シングルホストとマルチドメインのシナリオ用 IBNS 2.0 の設定

はじめに

本書では、シングルホスト シナリオとマルチドメイン シナリオ用に Identity Based Networking Services 2.0（IBNS）を設定する方法について説明します。

前提条件

要件

次の項目に関する知識があることが推奨されます。

• ローカル エリア ネットワーク上の Extensible Authentication Protocol（EAPoL）
• RADIUS プロトコル
• Cisco Identity Services Engine バージョン 2.0

使用するコンポーネント

このドキュメントの情報は、次のソフトウェアとハードウェアのバージョンに基づいています。

• Cisco Identity Service Engine バージョン 2.0 パッチ 2
• Windows 7 OS 搭載エンドポイント
• IOS 15.2(4)E1 搭載 Cisco スイッチ 3750X
• 03.02.03.SE 搭載 Cisco スイッチ 3850
• Cisco IP Phone 9971

このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されました。このドキュメントで使用するすべてのデバイスは、クリアな（デフォルト）設定で作業を開始しています。本稼働中のネットワークでは、各コマンドによって起こる可能性がある影響を十分確認してください。

設定

構成理論

IBNS 2.0 を有効にするには、Cisco スイッチ上から権限モードでコマンドを実行する必要があります。

#authentication display new-style

以下のコマンドを使用して、IBNS 2.0 のスイッチポートを設定します。

 access-session host-mode {single-host | multi-domain | multi-auth}
 access-session port-control auto
 dot1x pae authenticator
 {mab}
 service-policy type control subscriber TEST

これらのコマンドは、dot1x認証を有効にし、オプションでインターフェイス上のMAC認証バイパス(MAB)を有効にします。新しい構文を使用するときは、access-sessionで始まるコマンドを使用します。これらのコマンドの目的は、古い構文を使用するコマンドの場合と同じです（認証キーワードで始まる）。インターフェイスに使用できるポリシーマップを指定するには、service-policyを適用します。

上記のポリシーマップは、認証中のスイッチ（オーセンティケータ）の動作を定義します。たとえば、認証が失敗した場合に何が起こるかを指定できます。イベントごとに、設定されている class-map 内の一致したイベントのタイプに基づいて、複数のアクションを設定できます。例として、下記のリスト（policy-map TEST4）を参照してください。このポリシーが適用されているインターフェイスに接続されているdot1xエンドポイントが失敗すると、DOT1X_FAILEDで定義されたアクションが実行されます。MAB_FAILED や DOT1X_FAILED などのクラスに対して同じ動作を指定するには、デフォルト クラスの class-map always を使用できます。

policy-map type control subscriber TEST4
(...)
 event authentication-failure match-first
  10 class DOT1X_FAILED do-until-failure
   10 terminate dot1x
(...)
  40 class always do-until-failure
   10 terminate mab
   20 terminate dot1x
   30 authentication-restart 60
(...)

IBNS 2.0 に使用する policy-map のタイプは必ずコントロール サブスクライバである必要があります。

使用可能なイベントのリストは、次の方法で表示できます。

Switch(config-event-control-policymap)#event ?
  aaa-available                 aaa-available event
  absolute-timeout              absolute timeout event
  agent-found                   agent found event
  authentication-failure        authentication failure event
  authentication-success        authentication success event
  authorization-failure         authorization failure event
  inactivity-timeout            inactivity timeout event
  session-started               session started event
  tag-added                     tag to apply event
  tag-removed                   tag to remove event
  template-activated            template activated event
  template-activation-failed    template activation failed event
  template-deactivated          template deactivated event
  template-deactivation-failed  template deactivation failed event
  timer-expiry                  timer-expiry event
  violation                     session violation event

イベント設定では、クラスを評価する方法を定義できます。

Switch(config-event-control-policymap)#event authentication-failure ?
  match-all    Evaluate all the classes
  match-first  Evaluate the first class

クラスマップに対して同様のオプションを定義できますが、ここではクラスが一致した場合のアクションの実行方法を指定します。

Switch(config-class-control-policymap)#10 class always ?
  do-all            Execute all the actions
  do-until-failure  Execute actions until one of them fails
  do-until-success  Execute actions until one of them is successful

新しいスタイルの dot1x の設定の最後の部分（オプション）は class-map です。 コントロールサブスクライバとタイプすることもでき、特定の動作やトラフィックの照合に使用されます。class-map 条件評価の要件を設定します。すべての条件が一致する必要があるか、いずれかの条件が一致する必要があるか、またはどの条件も一致しないことを指定できます。

Switch(config)#class-map type control subscriber ?
  match-all   TRUE if everything matches in the class-map
  match-any   TRUE if anything matches in the class-map
  match-none  TRUE if nothing matches in the class-map

dot1x認証失敗の照合に使用されるクラスマップの例を次に示します。

class-map type control subscriber match-all DOT1X_FAILED
 match method dot1x
 match result-type method dot1x authoritative

一部のシナリオ（主にサービステンプレートが使用されている場合）では、認可変更(CoA)の設定を追加する必要があります。

aaa server radius dynamic-author
 client 10.48.17.232 server-key cisco 

単一ホストのシナリオ

ネットワーク図

コンフィギュレーション

IOS 15.2(4)E1 搭載の Catalyst 3750X でテストされた単一ホストのシナリオには、802.1X の基本構成が必要です。シナリオは、Windows Native Supplicant および Cisco AnyConnect でテストされました。

aaa new-model
!
aaa group server radius tests
 server name RAD-1
!
aaa authentication dot1x default group tests
aaa authorization network default group tests
!
dot1x system-auth-control
!
policy-map type control subscriber TEST
 event session-started match-all
  10 class always do-until-failure
   10 authenticate using dot1x priority 10
!
interface GigabitEthernet1/0/21
 switchport access vlan 613
 switchport mode access
 access-session host-mode single-host
 access-session port-control auto
 dot1x pae authenticator
 service-policy type control subscriber TEST
!
radius server RAD-1
 address ipv4 10.48.17.232 auth-port 1812 acct-port 1813
 key cisco

マルチドメインのシナリオ

ネットワーク図

コンフィギュレーション

マルチドメインのシナリオは、IP フォン（Cisco IP Phone 9971）の PoE（Power over Ethernet）要件に従い、IOS 03.02.03.SE の Catalyst 3850 でテストされました。 

aaa new-model
!
aaa group server radius tests
 server name RAD-1
!
aaa authentication dot1x default group tests
aaa authorization network default group tests
!
aaa server radius dynamic-author
 client 10.48.17.232 server-key cisco
!
dot1x system-auth-control
!
class-map type control subscriber match-all DOT1X
 match method dot1x
!
class-map type control subscriber match-all DOT1X_FAILED
 match method dot1x
 match result-type method dot1x authoritative
!
class-map type control subscriber match-all DOT1X_NO_RESP
 match method dot1x
 match result-type method dot1x agent-not-found
!
class-map type control subscriber match-all MAB
 match method mab
!
class-map type control subscriber match-all MAB_FAILED
 match method mab
 match result-type method mab authoritative
!
policy-map type control subscriber TEST4
 event session-started match-all
  10 class always do-until-failure
   10 authenticate using dot1x priority 10
   20 authenticate using mab priority 20
 event authentication-failure match-first
  10 class DOT1X_FAILED do-until-failure
   10 terminate dot1x
  20 class MAB_FAILED do-until-failure
   10 terminate mab
   20 authenticate using dot1x priority 10
  30 class DOT1X_NO_RESP do-until-failure
   10 terminate dot1x
   20 authentication-restart 60
  40 class always do-until-failure
   10 terminate mab
   20 terminate dot1x
   30 authentication-restart 60
 event agent-found match-all
  10 class always do-until-failure
   10 terminate mab
   20 authenticate using dot1x priority 10
 event authentication-success match-all
  10 class always do-until-failure
   10 activate service-template DEFAULT_LINKSEC_POLICY_SHOULD_SECURE
!
interface GigabitEthernet1/0/1
 switchport access vlan 613
 switchport mode access
 switchport voice vlan 612
 access-session host-mode multi-domain
 access-session port-control auto
 mab
 dot1x pae authenticator
 spanning-tree portfast
 service-policy type control subscriber TEST4
!
radius-server attribute 6 on-for-login-auth
radius-server attribute 8 include-in-access-req
radius-server attribute 25 access-request include
radius-server vsa send cisco-nas-port
!
radius server RAD-1
 address ipv4 10.48.17.232 auth-port 1812 acct-port 1813
 key cisco

確認

ここでは、設定が正常に機能しているかどうかを確認します。

確認のため、次のコマンドを使用して、すべてのスイッチポートからのセッションをリストします。

show access-session 

 また、単一のスイッチポートのセッションに関する詳細情報を表示することもできます。

show access-session interface [Gi 1/0/1] {detail} 

トラブルシュート

ここでは、設定のトラブルシューティングに使用できる情報を示します。

802.1X 関連の問題をトラブルシューティングするには、802.1X の古い構文と同じ方法でデバッグを有効にします。

debug mab all
debug dot1x all
debug pre all* 

 *オプションでdebug preを使用する場合は、イベントまたはルールのいずれかまたは両方を使用して、出力をIBNS 2.0関連情報に制限できます。