Cisco ISE でのネットワークデバイスの定義
スイッチやルータなどのネットワーク デバイスは、認証、許可、アカウンティング(AAA)クライアントであり、これを使用して、AAA サービス要求が Cisco ISE に送信されます。Cisco ISE がネットワーク デバイスとやり取りするように、ネットワーク デバイスを定義する必要があります。ネットワーク デバイスを RADIUS または TACACS AAA に設定したり、プロファイリング サービスでプロファイリング エンドポイントの Cisco Discovery Protocol 属性および Link Layer Discovery Protocol 属性を収集するための Simple Network Management Protocol(SNMP)を設定したり、TrustSec デバイスの TrustSec 属性を設定することができます。Cisco ISE に定義されていないネットワーク デバイスは、Cisco ISE から AAA サービスを受信できません。
ネットワーク デバイスの定義:
-
ネットワーク デバイスに応じたベンダー プロファイルを選択できます。プロファイルには、URL ダイレクトや許可変更の設定などの、デバイスに事前定義された設定が含まれています。
-
RADIUS 認証用の RADIUS プロトコルを設定できます。Cisco ISE はネットワーク デバイスから RADIUS 要求を受信すると、対応するデバイス定義を探して設定されている共有秘密を取得します。デバイス定義が見つかった場合、デバイスに設定されている共有秘密を取得し、それを要求内の共有秘密と照合してアクセスを認証します。共有秘密が一致すると、RADIUS サーバは、さらにポリシーと設定に基づいて要求を処理します。一致しない場合は、拒否応答がネットワーク デバイスに送信されます。失敗した認証レポートが生成され、失敗の理由が示されます。
-
TACACS+ 認証用の TACACS+ プロトコルを設定できます。Cisco ISE はネットワーク デバイスから TACACS+ 要求を受信すると、対応するデバイス定義を探して設定されている共有秘密を取得します。デバイス定義が見つかった場合、デバイスに設定されている共有秘密を取得し、それを要求内の共有秘密と照合してアクセスを認証します。共有秘密が一致すると、TACACS+ サーバは、さらにポリシーと設定に基づいて要求を処理します。一致しない場合は、拒否応答がネットワーク デバイスに送信されます。失敗した認証レポートが生成され、失敗の理由が示されます。
-
プロファイリング サービスがネットワーク デバイスと通信し、ネットワーク デバイスに接続されているエンドポイントをプロファイリングするように、ネットワーク デバイス定義で簡易ネットワーク管理プロトコル(SNMP)を設定できます。
-
Cisco TrustSec ソリューションの一部となる可能性がある TrustSec 対応デバイスからの要求を処理するには、Cisco ISE に TrustSec 対応デバイスを定義する必要があります。TrustSec ソリューションをサポートするスイッチはすべて TrustSec 対応デバイスです。
TrustSec デバイスでは IP アドレスは使用されません。代わりに、TrustSec デバイスが Cisco ISE と通信できるように、その他の設定を定義する必要があります。
TrustSec 対応デバイスは Cisco ISE との通信に TrustSec 属性を使用します。Nexus 7000 シリーズ スイッチ、Catalyst 6000 シリーズ スイッチ、Catalyst 4000 シリーズ スイッチ、Catalyst 3000 シリーズ スイッチなどの TrustSec 対応デバイスは、TrustSec デバイスの追加時に定義した TrustSec 属性を使用して認証されます。
(注) |
Cisco ISE でネットワーク デバイスを設定する際には、共有秘密にバックスラッシュ(\)を含めないことをお勧めします。これは、Cisco ISE をアップグレードすると、共有秘密にバックスラッシュが表示されなくなるためです。ただし、Cisco ISE をアップグレードせずに再イメージ化すると、共有秘密にバックスラッシュが表示されます。 |
Cisco ISE でのデフォルト ネットワーク デバイスの定義
(注) |
基本的な RADIUS および TACACS 認証のみにデフォルトのデバイス定義を追加することを推奨します。高度なフローについては、ネットワーク デバイスごとに個別のデバイス定義を追加する必要があります。 |
Cisco ISE は、ネットワーク デバイスから RADIUS または TACACS 要求を受信すると、対応するデバイス定義を検索して、ネットワーク デバイス定義に設定されている共有秘密を取得します。
RADIUS または TACACS 要求が受信されると、Cisco ISE は次の手順を実行します。
-
要求内の IP アドレスに一致する特定の IP アドレスを探します。
-
範囲を調べて、要求内の IP アドレスが指定された範囲内にあるかどうかを確認します。
-
ステップ 1 と 2 の両方が失敗すると、要求の処理にデフォルトのデバイス定義(定義されている場合)が使用されます。
Cisco ISE は、そのデバイスのデバイス定義に設定されている共有秘密を取得し、それを RADIUS または TACACS 要求内の共有秘密と照合してアクセスを認証します。デバイス定義が見つからない場合、Cisco ISE はデフォルトのネットワーク デバイス定義から共有秘密を取得し、RADIUS または TACACS 要求を処理します。
Cisco ISE でのネットワークデバイスの追加
Cisco ISE でネットワークデバイスを追加したり、デフォルトのネットワークデバイスを使用したりできます。
また、
ページで、ネットワーク デバイスを作成することもできます。始める前に
手順
ステップ 1 |
を選択します。 |
||
ステップ 2 |
[追加(Add)] をクリックします。 |
||
ステップ 3 |
ネットワークデバイスの [名前(Name)] を入力します。 |
||
ステップ 4 |
IP アドレスを入力します。
|
||
ステップ 5 |
(任意)[RADIUS 認証設定(RADIUS Authentication Settings)] チェックボックスをオンにして、RADIUS プロトコル認証を設定します。 |
||
ステップ 6 |
(任意)[TACACS 認証設定(TACACS Authentication Settings)] チェックボックスをオンにして、TACACS プロトコル認証を設定します。 |
||
ステップ 7 |
(任意)[SNMP の設定(SNMP Settings)] チェックボックスをオンにして、デバイス情報を収集するプロファイリング サービスの簡易ネットワーク管理プロトコルを設定します。 |
||
ステップ 8 |
(任意)TrustSec 対応デバイスを設定するには [高度なTrustSec設定(Advanced Trustsec Settings)] チェックボックスをオンにします。 |
||
ステップ 9 |
[送信(Submit)] をクリックします。 |
Cisco ISE へのネットワーク デバイスのインポート
カンマ区切り形式(CSV)ファイルを使用して、Cisco ISE ノードにデバイス定義のリストをインポートできます。Cisco ISE にネットワーク デバイスをインポートする前に、インポートしたテンプレートを更新する必要があります。同じリソース タイプのインポートを同時に実行できません。たとえば、2 つの異なるインポート ファイルから同時にネットワーク デバイスをインポートできません。
管理者ポータルから CSV テンプレートをダウンロードし、テンプレートにデバイス定義の詳細を入力し、Cisco ISE にインポート可能な CSV ファイルとしてテンプレートを保存できます。
デバイスのインポート中に、新しいレコードを作成するか、または既存のレコードを更新できます。インポートされたデバイスの数の概要が表示され、インポート プロセス中に見つかったエラーが報告されます。デバイスをインポートする場合、Cisco ISE で最初のエラーが発生した場合、既存のデバイス定義を新しい定義で上書きするか、またはインポート プロセスを停止するかを定義できます。
リリース間でインポート テンプレートが異なるため、Cisco ISE の以前のリリースでエクスポートされたネットワーク デバイスをインポートすることはできません。
(注) |
すべてのオクテットで IP 範囲を持つネットワーク デバイスをインポートできます。 |
(注) |
IPv4 および IPv6 は、ネットワーク デバイス(TACACS および RADIUS)設定および外部 RADIUS サーバ設定でサポートされるようになりました。IPv4 アドレスを入力する場合は、範囲とサブネット マスクを使用できます。IPv6 では、範囲がサポートされていません。 |
手順
ステップ 1 |
を選択します。 |
ステップ 2 |
[インポート(Import)] をクリックします。 |
ステップ 3 |
[参照(Browse)] をクリックして、クライアント ブラウザを実行しているシステムから CSV ファイルを選択します。 |
ステップ 4 |
[新しいデータで既存のデータを上書き(Overwrite Existing Data with New Data)] チェックボックスをオンにします。 |
ステップ 5 |
[最初のエラーでインポートを停止(Stop Import on First Error)] チェックボックスをオンにします。 |
ステップ 6 |
[インポート(Import)] をクリックします。 |
Cisco ISE からのネットワーク デバイスのエクスポート
Cisco ISE で設定されたネットワーク デバイスを CSV ファイル形式でエクスポートし、これを使用して別の Cisco ISE ノードにそれらのネットワーク デバイスをインポートできます。
(注) |
すべてのオクテットで IP 範囲を持つネットワーク デバイスをエクスポートできます。 |
手順
ステップ 1 |
を選択します。 |
ステップ 2 |
[エクスポート(Export)] をクリックします。 |
ステップ 3 |
ネットワーク デバイスをエクスポートするには、次のいずれかを行うことができます。
|
ステップ 4 |
ローカル ハード ディスクに export.csv ファイルを保存します。 |
ネットワーク デバイス設定の問題のトラブルシューティング
手順
ステップ 1 |
を選択します。 |
ステップ 2 |
設定を評価するデバイスのネットワーク デバイス IP アドレスを入力し、必要に応じて他のフィールドを指定します。 |
ステップ 3 |
推奨テンプレートと比較する設定オプションを選択します。 |
ステップ 4 |
[実行(Run)] をクリックします。 |
ステップ 5 |
[ユーザ入力必須(User Input Required)] をクリックし、必要に応じてフィールドを変更します。 |
ステップ 6 |
分析するインターフェイスの隣のチェックボックスをオンにして、[送信(Submit)] をクリックします。 |
ステップ 7 |
[結果概要の表示(Show Results Summary)] をクリックします。 |
Execute Network Device Command 診断ツール
Execute Network Device Command 診断ツールを使用すると、ネットワーク デバイスに対して show コマンドを実行することができます。結果は、コンソールに表示される場合とまったく同じ形式であり、デバイスの設定における問題を特定するために使用できます。設定が間違っていると思われる場合や、設定を検証したい場合、または単にどのように設定されているか関心がある場合に、使用することができます。