Cisco TrustSec

Cisco TrustSec の概要

Cisco TrustSec は、ネットワーク内のユーザー、ホスト、およびネットワーク デバイスを強力に識別する機能に基づいた、シスコ ネットワーク デバイスのセキュリティを改善します。TrustSec は、特定の役割についてデータ トラフィックを一意に分類することで、トポロジに依存しない、スケーラブルなアクセス コントロールを実現します。TrustSec は、認証されたピアおよびこれらのピアとの暗号化リンク間で信頼を確立することで、データの機密保持および整合性を保証します。

Cisco TrustSec の主要コンポーネントは、Cisco Identity Services Engine(ISE)です。スイッチ上で手動で設定することもできますが、Cisco ISE は TrustSec ID およびセキュリティ グループ ACL(SGACL)でスイッチをプロビジョニングできます。


(注)  

CTS サーバーを新しいサーバーに変更する前に、clear cts environment-data コマンドを使用して CTS 環境データを手動でクリアする必要があります。これにより、show cts environment-data コマンドの実行時に、更新されたデータを取得できるようになります。

Cisco TrustSec の機能

次の表に、TrustSec が有効になったシスコスイッチで実装される TrustSec 機能を示します。継続的な TrustSec の General Availability リリースによって、サポートされるスイッチの数および各スイッチでサポートされる TrustSec 機能の数は増加しています。

Cisco TrustSec の機能 説明
802.1AE タギング(MACSec)

IEEE 802.1AE に基づくワイヤレート ホップ単位レイヤ 2 暗号化のプロトコル。

MACSec 対応デバイス間において、パケットは送信デバイスからの出力で暗号化され、受信デバイスへの入力で復号化されます。デバイス内では平文です。

この機能は、TrustSec ハードウェア対応デバイス間だけで利用できます。

エンドポイント アドミッション コントロール(EAC)

EAC は、TrustSec ドメインに接続しているエンドポイント ユーザーまたはデバイスの認証プロセスです。通常、EAC はアクセス レベル スイッチで実行されます。EAC プロセスの認証および許可に成功すると、ユーザーまたはデバイスに対してセキュリティ グループ タグが割り当てられます。現在、EAC は 802.1X、MAC 認証バイパス(MAB)、および Web 認証プロキシ(WebAuth)とすることができます。

ネットワーク デバイス アドミッション コントロール(NDAC)

NDAC は、TrustSec ドメイン内の各ネットワーク デバイスがピア デバイスのクレデンシャルおよび信頼性を確認できる認証プロセスです。NDAC は、IEEE 802.1X ポート ベースの認証に基づく認証フレームワークを利用し、EAP 方式として EAP-FAST を使用します。NDAC プロセスの認証および許可に成功すると、IEEE 802.1AE 暗号化のセキュリティ アソシエーション プロトコル ネゴシエーションとなります。

セキュリティ グループ アクセス コントロール リスト(SGACL)

セキュリティ グループ アクセス コントロール リスト(SGACL)は、セキュリティ グループ タグをポリシーと関連付けます。ポリシーは、TrustSec ドメインから出力される SGT タグ付きトラフィックに対して適用されます。

セキュリティ アソシエーション プロトコル(SAP)

NDAC 認証のあと、セキュリティ アソシエーション プロトコル(SAP)は、その後の TrustSec ピア間の MACSec リンク暗号化のキーおよび暗号スイートについて、自動的にネゴシエーションを行います。SAP は IEEE 802.11i で定義されます。

セキュリティ グループ タグ(SGT)

SGT は、TrustSec ドメイン内の送信元のセキュリティ分類を示す 16 ビットの単一ラベルです。イーサネット フレームまたは IP パケットに追加されます。

SGT Exchange Protocol(SXP)

Security Group Tag Exchange Protocol(SXP)。SXP を使用すると、TrustSec にハードウェアで対応していないデバイスが Cisco Identity Services Engine(ISE)または Cisco Secure アクセス コントロール システム(ACS)から認証されたユーザーとデバイスの SGT 属性を受信できます。デバイスは、次にセキュリティ グループ アクセス コントロール リスト(SGACL)強制のために、送信元トラフィックをタグ付けする TrustSec にハードウェアで対応しているデバイスに、sourceIP-to-SGT バインディングを転送できます。

リンクの両端で 802.1AE MACsec をサポートしている場合、SAP ネゴシエーションが実行されます。サプリカントとオーセンティケータの間で EAPOL-Key が交換され、暗号スイートのネゴシエーション、セキュリティ パラメータの交換、およびキーの管理が実行されます。これらの作業が正常に完了すると、セキュリティ アソシエーション(SA)が確立します。

ソフトウェア バージョンとライセンスおよびリンク ハードウェア サポートに応じて、SAP ネゴシエーションは次の動作モードの 1 つを使用できます。

  • Galois Counter Mode(GCM):認証と暗号化

  • GCM authentication(GMAC):GCM 認証、暗号化なし

  • No Encapsulation:カプセル化なし(クリア テキスト)

  • null:カプセル化、認証または暗号化なし

セキュリティ グループ アクセス コントロール リスト

セキュリティ グループは、アクセス コントロール ポリシーを共有するユーザー、エンドポイント デバイス、およびリソースのグループです。セキュリティ グループは、管理者が Cisco Identity Services Engine(ISE)で定義します。新しいユーザーやデバイスが Cisco TrustSec ドメインに追加されると、認証サーバーは、それらの新しいエンティティを適切なセキュリティ グループに割り当てます。Cisco TrustSec は各セキュリティ グループに一意の 16 ビットの番号を割り当てます。番号の範囲は Cisco TrustSec ドメイン内でグローバルです。ワイヤレス デバイス内のセキュリティ グループの数は、認証されたネットワーク エンティティの数までに限定されます。セキュリティ グループの番号を手動で設定する必要はありません。

デバイスが認証されると、Cisco TrustSec はそのデバイスから発信されるすべてのパケットに、デバイスのセキュリティ グループ番号を含む SGT をタグ付けします。パケットは、Cisco TrustSec ヘッダーにこの SGT を含めて、ネットワーク内のあるゆる場所に運びます。

SGT には送信元のセキュリティ グループが含まれているため、タグは送信元 SGT(S-SGT)と呼ばれることがあります。接続先デバイスもセキュリティ グループ(宛先 SG)に割り当てられます。このグループは、 Cisco TrustSec パケットに接続先デバイスのセキュリティ グループ番号が含まれていない場合でも、宛先 SGT(D-SGT)として参照できます。

セキュリティ グループ アクセス コントロール リスト(SGACL)を使用すると、ユーザーと宛先リソースのセキュリティ グループの割り当てに基づいて、ユーザーが実行できる操作を制御できます。Cisco TrustSec ドメインでのポリシーの適用は、軸の 1 つが送信元セキュリティ グループ番号でもう 1 つが宛先セキュリティグループ番号の権限マトリックスで表されます。マトリックス本体の各セルには、送信元セキュリティ グループから宛先セキュリティグループに送信されるパケットに適用される必要がある権限を指定した SGACL の順序付きリストが含まれています。ワイヤレスクライアントが認証されると、コントローラはマトリックスセルにすべての SGACL をダウンロードします。

ワイヤレスクライアントは、ネットワークに接続するときにすべての ACL をコントローラ にプッシュします。

Cisco TrustSec は、ネットワーク内のユーザーとデバイスをセキュリティ グループに割り当て、セキュリティ グループ間でアクセス コントロールを適用することにより、ネットワーク内でロールベースのトポロジに依存しないアクセス コントロールを実現します。SGACL は、デバイス ID に基づいてアクセス コントロール ポリシーを定義します。ロールと権限が同じであれば、ネットワーク トポロジが変更されてもセキュリティ ポリシーは変更されません。ユーザーがワイヤレス グループに追加されたら、適切なセキュリティ グループにユーザーを割り当てるだけで、そのユーザーはただちにそのグループの権限を受け取ります。

ロールベースの権限を使用することで、ACL のサイズが縮小され、ACL のメンテナンスが簡易化されています。Cisco TrustSec では、設定されるアクセス コントロール エントリ(ACE)の数は、指定されている権限の数によって決まるため、ACE の数がかなり少なくなります。

SGACL をサポートしている Cisco AP の一覧については、リリースノートを参照してください。 https://www.cisco.com/c/en/us/support/wireless/catalyst-9800-series-wireless-controllers/products-release-notes-list.html


(注)  

TrustSec マトリックスで「unknown to unknown」の TrustSec ポリシーが拒否された場合、クライアントはゼロの SGT 値を受け取り、DHCP クライアントは Automatic Private IP Addressing(APIPA)のアドレスを受け取ります。

TrustSec マトリックスで「unknown to unknown」の TrustSec ポリシーが許可されている場合、クライアントは正しい SGT 値を受け取り、DHCP クライアントは IP アドレスを受け取ります。

Cisco Catalyst 9800 シリーズ ワイヤレス コントローラ 上の SGACL でサポートされているシナリオは次のとおりです。

  • ワイヤレスからワイヤレス(エンタープライズ ネットワーク内):

    • ローカル スイッチングを使用したフレックス モード:送信元ワイヤレス ネットワークから宛先ワイヤレス ネットワークにパケットが送信されたときに、出力 AP で SGACL の適用が行われます。

    • 中央スイッチングを使用したフレックス モード:SGACL の適用は出力 AP で実行されます。これを実行するために、コントローラ は SGT 交換プロトコル(SXP)を介してセキュリティグループタグ(IP-SGT)バインディングに IP アドレスをエクスポートする必要があります。

  • 有線からワイヤレス(DC から エンタープライズ ネットワーク):パケットが宛先 AP に到達すると、適用が行われます。

  • ワイヤレスから有線(エンタープライズ ネットワークから DC):パケットが有線ネットワークの入力に到達すると、アップリンク スイッチで適用が行われます。

注意事項および制約事項

  • SGACL の適用は、ローカル モードのコントローラで実行されます。

  • SGACL の適用は、ローカル スイッチングを実行しているフレックス モード AP で実行されます。

  • ブランチから DC のシナリオでは、ワイヤレス クライアントの SGACL の適用が、上流に位置するスイッチまたはボーダー ゲートウェイのいずれかで実行されます。

  • SGACL の適用は、非 IP または IP ブロードキャスト トラフィック、マルチキャスト トラフィックではサポートされません。

  • WLAN ごとの SGT 割り当てはサポートされていません。

  • SGACL の適用は、AP とワイヤレスコントローラ の間(アップストリームまたはアップストリーム トラフィックから)のコントロールプレーン トラフィックに対しては実行されません。

  • 非スタティック SGACL 設定は、ISE から受信したダイナミック SGACL ポリシーでのみサポートされます。

  • AP でのスタティック SGACL 設定はサポートされていません。

  • 許可リストモデルの場合は、クライアントデバイスの DHCP プロトコルが DHCP IP アドレスを取得することを明示的に許可し、コントローラに SGACL ポリシーをリクエストする必要があります。

インライン タギング

インラインタギングは、コントローラ または AP が送信元 SGT を認識するために使用するトランスポートメカニズムです。

トランスポート メカニズムには次の 2 つのタイプがあります。

  • 中央スイッチング:中央でスイッチングされるパケットの場合、コントローラは Cisco Meta Data(CMD)タグを付けることによって、コントローラと関連付けられているワイヤレス クライアントから送信されるすべてのパケットのインライン タギングを実行します。分散システムから着信するパケットの場合、インライン タギングでは、S-SGT タグを学習するために、コントローラによってパケットからの CMD ヘッダーの取り外しも行われます。その後、コントローラは SGACL を適用するために S-SGT を含むパケットを転送します。

  • ローカル スイッチング:ローカルでスイッチングされたトラフィックを送信するために、AP はクライアントから送信された、自身と関連付けられているパケットのインライン タギングを実行します。トラフィックを受信するために、AP はローカルでスイッチングされたパケットと中央でスイッチングされたパケットの両方を処理し、パケットの S-SGT タグを使用して、SGACL ポリシーを適用します。

コントローラ でワイヤレス Cisco TrustSec が有効になっている場合、スイッチとタグ交換するように SXP を有効化して設定することもできます。ワイヤレス Cisco TrustSec モードと SXP モードの両方がサポートされていますが、ワイヤレス Cisco TrustSec(AP 上)と SXP の両方を同時に有効な状態にする使用例はありません。

ポートチャネルを介したインラインタギングに関する考慮事項と制限事項

  • タグ付きパケットを送信または受信するように、ポートチャネルとそのメンバーインターフェイスで cts manual コマンドを設定します。

  • ポートチャネルを介したインラインタギングをサポートしていない Cisco IOS XE リリースにダウングレードすると、ポートチャネルが一時停止する場合があります。


    (注)  

    ポートチャネルを介したインラインタギングは、Cisco IOS XE 17.3.517.6.317.8.1 でサポートされています。

ポリシーの適用

Cisco TrustSec アクセス コントロールは、入力タギングと出力の適用を使用して実装されます。Cisco TrustSec ドメインの入力点では、送信元からのトラフィックは、送信元エンティティのセキュリティ グループ番号を含む SGT でタグ付けされます。SGT は、そのトラフィックでドメイン全体に伝達されます。Cisco TrustSec ドメインの出力ポイントでは、出力デバイスは送信元 SGT(S-SGT)および宛先エンティティ(D-SGT)のセキュリティ グループを使用して、SGACL ポリシー マトリックスから適用するアクセス ポリシーを決定します。

ポリシー適用 Cisco TrustSec アクセス制御は、入力タギングと出力の適用を使用して実装されます。Cisco TrustSec ドメインの入力点では、送信元からのトラフィックは、送信元エンティティのセキュリティ グループ番号を含む SGT でタグ付けされます。SGT は、そのトラフィックでドメイン全体に伝達されます。Cisco TrustSec ドメインの出力ポイントでは、出力デバイスは送信元 SGT(S-SGT)および宛先エンティティ(D-SGT)のセキュリティ グループを使用して、SGACL ポリシー マトリックスから適用するアクセス ポリシーを決定します。ポリシーの適用は、AP の中央およびローカルの両方でスイッチド トラフィックに適用できます。有線クライアントがワイヤレス クライアントと通信する場合、AP はダウンストリーム トラフィックを適用します。ワイヤレス クライアントが有線クライアントと通信する場合、AP はアップストリーム トラフィックを適用します。AP はこの方法により、ダウンストリーム トラフィックとワイヤレス間トラフィックの両方でトラフィックを適用します。適用が機能するためには、S-SGT、D-SGT、および ACL が必要です。AP は、Cisco ISE サーバーで利用可能な情報からすべてのワイヤレス クライアントの SGT 情報を取得します。


(注)  

トラフィックを適用するためには、Cisco AP はリスナー モードまたはリスナーとスピーカーの両方のモードである必要があります。これは、リスナー モードで IP-SGT バインディングの完全なセットが保持されるためです。AP で適用を有効にすると、対応するポリシーがダウンロードされて AP にプッシュされます。

ワイヤレスゲストアクセスの SGACL サポート

クライアントがワイヤレスネットワーク(WLAN)に参加すると、そのセッションは、AP が接続されている Cisco Catalyst 9800 シリーズ ワイヤレス LAN コントローラ(WLC)(フォーリンコントローラ)によって管理されます。自動アンカーモビリティを使用すると、クライアントのネットワーク エントリ ポイントに関係なく、特定の WLAN(ゲスト WLAN など)を特定のコントローラにアンカーできます。自動アンカーモビリティは、ネットワークに関連付けられている場所に関係なく、すべてのゲストトラフィックが DMZ コントローラにトンネリングされるワイヤレスゲストサービスです。

自動アンカーモビリティの場合、Cisco TrustSec のサポートには次の機能があります。

  • 分類:認証中に発生します。したがって、レイヤ 2 セキュリティ WLAN の場合はフォーリンで、レイヤ 3 セキュリティの場合はアンカーで発生します。

  • 伝達:クライアントトラフィックが有線ネットワークに入るアンカーで常に発生します。

  • 適用:SGACL のダウンロードと適用はアンカーで行われます。アンカーコントローラは、Cisco Identity Services Engine(ISE)に接続でき、ネットワーク アクセス サーバー(NAS)として登録されている必要があります。適用 CLI がフォーリンコントローラで設定されている場合でも、フォーリンコントローラでは適用はサポートされません。

この機能は、コントローラのローカルモードおよび Flex 中央スイッチングでサポートされています。ローカルスイッチングを使用した Flex モードとファブリックモードは、トラフィックがコントローラを通過しないため、ゲストシナリオではサポートされません。

ゲストクライアントのローミングは、ゲスト フォーリン コントローラでのみ発生し、ゲストアンカーは固定されたままになります。サポートされる他のタイプのローミングは、コントローラ間ローミングとコントローラ内ローミングです。WebAuth 保留中のローミングは、中央 Web 認証(CWA)およびローカル Web 認証(LWA)でもサポートされる特殊なケースです。

AP での SGACL の有効化(GUI)

手順

ステップ 1

[Configuration] > [Tags & Profiles] > [Flex]を選択します。

ステップ 2

[Add] をクリックします。

ステップ 3

[General] タブで、[Inline Tagging] チェックボックスと [SGACL Enforcement] チェックボックスをオンにし、[CTS Profile Name] ドロップダウンリストから CTS プロファイル名を選択します。

ステップ 4

[Apply to Device] をクリックします。

AP での SGACL の有効化


(注)  

設定を無効にするには、以下のコマンドの no 形式を使用します。たとえば、cts role-based enforcement は AP のロールベース アクセス コントロールの適用を無効にします。

始める前に

  • AP 上のセキュリティ グループ アクセス コントロール リスト(SGACL)は、ワイヤレスコントローラ が FlexConnect モードの場合にのみ有効化できます。

  • タグ付きパケットを送信または受信するように、アップリンク ポートで cts manual コマンドを設定します。

手順

  コマンドまたはアクション 目的

ステップ 1

configure terminal

例:

Device# configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 2

wireless profile flex flex-profile

例:

Device(config)# wireless profile flex xyz-flex-profile

RF プロファイルを設定し、RF プロファイル コンフィギュレーション モードを開始します。

ステップ 3

cts role-based enforcement

例:

Device(config-wireless-flex-profile)# cts role-based enforcement

AP のロールベース アクセス コントロールの適用を有効にします。

ステップ 4

cts inline-tagging

例:

Device(config-wireless-flex-profile)# cts inline-tagging

AP でインライン タギングを有効にします。

ステップ 5

cts profile profile-name

例:

Device(config-wireless-flex-profile)# cts profile xyz-profile

CTS プロファイル名を有効にします。

ステップ 6

exit

例:

Device(config-wireless-flex-profile)# exit

グローバル コンフィギュレーション モードに戻ります。

ステップ 7

wireless tag site site-name

例:

Device(config)# wireless tag site xyz-site

サイト タグを設定し、サイト タグ コンフィギュレーション モードを開始します。

ステップ 8

flex-profile flex-profile-name

例:

Device(config-site-tag)# flex-profile xyz-flex-profile

Flex プロファイルを設定します。

ステップ 9

exit

例:

Device(config-site-tag)# exit

グローバル コンフィギュレーション モードに戻ります。

ステップ 10

ap mac-address

例:

Device(config)# ap F866.F267.7DFB

AP を設定し、AP プロファイル コンフィギュレーション モードを開始します。

ステップ 11

site-tag site-tag-name

例:

Device(config-ap-tag)# site-tag xyz-site

サイト タグを AP にマッピングします。

次のタスク

show cts ap sgt-info ap-name コマンドを使用して、AP の SGACL 設定を確認します。

SGACL ポリシーの適用のグローバルな有効化(CLI)

Cisco Catalyst 9800 シリーズ ワイヤレス コントローラで SGACL ポリシーの適用をグローバルに有効化する必要があります。IPv4 トラフィックの適用に使用されるコンフィギュレーション コマンドと同じコマンドが、IPv6 トラフィックにも適用されます。

手順

  コマンドまたはアクション 目的

ステップ 1

configure terminal

例:

Device# configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 2

cts role-based enforcement

例:

Device(config)# cts role-based enforcement

ルーテッド インターフェイスで Cisco TrustSec SGACL ポリシーの強制を有効にします。

インターフェイスごとの SGACL ポリシー適用の有効化(CLI)

SGACL ポリシーの適用をグローバルに有効にした後、アップリンク インターフェイスで Cisco TrustSec を有効にする必要があります。

手順

  コマンドまたはアクション 目的

ステップ 1

configure terminal

例:

Device# configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 2

interface gigabitethernet interface number

例:

Device(config)# interface gigabitethernet 1

SGACL の適用を有効または無効にするインターフェイスを指定します。

ステップ 3

cts role-based enforcement

例:

Device(config-if)# cts role-based enforcement

ルーテッド インターフェイスで Cisco TrustSec SGACL ポリシーの強制を有効にします。

ステップ 4

do show cts interface

例:

Device(config-if)# do show cts interface

SGACL の適用が有効になっていることを確認します。

デバイス SGT の手動設定(CLI)

通常の Cisco TrustSec 動作では、認証サーバーがデバイスから発信されるパケット用に、そのデバイスに SGT を割り当てます。認証サーバーにアクセスできない場合は、使用する SGT を手動で設定できますが、認証サーバーから割り当てられた SGT のほうが、手動で割り当てた SGT よりも優先されます。

手順

  コマンドまたはアクション 目的

ステップ 1

configure terminal

例:

Device# configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 2

wireless profile policy profile-policy

例:

Device(config)# wireless profile policy rr-xyz-policy-1

WLAN ポリシー プロファイルを設定し、ワイヤレス ポリシー コンフィギュレーション モードを開始します。

ステップ 3

cts sgt sgt-value

例:

Device(config-wireless-policy)# cts stg 200

セキュリティグループタグ(SGT)番号を指定します。有効値は、0 ~ 65,535 です。

ステップ 4

exit

例:

Device(config-wireless-policy)# exit

グローバル コンフィギュレーション モードに戻ります。

ローカルモードでの SGACL、インラインタギング、および SGT の設定(GUI)

手順

ステップ 1

[Configuration] > [Tags & Profiles] > [Policy] を選択します。

ステップ 2

[Policy Profile Name] をクリックします。[Edit Policy Profile] が表示されます。

ステップ 3

[General] タブを選択します。

ステップ 4

[CTS Policy] 設定で、[Inline Tagging] チェックボックスと [SGACL Enforcement] チェックボックスをオンまたはオフにして、[Default SGT] 値を入力します。

ステップ 5

[Update & Apply to Device] をクリックします。

ローカル モードでの SGACL、インライン タギング、および SGT の設定

手順

  コマンドまたはアクション 目的

ステップ 1

configure terminal

例:

Device# configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 2

wireless profile policy profile-name

例:

Device(config)# wireless profile policy xyz-policy-profile

WLAN のポリシー プロファイルを作成します。

ステップ 3

cts inline-tagging

例:

Device(config-wireless-policy)# cts inline-tagging

CTS インライン タギングを有効にします。

(注)  

 

また、物理インターフェイスで cts manual を設定する必要もあります。cts manual が物理インターフェイスで設定され、cts inline-tagging がスキップされた場合、パケットはコントローラの出力でタグ付けされたままになります。

ステップ 4

cts role-based enforcement

例:

Device(config-wireless-policy)# cts role-based enforcement

CTS SGACL の適用を有効にします。

ステップ 5

cts sgt sgt-value

例:

Device(config-wireless-policy)# cts sgt 100

(任意)デフォルトのセキュリティ グループ タグ(SGT)を設定します。

(注)  

 

SGT は、クライアントが ISE サーバーではなくオープン認証を使用する場合にのみ、ユーザー セッションに必要です。

TrustSec 用の ISE の設定

手順

  コマンドまたはアクション 目的

ステップ 1

configure terminal

例:

Device# configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 2

radius server server-name

例:

Device(config)# radius server Test-SERVER1

RADIUS サーバー名を指定します。

ステップ 3

address ipv4 ip address

例:

Device(config-radius-server)# address ipv4 124.3.50.62

RADIUS サーバーのプライマリ パラメータを指定します。

ステップ 4

pac key key

例:

Device(config-radius-server)# pac key cisco

デバイスと、RADIUS サーバー上で動作するキー文字列 RADIUS デーモンとの間で使用される認証および暗号キーを指定します。

ステップ 5

exit

例:

Device(config-radius-server)# exit

コンフィギュレーション モードに戻ります。

ステップ 6

aaa group server radius server-group

例:

Device(config)# aaa group server radius authc-server-group

RADIUS サーバ グループの ID を作成します。

(注)  

 

server-group はサーバー グループ名です。有効な範囲は 1 ~ 32 文字の英数字です。

ステップ 7

cts authorization list mlist-name

例:

Device(config)# cts authorization list authc-list

CTS 認証リストを作成します。

ステップ 8

aaa authorization network mlist-name group name

例:

Device(config)# aaa authorization network default group group1

Web ベース許可の許可方式リストを作成します。

(注)  

 

コントローラに設定されている ISE IP アドレスが、ISE に設定されている IP アドレス([Work Center] > [TrustSec] > [Components] > [Trustsec AAA Servers])と同じであることを確認します

(注)  

 

ISE バージョンが 002.005(000.239)、002.004(000.357)、002.003(000.298)、002.002(000.470)、002.001(000.474)、002.000(001.130)、または 002.000(000.306) の場合は、access-session tls-version 1.0 コマンドを使用して ISE から PAC をダウンロードします。上記以外の ISE バージョンでは、上記のコマンドは必要ありません。

Cisco TrustSec 設定の確認

ワイヤレス CTS SGACL 設定の概要を表示するには、次のコマンドを使用します。

Device# show wireless cts summary

Local Mode CTS Configuration

Policy Profile Name               SGACL Enforcement     Inline-Tagging   Default-Sgt      
----------------------------------------------------------------------------------------
xyz-policy                        DISABLED              ENABLED          0                
wireless-policy1                  DISABLED              DISABLED         0                
w-policy-profile1                 DISABLED              DISABLED         0                
default-policy-profile            DISABLED              DISABLED         0                


Flex Mode CTS Configuration

Flex Profile Name                 SGACL Enforcement     Inline-Tagging   
-----------------------------------------------------------------------
xyz-flex                          DISABLED              ENABLED          
demo-flex                         DISABLED              DISABLED         
flex-demo                         DISABLED              DISABLED         
xyz-flex-profile                  DISABLED              DISABLED         
default-flex-profile              DISABLED              DISABLED

さまざまなワイヤレス プロファイルの CTS 固有の設定ステータスを表示するには、次のコマンドを使用します。

Device# show cts wireless profile policy xyz-policy

Policy Profile Name         		: xyz-policy
CTS
  Role-based enforcement         : ENABLED
  Inline-tagging                 : ENABLED
  	Default SGT		 : 100

Policy Profile Name          		: foo2
CTS
  Role-based enforcement         : DISABLED
  Inline-tagging                 : ENABLED
  Default SGT		         : NOT-DEFINED

Policy Profile Name           	        : foo3
CTS
  Role-based enforcement         : DISABLED
  Inline-tagging                 : DISABLED
  Default SGT			 : 65001

特定のワイヤレス プロファイルの CTS 設定を表示するには、次のコマンドを使用します。

Device# show wireless profile policy detailed xyz-policy
 
Policy Profile Name           : xyz-policy
Description                   : 
Status                        : DISABLED
VLAN                          : 1
Client count                  : 0
Passive Client                : DISABLED
ET-Analytics                  : DISABLED
StaticIP Mobility             : DISABLED
!
.
.
.WGB Policy Params
  Broadcast Tagging           : DISABLED
  Client VLAN                 : DISABLED
Mobility Anchor List
  IP Address                                  Priority
CTS
  Role-based enforcement         : ENABLED
  Inline-tagging                 : ENABLED
  Default SGT	                  : NOT-DEFINED