ISEのvlan-id属性に基づいて認可ポリシーを設定する

ダウンロード オプション

  • PDF     (412.0 KB)
    Adobe Reader を使ってさまざまなデバイスで表示
  • ePub     (219.5 KB)
    iPhone、iPad、Android、ソニーの Reader、または Windows Phone 上で、さまざまなアプリを使って表示
  • Mobi (Kindle)     (118.6 KB)
    Kindle デバイスで、または Kindle アプリを使って複数のデバイスで表示
Updated: 2021 年 11 月 25 日
Document ID:217586

偏向のない言語

この製品のドキュメントセットは、偏向のない言語を使用するように配慮されています。このドキュメントセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブ ランゲージの取り組みの詳細は、こちらをご覧ください。

翻訳について

シスコは世界中のユーザにそれぞれの言語でサポート コンテンツを提供するために、機械と人による翻訳を組み合わせて、本ドキュメントを翻訳しています。ただし、最高度の機械翻訳であっても、専門家による翻訳のような正確性は確保されません。シスコは、これら翻訳の正確性について法的責任を負いません。原典である英語版(リンクからアクセス可能)もあわせて参照することを推奨します。

    はじめに

    この記事では、NADから送信されるVLAN ID属性に基づいてISE認可ポリシーを設定する手順について説明します。この機能は、IBNS 2.0でのみ使用できます。

    使用例

    お客様は、アクセスインターフェイスで設定されたVLAN IDを入力し、後でISEでのアクセスに使用したいと考えています。

    設定手順

    NAD側

    1. アクセス要求でVLAN RADIUS属性を送信するようにスイッチを設定します。

    Device# configure terminal
Device(config)# access-session attributes filter-list list TEST
Device(config-com-filter-list)# vlan-id
Device(config-com-filter-list)# exit
Device(config)# access-session accounting attributes filter-spec include list TEST
Device(config)# access-session authentication attributes filter-spec include list TEST
Device(config)# end

    注:IBNS 2への移行を受け入れるために「access-session accounting attributes filter-spec include list TEST」コマンドを入力する際に警告が表示されることがあります。

    Switch(config)#access-session accounting attributes filter-spec include list TEST
This operation will permanently convert all relevant authentication commands to their CPL control-policy equivalents. As this conversion is irreversible and will disable the conversion CLI 'authentication display [legacy|new-style]', you are strongly advised to back up your current configuration before proceeding. 
Do you wish to continue? [yes]:

    詳細については、次のガイドを参照してください。Vlan-id radius attributes config guide

    ISE側

    1. 必要に応じて認証ポリシーを作成します(MAB/DOT1X)。

    2. 認可ポリシーに次の条件タイプが含まれます。正確な構文に一致していることを確認してください

    Radius·Tunnel-Private-Group-ID EQUALS (tag=1)

    例:

    VLAN-ID = 77の場合

    Screen Shot 2021-11-25 at 2.57.17 p.m.

    テスト

    NAD側

    
Switch#sh run interface Tw1/0/3 
Building configuration...

Current configuration : 336 bytes
!
interface TwoGigabitEthernet1/0/3
 switchport access vlan 77
 switchport mode access
 device-tracking attach-policy DT_POLICY
 access-session host-mode multi-host
 access-session closed
 access-session port-control auto
 mab
 dot1x pae authenticator
 spanning-tree portfast
 service-policy type control subscriber POLICY_Tw1/0/3
end

Switch#
    
Switch#sh auth sess inter Tw1/0/3 details 
            Interface:  TwoGigabitEthernet1/0/3
               IIF-ID:  0x1FA6B281
          MAC Address:  c85b.768f.51b4
         IPv6 Address:  Unknown
         IPv4 Address:  10.4.18.167
            User-Name:  C8-5B-76-8F-51-B4
               Status:  Authorized
               Domain:  DATA
       Oper host mode:  multi-host
     Oper control dir:  both
      Session timeout:  N/A
    Common Session ID:  33781F0A00000AE958E57C9D
      Acct Session ID:  0x0000000e
               Handle:  0x43000019
       Current Policy:  POLICY_Tw1/0/3


Local Policies:
        Service Template: DEFAULT_LINKSEC_POLICY_SHOULD_SECURE (priority 150)
      Security Policy:  Should Secure

Server Policies:


Method status list:
       Method           State
          mab           Authc Success

Switch#

    ISE側

    Screen Shot 2021-11-25 at 3.07.20 p.m.

    Screen Shot 2021-11-25 at 3.07.52 p.m.

    更新履歴

    改定 発行日 コメント
    1.0
    25-Nov-2021
    初版
    TAC Authored

    シスコ エンジニア提供

    • ジョナサン・カシラス・グティエレス
      テクニカルコンサルティングエンジニア

    このドキュメントは役に立ちましたか?

    Feedbackフィードバック

    シスコに問い合わせ

    このドキュメントは次の製品に対応しています