統合

Wireless Setup について

Wireless Setup では、802.1x、ゲスト、および BYOD のワイヤレスフローを容易にセットアップできます。 また、適切な場合にはゲスト向けのポータルと BYOD 向けのポータルを設定およびカスタマイズするためのワークフローも提供されます。 これらのワークフローでは、最も一般的な推奨設定が提供されるため、ISE で関連ポータルフローを設定するよりもシンプルです。 Wireless Setup では、ISE と WLC でユーザが実行する必要のあるステップの多くが自動的に処理されるため、迅速に作業環境を構築できます。

フローのテストと開発に、Wireless Setup により作成された環境を使用できます。Wireless Setup 環境が稼働したら、ISE に切り替えることができます。これにより、より多くの拡張設定に対応できるようになります。 ISE での ゲストの設定についての詳細は、お使いの ISE バージョンの『ISE Administrators Guide』と Cisco コミュニティサイト(https://community.cisco.com/t5/security-documents/ise-guest-amp-web-authentication/ta-p/3657224)を参照してください。ISE 向け Wireless Setup の設定および使用方法の詳細については、https://community.cisco.com/t5/security-documents/cisco-ise-secure-access-wizard-saw-guest-byod-and-secure-access/ta-p/3636602 を参照してください。


ISE Wireless Setup はベータ ソフトウェアです。実稼働ネットワークでは ISE Wireless Setup を使用しないでください。

  • Wireless Setup は、Cisco ISE の新規インストール後はデフォルトで無効になっています。Wireless Setup は、ISE CLI から application configure ise コマンド(オプション 17 を選択)を使用するか、または ISE GUI の [ホーム(Home)] ページで [ワイヤレスのセットアップ(Wireless Setup)] オプションを使用して有効にできます。

  • ISE を以前のバージョンからアップグレードした場合、Wireless Setup は機能しません。 Wireless Setup は、新規の ISE インストールでのみサポートされています。

  • Wireless Setup は、スタンドアロン ノードでのみ機能します。

  • Wireless Setup インスタンスは一度に 1 つだけ実行してください。また、Wireless Setup を実行できるユーザは一度に 1 人だけです。

  • Wireless Setup を使用するには、ポート 9103 と 9104 が開いている必要があります。これらのポートを閉じるには、CLI を使用して Wireless Setup を無効にします。

  • 一部のフローの実行後に Wireless Setup の新規インストールを開始する場合には、CLI コマンド application reset-config ise を使用できます。 このコマンドは ISE 設定をリセットして ISE データベースをクリアしますが、ネットワーク定義を維持します。 したがって、ISE と Wireless Setup をリセットするときに、ISE を再インストールしてセットアップを実行する必要はありません。

    Wireless Setup を再び使用開始するには、次の手順に従って ISE と Wireless Setup の両方の設定をリセットできます。

    • CLI で application reset-config を実行し、ISE 設定をすべてリセットします。新規インストールで Wireless Setup をテストしていた場合、この コマンドを実行すると、ISE で Wireless Setup によって行われた設定が削除されます。

    • CLI で application configure ise を実行し、 [18]Reset Config Wi-Fi Setup を選択します。これにより、Wireless Setup 設定データベースの内容が消去されます。

    • WLC で、Wireless Setup により WLC に追加された設定を削除します。 WLC での Wireless Setup の設定内容については、「Wireless Setup による ISE と WLC の変更」を参照してください。

    ISE の新規インストール完了後に VM のスナップショットを取得しておくと、この手順を行わずに済みます。

    CLI の詳細については、お使いの ISE バージョンの『Cisco Identity Services Engine CLI Reference Guide』を参照してください。

  • Wireless Setup を使用するには、ISE スーパー管理者ユーザである必要があります。

  • Wireless Setup を使用するには、少なくとも 2 つの CPU コアと 8GB のメモリが必要です。

  • Active Directory グループとユーザだけがサポートされています。 Wireless Configuration で 1 つ以上のフローを作成すると、Wireless Setup でその他のタイプのユーザ、グループ、認証を使用できますが、これらを ISE で設定する必要があります。

  • ISE で Active Directory をすでに定義しており、この AD を Wireless Setup に使用する予定の場合は、次の要件を満たしている必要があります。

    • 参加名とドメイン名が同一である必要があります。 これらの名前が同一でない場合は、Wireless Setup でその AD を使用する前に、ISE で名前を同一にしてください。

    • ISE で WLC がすでに設定されている場合、その WLC には共有秘密が設定されている必要があります。WLC 定義に共有秘密がない場合は、Wireless Setup でその WLC を設定する前に、共有秘密を追加するか、または ISE から WLC を削除してください。

  • Wireless Setup では ISE コンポーネントを設定できますが、フローの開始後に ISE コンポーネントを削除または変更することはできません。ISE の Wireless Setup で設定するすべての項目の リストについては、お使いの ISE バージョンの『Cisco Identity Services Engine CLI Reference Guide』を参照してください。

  • 開始したフローは完了する必要があります。 フローでトピックパスをクリックすると、フローが停止します。 フローをステップに従って進むと、ISE 設定が動的に変更されます。 Wireless Setup では設定変更のリストが表示されるので、手動で変更を元に戻すことができます。 1 つの例外を除いて、フローで前に戻って追加の変更を行うことはできません。 例外として、ゲスト ポータルまたは BYOD ポータルのカスタマイズ内容を変更する場合には戻ることができます。

  • 複数の WLC と Active Directory ドメインがサポートされていますが、各フローでは 1 つの WLC と 1 つの Active Directory だけがサポートされています。

  • Wireless Setup が動作するためには、ISE Basic ライセンスが必要です。 BYOD には Plus ライセンスが必要です。

  • Wireless Setup の設定前に ISE リソースを設定している場合、Wireless Setup が既存のポリシーと矛盾することがあります。 この状況では、Wireless Setup から、ツールの実行後に認証ポリシーをレビューするよう指示されます。Wireless Setup の実行時には、正常にセットアップされた ISE を使用して開始することが推奨されます。 Wireless Setup と ISE の混合設定のサポートは限定されています。

  • Wireless Setup は英語でのみ提供されており、他の言語では提供されていません。 ポータルで他の言語を使用する場合には、Wireless Setup の実行後に ISE でその言語を設定してください。

  • BYOD ではデュアル SSID がサポートされています。 この設定で使用されるオープン SSID では、競合のためゲストアクセスはサポートされません。 ゲストと BYOD の両方に対応したポータルが必要な場合、Wireless Setup は使用できません。これについてはこのマニュアルでは説明しません。

  • 電子メール通知と SMS 通知

    • アカウント登録ゲストの場合、SMS 通知と電子メール通知がサポートされています。 これらの通知は、ポータルカスタマイズ通知セクションで設定します。 SMS 通知と電子メール通知をサポートするように SMTP サーバを設定する必要があります。ISE に組み込まれているセルラープロバイダー(AT&T、T Mobile、Sprint、Orange、Verizon など)は、事前に設定されている無料の電子メール/SMS ゲートウェイです。

    • ゲストはポータルで各自のセルラープロバイダーを選択します。 プロバイダーがリストにない場合は、メッセージを受信できません。 グローバルプロバイダーも設定できますが、これについてはこのマニュアルでは説明しません。 ゲストポータルで SMS 通知と電子メール通知が設定されている場合、ゲストは両方のサービスの値を入力する必要があります。

    • Sponsored Guest フローでは、Wireless Setup での SMS 通知または電子メール通知の設定は行いません。 このフローについては、ISE で通知サービスを設定する必要があります。

    • ポータルで通知を設定するときには、SMS プロバイダー Global Default を 選択しないでください。(デフォルトでは)このプロバイダーは設定されていません。

  • Wireless Setup では、HA を使用しないスタンドアロンセットアップだけがサポートされています。認証のために追加の PSN を使用する場合は、それらの PSN の ISE IP アドレスを WLC の RADIUS 設定に追加してください。

Wireless Setup での Apple ミニブラウザ(Captive Network Assistant)のサポート

  • ゲストフロー:Apple 擬似ブラウザの自動ポップアップは、すべてのゲストフローで機能します。 ゲストは Apple の Captive Network Assistant ブラウザを使用してフローを通過することができます。 Apple ユーザが OPEN ネットワークに接続すると、ミニブラウザが自動的に表示されます。これにより、ユーザは AUP(ホットスポット)を受け入れるか、または各自のログイン情報を使用してアカウント登録またはログインを実行できます。

  • BYOD

    • シングル SSID:ISE 2.2 では Apple ミニブラウザのサポートが追加されました。ただし Apple デバイスで SSID フローの問題が発生する可能性を抑えるため、リダイレクション ACL に captive.apple.com を追加してミニブラウザが表示されないようにしました。 これにより、Apple デバイスはインターネットにアクセスできると想定します。 ユーザは、Web 認証またはデバイスオンボーディングのためにポータルにリダイレクトされるように、Safari を手動で起動する必要があります。

    • デュアル SSID:ゲストアクセスを開始するか、または従業員がデバイスオンボーディング(BYOD)を実行できるようにするために、最初の OPEN ネットワーク WLAN で開始し、セキュア SSID にリダイレクトされるデュアル SSID フローの場合にも、ミニブラウザが表示されなくなります。

Apple CAN ミニブラウザの 詳細については、 https://communities.cisco.com/docs/DOC-71122を参照してください。

ワイヤレス ネットワークの WLC の設定

Wireless Setup に初めてログインしてフローを選択すると、ワイヤレス コントローラを設定するように促されます。Wireless Setup は設定するフローのタイプに対応するため、必要な設定を WLC にプッシュします。

  • WLC は、AireOS 8.x 以降が稼働する Cisco WLC でなければなりません。

  • vWLC は ACL ベースの DNS をサポートしません

  • Wireless Setup 展開で使用する予定のインターフェイス VLANS(ネットワーク)用に WLC を設定します。デフォルトでは、WLC には管理インターフェイスがありますが、ゲストおよびセキュアアクセス(従業員)ネットワーク用に別のインターフェイスを設定することが推奨されます。

  • ゲストフローの場合、AUP の受け入れ(ホットスポット)、ログイン、またはログイン情報の作成のために、ACL_WEBAUTH_REDIRECT ACL を使用して、ゲストデバイスがホットスポットまたはログイン情報を持つゲストポータルのいずれかにリダイレクトされます。 承認されたゲストには、アクセスが許可されます(ACCESS-ACCEPT)。 WLC で ACL を使用してゲストの権限を制限することができます。WLC で ACL を作成し、その ACL をゲスト権限 authz プロファイルで使用します。 ISE 成功ページへのアクセスを許可するには、この ACL を WLC に追加します。限定的な ACL の作成の詳細 については、https://communities.cisco.com/docs/DOC-68169 を参照してください。

  • Wireless Setup ではフローごとに WLAN が設定されます。フローに WLAN を設定したら、その WLAN は他のフローには使用できません。 唯一の例外は、アカウント登録フロー用に WLAN を設定しており、後でこの WLAN を Sponsored Guest フロー(ゲストのアカウント登録とスポンサー処理の両方を扱うフロー)に使用することに決定した場合です。

    実稼働環境で Wireless Setup を実行する場合、設定によって一部の既存ユーザの接続が切断されることがあります。

  • Wireless Setup で WLC を使用してフローを設定したら、ISE ではその WLC を削除しないでください。

  • ISE ですでに WLC を設定しているが、RADIUS オプションで共有秘密を設定していない場合、Wireless Setup で WLC を使用する前に共有秘密を追加する必要があります。

  • ISE で WLC をすでに設定しており、共有秘密を設定している場合は、Wireless Setup で異なる共有秘密を設定しないでください。 Wireless Setup と ISE のシークレット パスワードが一致している必要があります。選択する WLAN はフローで無効にされますが、フローの終わりで [本番稼働(Go Live)] ボタンをクリックすると再度有効にできます。

  • リモート LAN:ネットワークにリモート LAN が含まれている場合、Wireless Setup はリモート LAN にすでに割り当てられている VLAN ID を使用しようとすると失敗します。 この回避策として、リモート LAN を削除するか、または Wireless Setup を使用する前に WLC で使用する予定の VLAN を作成しておきます。 Wireless Setup では、フローに対してこれらの既存の VLAN を有効にできます。

  • FlexConnect:Flexconnect ローカルスイッチおよび Flexconnect ACL は、Wireless Setup によって設定されますが、使用されず、サポートされていません。Wireless Setup は、Flexconnect 集中型またはローカルモード Ap および SSID でのみ動作します。

ワイヤレス設定の例

次に示す WLC ログの一部分には、フローの設定時に Wireless Setup により行われる設定の例が示されています。 

"config radius auth add 1 192.168.201.228 1812 ascii cisco"
"config radius auth disable 1"
"config radius auth rfc3576 enable 1"
"config radius auth management 1 disable"
"config radius auth enable 1"
"config radius acct add 1 192.168.201.228 1813 ascii cisco"
"config radius acct enable 1"
"config acl create ACL_WEBAUTH_REDIRECT"
"config acl rule add ACL_WEBAUTH_REDIRECT 1"
"config acl rule action ACL_WEBAUTH_REDIRECT 1 permit"
"config acl rule source port range ACL_WEBAUTH_REDIRECT 1 53 53"
"config acl rule protocol ACL_WEBAUTH_REDIRECT 1 17"
"config acl rule add ACL_WEBAUTH_REDIRECT 1"
"config acl rule action ACL_WEBAUTH_REDIRECT 1 permit"
"config acl rule destination port range ACL_WEBAUTH_REDIRECT 1 53 53"
"config acl rule protocol ACL_WEBAUTH_REDIRECT 1 17"
"config acl rule add ACL_WEBAUTH_REDIRECT 1"
"config acl rule action ACL_WEBAUTH_REDIRECT 1 permit"
"config acl rule source address ACL_WEBAUTH_REDIRECT 1 192.168.201.228 255.255.255.255"
"config acl rule add ACL_WEBAUTH_REDIRECT 1 "
" config acl rule action ACL_WEBAUTH_REDIRECT 1 permit "
" config acl rule destination address ACL_WEBAUTH_REDIRECT 1 192.168.201.228 255.255.255.255 "
" config acl apply ACL_WEBAUTH_REDIRECT "
" show flexconnect acl summary "
" config flexconnect acl create ACL_WEBAUTH_REDIRECT "
" config flexconnect acl rule add ACL_WEBAUTH_REDIRECT 1 "
" config flexconnect acl rule action ACL_WEBAUTH_REDIRECT 1 permit "
" config flexconnect acl rule source port range ACL_WEBAUTH_REDIRECT 1 53 53 "
" config flexconnect acl rule protocol ACL_WEBAUTH_REDIRECT 1 17 "
" config flexconnect acl rule add ACL_WEBAUTH_REDIRECT 1 "
" config flexconnect acl rule action ACL_WEBAUTH_REDIRECT 1 permit "
" config flexconnect acl rule destination port range ACL_WEBAUTH_REDIRECT 1 53 53 "
" config flexconnect acl rule protocol ACL_WEBAUTH_REDIRECT 1 17 "
config flexconnect acl rule add ACL_WEBAUTH_REDIRECT 1"
"config flexconnect acl rule action ACL_WEBAUTH_REDIRECT 1 permit"
"config flexconnect acl rule source address ACL_WEBAUTH_REDIRECT 1 192.168.201.228 255.255.255.255"
"config flexconnect acl rule addACL_WEBAUTH_REDIRECT 1 "
" config flexconnect acl rule action ACL_WEBAUTH_REDIRECT 1 permit "
" config flexconnect acl rule destination address ACL_WEBAUTH_REDIRECT 1 192.168.201.228 255.255.255.255 "
" config flexconnect acl apply ACL_WEBAUTH_REDIRECT "

Active Directory と Wireless Setup

Sponsored Guest、802.1x、および BYOD のフローを作成するには、Active Directory ドメインが必要です。Active Directory は、スポンサーポータル、802.1x セキュアアクセスおよび関連 VLAN、BYOD およびデバイスオンボーディングにアクセスできるスポンサーグループのユーザを指定します。 Wireless Setup でいずれかのフローを設定したら、必要に応じて [ISE ID(ISE Identities)] に移動して次の項目を追加できます。

  • スポンサー グループにマッピングされている内部スポンサー アカウント(ALL_ACCOUNTS など)。Active Directory を使用している場合は、これは不要です。

  • ISE 内部従業員グループに含まれている従業員。内部従業員グループが許可ポリシーと ISE 内部従業員グループに追加されていることを確認してください。

Wireless Setup でのゲスト ポータル

企業の訪問者が企業のネットワークを使用してインターネットまたはネットワーク上のリソースおよびサービスにアクセスしようとしている場合、 ゲストポータルを使用してネットワークアクセスを提供することができます。設定すると、従業員はゲストポータルを使用して 会社のネットワークにアクセスできます。

3 つのデフォルトのゲスト ポータルがあります。

  • ホットスポット ゲスト ポータル:ネットワーク アクセスはクレデンシャルを必要とせずに許可されます。通常、ネットワークアクセスを許可する前に ユーザポリシーの認可(AUP)が承認される必要があります。

    Wireless Setup では、ホットスポット ポータルとアカウント登録ポータルでのアクセス コード ログオンの要求がサポートされています。

  • Sponsored-Guest ポータル:ゲストのアカウントを作成したスポンサーによりネットワークアクセスが許可され、ゲストに ログインクレデンシャルが提供されます。

  • アカウント登録ゲストポータル:ゲストは各自のアカウントクレデンシャルを作成できます。ネットワークアクセスが付与される前に、 スポンサー承認が必要となることがあります。

Cisco ISE は、事前に定義されたデフォルト ポータルなど、複数のゲスト ポータルをホストすることができます。

ゲスト ポータル ワークフロー

  1. ポータルのタイプを選択すると、使用するコントローラを選択するよう求められます。フローごとに新しいワイヤレス ネットワークを設定します。 Wireless Setup でまだ使用していない既存の WLAN を選択するか、または新しい WLAN を作成することができます。

    リダイレクトが必要なフローには、元の URL、正常完了ページ、または特定の URL(例:www.cisco.com)にユーザをリダイレクトするオプションがあります。 元の URL を使用する場合は、WLC からのサポートが必要です。


    WLC バージョン 8.4 のリリースまでは、元の URL はサポートされていません。

  2. ポータルの外観をカスタマイズし、基本設定を変更します。

  3. カスタマイズが完了したら、テスト ポータルへの URL リンクをたどります。テストポータルに、ポータルのテストバージョンのプレビューが表示されます。 フローを通過し、必要に応じてさらに変更を行うことができます。[成功(Success)] ページへのリダイレクトだけが成功することに注意してください。 元の URL とスタティック URL は、リダイレクトをサポートするためにワイヤレスセッションが必要であるため、機能しません。 テストポータルは RADIUS セッションをサポートしていません。そのため、ポータルフロー全体は表示されません。複数の PSN がある場合、ISE は最初のアクティブ PSN を選択します。

  4. 設定が完了しました。ワークフローにおいて Wireless Setup により ISE と WLC で実行されたステップをダウンロードして確認できます。

Wireless Setup では基本ゲスト アクセスにはロケーションは使用されません。ローカル時刻に基づいてアクセスを制御する場合に、ロケーションが必要となります。 ISE でのタイムゾーンの設定については、『Cisco ISE Administrator Guide 』の「Guest and BYOD」の章の「SMS Providers and Services」の項を参照してください。

ワイヤレス ネットワーク アカウント登録ポータル

アカウント登録ゲストポータルでは、ゲストが自分自身を登録し、自分のアカウントを作成して、ネットワークにアクセスできるようにすることができます。

ログオン成功ページではユーザに対して画面にログオン クレデンシャルが表示されるため、ログオン成功ページを選択しないことが推奨されます。ベストプラクティスは、ユーザにクレデンシャルを電子メールまたは SMS で受信することを要求することです。これにより、クレデンシャルが監査目的に特有の内容に関連付けられます。

ワイヤレス ネットワーク Sponsored Guest フロー

スポンサーはスポンサーポータルを使用して、承認ユーザ用の一時アカウントを作成および管理し、企業ネットワークまたはインターネットにセキュアにアクセスできるようにします。 ゲストアカウントを作成した後、スポンサーは、スポンサーポータルを使用して、印刷、電子メール送信、または携帯電話による送信を行ってゲストにアカウントの詳細を提供することもできます。 アカウント登録ゲストに企業ネットワークへのアクセス権を提供する前に、スポンサーはゲストアカウントを承認するように電子メールで要求されることがあります。

スポンサー フローで、Wireless Setup がスポンサー ポータルと Sponsored Guest ポータルを設定します。

承認フローは Wireless Setup ではサポートされていません。

ワークフローで Active Directory をスポンサー グループにマッピングします。ワークフローにより、選択された AD グループが ALL_ACCOUNTS スポンサーグループにマッピングされます。 GROUP または OWN アカウント スポンサー グループは設定されません。必要に応じて、他の ID ソース(内部設定や LDAP 設定など)を追加するには、ISE 管理 UI を使用して追加します。 詳細については、『Cisco ISE 管理者ガイド:ゲストと BYOD 』の「スポンサーグループ」のセクションを参照してください。

Wireless Setup BYOD フロー:ネイティブ サプリカントおよび証明書のプロビジョニング

個人所有デバイスの持ち込み(BYOD)ポータルでは、従業員が各自のパーソナル デバイスを登録できます。ネイティブサプリカント、証明書プロビジョニングはネットワークへのアクセスを許可する前にすることができます。 従業員は BYOD ポータルに直接アクセスできません。パーソナルデバイスを登録するときにこのポータルにリダイレクトされます。 従業員がパーソナルデバイスを使用してネットワークへ初めてアクセスしようとすると、(iOS 以外のデバイスの場合)手動で Network Setup Assistant(NSA)ウィザードをダウンロードして起動するように促されることがあります。 NSA では、ネイティブ サプリカントの登録とインストールを順を追って実行できます。デバイスを登録すると、デバイスポータルを使用して、デバイスを管理できます。

Wireless Setup は ISE とコントローラでネイティブ サプリカントと証明書のプロビジョニングを設定します。ユーザはコントローラに PEAP 接続し、証明書を提供します。接続が EAP-TLS(証明書)に切り替わります。

Wireless Setup でサポートされるデバイスは、Apple デバイス(MAC および iOS)、Windows デスクトップ OS(モバイル以外)、および Android です。 Chrome OS オンボーディングは、Wireless Setup ではサポートされていません。

Android デバイスの場合は、シングルまたはデュアル EAP-TLS ベースの BYOD フローが正常に動作するために、基本認証アクセスポリシーが有効になっていることを確認します。 [ポリシー(Policy)] > [ポリシーセット(Policy Sets)][デフォルト(Default)] > [許可ポリシー(Authorization Policy)] に移動し、[Basic_Authenticated_Access] ルールがアクティブになっていることを確認します。


デュアル SSID フローは、オンボーディング用のオープン ネットワークと、認証済みアクセス用の TLS 証明書ベースのセキュア ネットワークで構成されます。 デバイスはオンボーディングなしでセキュア ネットワークに接続できます。これは、basic_authenticated_access デフォルトルールにより、有効な認証はすべて通過できるためです。 デバイスがセキュアネットワークに接続する際に、BYOD セキュア許可ルールに一致しないと、basic_authenticated_access のリストの下部に一致が移動します。

この対策として、許可ポリシーで Basic_Authenticated_Access ルールを無効にするか、特定の SSID(WLAN)に一致するようにこのルールを編集します。 いずれの変更でも、許可しないデバイスへの PEAP 接続がブロックされます。


Wireless Setup には、ロストとマークされたデバイスをリダイレクトする許可ルールはありません。これはブラックリストと呼ばれ、ブラックリストポータルによって管理されます。 紛失および盗難されたデバイスの管理については、http://www.cisco.com/c/en/us/td/docs/solutions/Enterprise/Borderless_Networks/Unified_Access/BYOD_Design_Guide/Managing_Lost_or_Stolen_Device.pdf を参照してください。

Wireless Setup での BYOD フロー

Wireless Setup での BYOD 設定は次のステップで構成されます。

  1. ワイヤレス LAN コントローラの選択または登録

  2. ワイヤレス ネットワークの追加:デュアル SSID の場合、この手順が 2 回実行されます。

    新しい ISE インストールには、デフォルトのワイヤレス ネットワークが含まれます。デュアル SSID BYOD では、ユーザが 2 番目の SSID にリダイレクトされると、ユーザのネットワークプロファイルにデフォルトのネットワーク SSID が示されます。 デフォルト SSID を削除するか、またはユーザにこの SSID を無視するように通知できます。

  3. Active Directory(AD)の選択または AD への参加:オンボーディング VLAN と最終アクセス VLAN の両方のデフォルト VLAN 設定を上書きできます。 最終アクセス VLAN は Active Directory グループにマッピングされます。

  4. BYOD ポータルのカスタマイズ:BOYD ポータルとデバイス ポータルをここでカスタマイズできます。このステップでは、ISE がサポートするすべてのページをカスタマイズできます。 このステップでは、すべてのポータルカスタマイズ内容が送信され、ポリシーが作成され、プロファイルが関連するポリシーにリンクされます。


    デバイスポータルでは、BYOD ポータルのカスタマイズの基本カスタマイズが使用されます。Wireless Setup ではデバイスポータルをカスタマイズできません。

  5. 行った設定変更をプレビューして [完了(Done)] を選択します。

デュアル SSID BYOD の場合

デュアル SSID BYOD をサポートするには、Fast SSID が有効になっている必要があります。ワイヤレスコントローラで Fast SSID Change が有効になっている場合、クライアントは SSID 間を高速で移動できます。 高速 SSID が有効になっている場合、クライアント エントリがクリアされず、遅延は適用されません。 Cisco WLC での高速 SSID の設定に関する詳細については、『Cisco Wireless Controller Configuration Guide』を参照してください。

推奨される WLC タイマー設定

Wireless Setup で使用する予定の WLC で、次のタイマーを設定しておくことが推奨されます。この設定は CLI に表示されます。
config radius auth retransmit-timeout {SERVER_INDEX} 5
config radius aggressive-failover disable
config radius fallback-test mode passive
config wlan exclusionlist {WLAN ID} 180
config wlan exclusionlist {WLAN ID} enabled

802.1X ワイヤレス フロー

Wireless Setup フローにより、802.1x ワイヤレス LAN コントローラが PEAP(ユーザ名とパスワードのクレデンシャル)を使用して設定されます。

このフローの一部で、Active Directory(AD)を指定するように求められます。従業員 AD グループを VLAN にマッピングできます。VLAN によってグループを分ける場合は、異なる従業員グループを異なる VLAN に設定できます。 [アクセス(Access)] の横のドロップダウンをクリックすると、設定した AD で使用可能な AD グループが表示されます。

Wireless Setup で AD グループを選択すると、各グループが VLAN にマッピングされます。AD グループが VLAN にマッピングされていない場合は、有効な AD ユーザに対してログインを許可する基本アクセスポリシーにユーザが一致します。

従業員がネットワークに接続する

  1. 従業員のログイン情報が認証される:Cisco ISE は、社内 Active Directory と照合して従業員を認証し、許可ポリシーを提供します。

  2. デバイスが BYOD ポータルにリダイレクトされる:デバイスが BYOD ポータルにリダイレクトされます。デバイスの [MACアドレス(MAC address)] フィールドが入力され、ユーザはデバイス名と説明を追加できます。

  3. ネイティブサプリカントが設定される(MacOS、Windows、iOS、Android):ネイティブサプリカントが設定されます。ただしこのプロセスはデバイスに応じて異なります。

    • MacOS および Windows デバイス:従業員は BYOD ポータルで [登録(Register)] をクリックして、サプリカント プロビジョニング ウィザードをダウンロードしてインストールします。このウィザードは、サプリカントを設定し、EAP-TLS 証明書ベースの認証用の証明書をインストールします。 デバイスの MAC アドレスと従業員のユーザ名が発行済み証明書に組み込まれます。


      MacOS の場合、Apple 証明書を除き、証明書は Mac に [未署名(unsigned)] と表示されます。これは BYOD フローには影響しません。

    • iOS デバイス:Cisco ISE ポリシー サーバは Apple の iOS ワイヤレス機能を使用して新しいプロファイルを IOS デバイスに送信します。このプロファイルには次の情報が含まれます。

      • 発行された証明書が、IOS デバイスの MAC アドレスおよび従業員のユーザ名と共に保存されます。

      • 802.1X 認証の MSCHAPv2 または EAP-TLS の使用を強制できる Wi-Fi サプリカント プロファイル。

    • Android デバイス:Cisco ISE は、従業員に Google Play ストアから Cisco Network Setup Assistant(NSA)をダウンロードするように要求し、ルーティングします。 アプリのインストール後に、従業員は NSA を開いてセットアップ ウィザードを開始できます。スタートアップウィザードでは、サプリカントの設定と、デバイスの設定に使用される発行済み証明書が生成されます。

    • 認可変更が発行される:ユーザがオンボーディングフローを通過すると、Cisco ISE は認可変更(CoA)を開始します。これにより、MacOS X、Windows、および Android デバイスは EAP-TLS を使用してセキュアな 802.1X ネットワークに再接続します。 シングル SSID の場合、iOS デバイスも自動的に接続されますが、デュアル SSID の場合、ウィザードは iOS ユーザに手動で新しいネットワークに接続するように要求します。

ネイティブサプリカントは、 次のオペレーティングシステムでサポートされます。

  • Android(Amazon Kindle、B&N Nook を除く)

  • Mac OS X(Apple Mac コンピュータの場合)

  • Apple iOS デバイス(Apple iPod、iPhone、および iPad)

  • Microsoft Windows 7、8(RT を除く)、Vista、および 10

Wireless Setup による ISE と WLC の変更

Wireless Setup では、フローをステップに従って進むことで ISE とコントローラが設定されます。Wireless Setup は、行った変更のリストを各フローの終わりで表示します。 各フローの変更内容がここで参考のために表示されます。これにより、Wireless Setup が ISE に対して行ったすべての変更を確認し、変更内容をレビューまたは変更できます。

  • ホットスポット

    • [ワークセンター(Work Centers)] > [ゲストアクセス(Guest Access)] > [ポータルとコンポーネント(Portals & Components)] > [ ゲストポータル(Guest Portals)] > [ホットスポットポータル(Hotspot Portal)]

    • [ワークセンター(Work Centers)] > [ゲストアクセス(Guest Access)] > [ポリシー要素(Policy Elements)][結果(Results)] > [許可プロファイル(Authorization Profiles)]

    • [ワークセンター(Work Centers)] > [ゲストアクセス(Guest Access)] > [ポリシーセット(Policy Sets)]

  • アカウント登録

    • [ワークセンター(Work Centers)] > [ゲストアクセス(Guest Access)] > [ポータルとコンポーネント(Portals & Components)] > [ゲストポータル(Guest Portals)] > [自己登録ポータル(Self-reg Portal)]

    • [ワークセンター(Work Centers)] > [ゲストアクセス(Guest Access)] > [ポータルとコンポーネント(Portals & Components)] > [ゲストタイプ(Guest Types)] > [ゲストタイプ(Guest Types)]

    • [ポリシー(Policy)] > [ポリシー要素(Policy Elements)] > [許可(Authorization)] > [許可プロファイル(Authorization Profiles)]

    • [ワークセンター(Work Centers)] > [ゲストアクセス(Guest Access)] > [ポリシーセット(Policy Sets)]

    • [管理(Aministration)] > [システム(System)] > [設定(Settings)] > [SMTPサーバ(SMTP Server)]

    • [管理(Aministration)] > [システム(System)] > [設定(Settings)] > [SMTP ゲートウェイ(SMTP Gateway)]

  • スポンサー

    • [ワークセンター(Work Centers)] > [ゲストアクセス(Guest Access)] > [ポータルとコンポーネント(Portals & Components)] > [ゲストポータル(Guest Portals)] > [スポンサーゲストポータル(Sponsored Guest Portal)] >

    • [ワークセンター(Work Centers)] > [ゲストアクセス(Guest Access)] > [ポータルとコンポーネント(Portals & Components)] > [スポンサーポータル(Sponsor Portals)] > [スポンサーポータル(Sponsor Portal)] >

    • [ポリシー(Policy)] > [ポリシー要素(Policy Elements)] > [許可(Authorization)] > [許可プロファイル(Authorization Profiles)]

    • [ワークセンター(Work Centers)] > [ゲストアクセス(Guest Access)] > [許可ポリシー(Authorization Policy)]

    • [ワークセンター(Work Centers)] > [ゲストアクセス(Guest Access)] > [ポータルとコンポーネント(Portals & Components)] > [スポンサー(Sponsor)] > [スポンサーグループ(Sponsor Groups)]

    • [ワークセンター(Work Centers)] > [ゲストアクセス(Guest Access)] > [ポータルとコンポーネント(Portals & Components)] > [ゲストタイプ(Guest Types)] > [ゲストタイプ(Guest Types)]

    • [ワークセンター(Work Centers)] > [ゲストアクセス(Guest Access)] > [外部 ID ソース(Ext ID Sources)] > [Active Directory]

  • BYOD

    • [ワークセンター(Work Centers)] > [BYOD] > [ポータルとコンポーネント(Portals & Components)] > [BYOD ポータル(BYOD Portals)] > [BYOD ポータル(BYOD Portal)]

    • [ワークセンター(Work Centers)] > [BYOD] > [ポータルとコンポーネント(Portals & Components)] > [デバイスポータル(My Devices Portals)] > [デバイスポータル(My Devices Portal)]

    • [ワークセンター(Work Centers)] > [BYOD] > [ポリシー要素(Policy Elements)] > [許可(Authorization)] > [許可プロファイル(Authorization Profiles)]

    • [ワークセンター(Work Centers)] > [BYOD] > [許可ポリシー(Authorization Policy)]

    • [ワークセンター(Work Centers)] >[BYOD] > [外部 ID ソース(Ext ID Sources)] [Active Directory]

    • [ワークセンター(Work Centers)] > [BYOD] > [外部 ID ソース(Ext ID Sources)] > [Active Directory] を選択し、AD を選択し、[グループ(Groups)] タブを選択します。

  • セキュアなアクセス

    • [ポリシー(Policy)] > [ポリシー要素(Policy Elements)] > [結果(Results)] > [許可(Authorization)] > [許可プロファイル(Authorization Profiles)]

    • [ポリシー(Policy)] > [ポリシーセット(Policy Sets)]

    • [ワークセンター(Work Centers)] > [ゲストアクセス(Guest Access)] > [外部 ID ソース(Ext ID Sources)] > [Active Directory] を選択し、AD を選択し、[グループ(Groups)] タブを選択します。

  • ワイヤレス LAN コントローラ

    • WLAN

    • [セキュリティ(Security)] > [アクセス制御リスト(Access Control Lists)]:Wireless Setup では次の ACL が作成されます。

      • ゲストと BYOD 用のリダイレクト ACL

    • Wireless Setup により、[セキュリティ(Security)] > [AAA] > [認証およびアカウンティング(Authentication and Accounting)] にもエントリが作成されます。

スイッチでの標準 Web 認証のサポートの有効化

認証時の URL リダイレクションのプロビジョニングなど、Cisco ISE 用の標準 Web 認証機能を有効にするには、次のコマンドをスイッチのコンフィギュレーションに含めます。 

ip classless


ip route 0.0.0.0 0.0.0.0 10.1.2.3


ip http server

! ポート 80/443

ip http secure-server では、URL リダイレクション用に HTTP/HTTPS を有効にする必要があります。

代理 RADIUS トランザクション用のローカルユーザ名とパスワードの定義

スイッチがこのネットワークセグメントの RADIUS サーバであるかのように Cisco ISE ノードと通信するには、次のコマンドを入力します。 

username test-radius password 0abcde123

ログとアカウンティングのタイムスタンプの正確性を保証するための NTP サーバ設定

次のコマンドを入力して、[管理(Administration)] > [システム(System)] > [設定(Settings)] > [システム時刻(System Time)] で Cisco ISE に設定したのと同じ NTP サーバを指定していることを確認してください。 

ntp server |

AAA 機能を有効にするコマンド

802.1X および MAB 認証機能など、スイッチと Cisco ISE との間でさまざまな AAA 機能を有効にするには、次のコマンドを入力します。 

aaa new-model

! Creates an 802.1X port-based authentication method list

aaa authentication dot1x default group radius

! Required for VLAN/ACL assignment

aaa authorization network default group radius

! Authentication & authorization for webauth transactions

aaa authorization auth-proxy default group radius

! Enables accounting for 802.1X and MAB authentications

aaa accounting dot1x default start-stop group radius

!

aaa session-id common

!

aaa accounting update periodic 5


! Update AAA accounting information periodically every 5 minutes


aaa accounting system default start-stop group radius

!

スイッチ上の RADIUS サーバの設定

Cisco ISE と相互運用し、RADIUS ソース サーバとして動作するようスイッチを設定するには、次のコマンドを入力します。 

!
radius-server attribute 6 on-for-login-auth 

! Include RADIUS attribute 8 in every Access-Request

radius-server attribute 8 include-in-access-req  

! Include RADIUS attribute 25 in every Access-Request

radius-server attribute 25 access-request include 

! Wait 3 x 30 seconds before marking RADIUS server as dead

radius-server dead-criteria time 30 tries 3 


! Use RFC-standard ports (1812/1813) 
radius-server host    auth-port 1812 acct-port 1813 test  username test-radius key 0   

!
radius-server vsa send accounting 
!
radius-server vsa send authentication 
!
! send RADIUS requests from the MANAGEMENT VLAN

ip radius source-interface

3 回の再試行を含む 30 秒のデッド基準時間を設定し、Active Directory を認証に使用する RADIUS 要求に対して、より長い応答時間を提供することを推奨します。

RADIUS アカウンティングの開始/停止をインライン ポスチャ ノードに送信するためのスイッチの設定

セッションの始めと終わりに RADIUS アカウンティングの「開始」および「停止」メッセージをそれぞれインラインポスチャノードに送信し、それらのメッセージにリモートデバイスの IP アドレスを含めるようネットワーク アクセス デバイスを設定する必要があります。 インラインポスチャノードでは、デバイスの IP アドレスを、セッション中にダウンロードされた関連する許可プロファイルと関連付けます。 たとえば、リモートデバイスが初回ログイン時に「コンプライアンス状態が不明な」許可プロファイルを保持した状態から、CoA に従って「準拠した」許可プロファイルに切り替える(デバイスのポスチャ評価の成功が前提となります)場合があります。

RADIUS 許可変更(CoA)を有効にするコマンド

スイッチが RADIUS 許可変更動作を適切に処理し、Cisco ISE のポスチャ機能をサポートできるようにするための設定を指定するには、次のコマンドを入力します。 

aaa server radius dynamic-author

client  server-key 0 abcde123

  • Cisco ISE では、RFC の CoA 用デフォルト ポート 3799 に対して、ポート 1700(Cisco IOS ソフトウェアのデフォルト)を使用します。既存の Cisco Secure ACS 5.x ユーザは、既存の ACS の実装の一部として CoA を使用している場合、すでにこれをポート 3799 に設定している可能性があります。

  • 共有秘密キーは、ネットワークデバイスの追加時に Cisco ISE で設定したものと同じである必要があり、IP アドレスは PSN IP アドレスである必要があります。

デバイス トラッキングと DHCP スヌーピングを有効にするコマンド

セキュリティに関連する Cisco ISE のオプション機能を提供できるようにするには、次のコマンドを入力することによって、デバイストラッキングと DHCP スヌーピングを有効にし、スイッチポートのダイナミック ACL 内で IP 置換を実現します。 
! Optional

ip dhcp snooping

! Required!

! Configure Device Tracking Policy!
device-tracking policy <DT_POLICY_NAME>
no protocol ndp
tracking enable

! Bind it to interface!
interface <interface_id>
device-tracking attach-policy<DT_POLICY_NAME>

RADIUS アカウンティングでは、DHCP スヌーピングが有効になっていても、DHCP 属性は IOS センサーによって Cisco ISE に送信されません。このような場合、DHCP スヌーピングを VLAN で有効にして DHCP をアクティブにする必要があります。

VLAN で DHCP スヌーピングを有効にするには、次のコマンドを使用します。 

ip dhcp snooping 
ip dhcp snooping vlan 1-100

(データおよび VLAN に使用する範囲を含める必要があります)

802.1X ポートベースの認証を有効にするコマンド

スイッチ ポートに対してグローバルに 802.1X 認証を有効にするには、次のコマンドを入力します。

dot1x system-auth-control

クリティカルな認証の EAP を有効にするコマンド

サプリカントによる LAN 経由での認証要求をサポートするには、次のコマンドを入力することによって、EAP をクリティカルな認証(アクセスできない認証バイパス)に対して有効にします。 

dot1x critical eapol

リカバリ遅延を使用して AAA 要求をスロットリングするコマンド

クリティカルな認証リカバリイベントが発生した場合、次のコマンドを入力することによって、自動的に遅延(秒単位)を発生させるようスイッチを設定し、Cisco ISE がリカバリ後にサービスを再起動できるようにすることが可能です。 

authentication critical recovery delay 1000

適用状態に基づく VLAN の定義

ネットワーク内の既知の適用状態に基づいて VLAN 名、番号、および SVI を定義するには、次のコマンドを入力します。 ネットワーク間のルーティングを有効にするには、それぞれの VLAN インターフェイスを作成します。 これは特に、同じネットワークセグメントを経由して渡される、複数のソースからのトラフィックを処理する場合に役立ちます。たとえば、PC とその PC がネットワークへの接続時に経由する IP 電話の両方からのトラフィックが考えられます。


1 つ目の IP ヘルパーは DHCP サーバにアクセスし、2 つ目の IP ヘルパーは DHCP 要求のコピーをプロファイリング用にインラインポスチャノードに送信します。 




vlan 

name ACCESS!

vlan 

name VOICE

!

interface 

description ACCESS

ip address 10.1.2.3 255.255.255.0

ip helper-address 

ip helper-address 

!

interface 

description VOICE

ip address 10.2.3.4 255.255.255.0

ip helper-address

スイッチのローカル(デフォルト)ACL 定義

このような機能を古いバージョンのスイッチ(Cisco IOS ソフトウェア リリースのバージョンが 12.2(55)SE よりも前)で有効にし、Cisco ISE が認証と許可に必要なダイナミック ACL の更新を実行できるようにするには、次のコマンドを入力します。 

ip access-list extended ACL-ALLOW

 permit ip any any

!

ip access-list extended ACL-DEFAULT

 remark DHCP

 permit udp any eq bootpc any eq bootps

 remark DNS

 permit udp any any eq domain

 remark Ping

 permit icmp any any

 remark Ping

 permit icmp any any

 remark PXE / TFTP

 permit udp any any eq tftp

 remark Allow HTTP/S to ISE and WebAuth portal


permit tcp any host  eq www



permit tcp any host  eq 443



permit tcp any host  eq 8443



permit tcp any host  eq 8905



permit udp any host  eq 8905



permit udp any host  eq 8906



permit tcp any host  eq 8080



permit udp any host  eq 9996



remark Drop all the rest

 deny ip any any log 


!

! Webauth に URL リダイレクションを許可する ACL は、

ip access-list extended ACL-WEBAUTH-REDIRECT 

 permit tcp any any eq www

 permit tcp any any eq 443 
 です。

WLC でこの設定を行うと、CPU 使用率が増加し、システムが不安定になるリスクが高まります。 これは IOS の問題で、Cisco ISE は悪影響を受けません。

802.1X および MAB のスイッチ ポートを有効にする

802.1X および MAB のスイッチ ポートを有効にするには、以下の手順を実行します。

手順

ステップ 1

すべてのアクセススイッチポートのコンフィギュレーション モードを開始します。

interface range FastEthernet0/1-8
ステップ 2

次のように、(トランクモードではなく)アクセスモードのスイッチ ポートを有効にします。

switchport mode access
ステップ 3

静的にアクセス VLAN を設定します。 アクセス VLAN のローカルプロビジョニングを提供するこの手順は、オープンモード認証に必要となります。

switchport access vlan
ステップ 4

静的に音声 VLAN を設定します。

switchport voice vlan
ステップ 5

オープンモード認証を有効にします。 オープンモードを使用すると、認証が完了する前に、トラフィックをデータおよび音声 VLAN 上にブリッジングできます。 実稼働環境では、ポートベースの ACL を使用して不正アクセスを防ぐことを強く推奨します。

! Enables pre-auth access before AAA response; subject to port ACL
authentication open
ステップ 6

ポートベースの ACL を適用して、認証されていないエンドポイントからアクセス VLAN 上にデフォルトでどのトラフィックをブリッジングするかを決定します。 最初にすべてのアクセスを許可してからポリシーを適用する必要があるため、ACL-ALLOW を適用して、スイッチポートを通過するすべてのトラフィックを許可する必要があります。 すでに現時点のすべてのトラフィックを許可するデフォルトの ISE 許可を作成しましたが、この理由は、完全な可視性を実現し、既存のエンドユーザ環境にはまだ影響を与えないようにするためです。

! An ACL must be configured to prepend dACLs from AAA server.
ip access-group ACL-ALLOW in
 

DSBU スイッチ上に Cisco IOS Release 12.2(55)SE ソフトウェアを用意する前に、RADIUS AAA サーバからのダイナミック ACL を適用するためのポート ACL が必要です。 デフォルトの ACL を用意できなかった場合、割り当てられた dACL はスイッチによって無視されます。 Cisco IOS Release12.2(55)SE ソフトウェアでは、デフォルトの ACL が自動的に生成および適用されます。

 

テストの現段階では、ポートベースの 802.1X 認証を有効にし、さらに既存のネットワークへの影響を避けるために、ACL-ALLOW を使用しています。 今後のテストでは、実稼働環境に必要のないトラフィックをブロックする、異なる ACL-DEFAULT を適用する予定です。

ステップ 7

マルチ認証ホスト モードを有効にします。 マルチ認証は、基本的には複数ドメイン認証(MDA)のスーパーセットです。MDA では、データドメイン内の単一のエンドポイントだけが許可されます。 マルチ認証を設定すると、音声ドメイン内では認証された単一の電話が(MDA の場合と同じように)許可されますが、データドメイン内では認証できるデータデバイスの数に制限がありません。

! Allow voice + multiple endpoints on same physical access port
authentication host-mode multi-auth
 

IP 電話の背後で複数のデータデバイス(仮想デバイスであるかハブに接続されている物理デバイスであるかにかかわらず)を使用すると、アクセスポートの物理リンクステート認識度が低下する可能性があります。

ステップ 8

次のように、さまざまな認証方式オプションを有効にします。

! Enable re-authentication
authentication periodic
! Enable re-authentication via RADIUS Session-Timeout
authentication timer reauthenticate server
authentication event fail action next-method
! デッドサーバの場合のクリティカル認証 VLAN メソッドの設定
authentication event server dead action reinitialize vlan
authentication event server alive action reinitialize
! IOS Flex-Auth 認証 802.1X と MAB
authentication order dot1x mab
authentication priority dot1x mab
ステップ 9

次のように、スイッチポートで 802.1X ポート制御を有効にします。

! Enables port-based authentication on the interface
authentication port-control auto
authentication violation restrict
ステップ 10

次のように、MAC 認証バイパス(MAB)を有効にします。

! Enable MAC Authentication Bypass (MAB)
mab
ステップ 11

次のように、スイッチポートで 802.1X を有効にします。

! Enables 802.1X authentication on the interface
dot1x pae authenticator
ステップ 12

次のように、再送信時間を 10 秒に設定します。

dot1x timeout tx-period 10
 

dot1x tx-period のタイムアウトは、10 秒に設定する必要があります。 この値を変更する場合は、その影響を理解したうえで行ってください。

ステップ 13

次のように、PortFast 機能を有効にします。

spanning-tree portfast

EPM ロギングを有効にするコマンド

Cisco ISE の機能について発生する可能性があるトラブルシューティングや記録をサポートするには、次のように、スイッチに標準のロギング機能を設定します。

epm logging

SNMP トラップを有効にするコマンド

次のように、スイッチがこのネットワーク セグメント内の適切な VLAN を経由して、Cisco ISE から SNMP トラップ転送を受信できるようにします。

snmp-server community public RO


snmp-server trap-source

プロファイリング用の SNMP v3 クエリーを有効にするコマンド

SNMP v3 ポーリングが正常に発生し、Cisco ISE プロファイリング サービスがサポートされるように、スイッチを設定します。まず、[管理(Administration)] > [ネットワークリソース(Network Resources)] > [ネットワークデバイス(Network Devices)] > [追加(Add)]|[編集(Edit)] > [SNMP 設定(SNMP Settings)] を選択して、Cisco ISE の SNMP 設定を設定します。 

Snmp-server user   v3 auth md5  priv des 


snmp-server group   v3 priv


snmp-server group  v3 priv context vlan-1

snmp-server group v3 priv context vlan-1 コマンドは、コンテキストごとに設定する必要があります。snmp show context コマンドでは、すべてのコンテキスト情報がリストされます。

SNMP 要求がタイムアウトになり、接続の問題が発生していない場合は、タイムアウト値を増加させることができます。

プロファイラによる収集を可能にするための MAC 通知トラップを有効にするコマンド

次のように、適切な MAC 通知トラップを送信するようスイッチを設定し、Cisco ISE のプロファイラ機能がネットワークエンドポイントで情報を収集できるようにします。 

mac address-table notification change


mac address-table notification mac-move


snmp trap mac-notification change added


snmp trap mac-notification change removed

スイッチ上での RADIUS Idle-timeout の設定

スイッチに RADIUS Idle-timeout を設定するには、次のコマンドを使用します。

Switch(config-if)# authentication timer inactivity

inactivity は、クライアント アクティビティが不正と見なされるまでの非アクティブ間隔を秒単位で表したものです。

Cisco ISE では、そのようなセッションの非アクティブタイマーを適用する必要がある許可ポリシーに対して、[ポリシー(Policy)] > [ポリシー要素(Policy Elements)] > [結果(Results)] > [許可(Authorization)] > [許可プロファイル(Authorization Profiles)] からこのオプションを有効にできます。

iOS サプリカント プロビジョニングのためのワイヤレス LAN コントローラ設定

シングル SSID の場合

同じワイヤレスアクセスポイントで、Apple iOS ベースのデバイス(iPhone/iPad)が、ある SSID から別の SSID に切り替えることができるようにするには、「FAST SSID の変更」機能を有効にするようワイヤレス LAN コントローラ(WLC)を設定します。 この機能によって、iOS ベースのデバイスがより迅速に SSID 間の切り替えを行うことができます。

デュアル SSID BYOD の場合

デュアル SSID BYOD をサポートするには、Fast SSID が有効になっている必要があります。ワイヤレスコントローラで Fast SSID Change が有効になっている場合、クライアントは SSID 間を高速で移動できます。 高速 SSID が有効になっている場合、クライアント エントリがクリアされず、遅延は適用されません。 Cisco WLC での高速 SSID の設定に関する詳細については、『Cisco Wireless Controller Configuration Guide』を参照してください。

WLC の設定例

WLC (config) # FAST SSID change

一部の Apple iOS ベースのデバイスでは、ワイヤレス ネットワークに接続しようとすると、次のエラー メッセージが表示される場合があります。

ワイヤレスネットワークをスキャンできませんでした。(Could not scan for Wireless Networks.)

デバイス認証に影響しないため、このエラー メッセージは無視できます。

MDM Interoperability のためのワイヤレス LAN コントローラでの ACL の設定

未登録のデバイスおよび証明書プロビジョニングをリダイレクトするために許可ポリシーで使用する ACL をワイヤレス LAN コントローラで設定します。 ACL は次の順序にする必要があります。

手順

ステップ 1

サーバからクライアントへのすべての発信トラフィックを許可します。

ステップ 2

(任意)トラブルシューティングのためにクライアントからサーバへの ICMP 着信トラフィックを許可します。

ステップ 3

未登録および非準拠のデバイスが MDM エージェントをダウンロードし、コンプライアンスチェックに進むように MDM サーバへのアクセスを許可します。

ステップ 4

Web ポータルおよびサプリカント用 ISE、および証明書プロビジョニングフローに対するクライアントからサーバへのすべての着信トラフィックを許可します。

ステップ 5

名前解決のためにクライアントからサーバへの着信 DNS トラフィックを許可します。

ステップ 6

IP アドレスのためにクライアントからサーバへの着信 DHCP トラフィックを許可します。

ステップ 7

ISE へのリダイレクションのための、クライアントからサーバへの企業リソースに対するすべての着信トラフィックを(会社のポリシーに応じて)拒否します。

ステップ 8

(任意)残りのトラフィックを許可します。

次の例では、未登録のデバイスを BYOD フローにリダイレクトするための ACL を示しています。 この例では、Cisco ISE IP アドレスは 10.35.50.165 で、社内ネットワークの IP アドレスは 192.168.0.0 および 172.16.0.0(リダイレクト用)で、MDM サーバサブネットは 204.8.168.0 です。

図 1登録されていないデバイスをリダイレクトするための ACL