この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
• エンドポイント アドミッション コントロールに関する情報
TrustSec ネットワークでは、パケットはネットワークへの入力ではなく出力でフィルタリングされます。TrustSec エンドポイント認証では、TrustSec ドメイン(エンドポイントの IP アドレス)にアクセスするホストは DHCP スヌーピングおよび IP デバイス トラッキングによってアクセス デバイスでセキュリティ グループ タグ(SGT)に関連付けられます。アクセス デバイスは、継続的に更新される送信元 IP と SGT のバインディング テーブルを維持する TrustSec ハードウェア対応出力のデバイスに、SXP 経由でそのアソシエーション(バインド)を送信します。パケットは、TrustSec ハードウェア対応デバイスでセキュリティ グループ ACL(SGACL)を適用することで、出力でフィルタリングされます。
認証および認可のエンドポイント アドミッション コントロール(EAC)のアクセス方式には次のものがあります。
すべてのポートベース認証は、 authentication コマンドでイネーブルにできます。各アクセス方式はポート単位で個別に設定する必要があります。複数の認証モードが設定され、アクティブ方式が失敗すると柔軟な認証シーケンスおよびフェールオーバー機能により管理者は、フェールオーバーおよびフォールバック シーケンスを指定することができます。802.1X ホスト モードは、802.1X ポートごとに接続できるエンドポイントのホスト数を決定します。
表 6-1 に、TrustSec をサポートする Cisco Catalyst スイッチのコンフィギュレーション ガイドをリストします。この章の TrustSec に固有でないトピックはコンフィギュレーション ガイドでさらに詳しく説明します。
|
|
---|---|
『Catalyst 3560 Software Configuration Guide, Release 12.2(52)SE』 |
http://www.cisco.com/en/US/docs/switches/lan/catalyst3560/software/release/12.2_52_se/configuration/guide/3560scg.html |
『Catalyst 3750 Switch Software Configuration Guide, 12.2(52)SE』 |
http://www9.cisco.com/en/US/docs/switches/lan/catalyst3750/software/release/12.2_52_se/configuration/guide/3750scg.html |
『Catalyst 4500 Series Switch Software Configuration Guide, 12.2(53)SG』 |
http://www.cisco.com/en/US/docs/switches/lan/catalyst4500/12.2/53SG/configuration/config.html |
『Catalyst 6500 Release 12.2SXH and Later Software Configuration Guide』 |
http://www.cisco.com/en/US/docs/switches/lan/catalyst6500/ios/12.2SX/configuration/guide/dot1x.html |
『Cisco IOS Security Configuration Guide: Securing User Services』 |
http://www.cisco.com/en/US/docs/ios-xml/ios/security/config_library/15-0sy/secuser-15-0sy-library.html |
1. 認証されたエンドポイント ホストに SGT をプロビジョニングするために、Cisco Secure ACS を設定します。
2. アクセス スイッチで SXP をイネーブルにします。 の章を参照してください。
3. アクセス スイッチで 802.1X、MAB、または WebAuth 認証方式の任意の組み合わせをイネーブルにします。
次に、ギガビット イーサネット ポートでの基本的な 802.1x の設定例を示します。
802.1x 認証の設定の詳細については、 表 6-1 にリストされている、アクセス スイッチのコンフィギュレーション ガイドを参照してください。
802.1X 認証設定を確認するには、 show authentication interface コマンドを使用します。
ポートが正常に認証されたことを確認するには、次のようにします。
MAC 認証バイパス(MAB)は 802.1X 対応ではないホストまたはクライアントが 802.1X をイネーブルにしたネットワークに参加できるようにします。MAB をイネーブルにする前に、802.1X 認証をイネーブルにする必要はありません。
次の例では、Catalyst スイッチでの基本的な MAB 設定の例を示します。
MAB 認証の設定の詳細については、 表 6-1 にリストされている、アクセス スイッチのコンフィギュレーション ガイドを参照してください。
MAC 認証バイパスの設定を確認するには、 show authentication interface コマンドを使用します。
ポートが認証に成功したことを確認するには、 show mab interface コマンドを使用します。
Web 認証プロキシ(WebAuth)は、ユーザが Web ブラウザを使用して、アクセス デバイスの Cisco IOS Web サーバ経由で Cisco Secure ACS にログイン クレデンシャルを送信できるようにするものです。WebAuth は独立してイネーブルにできます。これは、802.1X または MAB の設定は必要ではありません。
次の例では、ギガビット イーサネット ポートでの基本的な WebAuth 設定の例を示します。
Web ベース認証の設定の詳細については、 表 6-1 にリストされている、アクセス スイッチのコンフィギュレーション ガイドを参照してください。
ip http server コマンドの詳細については、次の URL で『 Cisco IOS Network Management Command Reference 』のエントリを参照してください。
http://www.cisco.com/en/US/docs/ios/netmgmt/command/reference/nm_08.html#wp1022387
Web 認証プロキシの設定を確認するには、Web ブラウザを使用してインターフェイスの IP アドレスにアクセスします。正しく設定されていれば、それらのアクセス デバイスは身元証明要求を生成し、有効なログイン情報を受け入れます。
CLI で Web 認証プロキシの設定を確認するには、 show authentication interface コマンドを使用します。
認証方式の 1 つ以上が利用可能でない場合、Flexible Authentication Sequence(FAS)では、フォールバック シーケンスを指定して、アクセス ポートが 802.1X、MAB、および WebAuth 認証方式で設定されるようにできます。デフォルトのフェールオーバー シーケンスは次のとおりです。
レイヤ 2 認証はレイヤ 3 の認証前に常に実行されます。つまり、802.1X および MAB は、WebAuth の前に発生する必要があります。
次の例では、MAB、dot1X および WebAuth の順で認証シーケンスを指定します。
認証方式シーケンスの設定の詳細については、 表 6-1 にリストされている、アクセス スイッチのコンフィギュレーション ガイドを参照してください。
FAS の詳細については、次の URL の『 Flexible Authentication Order, Priority, and Failed Authentication 』を参照してください。
http://www.cisco.com/en/US/prod/collateral/iosswrel/ps6537/ps6586/ps6638/application_note_c27-573287_ps6638_Products_White_Paper.html
• Single Host:1 個の MAC アドレスを持つインターフェイス ベースのセッション
• Multi Host:ポートごとに複数の MAC アドレスを持つインターフェイス ベースのセッション
• Multi Domain:MAC + ドメイン(VLAN)セッション
• Multi Auth:ポートごとに複数の MAC アドレスを持つ MAC ベースのセッション
802.1x ホスト モードの設定の詳細については、 表 6-1 にリストされている、アクセス スイッチのコンフィギュレーション ガイドを参照してください。
認証前オープン アクセス機能は、ポートの認証の実行前に、クライアントとデバイスがネットワーク アクセスを取得できるようにするものです。このプロセスが主に、PXE がタイムアウトする前にデバイスがネットワークにアクセスし、サプリカントが含まれる可能性のあるブート可能イメージをダウンロードする必要がある PXE のブートのシナリオで必要です。
認証前オープン アクセスの設定の詳細については、 表 6-1 にリストされている、アクセス スイッチのコンフィギュレーション ガイドを参照してください。
認証プロセス後は、デバイス認証が発生します(たとえば、ダイナミック VLAN 割り当て、ACL プログラミングなど)。TrustSec ネットワークの場合、セキュリティ グループ タグ(SGT)は Cisco ACS のユーザ コンフィギュレーションごとに割り当てられます。SGT はそのエンドポイントから DHCP スヌーピングおよび IP デバイス トラッキング インフラストラクチャを使用して送信されたトラフィックにバインドされます。
次の例では、アクセス スイッチで DHCP スヌーピングおよび IP デバイス トラッキングをイネーブルにします。
DHCP スヌーピングおよび IP デバイス トラッキングの設定に関する詳細については、 表 6-1 にリストされている、アクセス スイッチのコンフィギュレーション ガイドを参照してください。
ホストが DHCP スヌーピングおよび IP デバイス トラッキングで表示されることを確認するには、 show ip dhcp snooping binding および show ip device tracking コマンドを使用します。
正しい SGT がエンドポイントの IP アドレスにバインドされていることを確認するには、 show cts role-based sgt-map コマンドを使用します。