はじめに
この記事では、NADから送信されるVLAN ID属性に基づいてISE認可ポリシーを設定する手順について説明します。この機能は、IBNS 2.0でのみ使用できます。
使用例
お客様は、アクセスインターフェイスで設定されたVLAN IDを入力し、後でISEでのアクセスに使用したいと考えています。
設定手順
NAD側
1. アクセス要求でVLAN RADIUS属性を送信するようにスイッチを設定します。
Device# configure terminal
Device(config)# access-session attributes filter-list list TEST
Device(config-com-filter-list)# vlan-id
Device(config-com-filter-list)# exit
Device(config)# access-session accounting attributes filter-spec include list TEST
Device(config)# access-session authentication attributes filter-spec include list TEST
Device(config)# end
注:IBNS 2への移行を受け入れるために「access-session accounting attributes filter-spec include list TEST」コマンドを入力する際に警告が表示されることがあります。
Switch(config)#access-session accounting attributes filter-spec include list TEST
This operation will permanently convert all relevant authentication commands to their CPL control-policy equivalents. As this conversion is irreversible and will disable the conversion CLI 'authentication display [legacy|new-style]', you are strongly advised to back up your current configuration before proceeding.
Do you wish to continue? [yes]:
詳細については、次のガイドを参照してください。Vlan-id radius attributes config guide
ISE側
1. 必要に応じて認証ポリシーを作成します(MAB/DOT1X)。
2. 認可ポリシーに次の条件タイプが含まれます。正確な構文に一致していることを確認してください
Radius·Tunnel-Private-Group-ID EQUALS (tag=1)
例:
VLAN-ID = 77の場合

テスト
NAD側
Switch#sh run interface Tw1/0/3
Building configuration...
Current configuration : 336 bytes
!
interface TwoGigabitEthernet1/0/3
switchport access vlan 77
switchport mode access
device-tracking attach-policy DT_POLICY
access-session host-mode multi-host
access-session closed
access-session port-control auto
mab
dot1x pae authenticator
spanning-tree portfast
service-policy type control subscriber POLICY_Tw1/0/3
end
Switch#
Switch#sh auth sess inter Tw1/0/3 details
Interface: TwoGigabitEthernet1/0/3
IIF-ID: 0x1FA6B281
MAC Address: c85b.768f.51b4
IPv6 Address: Unknown
IPv4 Address: 10.4.18.167
User-Name: C8-5B-76-8F-51-B4
Status: Authorized
Domain: DATA
Oper host mode: multi-host
Oper control dir: both
Session timeout: N/A
Common Session ID: 33781F0A00000AE958E57C9D
Acct Session ID: 0x0000000e
Handle: 0x43000019
Current Policy: POLICY_Tw1/0/3
Local Policies:
Service Template: DEFAULT_LINKSEC_POLICY_SHOULD_SECURE (priority 150)
Security Policy: Should Secure
Server Policies:
Method status list:
Method State
mab Authc Success
Switch#
ISE側

