ローカル ポリシーの設定

ローカル ポリシーについて

コントローラは、HTTP、 DHCP などのプロトコルに基づいてデバイスのプロファイリングを実行して、クライアントを識別できます。 デバイス ベースのポリシーを設定し、ネットワークにユーザごとまたはデバイスごとのポリシーを適用できます。 コントローラは、ユーザごとまたはデバイスごとのエンドポイント、およびデバイスごとに適用できるポリシーに基づく統計情報を表示します。 設定できるポリシーの最大数は 64 です。

ポリシーは、次の属性に基づいて定義されます。

  • ユーザ グループまたはユーザ ロール

  • Windows クライアント、スマートフォン、タブレットなどのデバイス タイプ

  • SSID(Service Set Identifier)

  • エンドポイントが接続されているアクセス ポイント グループに基づく場所

  • 時刻

  • クライアントが接続されている EAP 方式をチェックするための拡張認証プロトコル(EAP)タイプ。

これらのポリシー属性が一致する場合は、次のアクションを定義できます。

  • 仮想ローカル エリア ネットワーク(VLAN)

  • アクセス コントロール リスト(ACL)

  • Quality of Service(QoS)レベル

  • セッション タイムアウト値

  • スリープ状態にあるクライアントのタイムアウト値

  • AAA サーバに定義されたローカル ポリシー属性に基づいて、AVC プロファイル、ロール、またはその両方を選択します。

    次に、AAA サーバに定義された AVC プロファイルとロールの組み合わせに基づいて適用されるローカル ポリシーによる別の方法を示します。

    • AVC プロファイルとロールの両方が AAA サーバから取得される場合、次のオプションを使用できます。

      • AAA Override が有効である場合、AVC プロファイルは優先順位付けされて適用されます。

      • AAA Override が無効である場合、ロール マッチングが適用されます。

    • ロールのみを AAA サーバから取得してロール マッチングを行う場合、次のオプションを使用できます。

      • プロファイルがポリシー内で定義されている場合、ロール ポリシーが適用されます。

      • プロファイルがポリシーで定義されていない場合、WLAN で定義された AVC プロファイルが適用されます。

    • AVC プロファイルのみを AAA サーバから取得する場合、次のオプションを使用できます。

      • AAA Override が有効である場合、AAA サーバから受け取った AVC プロファイルが適用されます。

      • AAA Override が無効である場合、WLAN で定義された AVC プロファイルが適用されます。

ローカル ポリシー分類の制約事項

  • AAA Override が有効で、AAA 属性が AAA サーバのロール タイプ以外である場合、設定されたポリシーのアクションは適用されません。 AAA Override 属性が優先されます。

  • WLAN では、ローカル プロファイルが有効になっている場合、RADIUS プロファイルは許可されません。

  • クライアント プロファイルではコントローラの既存のプロファイルが使用されます。

  • カスタム プロファイルを作成することはできません。

  • ワークグループ ブリッジ(WGB)の背後の有線クライアントはプロファイルされず、ポリシー アクションは実行されません。

  • ポリシー プロファイルと一致する最初のポリシー ルールのみが優先されます。 各ポリシー プロファイルには、ポリシーとの一致に使用されるポリシー ルールが関連付けられています。

  • 最大 64 のポリシーを設定することができ、これらのポリシーを WLAN ごとに最大 16 設定できます。

  • レイヤ 2 認証またはレイヤ 3 認証の完了後、またはデバイスが HTTP トラフィックを送信して、デバイスがプロファイルされた場合、ポリシー アクションが実行されます。 したがって、プロファイルおよびポリシー アクションはクライアントごとに複数回実行されます。

  • VLAN、ACL、Session Timeout および QoS のみがポリシー アクション属性としてサポートされます。

  • プロファイルは、IPv4 クライアントでのみ行われます。

  • モビリティ グループのすべてのコントローラについて、ローカル ポリシー設定に同じ一致基準属性とアクション属性が必要です。 これ以外の場合、コントローラ間でローミングが発生すると、ローカル ポリシー設定は無効になります。

表 1 Cisco Identity Services Engine(ISE)とコントローラでのプロファイル サポートの違い
ISE コントローラ
RADIUS プローブ、DHCP プローブ、HTTP およびクライアント タイプの識別に使用するその他のプロトコルを使用したプロファイルをサポートします。 MAC OUI、DHCP、および HTTP ベースのプロファイルをサポートします。
ポリシー アクションの複数の異なる属性をサポートし、各属性を選択するためのインターフェイスがあります。 ポリシー アクション属性として VLAN、ACL、Session-Timeout および QoS をサポートします。
ユーザ定義属性によるプロファイル ルールのカスタマイズをサポートします。 デフォルトのプロファイル ルールのみをサポートします。

ローカル ポリシーの設定(GUI)

    ステップ 1   [Security] > [Local Policies] を選択します。
    ステップ 2   新しいポリシーを作成するには、[New] をクリックします。
    ステップ 3   ポリシー名を入力し、[Apply] をクリックします。
    ステップ 4   [Policy List] ページで、設定するポリシー名をクリックします。
    ステップ 5   [Policy > Edit] ページで、次の手順を実行します。
    1. [Match Criteria] 領域で、[Match Role String] の値を入力します。 これはユーザーのユーザ タイプまたはユーザ グループです(たとえば、学生、教員など)。
    2. [Match EAP Type] ドロップダウン リストから、クライアントが使用する EAP 認証方式を選択します。
    3. [Device Type]ドロップダウン リストから、デバイス タイプを選択します。
    4. ポリシーのデバイス リストにデバイス タイプを追加するには、[Add] をクリックします。

      選択したデバイス タイプは、[Device List] に表示されます。

    5. [Action] 領域で、適用させるポリシーを指定します。 [IPv4 ACL] ドロップダウン リストから、ポリシーの IPv4 ACL を選択します。
    6. ポリシーに関連付ける必要がある VLAN ID を入力します。
    7. [QoS Policy] ドロップダウン リストから、適用する QoS ポリシーを選択します。
    8. [Session Timeout] の値を入力します。 これは、クライアントに再認証を強制するまでの最大時間(秒単位)です。
    9. [Sleeping Client Timeout] の値を入力します。これはスリープ状態にあるクライアントのタイムアウトです。

      スリープ状態にあるクライアントとは、Web 認証に成功したゲスト アクセスを持つクライアントであり、スリープおよび再起動のためにログイン ページからの別の認証プロセスを必要としません。

      この設定は、WLAN 固有のスリープ状態のクライアント タイムアウト設定に優先します。

    10. [AVC Profile] ドロップダウン リストから、AAA に定義されたロールに基づいて適用される AVC プロファイルを選択します。
    11. [Active Hours] 領域の [Day] ドロップダウン リストから、ポリシーをアクティブにする曜日を選択します。
    12. ポリシーの開始時間終了時間を入力します。
    13. [Add] をクリックします。

      指定した曜日および開始時刻と終了時刻が表示されます。

    14. [Apply] をクリックします。
    次の作業

    次の手順に従って、作成したローカル ポリシーを WLAN に適用します。

    1. [WLANs] を選択します。

    2. 対応する WLAN ID をクリックします。

      [WLANs > Edit] ページが表示されます。

    3. [Policy-Mapping] タブをクリックします。

    4. ポリシーのプライオリティ インデックスを入力します。

    5. [Local Policy] ドロップダウン リストから、WLAN に適用させるポリシーを選択します。

    6. [Add] をクリックします。

      選択したプライオリティ インデックスおよびポリシーが表示されます。 WLAN に対して最大 16 のポリシーを適用できます。

    ローカル ポリシーの設定(CLI)

    • 次のコマンドを入力して、ローカル ポリシーを作成または削除します。

      config policy policy-name {create | delete}

    • 次のコマンドを入力して、ポリシーに一致タイプを設定します。

      • config policy policy-name match device-type {add | delete} device-type
      • config policy policy-name match eap-type {add | delete} {eap-fast | eap-tls | leap | peap}
      • config policy policy-name match role {role-name | none}

    • 次のコマンドを入力して、ポリシーの一部として実行させるアクションを設定します。

      • ポリシーに対する ACL アクション:config policy policy-name action acl {enable | disable} acl-name
      • QoS 平均データ レート:config policy policy-name action average-data-rate {enable | disable} rate
      • QoS 平均リアルタイム データ レート:config policy policy-name action average-realtime-rate {enable | disable} rate
      • QoS バースト データ レート:config policy policy-name action burst-data-rate {enable | disable} rate
      • QoS バースト リアルタイム データ レート:config policy policy-name action burst-realtime-rate {enable | disable} rate
      • QoS アクション:config policy policy-name action qos {enable | disable} {bronze | gold | platinum | silver}
      • セッション タイムアウト アクション:config policy policy-name action session-timeout {enable | disable} timeout-in-seconds
      • スリープ状態のクライアント タイムアウト アクション:config policy policy-name action sleeping-client-timeout {enable | disable} timeout-in-hours
      • AVC プロファイルの有効化:config policy policy-name action avc-profile-name enable avc-profile-name
      • AVC プロファイルの無効化:config policy policy-name action avc-profile-name disable
      • VLAN アクション:config policy policy-name action vlan {enable | disable} vlan-id

        (注)  

        バースト データ レートを設定する前に平均データ レートを設定してください。

    • 次のコマンドを入力して、ポリシーのアクティブ タイムを設定します。

      config policy policy-name active {add | delete} hours start-time end-time days {mon | tue | wed | thu | fri | sat | sun | daily | weekdays}

    • 次のコマンドを入力して、WLAN にローカル ポリシーを適用します。

      config wlan policy {add | delete} priority-index policy-name wlan-id

    • 次のコマンドを入力して、HTTP と DHCP の両方またはいずれかに基づいて、WLAN に対してローカル モードのクライアント プロファイルを有効または無効にします。

      config wlan profiling local {dhcp | http | all} {enable | disable} wlan-id

    • 次のコマンドを入力して、WLAN の AP グループにローカル ポリシーを適用します。

      config wlan apgroup policy {add | delete} priority-index policy-name ap-group-name wlan-id

    • 次のコマンドを入力して、ポリシーに関する情報を表示します。

      show policy {summary | policy-name} statistics

    • 次のコマンドを入力して、ローカル デバイス分類プロファイルの概要を表示します。 show profiling policy summary

    • 次のコマンドを入力して、すべてのクライアントとデバイス タイプを表示します。

      show client wlan wlan-id device-type device-type

    • 次のコマンドを入力して、RADIUS サーバおよびコントローラによって行われたプロファイルを含むクライアントのプロファイル ステータスを表示します。

      show wlan wlan-id

    • 次のコマンドを入力して、AP グループに関するポリシーの詳細を表示します。

      show wlan apgroups

    • 次のコマンドを入力して、ポリシーのデバッグ タスクを設定します。

      debug policy {error | event} {enable | disable}