ポリシー セット
Cisco ISE はポリシーベースのネットワークアクセス制御ソリューションで、ネットワーク アクセス ポリシー セットを提供し、ワイヤレス、有線、ゲスト、およびクライアント プロビジョニングなど、さまざまなネットワーク アクセスの使用例を管理できます。ポリシー セット(ネットワーク アクセスとデバイス管理の両方のセット)を使用すると、認証および許可ポリシーを論理的に同じセットにグループ化することができます。ロケーション、アクセス タイプ、類似パラメータに基づくポリシー セットなどの領域に基づいて、複数のポリシー セットを作成できます。ISE をインストールすると、デフォルトのポリシー セットであるポリシー セットが常に 1 つ定義され、デフォルトのポリシー セットには、事前定義されたデフォルトの認証、許可、および例外のポリシー ルールが含まれています。
ポリシー セットを作成するときは、ネットワーク アクセス サービスはポリシー セット レベルで、ID ソースは認証ポリシー レベルで、ネットワーク許可は許可ポリシー レベルで選択するように、(条件および結果で設定された)これらのルールを設定できます。さまざまなベンダーに対し、Cisco ISE 対応ディクショナリからの属性のいずれかを使用して、1 つまたは複数の条件を定義できます。Cisco ISE では、再利用可能な個別のポリシー要素として条件を作成できます。
ネットワーク デバイスと通信するためにポリシー セットごとに使用されるネットワーク アクセス サービスは、そのポリシー セットの最上位レベルで定義されます。ネットワーク アクセス サービスには次のものがあります。
-
許可されたプロトコル:初期要求とプロトコル ネゴシエーションを処理するように設定されたプロトコル
-
プロキシ サービス:処理のために外部 RADIUS サーバに要求を送信します
(注) |
[デバイス管理(Device Administration)] ワーク センターから、ポリシー セットに関連する TACACS サーバ順序を選択することもできます。TACACS サーバ順序を使用して、一連の TACACS プロキシ サーバを処理用に設定します。 |
[ポリシー セット(Policy Set)] テーブルから確認できるポリシー セットの最上位レベルのルールが、セット全体に適用され、残りのポリシーと例外のルールの前に一致している場合、ポリシー セットは階層的に構成されています。その後、セットのルールが次の順序で適用されます。
-
認証ポリシー ルール
-
ローカル ポリシー例外
-
グローバル ポリシー例外
-
許可ポリシー ルール
(注) |
ポリシー セットの機能は、ネットワーク アクセスとデバイス管理ポリシーの場合と同じです。この章で説明するすべてのプロセスは、[ネットワーク アクセス(Network Access)] および [デバイス管理(Device Administration)] ワーク センターの両方で作業する場合に適用できます。この章では、[ネットワーク アクセス(Network Access)] ワーク センターのポリシー セットについて具体的に説明します。このワーク センターをアクセスするには、 を選択します。 |