IP ベースおよび URL ベースのアクセスコントロールポリシーの設定
IP ベースのアクセスコントロールポリシー
IP ベースのアクセスコントロールポリシー設定のワークフロー
グローバルネットワークサーバーの設定
IP ネットワークグループの作成
IP ネットワークグループの編集または削除
IP ベースのアクセスコントロール契約の作成
IP ベースのアクセスコントロールポリシー契約の編集または削除
IP ベースおよび URL ベースのアクセスコントロールポリシーを作成する
IP ベースおよび URL ベースのアクセスコントロールポリシーの編集または削除

IP ベースおよび URL ベースのアクセスコントロールポリシーの設定

IP ベースのアクセスコントロールポリシー

IP ベースのアクセスコントロールポリシーは、アクセスコントロールリスト（ACL）と同じ方法でシスコデバイスに出入りするトラフィックを制御します。ACL と同様に、IP ベースのアクセスコントロールポリシーにはプロトコルタイプ、送信元 IP アドレス、宛先 IP アドレス、宛先ポート番号などのさまざまな条件に基づいてトラフィックフローに適用される許可条件および拒否条件のリストが含まれています。

IP ベースのアクセスコントロールポリシーを使用して、セキュリティ、モニターリング、ルート選択、ネットワークアドレス変換などのさまざまな目的のためにトラフィックをフィルタ処理できます。

IP ベースのアクセスコントロールポリシーには、次の 2 つの主要コンポーネントがあります。

[IP Network Groups]：IP ネットワークグループは、同じアクセス制御要件を共有する IP サブネットで構成されています。これらのグループは Catalyst Center でのみ定義できます。IP ネットワークグループに含めることができる IP サブネットは 1 つだけです。
[Access Contract]：アクセスコントラクトは、IP ベースのアクセスコントロールポリシーとグループベースのアクセスコントロールポリシーの両方で使用される共通の構成要素です。これはアクセス制御ポリシーを構成するルールを定義します。これらのルールでは、トラフィックが特定のポートまたはプロトコルに一致したときに実行されるアクション（許可または拒否）や他のルールが一致しないときに実行される暗黙のアクション（許可または拒否）を指定します。

IP ベースのアクセスコントロールポリシー設定のワークフロー

始める前に

新しい IP ベースのアクセスコントロールポリシーを作成中に、[Policy] > [IP & URL Based Access Control] > [IP Network Groups] ウィンドウでグループを追加する場合は、Cisco ISE は必須ではありません。
次のグローバルネットワーク設定が定義されていることを確認し、デバイスをプロビジョニングします。
- AAA、DHCP、DNS サーバーなどのネットワークサーバー詳細については、グローバルネットワークサーバーの設定を参照してください。
- CLI、SNMP、HTTP、HTTPS などのデバイスクレデンシャル。詳細については、グローバルデバイスログイン情報の設定を参照してください。
- IP アドレスプール詳細については、「IP アドレスプールを設定する」を参照してください。
- SSID、ワイヤレスインターフェイス、およびワイヤレス無線周波数プロファイルなどのワイヤレス設定です。詳細については、「グローバルワイヤレス設定の構成」を参照してください。

手順

ステップ 1

IP ネットワークグループを作成します。

詳細については、「IP ネットワークグループの作成」を参照してください。

ステップ 2

IP ベースのアクセス制御契約を作成します。

IP ベースのアクセス制御契約は、送信元と宛先の間の一連のルールを定義します。これらのルールは、ネットワークデバイスが、指定されたプロトコルまたはポートに一致するトラフィックに基づいて実行するアクション（許可または拒否）を指定します。詳細については、「IP ベースのアクセスコントロール契約の作成」を参照してください。

ステップ 3

IP ベースのアクセスコントロールポリシーの作成アクセスコントロールポリシーは、送信元と宛先の IP ネットワークグループ間のトラフィックを制御するアクセス制御契約を定義します。

詳細については、IP ベースおよび URL ベースのアクセスコントロールポリシーを作成するを参照してください。

グローバルネットワークサーバーの設定

ネットワーク全体のデフォルトになるグローバルネットワークサーバーを定義することができます。

（注）

サイト固有の設定を定義することで、サイトのグローバルネットワーク設定を上書きできます。

手順

ステップ 1

左上隅にあるメニューアイコンをクリックして次を選択します：[Design] > [Network settings]。

ステップ 2

[Servers] タブをクリックします。

ステップ 3

[DHCP] エリアを展開して、クライアントデバイスのネットワーキング設定を管理するための 1 つまたは複数の専用 Dynamic Host Configuration Protocol（DHCP）サーバーを指定します。

ステップ 4

[Add DHCP servers] チェックボックスをオンにして、フィールドを表示します。

ステップ 5

[IP Address] フィールドに DHCP サーバーの IP アドレスを入力します。アイコンをクリックして、IP アドレスを追加します。

（注）

アイコンをクリックすると、IPv4 アドレスと IPv6 アドレスの両方を入力できます。IP アドレスを削除するには、アイコンをクリックします。

IP アドレスプールを作成するには、少なくとも 1 つの DHCP サーバーを定義する必要があります。

ステップ 6

[DNS] 領域を展開してネットワークのドメイン名を設定し、ホスト名解決用のドメインネームシステム（DNS）サーバーを指定します。

ステップ 7

[Set a domain name] チェックボックスをオンにして、DNS サーバーのドメイン名を入力します。

ステップ 8

[Add DNS servers] チェックボックスをオンにして、IP アドレスを入力します。

（注）

アイコンをクリックすると、IPv4 アドレスと IPv6 アドレスの両方を入力できます。IP アドレスを削除するには、アイコンをクリックします。

IP アドレスプールを作成するために、少なくとも 1 つの DNS サーバーを定義する必要があります。

ステップ 9

ネットワークのシステムクロックの同期を容易にするために、1 つ以上の Network Time Protocol（NTP）サーバーを指定するには、[NTP] エリアを展開します。

ステップ 10

[Add NTP servers] チェックボックスをオンにして、フィールドを表示します。

ステップ 11

[IP Address] フィールドに、NTP サーバーの IP アドレスを入力します。アイコンをクリックして、IP アドレスを追加します。

（注）

アイコンをクリックすると、IPv4 アドレスと IPv6 アドレスの両方を入力できます。IP アドレスを削除するには、アイコンをクリックします。

ステップ 12

[Save] をクリックします。

IP ネットワークグループの作成

手順

ステップ 1	左上隅にあるメニューアイコンをクリックして次を選択します： [Policy] > [IP & URL Based Access Control] > [IP Network Groups] の順に選択します。
ステップ 2	[グループの追加（Add Group）] をクリックします。
ステップ 3	[名前（Name）] フィールドに、IP ネットワークグループの名前を入力します。
ステップ 4	[説明（Description）] フィールドに、IP ネットワークグループを説明する単語またはフレーズを入力します。
ステップ 5	[IP アドレスまたは IP/CIDR（IP Address or IP/CIDR）] フィールドに、IP ネットワークグループを構成する IP アドレスを入力します。
ステップ 6	[Save] をクリックします。

IP ネットワークグループの編集または削除

手順

ステップ 1

左上隅にあるメニューアイコンをクリックして次を選択します： [Policy] > [IP & URL Based Access Control] > [IP Network Groups] の順に選択します。

ステップ 2

[IP ネットワークグループ（IP Network Groups）] テーブルで、編集または削除するグループの横にあるチェックボックスをオンにします。

ステップ 3

次のいずれか 1 つのタスクを実行します。

グループを変更するには、[編集（Edit）]をクリックします。フィールド定義の詳細については、IP ネットワークグループの作成を参照してください。必要な変更を行って、[Save] をクリックします。
グループを削除するには、[削除（Delete）] をクリックし、次に [はい（Yes）] をクリックして確定します。

IP ベースのアクセスコントロール契約の作成

IP ベースのアクセス契約を作成するには、次の手順を実行します。

手順

ステップ 1	左上隅にあるメニューアイコンをクリックして次を選択します：[Policy] > [IP & URL Based Access Control] > [Access Contract] の順に選択します。
ステップ 2	[コントラクトの追加（Add Contract）] をクリックします。
ステップ 3	[Add Contract] slide-in paneの [Name] フィールドに、アクセス契約の名前を入力します。
ステップ 4	（任意） [Description] フィールドに、アクセス契約の説明を入力します。
ステップ 5	[暗黙的アクション（Implicit Action）] ドロップダウンリストから、[拒否（Deny）] または [許可（Permit）] を選択します。
ステップ 6	[Add] をクリックして、ポートまたはプロトコルを追加します。
ステップ 7	[Add Port/Protocol] ダイアログボックスで、次の手順を実行します。 [Action] ドロップダウンリストで、[Deny] または [Permit] を選択します。 [ポート/プロトコル（Port/Protocol）] ドロップダウンリストから、ポートまたはプロトコルを選択します。 [Save] をクリックします。
ステップ 8	Catalyst Center に必要なポートまたはプロトコルがない場合は、[Create Port/Protocol] をクリックしてポートとプロトコルを作成し、[Create Port/Protocol] ダイアログボックスで次の手順を実行します。 [名前（Name）] フィールドで、ポートまたはプロトコルの名前を入力します。ドロップダウンリストから、プロトコル（[Any]、[AHP]、[ESP]、[IGMP]、[IP]、[NOS]、[PCP]、[TDP]、[UDP]、または [TCP/UDP]）を選択します。 [ポート範囲（Port Range）] フィールドにポート範囲を入力します。 Catalyst Centerで定義したとおりにポートまたはプロトコルを設定し、競合をレポートしないようにするには、[Ignore Conflict] チェックボックスをオンにします。 [Save] をクリックします。
ステップ 9	（任意）アクセス契約にさらにルールを含めるには、[Add] をクリックして、ステップ 7 を繰り返します。
ステップ 10	[Save] をクリックします。

IP ベースのアクセスコントロールポリシー契約の編集または削除

ポリシーで使用されている契約を編集すると、[IP ベースのアクセスコントロールポリシー（IP Based Access Control Policies）] ウィンドウのポリシーの状態が [変更（MODIFIED）] に変わります。変更されたポリシーは、ネットワークに導入されたポリシーと一致しないため、古いと見なされます。この問題を解決するには、ネットワークにポリシーを再展開する必要があります。

手順

ステップ 1

左上隅にあるメニューアイコンをクリックして次を選択します：[Policy] > [IP & URL Based Access Control] > [Access Contract] の順に選択します。

ステップ 2

編集または削除する契約の横にあるチェックボックスをオンにして、次のいずれかのタスクを実行します。

契約を変更するには、[Edit] をクリックして変更を行い、[Save] をクリックします。フィールド定義の詳細については、IP ベースのアクセスコントロール契約の作成を参照してください。

（注）

ポリシーで使用されている契約を変更した場合は、[Policy] > [IP & URL Based Access Control] > [IP & URL Access Control Policies]の順に選択し、ポリシー名の横にあるチェックボックスをオンにして、[Deploy] をクリックすることによって、変更したポリシーを展開する必要があります。

契約を削除するには、[削除（Delete）] をクリックします。

IP ベースおよび URL ベースのアクセスコントロールポリシーを作成する

ネットワークの認証後アクセスコントロールリスト（ACL）を作成できます。ACL は、IP、URL、またはその両方に基づくことができます。

始める前に

IP ベースのアクセスコントロール契約の作成。

手順

ステップ 1

左上隅にあるメニューアイコンをクリックして次を選択します：[Policy] > [IP & URL Based Access Control] > [IP & URL Access Control Policies] の順に選択します。

ステップ 2

[ポリシーの追加（Add Policy）] をクリックします。

または、最初の 2 つの手順の代わりに、メニューアイコンをクリックして、[Workflows] > [Create IP & URL-Based Access Control Policy] を選択できます。 [Overview] ウィンドウが開いたら、[Let's Do it] をクリックしてワークフローを開始します。

ステップ 3

[Policy Name and Details] ウィンドウで、次の手順を実行します。

ポリシーの名前と説明を入力します。
[Select ACL Type] で、[IP] チェックボックス、[URL] チェックボックスをオンにするか、または [IP] チェックボックスと [URL] チェックボックスの両方をオンにします。

ステップ 4

[Select Site and SSID] ウィンドウで、ポリシーを適用するサイトを選択します。

サイトが非ファブリック SSID ですでにプロビジョニングされていることを確認してください。

ステップ 5

[Policy Name and Details] ウィンドウで [IP] チェックボックスをオンにした場合は、[IP Access Control List] ウィンドウで次の手順を実行します。

[Add New Row] をクリックし、[Source]、[Destination]、[Contracts]、または [Direction] を選択します。
[Add]をクリックします。

ステップ 6

[Policy Name and Details] ウィンドウで [URL] チェックボックスをオンにした場合は、[URL Access Control List] ウィンドウで次の手順を実行します。

URL を入力します。
[Action] ドロップダウンリストをクリックして [Permit] または [Deny] を選択します。

ステップ 7

[Summary] ウィンドウで、設定を確認します。変更するには、[Edit] をクリックします。

ステップ 8

[Schedule Task] ウィンドウでは、[Visibility of Configurations] の設定に基づいて、使用可能なオプションを選択します。

[Now]：設定をすぐに展開します。
[Later]：展開する日付と時刻をスケジュールし、タイムゾーンを定義します。
[Generate configuration preview]：展開する前に設定を確認します。

可視性のみが有効になっている場合、または可視性と制御の両方が有効になっている場合、[Generate Configuration Preview] がデフォルトで選択され、[Now] と [Later] がグレー表示（使用不可）になります。詳細については、ワイヤレスデバイス構成の可視性と制御を参照してください。

ステップ 9

[Next] をクリックします。

ステップ 10

[Performing Initial Checks] ウィンドウで、すべての問題に対処して、現在の展開を続行します。

すべての問題に対処した後、ウィンドウの右下隅にある [Recheck] をクリックし、すべての検証に成功したことを確認します。

詳細については、ネットワークプロビジョニングの事前チェックを参照してください。

[Now] または [Later] を選択した場合、[Submit] をクリックすると、デバイス構成はスケジュールされた時刻に展開されます。[Tasks] ウィンドウでタスクを確認できます。

ステップ 11

[Generate Configuration Preview] を選択した場合は、[Visibility and Control of Configurations] の設定に応じて次の手順を実行します。

[Preparing Devices and Configuration Models] ウィンドウで、システムがデバイスを準備してデバイス設定を生成するのを待ちます。これには時間がかかる場合があるため、[Exit and Preview Later] をクリックできます。後で作業項目を表示するには、[Tasks] ウィンドウに移動します。
[Preview Configuration] ウィンドウでデバイス設定を確認します。

詳細については、ワイヤレスデバイス構成の可視性と制御を参照してください。

次のいずれかを実行します。

準備ができたら、[Deploy] または [Submit for Approval] をクリックします。
構成の展開、または ITSM 承認のために送信する準備ができていない場合は、[Exit and Preview Later] をクリックします。後で、[Tasks] ウィンドウに移動して作業項目を開き、[Deploy] または [Submit for Approval] をクリックします。

（注）

ITSM 承認のためにデバイス設定を送信し、すべての設定をプレビューせずにこれらの設定を展開できます。

slide-in paneで、設定を展開するタイミングを指定し、タイムゾーンを選択します。可視性と制御が有効になっている場合は、IT 管理者へのメモを追加します。
[Submit] をクリックします。`

作業項目の承認ステータスまたはタスクの展開ステータスは、[Tasks] ウィンドウで確認できます。作業項目が承認されていない場合は、ITSM 承認のために作業項目を再送信する必要があります。承認されたタスクは、スケジュールされた時刻に展開されます。

IP ベースおよび URL ベースのアクセスコントロールポリシーの編集または削除

必要な場合は、IP ベースおよび URL ベースのアクセスコントロールポリシーを変更または削除できます。

手順

ステップ 1	左上隅にあるメニューアイコンをクリックして次を選択します：[Policy] > [IP & URL Based Access Control] > [IP & URL Access Control Policies] の順に選択します。
ステップ 2	ポリシーを編集するには、編集するポリシーの名前をクリックし、必要な変更を加えて、[Save & Schedule] をクリックします。詳細については、IP ベースおよび URL ベースのアクセスコントロールポリシーを作成するを参照してください。
ステップ 3	ポリシーを削除するには、削除するポリシーの横にあるチェックボックスをオンにして [Delete] をクリックします。

Cisco Catalyst Center リリース 2.3.7.x ユーザーガイド

偏向のない言語

翻訳について

Book Title

Cisco Catalyst Center リリース 2.3.7.x ユーザーガイド

Chapter Title