自動 ID について
自動 ID の概要
Cisco Identity-Based Networking Services(IBNS)ソリューションは、エッジ デバイスが加入者に対して柔軟かつスケーラブルなサービスを提供できる、ポリシーとアイデンティティ ベースのフレームワークを提供します。IBNS では、IEEE 802.1x(dot1x)、MAC 認証バイパス(MAB)、および Web 認証方式を同時に実行することができます。これにより、1 つの加入者セッションに対して複数の認証方式を同時に呼び出すことができるようになります。これらの認証方式、dot1x、認証、認可、およびアカウンティング(AAA)、および RADIUS は、グローバル コンフィギュレーション モードとインターフェイス コンフィギュレーション モードで使用できます。
自動 ID 機能は、Cisco Common Classification Policy Language ベースの設定を使用します。これにより、認証方式とインターフェイス レベルのコマンドを設定するために使用するコマンドの数が大幅に削減されます。自動 ID 機能は、ポリシー マップ、クラス マップ、パラメータ マップ、およびインターフェイス テンプレートに基づいた一連の組み込みポリシーを提供します。
グローバル コンフィギュレーション モードでは、source template AI_GLOBAL_CONFIG_TEMPLATE コマンドで自動 ID 機能を有効にします。インターフェイス コンフィギュレーション モードでは、AI_MONITOR_MODE、AI_LOW_IMPACT_MODE、または AI_CLOSED_MODE インターフェイス テンプレートを設定し、インターフェイス上でこの機能を有効にします。
複数のテンプレートを設定できますが、merge コマンドを使用して、複数のテンプレートをまとめてバインドする必要があります。テンプレートをバインドしなかった場合は、最後に設定したテンプレートが使用されます。テンプレートをバインドする際に、2 つのテンプレートが異なる引数で繰り返された場合、最後に設定したコマンドが使用されます。
(注) |
また、グローバル コンフィギュレーション モードで template name コマンドを使用して設定したユーザー定義のテンプレートも有効にできます。 |
(注) |
テンプレートを削除する前に、デバイスに接続されていないことを確認します。 |
自動 ID グローバル テンプレート
(注) |
RADIUS サーバー コマンドを設定する必要があります。これは、これらのコマンドはグローバル テンプレートが有効になっても、自動的に設定されないためです。 |
Switch(config)# source template AI_GLOBAL_CONFIG_TEMPLATE
Switch(config)# radius server ISE
Switch(config-radius-server)# address ipv4 172.20.254.4 auth-port 1645 acct-port 1646
Switch(config-radius-server)# key cisco
Switch(config-radius-server)# end
dot1x system-auth-control
aaa new-model
aaa authentication dot1x default group radius
aaa authorization network default group radius
aaa authorization auth-proxy default group radius
aaa accounting identity default start-stop group radius
aaa accounting system default start-stop group radius
radius-server attribute 6 on-for-login-auth
radius-server attribute 6 support-multiple
radius-server attribute 6 voice 1
radius-server attribute 8 include-in-access-req
radius-server attribute 25 access-request include
自動 ID インターフェイス テンプレート
自動 ID 機能では、次のインターフェイス テンプレートを使用できます。
-
AI_MONITOR_MODE:オープン モードで認証されているセッションを受動的に監視します。
-
AI_LOW_IMPACT_MODE:モニター モードに似ていますが、ポート アクセス コントロール リスト(PACL)など、設定済みスタティック ポリシーを持ちます。
-
AI_CLOSED_MODE:認証が完了するまで、データ トラフィックがネットワークに入ることを許可しないセキュア モードです。このモードがデフォルトです。
(注) |
マルチ認証ホストモードは、LAN Lite ライセンスではサポートされません。 |
switchport mode access
access-session port-control auto
access-session host-mode multi-auth
dot1x pae authenticator
mab
service-policy type control subscriber AI_DOT1X_MAB_POLICIES
switchport mode access
access-session port-control auto
access-session host-mode multi-auth
dot1x pae authenticator
mab
ip access-group AI_PORT_ACL in
service-policy type control subscriber AI_DOT1X_MAB_POLICIES
switchport mode access
access-session closed
access-session port-control auto
access-session host-mode multi-auth
dot1x pae authenticator
mab
service-policy type control subscriber AI_DOT1X_MAB_POLICIES
自動 ID 組み込みポリシー
自動 ID 機能では、次の 5 つの組み込みポリシーを使用できます。
- AI_DOT1X_MAB_AUTH:dot1x を使用してフレキシブル認証を有効にしてから、MAC アドレス バイパス(MAB)を有効にします。
- AI_DOT1X_MAB_POLICIES:dot1x を使用してフレキシブル認証を有効にしてから、MAB を有効にします。認証、認可、およびアカウンティング(AAA)サーバーに到達できない場合は、クリティカル VLAN を適用します。
- AI_DOT1X_MAB_WEBAUTH:dot1x を使用してフレキシブル認証を有効にしてから、Web 認証を有効にします。
- AI_NEXTGEN_AUTHBYBASS:IP 電話デバイスが検出された場合は認証をスキップします。デバイスを検出するには、device classifier コマンドをグローバル コンフィギュレーション モードで、 voice-vlan コマンドをインターフェイス コンフィギュレーション モードで有効にします。これは参照ポリシー マップであり、ユーザーはこのポリシー マップの内容を別のポリシー マップにコピーできます。
- AI_STANDALONE_WEBAUTH:スタンドアロン Web 認証を定義します。
自動 ID クラス マップ テンプレート
- AI_NRH:非応答ホスト(NRH)認証方式が有効であることを指定します。
- AI_WEBAUTH_METHOD:Web 認証方式が有効であることを指定します。
- AI_WEBAUTH_FAILED:Web 認証方式が認証に失敗したことを指定します。
- AI_WEBAUTH_NO_RESP:Web 認証クライアントが応答に失敗したことを指定します。
- AI_DOT1X_METHOD-dot1x:dot1x 方式が有効であることを指定します。
- AI_DOT1X_FAILED-dot1x:dot1x 方式が認証に失敗したことを指定します。
- AI_DOT1X_NO_RESP-dot1x:dot1x クライアントが応答に失敗したことを指定します。
- AI_DOT1X_TIMEOUT-dot1x:dot1x クライアントが最初の確認応答(ACK)要求後に応答を停止したことを指定します。
- AI_MAB_METHOD:MAC 認証バイパス(MAB)方式が有効であることを指定します。
- AI_MAB_FAILED-MAB:MAB 方式が認証に失敗したことを指定します。
- AI_AAA_SVR_DOWN_AUTHD_HOST:認証、認可、およびアカウンティング(AAA)サーバーがダウンし、クライアントが認可済みの状態になっていることを指定します。
- AI_AAA_SVR_DOWN_UNAUTHD_HOST-AAA:AAA サーバーがダウンし、クライアントが認可済みの状態になっていることを指定します。
- AI_IN_CRITICAL_AUTH:クリティカルな認証サービス テンプレートが適用されていることを指定します。
- AI_NOT_IN_CRITICAL_AUTH:クリティカルな認証サービス テンプレートが適用されていないことを指定します。
- AI_METHOD_DOT1X_DEVICE_PHONE:方式は dot1x であり、デバイス タイプが IP フォンであることを指定します。
- AI_DEVICE_PHONE:デバイス タイプが IP フォンであることを指定します。
自動 ID パラメータ マップ
次に、自動 ID 機能でサポートされている組み込みパラメータ マップ テンプレートを示します。
-
AI_NRH_PMAP:非応答ホスト(NRH)認証を開始します。
AI_WEBAUTH_PMAP:Web 認証を開始します。
自動 ID サービス テンプレート
サービス テンプレートは、組み込みポリシー マップ内で使用できます。次に、自動 ID 機能でサポートされている組み込みサービス テンプレートを示します。
- AI_INACTIVE_TIMER:非アクティビティ タイマーを起動するテンプレートです。
- AI_CRITICAL_ACL:ダミー テンプレートです。ユーザーはこのテンプレートを自分の要件に従って設定できます。