この記事の目的は、Cisco Identity Service Engine(ISE)を搭載したCisco Catalyst 1300スイッチで、ダウンロード可能アクセスコントロールリスト(DACL)がどのように機能するかを説明することです。
ダイナミックACLは、ポリシーまたはユーザアカウントグループメンバーシップ、時間帯などの基準に基づいて、スイッチポートに割り当てられるACLです。これらは、filter-IDまたはdownloadable ACL(DACL)で指定されたローカルACLである可能性があります。
ダウンロード可能ACLは、Cisco ISEサーバから作成およびダウンロードされるダイナミックACLです。ユーザIDとデバイスタイプに基づいて、アクセスコントロールルールを動的に適用するDACLには、ACLの中央リポジトリを1つ作成できるという利点があるため、各スイッチでACLを手動で作成する必要はありません。ユーザがスイッチに接続する際に必要なのは認証だけで、スイッチはCisco ISEサーバから該当するACLをダウンロードします。
この記事では、最初の使用例について詳しく説明します。
Catalyst 1300スイッチにログインし、Security > RADIUS Clientメニューに移動します。
RADIUS Accountingでは、Port Based Access Controlオプションを選択します。
RADIUSテーブルの下のプラスアイコンをクリックして、Cisco ISEサーバを追加します。
Cisco ISEサーバの詳細を入力し、Applyをクリックします。
Usage Typeは802.1xとして選択する必要があります。
Security > 802.1X Authentication > Propertiesメニューの順に移動します。
ポートベース認証を有効にするには、このチェックボックスをオンにします。
Authentication Methodの下で、RADIUSを選択し、Applyをクリックします。
Security > 802.1X Authentication > Port Authenticationメニューの順に選択します。ラップトップが接続されているポートを選択し、editアイコンをクリックします。この例では、GE8が選択されています。
Administrative Port ControlをAutoとして選択し、802.1xベースの認証をイネーブルにします。[APPLY] をクリックします。
ISEの設定は、シスコのビジネスサポートの範囲外です。詳細については、『ISE管理ガイド』を参照してください。
この記事に示す設定は、Cisco Catalyst 1300シリーズスイッチで動作するダウンロード可能ACLの例です。
Cisco ISEサーバにログインし、Administration > Network Resources > Network Devicesの順に選択して、Catalystスイッチデバイスを追加します。
ユーザIDグループを作成するには、グループタブに移動し、ユーザIDグループを追加します。
Administration > Identity Management > Identitiesメニューに移動し、ユーザを定義して、そのユーザをグループにマッピングします。
Policy > Policy Elements > Resultsメニューに移動します。Authorizationの下で、Downloadable ACLsをクリックします。
Addアイコンをクリックして、ダウンロード可能なACLを作成します。
Name, Descriptionを設定し、IPバージョンを選択して、ダウンロード可能ACLを構成するアクセスコントロールエントリ(ACE)をDACL Contentフィールドに入力します。[Save] をクリックします。
IP ACLだけがサポートされ、送信元はANYである必要があります。ISEのACLでは、現在IPv4のみがサポートされています。ISEに関する限り構文に問題がなくても、別の送信元を使用してACLを入力すると、スイッチに適用したときにACLが失敗します。
DACLと他のポリシーをISEポリシーセット内で論理的に関連付けるために使用される認可プロファイルを作成します。
これを行うには、Policy > Policy Elements > Results > Authorization > Authorization Profilesの順に移動し、Addをクリックします。
Authorization Profileページで、次のように設定します。
[Save] をクリックします。
認証ポリシーと認可ポリシーの論理グループであるポリシーセットを設定するには、Policy > Policy Setsメニューをクリックします。
ポリシーセットのリストを表示すると、次の項目を確認できます。
ポリシーセットを作成するには、addボタンをクリックします。
ポリシーセット名を定義する
Conditionsの下で、addボタンをクリックします。これにより、Conditions Studioが開き、この認証プロファイルを使用する場所を定義できます。この例では、172.19.1.250およびwired_802.1xトラフィックのRadius-NAS-IP-Address(スイッチ)に適用されています。
Allowed ProtocolsをDefault Network Accessに設定して、Saveをクリックします。
Viewの下にある矢印アイコンをクリックして、ネットワークの設定と要件に基づいて認証ポリシーと認可ポリシーを設定するか、デフォルト設定を選択できます。この例では、Authorization policyをクリックします。
プラスアイコンをクリックして、ポリシーを追加します。
Rule Nameを入力します。
Conditionsの下で、plusアイコンをクリックして、アイデンティティグループを選択します。Useをクリックします。
必要なプロファイルを適用し、Saveをクリックします。
クライアントラップトップで、Network Connections > Ethernetの順に移動し、Propertiesをクリックします。
Authenticationタブをクリックし、802.1X authenticationがイネーブルになっていることを確認します。
Additional Settingsで、認証モードとしてUser authenticationを選択します。Save Credentialsをクリックし、次にOKをクリックします。
Settingsをクリックし、Verify the server's identity by validating the certificateの横にあるボックスがオフになっていることを確認します。[OK] をクリックします。
Servicesで、Wired AutoConfig 設定を有効にします。
ユーザが認証されると、ダウンロード可能なACLを確認できます。
Catalyst 1300スイッチにログインし、Access Control > IPv4-Based ACLメニューに移動します。
IPv4ベースのACLテーブルに、ダウンロードしたACLが表示されます。
ダウンロード可能なACLは編集できません。
IPv4ベースのACEに移動して、ACL Nameドロップダウンメニューからダウンロード可能なACLを選択し、Goをクリックするという方法でも確認できます。ISEで設定されたルールが表示されます。
Security > 802.1 Authentication > Authenticated Hostsの順にメニューします。認証されたユーザを確認できます。Authenticated Sessionsをクリックすると、詳細が表示されます。
CLIでは、コマンドshow ip access-lists interfaceの後にinterface IDを続けて実行します。
この例では、ギガビットイーサネット3に適用されたACLとACEを確認できます。
また、コマンドを使用して、ISE接続とACLダウンロードに関連する設定を確認することもできます
show dot1x sessions interface <ID>詳細ステータス、802.1x認証状態、およびダウンロードされたACLを表示できます。
行くぞ!これで、Cisco ISEを使用したCisco Catalyst 1300スイッチでダウンロード可能ACLがどのように機能するかについて理解できました。
詳細については、『Catalyst 1300管理ガイド』および『Cisco Catalyst 1300シリーズサポートページ』を参照してください。
改定 | 発行日 | コメント |
---|---|---|
1.0 |
18-Jun-2025 |
初版 |