この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
Cisco ISE がネットワーク スイッチと相互運用し、Cisco ISE の機能がネットワーク セグメント全体で正常に動作することを保証するには、Cisco ISE との通信に必要な NTP、RADIUS/AAA、802.1X、MAB などの設定を使用して、ネットワーク スイッチを設定する必要があります。
認証時の URL リダイレクションのプロビジョニングなど、Cisco ISE 用の標準 Web 認証機能を有効にするには、次のコマンドをスイッチのコンフィギュレーションに含めます。
ip classless
ip route 0.0.0.0 0.0.0.0 10.1.2.3
ip http server
! Must enable HTTP/HTTPS for URL-redirection on port 80/443
ip http secure-server
スイッチがこのネットワーク セグメントの RADIUS サーバであるかのように Cisco ISE ノードと通信するには、次のコマンドを入力します。
username test-radius password 0 abcde123
次のコマンドを入力して、 で Cisco ISE に設定したのと同じ NTP サーバを指定していることを確認してください。
ntp server <IP_address>|<domain_name>
802.1X および MAB 認証機能など、スイッチと Cisco ISE との間でさまざまな AAA 機能を有効にするには、次のコマンドを入力します。
aaa new-model
! Creates an 802.1X port-based authentication method list
aaa authentication dot1x default group radius
! Required for VLAN/ACL assignment
aaa authorization network default group radius
! Authentication & authorization for webauth transactions
aaa authorization auth-proxy default group radius
! Enables accounting for 802.1X and MAB authentications
aaa accounting dot1x default start-stop group radius
!
aaa session-id common
!
aaa accounting update periodic 5
! Update AAA accounting information periodically every 5 minutes
aaa accounting system default start-stop group radius
!
aaa server radius dynamic-author <cr>
client 10.0.56.17 server-key cisco
! Enables Cisco ISE to act as a AAA server when interacting with the client at IP address 10.0.56.17
Cisco ISE と相互運用し、RADIUS ソース サーバとして動作するようスイッチを設定するには、次のコマンドを入力します。
! radius-server attribute 6 on-for-login-auth ! Include RADIUS attribute 8 in every Access-Request radius-server attribute 8 include-in-access-req ! Include RADIUS attribute 25 in every Access-Request radius-server attribute 25 access-request include ! Wait 3 x 30 seconds before marking RADIUS server as dead radius-server dead-criteria time 30 tries 3 ! Use RFC-standard ports (1812/1813) radius-server host <Cisco_ISE_IP_address> auth-port 1812 acct-port 1813 test usernametest-radius key 0 <RADIUS-KEY> ! radius-server vsa send accounting ! radius-server vsa send authentication ! ! send RADIUS requests from the MANAGEMENT VLAN ip radius source-interface <VLAN_number>
(注) | 3 回の再試行を含む 30 秒のデッド基準時間を設定し、Active Directory を認証に使用する RADIUS 要求に対して、より長い応答時間を提供することを推奨します。 |
スイッチが RADIUS 許可変更動作を適切に処理し、Cisco ISE のポスチャ機能をサポートできるようにするための設定を指定するには、次のコマンドを入力します。
aaa server radius dynamic-author
client <ISE-IP> server-key 0 abcde123
(注) | Cisco ISE では、RFC の CoA 用デフォルト ポート 3799 に対して、ポート 1700(Cisco IOS ソフトウェアのデフォルト)を使用します。既存の Cisco Secure ACS 5.x ユーザは、既存の ACS の実装の一部として CoA を使用している場合、すでにこれをポート 3799 に設定している可能性があります。 |
! Optional
ip dhcp snooping
! Required!
ip device tracking
RADIUS アカウンティングでは、DHCP スヌーピングが有効になっていても、DHCP 属性は IOS センサーによって Cisco ISE に送信されません。このような場合、DHCP スヌーピングを VLAN で有効にして DHCP をアクティブにする必要があります。
VLAN で DHCP スヌーピングを有効にするには、次のコマンドを使用します。
ip dhcp snooping
ip dhcp snooping vlan 1-100
(データおよび VLAN に使用する範囲を含める必要があります)
スイッチ ポートに対してグローバルに 802.1X 認証を有効にするには、次のコマンドを入力します。
dot1x system-auth-control
サプリカントによる LAN 経由での認証要求をサポートするには、次のコマンドを入力することによって、EAP をクリティカルな認証(アクセスできない認証バイパス)に対して有効にします。
dot1x critical eapol
クリティカルな認証リカバリ イベントが発生した場合、次のコマンドを入力することによって、自動的に遅延(秒単位)を発生させるようスイッチを設定し、Cisco ISE がリカバリ後にサービスを再起動できるようにすることが可能です。
authentication critical recovery delay 1000
ネットワーク内の既知の適用状態に基づいて VLAN 名、番号、および SVI を定義するには、次のコマンドを入力します。ネットワーク間のルーティングを有効にするには、それぞれの VLAN インターフェイスを作成します。これは特に、同じネットワーク セグメントを経由して渡される、複数のソースからのトラフィックを処理する場合に役立ちます。たとえば、PC とその PC がネットワークへの接続時に経由する IP 電話の両方からのトラフィックが考えられます。
vlan <VLAN_number>
name ACCESS!
vlan <VLAN_number>
name VOICE
!
interface <VLAN_number>
description ACCESS
ip address 10.1.2.3 255.255.255.0
ip helper-address <DHCP_Server_IP_address>
ip helper-address <Cisco_ISE_IP_address>
!
interface <VLAN_number>
description VOICE
ip address 10.2.3.4 255.255.255.0
ip helper-address <DHCP_Server_IP_address>
このような機能を古いバージョンのスイッチ(Cisco IOS ソフトウェア リリースのバージョンが 12.2(55)SE よりも前)で有効にし、Cisco ISE が認証と許可に必要なダイナミック ACL の更新を実行できるようにするには、次のコマンドを入力します。
ip access-list extended ACL-ALLOW permit ip any any ! ip access-list extended ACL-DEFAULT remark DHCP permit udp any eq bootpc any eq bootps remark DNS permit udp any any eq domain remark Ping permit icmp any any remark Ping permit icmp any any remark PXE / TFTP permit udp any any eq tftp remark Allow HTTP/S to ISE and WebAuth portal permit tcp any host <Cisco_ISE_IP_address> eq www permit tcp any host <Cisco_ISE_IP_address> eq 443 permit tcp any host <Cisco_ISE_IP_address> eq 8443 permit tcp any host <Cisco_ISE_IP_address> eq 8905 permit udp any host <Cisco_ISE_IP_address> eq 8905 permit udp any host <Cisco_ISE_IP_address> eq 8906 permit tcp any host <Cisco_ISE_IP_address> eq 8080 permit udp any host <Cisco_ISE_IP_address> eq 9996 remark Drop all the rest deny ip any any log ! ! The ACL to allow URL-redirection for WebAuth ip access-list extended ACL-WEBAUTH-REDIRECT permit tcp any any eq www permit tcp any any eq 443
(注) | WLC でこの設定を行うと、CPU 使用率が増加し、システムが不安定になるリスクが高まります。これは IOS の問題で、Cisco ISE は悪影響を受けません。 |
Cisco ISE が既存の Cisco TrustSec の展開と相互運用できるようにするには、次の手順を使用して、スイッチで必要なすべての機能を有効にします。
Cisco ISE の機能について発生する可能性があるトラブルシューティングや記録をサポートするには、次のように、スイッチに標準のロギング機能を設定します。
epm logging
次のように、スイッチがこのネットワーク セグメント内の適切な VLAN を経由して、Cisco ISE から SNMP トラップ転送を受信できるようにします。
snmp-server community public RO
snmp-server trap-source <VLAN_number>
SNMP v3 ポーリングが正常に発生し、Cisco ISE プロファイリング サービスがサポートされるように、スイッチを設定します。まず、 を選択して、Cisco ISE の SNMP 設定を設定します。
Snmp-server user <name> <group> v3 auth md5 <string> priv des <string>
snmp-server group <group> v3 priv
snmp-server group <group> v3 priv context vlan-1
(注) | snmp-server group <group> v3 priv context vlan-1 コマンドは、コンテキストごとに設定する必要があります。snmp show context コマンドでは、すべてのコンテキスト情報がリストされます。 |
次のように、適切な MAC 通知トラップを送信するようスイッチを設定し、Cisco ISE のプロファイラ機能がネットワーク エンドポイントで情報を収集できるようにします。
mac address-table notification change
mac address-table notification mac-move
snmp trap mac-notification change added
snmp trap mac-notification change removed
スイッチに RADIUS Idle-timeout を設定するには、次のコマンドを使用します。
Switch(config-if)# authentication timer inactivity
inactivity は、クライアント アクティビティが不正と見なされるまでの非アクティブ間隔を秒単位で表したものです。
Cisco ISE では、そのようなセッションの非アクティブ タイマーを適用する必要がある許可ポリシーに対して、 からこのオプションを有効にできます。
同じワイヤレス アクセス ポイントで、Apple iOS ベースのデバイス(iPhone/iPad)が、ある SSID から別の SSID に切り替えることができるようにするには、「FAST SSID の変更」機能を有効にするようワイヤレス LAN コントローラ(WLC)を設定します。この機能によって、iOS ベースのデバイスがより迅速に SSID 間の切り替えを行うことができます。
デュアル SSID BYOD をサポートするには、Fast SSID が有効になっている必要があります。ワイヤレス コントローラで Fast SSID Change が有効になっている場合、クライアントは SSID 間を高速で移動できます。高速 SSID が有効になっている場合、クライアント エントリがクリアされず、遅延は適用されません。Fast SSID の詳細と、Cisco WLC での Fast SSID の設定の詳細については、http://www.cisco.com/c/en/us/td/docs/wireless/controller/8-3/config-guide/b_cg83/b_cg83_chapter_0100001.htmlを参照してください。
WLC (config)# FAST SSID change
一部の Apple iOS ベースのデバイスでは、ワイヤレス ネットワークに接続しようとすると、次のエラー メッセージが表示される場合があります。
ワイヤレスネットワークをスキャンできませんでした。(Could not scan for Wireless Networks.)デバイス認証に影響しないため、このエラー メッセージは無視できます。
未登録のデバイスおよび証明書プロビジョニングをリダイレクトするために許可ポリシーで使用する ACL をワイヤレス LAN コントローラで設定します。ACL は次の順序にする必要があります。
ステップ 1 | サーバからクライアントへのすべての発信トラフィックを許可します。 |
ステップ 2 | (任意)トラブルシューティングのためにクライアントからサーバへの ICMP 着信トラフィックを許可します。 |
ステップ 3 | 未登録および非準拠のデバイスが MDM エージェントをダウンロードし、コンプライアンス チェックに進むように MDM サーバへのアクセスを許可します。 |
ステップ 4 | Web ポータルおよびサプリカント用 ISE、および証明書プロビジョニング フローに対するクライアントからサーバへのすべての着信トラフィックを許可します。 |
ステップ 5 | 名前解決のためにクライアントからサーバへの着信 DNS トラフィックを許可します。 |
ステップ 6 | IP アドレスのためにクライアントからサーバへの着信 DHCP トラフィックを許可します。 |
ステップ 7 | ISE へのリダイレクションのための、クライアントからサーバへの企業リソースに対するすべての着信トラフィックを(会社のポリシーに応じて)拒否します。 |
ステップ 8 | (任意)残りのトラフィックを許可します。 |
次の例では、未登録のデバイスを BYOD フローにリダイレクトするための ACL を示しています。この例では、Cisco ISE IP アドレスは 10.35.50.165 で、社内ネットワークの IP アドレスは 192.168.0.0 および 172.16.0.0(リダイレクト用)で、MDM サーバ サブネットは 204.8.168.0 です。