コントローラ セキュリティ

FIPS、CC、および UCAPL

FIPS の概要

連邦情報処理標準(FIPS)140-2 は、暗号化モジュールの検証に使用されるセキュリティ規格です。暗号化モジュールは、米国政府機関およびその他の規制産業(金融機関や医療機関など)が取扱注意ではあるが機密ではない(SBU)情報の収集、保存、転送、共有、および配布に使用するために民間企業によって製造されます。

FIPS 140-2 では、暗号モジュールがハードウェア、ソフトウェア、ファームウェア、または何らかの組み合わせのセットで、暗号機能またはプロセスを実装し、暗号アルゴリズムおよび任意のキー生成機能を含み、明確に定義された暗号境界の内部に位置しなければならないと定義しています。FIPS は特定の暗号アルゴリズムがセキュアであることを条件とするほか、ある暗号モジュールが FIPS 準拠であると称する場合は、どのアルゴリズムを使用すべきかも指定しています。FIPS の詳細については、http://csrc.nist.gov/ を参照してください。

ロールおよびサービスについて

  • AP ロール:コントローラ(MFP、802.11i、iGTK)に関連付けられたアクセス ポイントのロール。

  • クライアント ロール:コントローラに関連付けられたワイヤレス クライアントのロール。

  • ユーザ ロール:読み取り専用権限を持つ管理ユーザ。

  • Crypto Officer(CO)ロール:読み取りおよび書き込み権限を持つ管理ユーザで、暗号の初期化や管理操作を実行できる者。


(注)  

FIPS 140-2 で定義されているセキュリティ強化のレベルは 4 つあります。

FIPS のセルフテスト

暗号モジュールは、適正に動作していることを確認するために、電源投入時のセルフテストと条件付きセルフテストを実行しなければなりません。

電源投入時セルフテストは、デバイスの電源が投入された後に自動的に実行されます。デバイスが FIPS モードになるのは、すべてのセルフテストが正常に完了した後だけです。いずれかのセルフテストが失敗すると、デバイスはシステム メッセージをログに記録し、エラー状態に移行します。

既知解テスト(KAT)を利用すると、暗号アルゴリズムは正しい出力があらかじめわかってるデータに対して実行され、その計算出力は前回生成された出力と比較されます。計算出力が既知解と等しくない場合は、既知解テストに失敗したことになります。

電源投入時セルフテストでは次を含むテストが行われます。

  • ソフトウェアの整合性

  • アルゴリズム テスト

何かに対応してセキュリティ機能または操作が始動された場合は、条件付きセルフテストが実行されなければなりません。電源投入時セルフテストとは異なって、条件付きセルフテストはそれぞれに関連する機能がアクセスされるたびに実行されます。

デバイスは、既知解テスト(KAT)という暗号化アルゴリズムを使用して、デバイス上に実装されている FIPS 140-2 で承認された暗号機能(暗号化、復号化、認証、および乱数生成)ごとに FIPS モードをテストします。デバイスは、このアルゴリズムを、すでに正しい出力がわかっているデータに対して適用します。次に、計算された出力を、以前に生成された出力と比較します。計算された出力が既知解に等しくない場合は、KAT が失敗します。

適用可能なセキュリティ機能または操作が呼び出された場合は、条件付きセルフテストが自動的に実行されます。電源投入時セルフテストとは異なって、条件付きセルフテストはそれぞれに関連する機能がアクセスされるたびに実行されます。

条件付きセルフテストでは次を含むテストが行われます。

  • ペア整合性テスト:このテストは公開キー/秘密キー ペアが生成されたときに実行されます。

  • 乱数連続生成テスト:このテストは乱数が生成されたときに実行されます。

  • バイパス

  • ソフトウェア ロード

CC について

Common Criteria(CC)は、開発者が要求するセキュリティ機能を製品が備えているかを確認するテスト基準です。CC 評価は、作成された保護プロファイル(PP)またはセキュリティ ターゲット(ST)に対するものです。

FIPS 140-2 の 4 つのセキュリティ レベルは、特定の CC EAL または CC 機能要件に直接マッピングされません。CC の詳細については、Common Criterial Portal および CC 評価と検証方法を参照してください。

CC の動作モードにコントローラを設定するには、Common Criterial Portal Web サイトの「認証済み製品」ページで公開されている『Admin Guidance Document』を参照してください。

コントローラ用の CC を提供すると、コントローラのシリーズ名が Common Criterial Portal に表示されます。コントローラに使用可能なドキュメントのリストを表示するには、[Security Documents] タブをクリックします。

UCAPL について

米国国防総省(DoD)統合機能認定製品リスト(APL)の認定プロセスは、国防情報システム局(DISA)Unified Capabilities Certification Office(UCCO)の管轄です。認定は、相互運用性テスト コマンド(JITC)を含む承認された分散テスト センターで行われます。

DoD のお客様は、認定済みの統合機能関連設備(ハードウェアとソフトウェアの両方)しか購入できません。認定済みの設備は DoD UC APL に掲載されます。UC APL 認定は、システムが DISA Field Security Office(FSO)Security Technical Implementation Guides(STIG)に準拠し、それに基づいて設定されていることを確認します。

UC APL プロセスの詳細については、国防情報システム局のページを参照してください。

UCAPL のガイドライン

UCAPL Web 認証ログインでは、クライアント(ブラウザ)証明書の検証とユーザ認証を含む多要素認証が実行されます。証明書の検証はユーザ認証の前に行う必要があります。証明書の検証は、セッションの有効期間内に 1 回だけ実行される DTLS ハンドシェイクの一部です(セッションのデフォルトの有効期間は 5 分です)。ユーザが再度ログインを試みても、古いセッションがまだ消去されていないため証明書の検証は実行されません。ユーザ認証は証明書の検証が行われていないので実行されません。詳細については、 https://tools.ietf.org/html/rfc5246 を参照してください。

FIPS の設定(CLI)

手順

ステップ 1

次のコマンドを入力して、コントローラで FIPS を設定します。

config switchconfig fips-prerequisite { enable | disable }
ステップ 2

次のコマンドを入力して、FIPS の設定を表示します。

show switchconfig
以下に類似した情報が表示されます。 

802.3x Flow Control Mode......................... Disable
FIPS prerequisite features....................... Enabled
WLANCC prerequisite features..................... Enabled
UCAPL prerequisite features...................... Disabled
secret obfuscation............................... Enabled

CC の設定(CLI)

始める前に

FIPS をコントローラで有効にする必要があります。

手順

ステップ 1

次のコマンドを入力して、コントローラで FIPS を設定します。

config switchconfig wlancc { enable | disable }
ステップ 2

次のコマンドを入力して、FIPS の設定を表示します。

show switchconfig
以下に類似した情報が表示されます。 

802.3x Flow Control Mode......................... Disable
FIPS prerequisite features....................... Enabled
WLANCC prerequisite features..................... Enabled
UCAPL prerequisite features...................... Disabled
secret obfuscation............................... Enabled

UCAPL の設定(CLI)

始める前に

FIPS および WLAN CC をコントローラ上で有効にする必要があります。

手順

ステップ 1

コントローラで UCAPL を設定するには、次のコマンドを入力します。

config switchconfig ucapl { enable | disable }
ステップ 2

次のコマンドを入力して、FIPS の設定を表示します。

show switchconfig
以下に類似した情報が表示されます。 

802.3x Flow Control Mode......................... Disable
FIPS prerequisite features....................... Enabled
WLANCC prerequisite features..................... Enabled
UCAPL prerequisite features...................... Enabled
secret obfuscation............................... Enabled

Cisco Prime Infrastructure での管理用 Cisco WLC の FIPS モードでの準備(CLI)

これは、既存の FIPS 機能に対する更新です。この更新により、Cisco WLC が FIPS モードになっている場合、または Cisco Prime Infrastructure(PI)が SNMP の管理、SNMP トラップ ロガーのために使用されている、および IPsec が有効な syslog サーバとして使用されている場合、Cisco WLC IP アドレスを PI の設定に追加する前に、Cisco PI IP アドレスを Cisco WLC に追加する必要があります。

手順

ステップ 1

Cisco WLC で FIPS モードを有効にします。

  1. 次のコマンドを入力して、コントローラで FIPS を設定します。

    config switchconfig fips-prerequisite {enable | disable }

  2. (オプション)次のコマンドを入力して、コントローラの WLAN コモン クライテリアを設定します。

    config switchconfig wlancc {enable | disable }

  3. (オプション)次のコマンドを入力して、コントローラで UCAPL を設定します。

    config switchconfig ucapl {enable | disable }

  4. 次のコマンドを入力して、NVRAM に現在の設定を保存します。

    save config

  5. 次のコマンドを入力して、Cisco WLC をリブートします。

    reset system
ステップ 2

次のコマンドを入力して、Cisco WLC を管理するための Cisco PI IP アドレスを設定します。

config snmp pi-ip-address ip-address {add | delete }
(注)   
この IP アドレスは、Cisco PI eth0 インターフェイスの IP アドレスです。
ステップ 3

IPSec プロファイルを設定します。

  1. 次のコマンドを入力して、IPSec プロファイルを作成します。

    config ipsec-profile {create | delete } profile-name

  2. 次のコマンドを入力して、IPSec プロファイルの暗号化を設定します。

    config ipsec-profile encryption {aes-128-cbc | aes-256-cbc | aes-128-gcm | aes-256-gcm } profile-name

  3. 次のコマンドを入力して、IPSec プロファイルの認証を設定します。

    config ipsec-profile authentication {hmac-sha256 | hmac-sha384 } profile-name

  4. 次のコマンドを入力して、IPSec ライフタイムを秒単位で設定します。

    config ipsec-profile life-time-ipsec life-time-ipsec seconds profile-name

    有効な範囲は 1800 ~ 28800 秒です。デフォルトは 1800 秒です。

  5. 次のコマンドを入力して、インターネット キー エクスチェンジ(IKE)のライフタイムを秒単位で設定します。

    config ipsec-profile life-time-ike life-time-ipsec seconds profile-name

    有効な範囲は 1800 ~ 86400 秒です。デフォルトは 28800 秒です。

  6. 次のコマンドを入力して、IPSec プロファイルのインターネット キー エクスチェンジ(IKE)バージョンを設定します。

    config ipsec-profile ike version {1 | 2 } profile-name
    (注)   
    現在、IKE バージョン 1 のみがサポートされています。

  7. 次のコマンドを入力して、IKE 認証方式を設定します。

    config ipsec-profile ike auth-mode certificate profile-name

  8. 次のコマンドを入力して、SNMP に IPSec プロファイルを追加します。

    config snmp community ipsec profile profile-name

  9. 次のコマンドを入力して、SNMP に対して IPSec を有効にします。

    config snmp community ipsec enable
ステップ 4

SNMP トラップ レシーバを設定します。

  1. 次のコマンドを入力して、トラップ レシーバに IPSec プロファイルを設定します。

    config snmp trapreceiver ipsec profile profile-name trap-receiver-name

  2. 次のコマンドを入力して、IPSec を介した SNMP トラップを有効にします。

    config snmp trapreceiver ipsec enable trap-receiver-name
ステップ 5

Syslog を設定します。

  1. 次のコマンドを入力して、syslog のホスト IP を設定します。

    config logging syslog host ip address

    コントローラには最大 3 台の syslog サーバを追加できます。

  2. 次のコマンドを入力して、syslog に IPSec プロファイルを割り当てます。

    config logging syslog ipsec profile profile-name

  3. 次のコマンドを入力して、IPSec を介した syslog へのロギング メッセージを有効にします。

    config logging syslog ipsec enable

  4. 次のコマンドを入力して、syslog サーバの IP アドレスを削除します。

    config logging syslog host ip address delete
ステップ 6

IPSec プロファイルを編集する前に IPSec プロファイルを無効にして、リンクを解除します。

  • SNMP

    1. 無効化:config snmp community ipsec disable

    2. リンク解除:config snmp community ipsec none

  • トラップ受信者

    1. 無効化:config snmp trapreceiver ipsec disable trapreceiver-name

    2. リンク解除:config snmp trapreciver ipsec profile none trapreceiver-nam

  • Syslog

    1. 無効化:config logging syslong ipsec disable

    2. リンク解除:config logging syslong ipsec profile none

ステップ 7

次のコマンドを入力して、アクティブな IPSec トンネルの詳細を表示します。

show ipsec status

PAC のアップロード

Protected Access Credential(PAC)は、自動または手動でプロビジョニングされる資格情報で、EAP-FAST 認証時にローカル EAP 認証で相互認証を実行するために使用されます。手動の PAC プロビジョニングが有効になっている場合、PAC ファイルはコントローラ上で手動で生成されます。

この項の手順に従って、GUI または CLI のいずれかを使用して、コントローラから PAC を生成してロードします。ただし、開始する前に、PAC のアップロードに TFTP または FTP サーバを使用できることを確認します。TFTP または FTP サーバをセットアップする場合は、次のガイドラインに従ってください。

  • サービス ポート経由でアップロードする場合は、TFTP/FTP サーバがサービス ポートと同じサブネット上になければなりません。サービス ポートはルーティングできないからです。同じサブネット上にない場合は、コントローラ上に静的ルートを作成する必要があります。

  • ディストリビューション システム ネットワーク ポートを経由してアップロードする場合は、TFTP/FTP サーバは同じサブネット上にあっても、別のサブネット上にあってもかまいません。ディストリビューション システム ポートはルーティング可能であるためです。


(注)  
ISE と WLC 間の時刻の不一致が原因で PAC が期限切れになる場合は、Cisco Identity Service Engine(ISE)とコントローラ間で時刻を同期することをお勧めします。コントローラに PAC をもう一度ダウンロードするには、RADIUS サーバを有効化または無効化する必要があります。

PAC のアップロード(GUI)

手順

ステップ 1

[Commands] > [Upload File] の順に選択して、[Upload File from Controller] ページを開きます。

ステップ 2

[File Type] ドロップダウン リストから、[PAC (Protected Access Credential)] を選択します。

ステップ 3

[User] テキスト ボックスに、PAC を使用するユーザの名前を入力します。

ステップ 4

[Validity] テキスト ボックスに、PAC の有効日数を入力します。デフォルトの設定は、ゼロ(0)です。

ステップ 5

[Password] および [Confirm Password] テキスト ボックスに、PAC を保護するためのパスワードを入力します。

ステップ 6

[Transfer Mode] ドロップダウン リストで、次のオプションから選択します。

  • TFTP
  • FTP
  • SFTP(7.4 以降のリリースで利用可能)
ステップ 7

[IP Address (IPv4/IPv6)] テキスト ボックスに、サーバの IPv4/IPv6 アドレスを入力します。

ステップ 8

[File Path] テキスト ボックスに、PAC のディレクトリ パスを入力します。

ステップ 9

[File Name] テキスト ボックスに、PAC ファイルの名前を入力します。PAC ファイルには .pac 拡張子が付いています。

ステップ 10

FTP サーバを使用している場合は、次の手順に従います。

  1. [Server Login Username] テキスト ボックスに、FTP サーバにログインするためのユーザ名を入力します。

  2. [Server Login Password] テキスト ボックスに、FTP サーバにログインするためのパスワードを入力します。

  3. [Server Port Number] テキスト ボックスに、FTP サーバ上のアップロードが行われるポート番号を入力します。デフォルト値は 21 です。

ステップ 11

[Upload] をクリックして、コントローラから PAC をアップロードします。アップロードのステータスを示すメッセージが表示されます。

ステップ 12

ワイヤレス クライアントの手順に従って、クライアント デバイス上に PAC をアップロードします。必ず上記で入力したパスワードを使用するようにしてください。

PAC のアップロード(CLI)

手順

ステップ 1

コントローラ CLI にログインします。

ステップ 2

次のコマンドを入力して、設定ファイルのアップロードに使用する転送モードを指定します。

transfer upload mode {tftp | ftp | sftp }

ステップ 3

次のコマンドを入力して、Protected Access Credential(PAC)をアップロードします。

transfer upload datatype pac

ステップ 4

次のコマンドを入力して、ユーザ ID を指定します。

transfer upload pac username validity password

ステップ 5

次のコマンドを入力して、TFTP または FTP サーバの IP アドレスを指定します。

transfer upload serverip server-ip-address

(注)   
サーバは、IPv4 と IPv6 を両方ともサポートします。
ステップ 6

次のコマンドを入力して、設定ファイルのディレクトリ パスを指定します。

transfer upload path server-path-to-file

ステップ 7

次のコマンドを入力して、アップロードする設定ファイルの名前を指定します。

transfer upload filename manual.pac

ステップ 8

FTP サーバを使用している場合は、次のコマンドを入力します。

  • transfer upload username username

  • transfer upload password password

  • transfer upload port port

    (注)   
    port パラメータのデフォルト値は 21 です。
ステップ 9

transfer upload start コマンドを入力して、更新された設定を表示します。現在の設定を確認してアップロード プロセスを開始するプロンプトが表示されたら、y と答えます。

ステップ 10

ワイヤレス クライアントの手順に従って、クライアント デバイス上に PAC をアップロードします。必ず上記で入力したパスワードを使用するようにしてください。

Cisco TrustSec

Cisco TrustSec の概要

Cisco TrustSec を使用すると、組織はアイデンティティベースのアクセス コントロールを通じて、人、場所、時を問わずネットワークとサービスをセキュリティで保護できます。このソリューションでは、データの整合性および機密保持サービス、ポリシーベースの管理、中央集中型のモニタリング、トラブルシューティング、およびレポーティング サービスも提供されます。Cisco TrustSec をカスタマイズされたプロフェッショナル サービスと組み合わせると、ソリューションの導入と管理を簡素化できます。Cisco TrustSec は、シスコ ボーダレス ネットワークの基盤となるセキュリティ コンポーネントです。

Cisco TrustSec のセキュリティ アーキテクチャは、信頼できるネットワーク デバイスのドメインを確立することによってセキュア ネットワークを構築を支援します。ドメイン内の各デバイスは、そのピアによって認証されます。ドメイン内のデバイス間リンクでの通信は、暗号化、メッセージ整合性チェック、データ パス リプレイ保護メカニズムを組み合わせたセキュリティで保護されます。Cisco TrustSec は認証中に取得したデバイスおよびユーザ クレデンシャルを使用して、ネットワークに進入するパケットをセキュリティ グループ(SG)で分類します。このパケット分類は、Cisco TrustSec ネットワークへの進入時にパケットにタグを付けることで維持されます。これにより、パケットはデータ パス全体を通じて正しく識別され、セキュリティおよびその他のポリシー基準が適用されます。このタグはセキュリティ グループ タグ(SGT)と呼ばれ、エンドポイント デバイスはこの SGT に基づいてトラフィックをフィルタリングできるので、ネットワークでのアクセス コントロール ポリシーの適用が可能になります。Cisco TrustSec セキュリティ グループ タグは WLAN の AAA オーバーライドを有効にする場合にのみ適用される点に注意してください。

Cisco TrustSec アーキテクチャのコンポーネントの 1 つが、セキュリティ グループベースのアクセス コントロールです。セキュリティ グループ ベースのアクセス コントロール コンポーネントでは、Cisco TrustSec ドメインのアクセス ポリシーはトポロジとは無関係で、ネットワーク アドレスではなく送信元デバイスと宛先デバイスのロール(セキュリティ グループ番号で指定)に基づいています。個々のパケットには、送信元のセキュリティ グループ番号のタグが付けられます。

Cisco TrustSec ソリューションは、次の 3 つの異なるフェーズで実装されます。

  • 中央ポリシー データベース(Cisco ISE)による入口でのクライアント分類、およびロールなどのクライアント アイデンティティ属性に基づく固有の SGT のクライアントへの割り当て。

  • SGT Exchange Protocol(SXP)またはインライン タギングの方法(またはその両方)を使用した隣接デバイスへの IP-to-SGT バインドの伝達。

  • セキュリティ グループ アクセス コントロール リスト(SGACL)ポリシーの適用。Cisco AP は、中央またはローカル スイッチング(中央認証)の適用ポイントになります。

SGT 交換プロトコル

Cisco デバイスは SGT 交換プロトコル(SXP)を使用して、Cisco TrustSec 向けのハードウェア サポートがないネットワーク デバイスに SGT を伝播します。SXP は、すべてのシスコ スイッチで Cisco TrustSec ハードウェアをアップグレードする必要性を排除するソフトウェア ソリューションです。Cisco WLC は、Cisco TrustSec アーキテクチャの一部として SXP をサポートしています。SXP は、Cisco TrustSec 対応のスイッチに SGT 情報を送信します。そのため、SGT で示されたロール情報に従って、適切なロールベース アクセス コントロール リスト(RBAC リスト)をアクティブにすることができます。ネットワークに SXP を実装するには、出口のディストリビューション スイッチだけを Cisco TrustSec 対応にすればよく、その他のスイッチはすべて Cisco TrustSec 非対応でかまいません。

SXP は、アクセス レイヤとディストリビューション スイッチ間、または 2 つのディストリビューション スイッチ間で動作します。SXP は TCP をトランスポート層として使用します。アクセス レイヤ スイッチ上でネットワークに参加しているホスト(クライアント)に対する Cisco TrustSec 認証は、Cisco TrustSec 対応ハードウェアを備えたアクセス スイッチの場合と同様に実行されます。アクセス レイヤ スイッチは Cisco TrustSec 対応ハードウェアではありません。したがって、データ トラフィックがアクセス レイヤ スイッチを通過するとき、そのトラフィックの暗号化または暗号による認証は行われません。SXP は、認証されたデバイス(つまり、ワイヤレス クライアント)の IP アドレスと、対応する SGT をディストリビューション スイッチに渡すために使用されます。ディストリビューション スイッチが Cisco TrustSec 対応ハードウェアの場合は、そのディストリビューション スイッチがアクセス レイヤ スイッチに代わってパケットに SGT を挿入します。ディストリビューション スイッチが Cisco TrustSec 対応ハードウェアでない場合は、ディストリビューション スイッチの SXP が、Cisco TrustSec ハードウェアを備えたすべてのディストリビューション スイッチに IP-SGT マッピングを渡します。出口側では、ディストリビューション スイッチの出力 L3 インターフェイスで RBAC リストが適用されます。

次に、Cisco TrustSec SXP に関する注意事項を示します。

  • SXP は次のセキュリティ ポリシーでのみサポートされています。

    • WPA2-dot1x

    • WPA-dot1x

    • RADIUS サーバを使用した MAC フィルタリング

    • RADIUS サーバを使用した Web 認証によるユーザ認証

  • SXP は IPv4 クライアントと IPv6 クライアントの両方でサポートされます。

  • デフォルトでは、Cisco WLC は常にスピーカー モードで動作します。

  • リリース 8.3 以降、Cisco WLC の SXP は中央およびローカル スイッチド ネットワークの両方でサポートされます。

  • IP-SGT マッピングは、Cisco ISE で認証されていない WLAN およびクライアントに対して実行できます。

リリース 8.4 以降、SXPv4 は FlexConnect モードの AP でサポートされます。

Cisco TrustSec の詳細については、以下を参照してください。http://www.cisco.com/c/en/us/solutions/enterprise-networks/trustsec/index.html

PAC プロビジョニングおよびデバイス登録

Cisco TrustSec ネットワークに参加するデバイスはすべて、信頼できるデバイスとして認証される必要があります。認証プロセスを促進するためには、Cisco TrustSec ネットワークに接続された新しいデバイスが登録プロセスを経由する必要があります。デバイスは、登録プロセスで、デバイスの認証に特に必要なクレデンシャルと、一般的な Cisco TrustSec 環境情報を受け取ります。

Cisco WLC のデバイス登録は、Cisco ISE サーバによる Protected Access Credential(PAC)プロビジョニングの一環として Cisco WLC によって開始されます。Cisco WLC は EAP-FAST を開始し PAC を取得します。これは、LOCAL-EAP EAP-FAST PAC プロビジョニングのインフラストラクチャを使用して実行されます。取得した PAC はデバイス ID に一意にマッピングされます。デバイス ID を変更すると、以前のデバイス ID に関連付けられた PAC データが PAC ストアから削除されます。PAC プロビジョニングは、RADIUS サーバ インスタンスが PAC をプロビジョニングできる場合にトリガーされます。


(注)  

Cisco ISE と Cisco WLC の時刻が同期されていることを確認し、PAC が Cisco WLC に適切にダウンロードされるようにします。

高可用性(HA)セットアップでは、PAC は冗長チャネルを介して共有されません。代わりに、スイッチオーバー後すぐに新しいアクティブな Cisco WLC で PAC のダウンロードが再び開始されます。

環境データ

Cisco TrustSec 環境データは、Cisco WLC で Cisco TrustSec 関連機能を実行するのに役立つ一連の情報または属性です。

Cisco WLC は、Cisco TrustSec ドメインに初めて参加したときに、セキュアな RADIUS アクセス要求を送信することで、認証サーバ(Cisco ISE)から環境データを取得します。認証サーバは、環境の有効期限タイムアウト属性などの属性を含む RADIUS Access-Accept メッセージを返します。これは、Cisco TrustSec デバイスがその環境データを更新する頻度を制御する時間間隔です。

セキュリティ グループ アクセス コントロール リスト ポリシーのダウンロード

セキュリティ グループは、アクセス コントロール ポリシーを共有するユーザ、エンドポイント デバイス、およびリソースのグループです。セキュリティ グループは管理者が Cisco ISE で定義します。新しいユーザやデバイスが Cisco TrustSec ドメインに追加されると、認証サーバは、それらの新しいエンティティを適切なセキュリティ グループに割り当てます。Cisco TrustSec は各セキュリティ グループに一意の 16 ビットの番号を割り当てます。番号の範囲は Cisco TrustSec ドメイン内でグローバルです。ワイヤレス デバイス内のセキュリティ グループの数は、認証されたネットワーク エンティティの数までに限定されます。セキュリティ グループの番号を手動で設定する必要はありません。

デバイスが認証されると、Cisco TrustSec はそのデバイスから発信されるすべてのパケットに、デバイスのセキュリティ グループ番号が含む SGT をタグ付けします。パケットは、Cisco TrustSec ヘッダーにこの SGT を含めて、ネットワーク内のあるゆる場所に運びます。

SGT には送信元のセキュリティ グループが含まれているため、タグは送信元 SGT(S-SGT)と呼ばれることがあります。接続先デバイスもセキュリティ グループ(宛先 SG)に割り当てられます。このグループは、 Cisco TrustSec パケットに接続先デバイスのセキュリティ グループ番号が含まれていない場合でも、宛先 SGT(D-SGT)として参照できます。

セキュリティ グループ アクセス コントロール リスト(SGACL)を使用すると、ユーザと宛先リソースのセキュリティ グループの割り当てに基づいて、ユーザが実行できる操作を制御できます。Cisco TrustSec ドメイン内のポリシーの適用は、軸の 1 つが送信元セキュリティ グループ番号、もう 1 つの軸が宛先セキュリティ グループ番号である、許可マトリックスで表示されます。マトリックスの本体の各セルには送信元セキュリティ グループから宛先セキュリティ グループ宛てに送信されるパケットに適用される必要がある権限を指定する SGACL の順序リストが含まれています。ワイヤレス クライアントが認証されると、マトリックス セルにすべての SGACL がダウンロードされます。

ワイヤレス クライアントは、ネットワークに接続するときにすべての ACL を Cisco WLC にプッシュします。

次の図は、3 つの定義済みのユーザ ロール、1 つの定義済みの宛先リソース、およびユーザ ロールに基づいて宛先サーバへのアクセスを制御する 3 つの SGACL ポリシーがある Cisco TrustSec 権限マトリックスの例を示しています。

図 1. SGACL ポリシー マトリックスの例

Cisco TrustSec は、ネットワーク内のユーザとデバイスをセキュリティ グループに割り当て、セキュリティ グループ間でアクセス コントロールを適用することにより、ネットワーク内でロールベースのトポロジに依存しないアクセス コントロールを実現します。SGACL は、デバイス ID に基づいてアクセス コントロール ポリシーを定義します。ロールと権限が同じであれば、ネットワーク トポロジが変更されてもセキュリティ ポリシーは変更されません。ユーザがワイヤレス グループに追加されたら、適切なセキュリティ グループにユーザを割り当てるだけで、そのユーザはただちにそのグループの権限を受け取ります。

ロールベースの権限を使用することで、ACL のサイズが縮小され、ACL のメンテナンスが簡易化されています。Cisco TrustSec では、設定されているアクセス コントロール エントリ(ACE)の数は、指定されている権限の数によって決まるため、ACE の数はかなり少なくなります。


(注)  

デフォルトでは、次の定義済みの SGACL ポリシーがダウンロードされます。

  • デフォルト ポリシー:このポリシーは、送信元と宛先の SGT が使用可能で、セルや列の SGACL が定義されていない場合に適用されます。

  • 不明ポリシー:このポリシーは、送信元 SGT が不明な場合に適用されます。不明という名前のセッション グループを使用し、そのトラフィックに不明ポリシーを適用できます。

インライン タギング

インライン タギングはトランスポート メカニズムで、Cisco WLC や Cisco AP はこのメカニズムを使用して送信元 SGT を認識します。トランスポート メカニズムには次の 2 つのタイプがあります。

  • 中央スイッチング:中央にスイッチングされたパケットの場合、Cisco WLC は Cisco メタデータ(CMD)タグを付けることによって、Cisco WLC と関連付けられているワイヤレス クライアントから送信されるすべてのパケットに対して、インライン タギングを実行します。ディストリビューション システムからの着信パケットの場合、インライン タギングでは、S-SGT タグを学習するための、Cisco WLC によるパケットからの CMD ヘッダーの取り外しも行われます。Cisco WLC はその後、SGACL を適用するために S-SGT を含むパケットを転送します。

  • ローカル スイッチング:ローカルでスイッチングされたトラフィックを送信するために、Cisco AP は、Cisco AP と関連付けられていて、クライアントから送信されたパケットに対してインライン タギングを実行します。トラフィックを受信するために、Cisco AP はローカルでスイッチングされたパケットと中央でスイッチングされたパケットの両方を処理し、パケット用の S-SGT タグを使用して、SGACL ポリシーを適用します。

Cisco WLC でワイヤレス Cisco TrustSec が有効になっている場合、スイッチとのタグ交換のための SXP の有効化および設定の選択は任意です。ワイヤレス Cisco TrustSec モードと SXP モードの両方がサポートされています。ただし、AP と SXP の両方のワイヤレス Cisco TrustSec を同時に有効な状態にする使用例はありません。

ポリシーの実施

Cisco TrustSec アクセス コントロールは、入力タギングと出力の適用を使用して実装されます。Cisco TrustSec ドメインの入力点では、送信元からのトラフィックは、送信元エンティティのセキュリティ グループ番号を含む SGT でタグ付けされます。SGT は、そのトラフィックでドメイン全体に伝達されます。Cisco TrustSec ドメインの出力ポイントでは、出力デバイスは送信元 SGT(S-SGT)および宛先エンティティ(D-SGT)のセキュリティ グループを使用して、SGACL ポリシー マトリックスから適用するアクセス ポリシーを決定します。

ポリシーの適用は、AP の中央およびローカルの両方でスイッチド トラフィックに適用できます。有線クライアントがワイヤレス クライアントと通信する場合、Cisco AP はダウンストリーム トラフィックを適用します。ワイヤレス クライアントが有線クライアントと通信する場合、Cisco AP はアップストリーム トラフィックを適用します。Cisco AP はこの方法で、ダウンストリームとワイヤレス間トラフィックの両方でトラフィックを適用します。適用が機能するためには、S-SGT、D-SGT、および ACL が必要です。Cisco AP は、Cisco ISE サーバで利用可能な情報からすべてのワイヤレス クライアントの SGT 情報を取得します。


(注)  

トラフィックを適用するためには、Cisco AP はリスナーまたは両方(リスナーとスピーカー)のモードである必要があります。リスナー モードでは IP-SGT バインドの完全なセットが保持されます。Cisco AP で適用を有効すると、対応するポリシーがダウンロードされて、Cisco AP にプッシュされます。

Cisco TrustSec のガイドラインと制約事項

  • デフォルト パスワードの設定は、Cisco WLC とスイッチの両方で一致している必要があります。

  • IP-SGT マッピングでは、外部 Cisco ISE サーバを使用した認証が必要です。

  • 自動アンカー/ゲスト アンカー モビリティでは、RADIUS サーバから外部の Cisco WLC に渡される SGT 情報は、EoIP/CAPWAP モビリティ トンネル経由でアンカー Cisco WLC に伝達できます。その後、アンカー Cisco WLC は SGT-IP マッピングを構築し、SXP を介して別のピアに伝達できます。

  • AAA オーバーライドが有効なローカル Web 認証のシナリオでは、クライアントがログアウト後にログインを試みると、WLAN からの SGT は再度適用されず、クライアントは AAA オーバーライドされた SGT を保持します。

  • Cisco TrustSec は、L3 およびゲスト アクセスの展開ではサポートされていません。

  • モニタ モードの Cisco TrustSec はサポートされていません。

  • 環境データの一部としての、デバイスまたはマルチキャスト SGT およびサーバ リストはサポートされていません。

  • ポリシーの認可変更(CoA)と環境データの更新はサポートされていません。

  • 高可用性(HA)設定では、環境データ、および SGACL はスタンバイ Cisco WLC とは同期されません。PAC 情報、デバイス ID、およびパスワードは同期されます。Cisco WLC がフェールオーバーすると、環境データと SGACL は Cisco ISE からダウンロードされます。


    (注)  

    HA 設定では、アクティブな Cisco WLC と関連付けられている AP にクライアントが接続すると、スタンバイ Cisco WLC で AP-SGT 情報が更新されます。この AP-SGT マッピングは、HA スイッチオーバー後に SGT ポリシーをダウンロードするために使用されます。ポリシーは、スタンバイ Cisco WLC とは同期されません。ただし、AP-SGT 情報は、HA スイッチオーバー後にポリシーのダウンロードを開始するために使用されます。

    アクティブな Cisco WLC のみ、ピアへの SXP ソケット接続の作成を設定できます。スタンバイ Cisco WLC は、SXP ソケット接続を確立しません。したがって、スタンバイ Cisco WLC の SXP ステータスは「OFF」です。

  • リリース 8.4 を実行している Cisco WLC が非稼働状態になると、その WLC と関連付けられている AP は、8.3 以前のリリースを実行している別の Cisco WLC にスイッチしてイメージをダウンロードする可能性があります。その後、その AP は Cisco WLC と通信できなくなります。これは、8.3 以前のリリースではインライン タギングがサポートされていないためです。この場合は、AP スイッチ ポートで Cisco TrustSec 手動設定モード(cts manual )を無効にし、AP がイメージをダウンロードできるようにすることをお勧めします。

  • policy static sgt tag trusted コマンドは、Cisco TrustSec 手動設定モードでは、ピアによって設定された SGT タグを信頼するために AP スイッチ ポートが必要な場合に、インライン タギングが有効な設定で使用されます。タグなしトラフィックの場合、スイッチ ポートは、このコマンドで設定された値を持つすべてのパケットをタグ付けします。したがって、この設定は、インライン タギングが無効な場合は使用しないでください。

  • スタティック SGACL ポリシーは、Cisco WLC ではサポートされていません。

  • ポリシーの適用は、マルチキャスト トラフィックには適用されません。

  • インラインと SXPv4 は、FlexConnect スプリット トンネリング シナリオではサポートされていません。

  • 混合モードの導入シナリオでは、Cisco AP が 2 つの SXP ピア接続とともに設定されている場合、1 つのピア接続のパスワードは default に設定し、もう 1 つのピア接続のパスワードは none に設定します。このようなシナリオでは、パスワードが none に設定されているピア接続は動作しません。ただし、すべての SXP ピア接続のパスワードが none に設定されている場合、SXP ピア接続は動作します。

  • Cisco TrustSec は、ゲスト LAN クライアントに対してはサポートされていません。

  • Cisco TrustSec は、屋外および産業用ワイヤレス メッシュ AP ではサポートされていません。

  • PAC プロビジョニングは、次の Cisco WLC ではサポートされていません。5508、WiSM2、8510、7510、および vWLC。

  • PAC プロビジョニングは、IPv6 サーバではサポートされていません。

  • インライン タギングおよび SGACL のダウンロードと適用は、次の Cisco WLC ではサポートされていません。5508、WiSM2、8510、7510、および vWLC。

  • SXPv4 リスナーおよび両方のモードは、次の Cisco WLC の FlexConnect の導入ではサポートされていません。5508、WiSM2、8510、7510、および vWLC。

  • インライン タギングは、Flex + ブリッジ 802.11ac Lightweight AP ではサポートされていません。

  • NAT シナリオ(FlexConnect 中央 DHCP)には、SXPv4 を使用しないことをお勧めします。

  • CTS CORE: AAA-3-AUTH_REQUEST_QUEUE_FAILED システム メッセージが表示された場合、操作は不要です。これは、Cisco WLC のリブートごとに予想されるエラー ログです。このシステム メッセージは、AAA の前に Cisco TrustSec コアが初期化されているために表示されます。

Cisco TrustSec 機能サポート マトリックス

表 1. Cisco TrustSec 機能サポート マトリックス

AP モード

SXPv4 のサポート

インライン タギングのサポート

適用のサポート

Cisco Aironet AP シリーズ

注記

ローカル

非対応

非対応

対応

1700、2700、3700

該当なし

18xx、38xx、28xx

FlexConnect

対応

対応

対応

1700、2700、3700

該当なし

18xx、38xx、28xx

Flex + ブリッジ

対応

非対応

対応

1700、2700、3700

NA

非対応

非対応

非対応

18xx、38xx、28xx

Flex + ブリッジ モードは、これらの AP ではサポートされていません。

メッシュ

非対応

非対応

対応(屋内メッシュのオンライン)

1700、2700、3700

屋外メッシュではサポートされていません

非対応

非対応

非対応

18xx、38xx、28xx

メッシュ モードはサポートされていません。

Cisco TrustSec の設定

Cisco WLC での Cisco TrustSec の設定(GUI)

手順

ステップ 1

[Security] > [TrustSec] > [General] を選択します。

[General] ページが表示されます。
ステップ 2

[CTS] チェックボックスをオンにして Cisco TrustSec を有効にします。デフォルトでは、Cisco TrustSec は無効な状態になっています。

ステップ 3

設定を保存します。

Cisco WLC での Cisco TrustSec の設定(CLI)

手順

  • 次のコマンドを入力して、コントローラ上で Cisco TrustSec を有効にします。

    config cts enable


    (注)  

    Cisco TrustSec を有効にすると、SGACL もそのコントローラで有効になります。また、インライン タギングも手動で有効にする必要があります。

アクセス ポイントに対する Cisco TrustSec オーバーライドの設定(CLI)

手順

  • 次のコマンドを入力して、特定の AP でのグローバルな Cisco TrustSec 設定のオーバーライドを有効または無効にします。

    config cts ap override {enable | disable } cisco-ap

SXP の設定

Cisco WLC での SXP の設定(GUI)

手順

ステップ 1

[Security] > [TrustSec] > [SXP Config] を選択します。

[SXP Configuration] ページに、次の SXP 設定の詳細が表示されます。

  • [Total SXP Connections]:設定されている SXP 接続の数。

  • [SXP State]:SXP 接続のステータス(有効または無効)。

  • [SXP Mode]:Cisco WLC の SXP モード。SXP 接続では、Cisco WLC は常にスピーカー モードに設定されています。

  • [Default Password]:SXP メッセージの MD5 認証用パスワード。パスワードには 6 文字以上を含めることをお勧めします。

  • [Default Source IP]:管理インターフェイスの IP アドレス。SXP は、すべての新規 TCP 接続に対してデフォルトの送信元 IP アドレスを使用します。

  • [Retry Period]:SXP 再試行タイマー。デフォルト値は 120 秒(2 分)です。有効な範囲は 0 ~ 64000 秒です。SXP 再試行期間によって、コントローラが SXP 接続を再試行する間隔が決まります。SXP 接続が正常に確立されなかった場合、コントローラは SXP 再試行期間タイマーの終了後に、新しい接続の確立を試行します。SXP 再試行期間を 0 秒に設定するとタイマーは無効になり、接続は再試行されません。

このページでは、SXP 接続について次の情報も表示されます。

  • [Peer IP Address]:ピアの IP アドレス、つまり Cisco WLC が接続するネクストホップ スイッチの IP アドレス。新しいピア接続を設定しても、既存の TCP 接続に影響はありません。

  • [Source IP Address]:送信元の IP アドレス、つまり Cisco WLC の管理 IP アドレス。

  • [Connection Status]:SXP 接続のステータス。

ステップ 2

[SXP State] ドロップダウン リストで、[Enabled] を選択して SXP を有効にします。

ステップ 3

SXP 接続に使用するデフォルト パスワードを入力します。パスワードには 6 文字以上を含めることをお勧めします。
ステップ 4

[Retry Period] フィールドに、Cisco TrustSec ソフトウェアが SXP 接続を再試行する間隔を秒単位で入力します。

ステップ 5

[Apply] をクリックして、変更を確定します。

Cisco WLC での SXP の設定(CLI)

手順

  • 次のコマンドを入力して、コントローラ上で SXP を有効または無効にします。

    config cts sxp {enable | disable }

  • 次のコマンドを入力して、SXP メッセージの MD5 認証のデフォルト パスワードを設定します。

    config cts sxp default password password

  • 次のコマンドを入力して、コントローラが接続するネクストホップ スイッチの IP アドレスを設定します。

    config cts sxp connection peer ip-address

  • 次のコマンドを入力して、接続を試みる間隔を設定します。

    config cts sxp retry period time-in-seconds

  • 次のコマンドを入力して、SXP 接続を削除します。

    config cts sxp connection delete ip-address

  • 次のコマンドを入力して、SXP の設定の概要を確認します。

    show cts sxp summary

    次に、このコマンドの出力例を示します。

    
SXP State........................................ Enable
SXP Mode......................................... Speaker
Default Password................................. ****
Default Source IP................................ 209.165.200.224
Connection retry open period .................... 120

  • 次のコマンドを入力して、設定された SXP 接続のリストを参照します。

    show cts sxp connections

    次に、このコマンドの出力例を示します。

    
Total num of SXP Connections..................... 1
SXP State........................................ Enable
Peer IP            Source IP           Connection Status
---------------    ---------------     -----------------
209.165.200.229   209.165.200.224              On

  • 次の手順のいずれかに従って、コントローラと Cisco Nexus 7000 シリーズ スイッチ間に接続を確立します。

    • 次のコマンドを入力します。

      1. config cts sxp version sxp version 1 or 2 1

      2. config cts sxp disable

      3. config cts sxp enable

    • コントローラで SXP バージョン 2 が使用され、Cisco Nexus 7000 シリーズ スイッチでバージョン 1 が使用されている場合、接続を確立するために再試行間隔を設定する必要があります。始めは短い試行間隔を設定することを推奨します。デフォルトは 120 秒です。

シスコ アクセス ポイントでの SXP の設定(GUI)

この設定は、FlexConnect、Flex + ブリッジ、メッシュ、およびローカル モードの AP にのみ適用できます。

手順

ステップ 1

[Wireless] > [Access Points] > [All APs] の順に選択して、目的のアクセス ポイントの名前を選択します。

ステップ 2

[Advanced] タブをクリックします。

ステップ 3

[Trusted Security] エリアで、[TrustSec Config] をクリックします。

[All APs] > [<ap-name>] > [Trusted Security] ページが表示されます。
ステップ 4

[Trusted Security] エリアで [SGACL Enforcement] チェックボックスをオンにします。

ステップ 5

設定を保存します。

シスコ アクセス ポイントでの SXP の設定(CLI)

この設定は、FlexConnect、Flex + ブリッジ、メッシュ、およびローカル モードの AP にのみ適用できます。

手順

  • 次のコマンドを入力して、1 つのアクセス ポイントまたはすべてのアクセス ポイントの SXP を有効または無効にします。

    config cts sxp ap {enable | disable } {ap_name | all }

  • 次のコマンドを入力して、SXP 接続のデフォルト パスワードを設定します。

    config cts sxp ap default password password {ap-name | all }

  • 次のコマンドを入力して、Cisco AP が接続されている SXP ピアの IP アドレスを設定します。

    config cts sxp ap connection peer ip-address password {default | none } mode {both | listener | speaker } {ap-name | all }

  • 次のコマンドを入力して、SXP 接続が有効である時間間隔(最小と最大)を設定します。

    config cts sxp ap listener hold-time min max {ap-name | all }

  • 次のコマンドを入力して、Cisco AP での調整時間間隔を設定します。

    config cts sxp ap reconciliation period time-in-seconds {ap-name | all }

  • 次のコマンドを入力して、接続を試みる間隔を設定します。

    config cts sxp ap retry period time-in-seconds {ap-name | all }

  • 次のコマンドを入力して、接続保留時間を設定します。

    config cts sxp ap speaker hold-time hold-time-in-seconds {ap-name | all }


    (注)  

    DHCP IP を持つ Cisco AP がリブートすると、リブート後に Cisco WLC と関連付けられて異なる IP アドレスを持つことになり、SXP 接続が失敗します。この問題を回避するには、次のいずれかの作業を実行します。

    • Cisco AP 用の DHCP で一連の予約済み IP アドレスを定義します。

    • Cisco AP の静的 IP アドレスを設定します。

PAC プロビジョニングの設定

Cisco TrustSec のクレデンシャルの設定(GUI)

手順

ステップ 1

[Security] > [TrustSec] > [General] を選択します。

[General] ページが表示されます。
ステップ 2

[Device ID] フィールドに、Cisco TrustSec デバイス ID を入力します。

ステップ 3

[Password] フィールドに、Cisco TrustSec デバイス パスワードを入力します。

ステップ 4

[Inline Tagging] チェックボックスをオンまたはオフにして、インライン タギングを有効または無効にします。

ステップ 5

[Environment Data] エリアに、次の情報が表示されます。

  • [Current State]:環境データの設定が完了したかどうかが表示されます。

  • [Last Status]:環境データの最後の状態が表示されます。

ステップ 6

[Apply] をクリックして、変更を確定します。

ステップ 7

[Refresh Env Data] をクリックして、環境データを更新します。

Cisco TrustSec のクレデンシャルの設定(CLI)

手順

  • 次のコマンドを入力して、Cisco TrustSec デバイス ID とパスワードを設定します。

    config cts device-id device-id password password

RADIUS AAA サーバの設定(GUI)

複数の RADIUS アカウンティングおよび認証サーバを設定できます。たとえば、1 台の RADIUS 認証サーバを中央に配置し、複数の RADIUS アカウンティング サーバを異なる地域に配置できます。同じタイプのサーバを複数設定すると、最初のサーバで障害が発生したり、接続不能になったりしても、コントローラは、必要に応じて 2 台目や 3 台目あるいはそれ以降のサーバへの接続を自動的に試行します。

詳細については、RADIUS の設定(GUI)を参照してください。

RADIUS AAA サーバの設定(CLI)

手順

次のコマンドを入力して、RADIUS 認証サーバを設定して RADIUS PAC を有効にします。

config radius auth pac srv-index enable

srv-index では RADIUS サーバのインデックス(1 ~ 32)を指定します。

環境データのモニタリング

環境データのモニタリング(GUI)

手順

ステップ 1

[Security] > [TrustSec] > [General] を選択します。

[General] ページに、環境データの一部として次の詳細情報が表示されます。[Current State] および [Last Status]
ステップ 2

更新された情報を表示するには、[Refresh Env Data] をクリックします。

環境データのモニタリング(CLI)

手順

  • 次のコマンドを入力して、Cisco TrustSec 環境データを表示します。

    show cts environment-data

  • 次のコマンドを入力して、Cisco TrustSec 環境データを更新します。

    config cts refresh environment-data


    (注)  

    シスコ ワイヤレス リリース 8.4 では CoA がサポートされていないため、Cisco ISE の環境データは手動で更新する必要があります。

WLAN でのスタティック セキュリティ グループ タグの設定

WLAN でのスタティック セキュリティ グループ タグの設定(GUI)

手順

ステップ 1

[WLANs] を選択して、[WLANs] ページを開きます。

ステップ 2

[WLAN ID] をクリックします。
ステップ 3

[WLANs] > [Edit] ページで、[Advanced] タブをクリックします。

ステップ 4

[TrustSec] エリアの [Security Group Tag] フィールドに、0 ~ 65533 の値を入力します。

ステップ 5

設定を保存します。

WLAN でのスタティック セキュリティ グループ タグの設定(CLI)

手順

  • 次のコマンドを入力して、WLAN でスタティック セキュリティ グループ タグ(SGT)を設定します。

    config wlan security sgt value wlan-id

    value の有効な範囲は 0 ~ 65533 です。


    (注)  

    このコマンドは、Cisco WLC 内のクライアントのローカルおよび Web 認証に適用できます。SGT は、AAA オーバーライドが無効な状態で WLAN に接続されているクライアントにも適用されます。

インライン タギングの設定

Cisco WLC でのインライン タギングの設定(GUI)

手順

ステップ 1

[Security] > [TrustSec] > [General] を選択します。

[General] ページが表示されます。
ステップ 2

[Inline Tagging] チェックボックスをオンにして、インライン タギングを有効にします。デフォルトでは、インライン タギングは無効な状態です。

ステップ 3

設定を保存します。

Cisco WLC でのインライン タギングの設定(CLI)

手順

  • 次のコマンドを入力して、Cisco WLC でのインライン タギングを有効または無効にします。

    config cts inline-tag {enable | disable }


    (注)  

    Cisco WLC では、中央スイッチング パケットに対するインライン タギングのタスクが実行されます。

シスコ アクセス ポイントでのインライン タギングの設定(GUI)

始める前に

  1. インライン タギングは、FlexConnect モードの AP でのみサポートされます。

  2. デフォルトでは、インライン タギングは無効な状態です。

手順

ステップ 1

すべての AP にインライン タギングを設定するには、次の手順を実行します。

  1. [Wireless] > [Access Points] > [Global Configuration] を選択します。

    [Global Configuration] ページが表示されます。

  2. [TrustSec] エリアで、[TrustSec Config] をクリックします。

    [All APs Trusted Security] ページが表示されます。

  3. インライン タギングを有効にするには、[Inline Tagging] チェックボックスをオンにします。

  4. [Apply] をクリックします。

ステップ 2

特定の AP にインライン タギングを設定するには、次の手順を実行します。

  1. [Wireless] > [Access Points] > [All APs] を選択します。

  2. AP の名前をクリックします。

    [All APs] > [Details for <ap-name>] ページが表示されます。

  3. [Advanced] タブをクリックします。

  4. [TrustSec] エリアで、[TrustSec Config] をクリックします。

  5. [Trusted Security] エリアで、[Inline Tagging] チェックボックスをオンにして、インライン タギングを有効にします。

  6. [Apply] をクリックします。

シスコ アクセス ポイントでのインライン タギングの設定(CLI)

始める前に

  1. インライン タギングは、FlexConnect モードの AP でのみサポートされます。

  2. デフォルトでは、インライン タギングは無効な状態です。

手順

  • 次のコマンドを入力して、特定の AP またはすべての AP でインライン タギングを有効または無効にします。

    config cts ap inline-tagging {enable | disable} {Cisco AP | all }

  • 次のコマンドを入力して、特定の AP に設定が適用されているかどうかを確認します。

    show ap config general {Cisco AP}

  • 次のコマンドを入力して、すべての FlexConnect AP のインライン タギングのステータスを確認します。

    show cts ap summary


    (注)  

    AP では、ローカル スイッチング パケットに対するインライン タギングのタスクが実行されます。

SGACL ポリシーのダウンロードの確認

Cisco WLC での SGACL ポリシーのダウンロードの確認(GUI)

手順

ステップ 1

[Security] > [TrustSec] > [Policy] を選択します。

ステップ 2

[D-SGT] をクリックします。

[SGT Detail] ページには、SGT の詳細(SGACL ポリシー名を含む)が表示されます。
ステップ 3

[Refresh] をクリックして、SGT 情報を更新します。

(注)   

CoA はサポートされていません。そのため、Cisco ISE から SGACL ポリシーを手動で更新することをお勧めします。

Cisco WLC での SGACL ポリシーのダウンロードの確認(CLI)

手順

  • 次のコマンドを入力して、すべてまたは特定の SGT ポリシー情報を表示します。

    show cts policy {all | sgt_tag}

  • 次のコマンドを入力して、すべてまたは特定の SGACL 情報を表示します。

    show cts sgacl {all | sgacl name}

  • 次のコマンドを入力して、特定の AP に対して SGACL が有効になっているか、または無効になっているかを確認します。

    show ap config general cisco-ap

  • 次のコマンドを入力して、グローバルに有効になっている SGACL ポリシーを表示します。

    show cts ap summary

  • 次のコマンドを入力して、すべての SGT を更新します。

    config cts refresh policy sgt all

  • 次のコマンドを入力して、特定の SGT を更新します。

    config cts refresh policy sgt sgt-tag


    (注)  

    CoA はサポートされていません。そのため、Cisco ISE から SGACL ポリシーを手動で更新することをお勧めします。

ポリシーの適用の設定

ポリシーの適用の設定(GUI)

始める前に

SGACL の適用は、Cisco 3504、5520および 8540 ワイヤレス コントローラでのみサポートされます。

手順

ステップ 1

特定の Cisco AP でポリシーの適用を設定するには、次の手順を実行します。

  1. [Wireless] > [Access Points] > [All APs] の順に選択して、[All APs] ページを開きます。

  2. AP 名をクリックします。

    [All APs] > [Details for <ap-name>] ページが表示されます。

  3. [Advanced] タブをクリックします。

  4. [Trusted Security] エリアで、[TrustSec Config] をクリックします。

    [All APs] > [<ap-name>] > [Trusted Security] ページが表示されます。

  5. [Trusted Security] エリアで [SGACL Enforcement] チェックボックスをオンにして、SGACL ポリシーを AP に適用します。

    デフォルトでは、SGACL の適用は無効な状態です。

  6. [Apply] をクリックします。

ステップ 2

すべての Cisco AP でポリシーの適用を設定するには、次の手順を実行します。

  1. [Wireless] > [Access Points] > [Global Configuration] を選択します。

  2. [TrustSec] エリアで、[TrustSec Config] をクリックします。

    [All APs Trusted Security] ページが表示されます。

  3. [SGACL Enforcement] チェックボックスをオンにして、SGACL ポリシーをすべての AP に適用します。

  4. [Apply] をクリックします。

ポリシーの適用の設定(CLI)

手順

  • 次のコマンドを入力して、特定の AP またはすべての AP に対する SGACL の適用を有効にします。

    config cts ap sgacl-enforcement enable {ap-name | all }


    (注)  

    すべての AP に対して SGACL の適用を有効にすると、CTS オーバーライドが有効になっている AP を除くすべての AP に設定が適用されます。

Cisco WLC での Cisco TrustSec のデバッグ(CLI)

手順

  • 次のコマンドを入力して、Cisco TrustSec AAA のデバッグ オプションを設定します。

    debug cts aaa {all | errors | events } {enable | disable }

  • 次のコマンドを入力して、デバッグ オプションの Cisco TrustSec 認証を設定します。

    debug cts authz {all | errors | events | aaa } {enable | disable }

  • 次のコマンドを入力して、CAPWAP メッセージを介して Cisco TrustSec ポリシーのダウンロードのデバッグ オプションを設定します。

    debug cts capwap {all | errors | events | messages } {enable | disable }

  • 次のコマンドを入力して、Cisco TrustSec 環境データのデバッグ オプションを設定します。

    debug cts env-data {all | errors | events } {enable | disable }

  • 次のコマンドを入力して、Cisco TrustSec HA のデバッグ オプションを設定します。

    debug cts ha {all | errors | events } {enable | disable }

  • 次のコマンドを入力して、Cisco TrustSec キー ストアのデバッグ オプションを設定します。

    debug cts key-store {enable | disable }

  • 次のコマンドを入力して、Cisco TrustSec PAC プロビジョニングのデバッグ オプションを設定します。

    debug cts provisioning {all | errors | events | packets } {enable | disable }

  • 次のコマンドを入力して、Cisco TrustSec SXP のデバッグ オプションを設定します。

    debug cts sxp {all | errors | events | framework | message } {enable | disable }

  • 次のコマンドを入力して、最大 10 の SGT の SGT デバッグを設定します。

    debug cts sgt sgt-1sgt-10

  • 次のコマンドを入力して、すべての AP-SGT 情報を表示します。

    show cts ap sgt-info

Lightweight AP の Cisco TrustSec コマンド

Lightweight AP コンソールで、次のコマンドを入力します。

手順

  • show コマンド:

    1. 次のコマンドを入力して、SXP の接続ステータスを確認します。

      • Cisco Aironet 1700、2700、および 3700 シリーズ AP の場合: show cts sxp connections brief

      • Cisco Aironet 18xx、28xx、および 38xxシリーズ AP の場合:show cts sxp connections

    2. 次のコマンドを入力して、SXP バインディングを確認します。

      • Cisco Aironet 1700、2700、および 3700 シリーズ AP の場合: show cts sxp sgt-map brief

      • Cisco Aironet 18xx、28xx、および 38xxシリーズ AP の場合:show cts sxp sgt-map

    3. 次のコマンドを入力して、IP-SGT バインディングを確認します。

      • Cisco Aironet 1700、2700、および 3700 シリーズ AP(ローカル スイッチングのみ)の場合: show cts role-based sgt-map all

      • Cisco Aironet 18xx、28xx、および 38xxシリーズ AP(ローカル スイッチングと中央スイッチングのみ)の場合:show cts role-based sgt-map all

    4. 次のコマンドを入力して、中央スイッチング クライアントの SGT を確認します。

      show controllers {dot11Radio0|1 | begin SGT}

    5. 次のコマンドを入力して、S-SGT と D-SGT の SGACL を確認します。

      show cts role-based permissions [default | from | ipv4 | ipv6 | to | cr]

    6. 次のコマンドを入力して、特定の送信元および宛先 SGT のカウンタを確認します。

      show cts role-based counters [default | from | ipv4 | ipv6 | to | cr]

    7. 次のコマンドを入力して、特定の SGACL の ACE を確認します。

      show access-lists access-list-name

  • debug コマンド:

    1. 次のコマンドを入力して、Cisco TrustSec の適用をデバッグします。

      Cisco Aironet 18xx、28xx、および 38xxシリーズ AP の場合:debug cts enforcement

    2. 次のコマンドを入力して、中央およびローカル スイッチド データ トラフィックの両方の適用関連の問題をデバッグします。

      Cisco Aironet 1700、2700、および 3700 シリーズ AP の場合: debug rbm dp packets