwitch(config-radius-server)#exit
Request successfully sent to PAC Provisioning driver.
Catalyst スイッチのグローバルに イネーブル CTS
CatalystSwitch(config)#cts role-based enforcement
CatalystSwitch(config)#cts role-based enforcement vlan-list 1115 (choose the vlan that your end user devices are on only)
オプション: 制限 Webサーバのためのマッピング IP にSGT スタティックを作って下さい
制限 Webサーバは認証のための ISE、従って私達を通って来ないことそれを手動でタグ付けする必要がありますスイッチ CLI か ISE Web GUI を使用してすなわち会社で持っている多くの Webサーバのちょうど 1 時の
CatalystSwitch(config)#cts role-based sgt-map 10.201.214.132 sgt 8
Catalyst スイッチの TrustSec を確認して下さい
CatalystSwitch#show cts pac
AID: EF2E1222E67EB4630A8B22D1FF0216C1
PAC-Info:
PAC-type = Cisco Trustsec
AID: EF2E1222E67EB4630A8B22D1FF0216C1
I-ID: CatalystSwitch
A-ID-Info: Identity Services Engine
Credential Lifetime: 23:43:14 UTC Nov 24 2018
PAC-Opaque: 000200B80003000100040010EF2E1222E67EB4630A8B22D1FF0216C10006009C0003010025D40D409A0DDAF352A3F1A9884AC3F6000000135B7B521C00093A801FDEE189F60E30C0A161D16267E8C01B7EBE13EAEAFE31D6CF105961F877CD87DFB13D8ED5EBFFB5234FD78E01ECF034431C1AA4B25F3629E7037F386106110A1C450A57FFF49E3BB8973164B2710FB514697AD916BBF7052983B2DCA1951B936243E7D2A2D873C9D263F34C9F5F9E7E38249FD749125B5DD02962C2
Refresh timer is set for 12w5d
CatalystSwitch#cts refresh environment-data
Environment data download in progress
CatalystSwitch#show cts environment-data
CTS Environment Data
====================
Current state = COMPLETE
Last status = Successful
Local Device SGT:
SGT tag = 2-02:TrustSec_Devices
Server List Info:
Installed list: CTSServerList1-0001, 1 server(s):
*Server: 10.201.214.230, port 1812, A-ID EF2E1222E67EB4630A8B22D1FF0216C1
Status = ALIVE flag(0x11)
auto-test = TRUE, keywrap-enable = FALSE, idle-time = 60 mins, deadtime = 20 secs
Multicast Group SGT Table:
Security Group Name Table:
0001-31 :
0-00:Unknown
2-00:TrustSec_Devices
3-00:Network_Services
4-00:Employees
5-00:Contractors
6-00:Guests
7-00:BYODemployees
8-00:EmployeeServer
15-00:BYODconsultants
255-00:Quarantined_Systems
Transport type = CTS_TRANSPORT_IP_UDP
Environment Data Lifetime = 86400 secs
Last update time = 16:04:29 UTC Sat Aug 25 2018
Env-data expires in 0:23:57:01 (dd:hr:mm:sec)
Env-data refreshes in 0:23:57:01 (dd:hr:mm:sec)
Cache data applied = NONE
State Machine is running
CatalystSwitch#show cts role-based sgt-map all
Active IPv4-SGT Bindings Information
IP Address SGT Source
============================================
10.201.214.132 8 CLI
10.201.235.102 2 INTERNAL
IP-SGT Active Bindings Summary
============================================
Total number of CLI bindings = 1
Total number of INTERNAL bindings = 1
Total number of active bindings = 2
WLC の TrustSec を設定して下さい
設定し、WLC が Cisco ISE の RADIUS デバイスとして追加されることを確認して下さい
設定し、WLC が Cisco ISE の TrustSec デバイスとして追加されることを確認して下さい
このステップは WLC にマッピング IP にSGT スタティックを展開することを Cisco ISE が可能にします。 作業センター >> TrustSec >> コンポーネント >> 前の手順の IP SGT 静的マッピングの下で Cisco ISE Web GUI のこれらのマッピングを作成しました
注: セキュリティ >> TrustSec >> WLC Web UI の一般の下で下記のステップでこのデバイスID およびパスワードを使用します
WLC のイネーブル PAC プロビジョニング
WLC のイネーブル TrustSec
注: 「管理 >> 規定 した デバイスID + パスワードがネットワークデバイスの下で >> デバイスを >> Cisco ISE の高度 TrustSec 設定セクション」追加すると上記の CTS デバイスID + パスワードは同じである必要があります
PAC が WLC で提供されたことを確認して下さい
WLC に環境 データ(下記のステップでこれをします)をことを『Refresh』 をクリック した後正常に提供される PAC があることを見ます
Cisco ISE からの WLC へのダウンロード CTS 環境 データ
Env データを『Refresh』 をクリック した後 WLC は SGTs をダウンロードします
トラフィックのイネーブル SGACL ダウンロードおよび適用
WLC およびアクセス ポイントを 2 の SGT 割り当てて下さい(TrustSec_Devices)
スイッチによって私達のに出入するトラフィック(SSH、HTTPS、CAPWAP)を WLC + AP 許可するために WLC+WLAN に 2 の SGT を(TrustSec_Devices)与えて下さい
WLC のインライン タギングを有効に して下さい
ワイヤレス >> アクセス ポイント >> グローバルコンフィギュレーションの下で >> スクロールして下さい- 「TrustSec 構成」をクリックして下さい:
Catalyst スイッチのインライン タギングを有効に して下さい
CatalystSwitch(config)#interface TenGigabitEthernet1/0/48
CatalystSwitch(config-if)#description goestoWLC
CatalystSwitch(config-if)#switchport trunk native vlan 15
CatalystSwitch(config-if)#switchport trunk allowed vlan 15,455,463,1115
CatalystSwitch(config-if)#switchport mode trunk
CatalystSwitch(config-if)#cts role-based enforcement
CatalystSwitch(config-if)#cts manual
CatalystSwitch(config-if-cts-manual)#policy static sgt 2 trusted
確認
CatalystSwitch#show プラットフォーム ACL はハードウェアに逆らいます | 株式会社 SGACL
出力 IPv4 SGACL ドロップする(454): 10 の帯
出力 IPv6 SGACL ドロップする(455): 0 帯
出力 IPv4 SGACL セル ドロップする(456): 0 帯
出力 IPv6 SGACL セル ドロップする(457): 0 帯
ヒント: Cisco ASR、Nexus、または Cisco ASA を代りに使用していれば、下記のドキュメントは実施されています SGT taggings の確認を助けることができます:
https://community.cisco.com/t5/security-documents/trustsec-troubleshooting-guide/ta-p/3647576
ユーザ名 jsmith パスワード Admin123 を使用してワイヤレスへの認証する-スイッチの拒否 ACL を見つけます:
フィードバック