ポリシー分類エンジン

ポリシー分類エンジンの制約事項

インターフェイス テンプレートは、ワイヤレスセッションでは無効です。

ポリシー分類エンジンに関する情報

ポリシー分類エンジンの概要

ポリシー分類エンジン機能は、デバイスベースのポリシーとクライアント(ネットワークエンドポイント)のプロファイリングを設定し、ネットワーク上でユーザーまたはデバイスごとのポリシーを適用するのに役立ちます。

ルックアップと段階的な照合に使用できるさまざまなポリシーのセットを設定できます。ポリシーは、設定されたポリシーステートメントに基づいて照合されます。ポリシーを使用し、Dynamic Host Control Protocol(DHCP)または HTTP に基づいてデバイスをプロファイリングし、ネットワーク内のエンドデバイスを識別します。ネットワークエンドポイントで特定のポリシーを適用できます。

デバイス(スイッチ、Cisco Catalyst 3850 ワイヤレス LAN コントローラなど)は、各属性と事前定義された分類プロファイルを使用してデバイスを識別します。

ポリシーは、次のパラメータに基づいて設定されます。

  • [Device]:エンドデバイスのタイプ。Windows マシン、スマートフォン、iPad や iPhone などの Apple デバイスなどです。

  • 正規表現

  • [User role]:ユーザータイプまたはユーザーが所属するユーザーグループ。学生、従業員などです。

  • [Username]:ユーザーが入力するログイン情報。

  • [Time-of-day]:エンドポイントがネットワークに接続できる日時。

  • [OUI]:組織固有識別子(OUI)を特定する MAC アドレス。

  • [MAC address]:エンドポイントの MAC アドレス。

デバイス(スイッチ)がエンドポイントごとのポリシーパラメータに一致する項目を見つけると、そのポリシーが追加されます。ポリシーの適用は、次のセッション属性に基づいています。

  • VLAN:ユーザー定義の VLAN

  • アクセス コントロール リスト(ACL)

  • セッションタイムアウト値:クライアントセッションのユーザー定義のタイムアウト

  • Quality Of Service(QoS)

ポリシーを設定し、セッション属性に基づいて、エンドポイントに各ポリシーを適用できます。

ポリシー分類エンジンの設定方法

Cisco Identity Based Networking Services でのポリシーの設定

ポリシーを設定するには、次の手順を実行します。

  1. サービステンプレートを設定します。

  2. インターフェイス テンプレートを設定します。

  3. パラメータマップを作成します。

  4. ポリシー マップを作成します。

  5. ワイヤレス LAN(WLAN)にポリシーを適用します。

加入者パラメータマップの設定

手順

  コマンドまたはアクション 目的

ステップ 1

enable

例:

Device> enable

特権 EXEC モードを有効にします。

  • パスワードを入力します(要求された場合)。

ステップ 2

configure terminal

例:

Device# configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 3

parameter-map type subscriber attribute-to-service parameter-map-name

例:

Device(config)# parameter-map type subscriber attribute-to-service param-map

サブスクライバ パラメータ マップを設定し、パラメータマップ フィルタ コンフィギュレーション モードを開始します。

ステップ 4

priority-number map device-type eq device-type oui eq MAC-address

例:

Device(config-parameter-map-filter)# 1 map device-type eq "Cisco-IP-Phone-9971" oui eq "08.cc.68"

設定したデバイスの優先順位と組織固有識別子(OUI)をマッピングし、パラメータマップ フィルタ サブモードのコンフィギュレーション モードを開始します。

ステップ 5

action-number interface-template interface-template-name

例:

Device(config-parameter-map-filter-submode)# 2 interface-template IP-PHONE-INTERFACE-TEMPLATE

アクション番号をインターフェイス テンプレートにマッピングします。

ステップ 6

end

例:

Device(config-parameter-map-filter-submode)# end

パラメータマップ フィルタ サブモードのコンフィギュレーション モードを終了し、特権 EXEC モードに戻ります。

ステップ 7

show parameter-map type subscriber attribute-to-service parameter-map-name

例:

Device# show parameter-map type subscriber attribute-to-service parameter-map-name

指定したパラメータマップに関する情報を表示します。

次に、show parameter-map type subscriber attribute-to-service コマンドの出力例を示します。 

Device# show parameter-map type subscriber attribute-to-service param-map

Parameter-map name: param-map
 Map: 1 map device-type eq "Cisco-IP-Phone-9971" oui eq "08.cc.68"
  Action(s):
   2 interface-template IP-PHONE-INTERFACE-TEMPLATE

加入者ポリシーマップの設定

手順

  コマンドまたはアクション 目的

ステップ 1

enable

例:

Device> enable

特権 EXEC モードを有効にします。

  • パスワードを入力します(要求された場合)。

ステップ 2

configure terminal

例:

Device# configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 3

policy-map type control subscriber policy-map-name

例:

Device(config)# policy-map type control subscriber pmap

加入者セッションに対して制御ポリシーを定義し、制御ポリシーマップ イベントのコンフィギュレーション モードを開始します。

ステップ 4

event identity-update {match-all | match-first}

例:

Device(config-event-control-policymap)# event identity-update match-all

条件が満たされた場合に制御ポリシー内のアクションをトリガーするイベントタイプを指定し、制御ポリシーマップ クラス コンフィギュレーション モードを開始します。

ステップ 5

priority-number class always {do-all | do-until-failure | do-until-success}

例:

Device(config-class-control-policymap)# 1 class always do-until-failure

制御クラスを制御ポリシー内の 1 つ以上のアクションに関連付け、制御ポリシーマップ アクション コンフィギュレーション モードを開始します。

ステップ 6

action-number map attribute-to-service table parameter-map-name

例:

Device(config-action-control-policymap)# 2 map attribute-to-service table param-map

identity-update 属性を Autoconf テンプレートにマッピングします。

ステップ 7

end

例:

Device(config-action-control-policymap)# end

制御ポリシー マップ アクション コンフィギュレーション モードを終了し、特権 EXEC モードに戻ります。

ステップ 8

show policy-map type control subscriber policy-map-name

例:

Device# show policy-map type control subscriber pmap

制御ポリシーに関する情報と統計を表示します。

次に、show policy-map type control subscriber コマンドの出力例を示します。 

Device# show policy-map type control subscriber pmap

show policy-map type control subscriber pmap
policy-map
  event identity-update match-all
    1 class always do-until-failure
      1 map attribute-to-service table param-map

ポリシー分類エンジンの設定例

例:加入者パラメータマップの設定

Device# configure terminal
Device(config)# parameter-map type subscriber attribute-to-service param-map
Device(config-parameter-map-filter)# 1 map device-type eq “Cisco-IP-Phone-9971” oui “eq 08.cc.68”
Device(config-parameter-map-filter-submode)# 2 interface-template IP-PHONE-INTERFACE-TEMPLATE
Device(config-parameter-map-filter-submode)# end

例:加入者ポリシーマップの設定

Device# configure terminal
Device(config)# policy-map type control subscriber pmap
Device(config-event-control-policymap)# event identity-update match-all
Device(config-class-control-policymap)# 1 class always do-until-failure
Device(config-action-control-policymap)# 2 map attribute-to-service table param-map
Device(config-action-control-policymap)# end

ポリシー分類エンジンの機能履歴

次の表に、このモジュールで説明する機能のリリースおよび関連情報を示します。

これらの機能は、特に明記されていない限り、導入されたリリース以降のすべてのリリースで使用できます。

表 1. ポリシー分類エンジンの機能履歴
リリース

機能名

機能情報

Cisco IOS XE Fuji 16.9.2

ポリシー分類エンジン

ポリシー分類エンジン機能は、デバイスベースのポリシーとクライアント(ネットワークエンドポイント)のプロファイリングを設定し、ネットワーク上でユーザーまたはデバイスごとのポリシーを適用するのに役立ちます。ポリシー分類エンジンを使用すると、個人所有デバイス持ち込み(BYOD)の展開で、ユーザーまたはワイヤレスデバイスのポリシーをワイヤレスコントローラに統合できます。

Cisco Feature Navigator を使用すると、プラットフォームおよびソフトウェアイメージのサポート情報を検索できます。Cisco Feature Navigator にアクセスするには、https://cfnng.cisco.com に進みます。