ネイティブ プロファイリング

ネイティブ プロファイリングについて

HTTP と DHCP に基づいてデバイスをプロファイルし、ネットワーク上のエンド デバイスを識別できます。デバイス ベースのポリシーを設定して、ネットワーク上でユーザーまたはデバイス ポリシーごとに適用できます。

ポリシーを使用すれば、モバイル デバイスのプロファイリングと、プロファイルしたデバイスの特定の VLAN への基本オンボーディングが可能になります。また、ACL と QoS を割り当てたり、セッション タイムアウトを設定したりできます。

ポリシーは、次の属性に基づいて定義されます。

  • ユーザ グループまたはユーザ ロール

  • Windows クライアント、スマートフォン、タブレットなどのデバイス タイプ

  • SSID(Service Set Identifier)

  • エンドポイントが接続されているアクセス ポイント グループに基づく場所

  • 時刻

  • クライアントが接続されている EAP 方式をチェックするための拡張認証プロトコル(EAP)タイプ

ワイヤレス クライアントがアクセス ポイントに接続すると、特定の QoS ポリシーがそのアクセス ポイントに適用されます。このような機能の 1 つに、AP のアップストリーム トラフィックとダウンストリーム トラフィックの両方を対象とするネイティブ プロファイリングがあります。ネイティブ プロファイリング機能は、AAA オーバーライドと組み合わせた場合に、時刻と曜日に基づいて特定のポリシー セットをサポートします。この場合、RADIUS サーバーから受信したこれらのポリシーは AAA オーバーライドによってアクセス ポイントに適用されます。

ユーザー ロールとともに時刻を使用する例について考えてみましょう。通常、ユーザー ロールは追加の一致基準として時刻とともに使用されます。任意の一致基準と時刻を組み合わせて使用し、必要な結果を得ることができます。クライアントがコントローラ に参加するときに、照合が実行されます。

ポリシーは 2 つの異なるコンポーネントとして設定できます。

  • ネットワークに接続しているクライアントに固有のサービス テンプレートとしてポリシー属性を定義し、ポリシー一致基準を適用する。

  • ポリシーに一致基準を適用する。


(注)  

ネイティブ プロファイルの設定に進む前に、HTTP プロファイリングと DHCP プロファイリングが有効になっていることを確認してください。

(注)  

FlexConnect ローカル認証とローカルスイッチングでは、ネイティブプロファイリングはサポートされていないため、no central switchingno central authentication、および subscriber-policy-name name コマンドを一緒に設定しないでください。このタイプの設定では、ISSU は失敗します。ISSU を試みる前に、設定を削除してください。

ネイティブ プロファイリングを設定するには、次のいずれかの手順を使用します。

  • サービス テンプレートを作成する

  • クラス マップを作成する


    (注)  

    サービス テンプレートは、クラス マップまたはパラメータ マップのいずれかを使用して適用できます。

  • パラメータ マップを作成し、サービス テンプレートをパラメータ マップに関連付ける

    • ポリシー マップを作成する

      1. クラス マップを使用する場合:クラス マップをポリシー マップに関連付けて、サービス テンプレートをクラス マップに関連付けます。

      2. パラメータ マップを使用する場合:パラメータ マップをポリシー マップに関連付けます。

    • ポリシー マップをポリシー プロファイルに関連付ける。

クラス マップの作成(GUI)

手順

ステップ 1

[Configuration] > [Services] > [QoS] をクリックします。

ステップ 2

[QoS – Policy] 領域で、[Add] をクリックして新しい QoS ポリシーを作成するか、編集するポリシーをクリックします。

ステップ 3

[Add Class Map] を追加し、詳細を入力します。

ステップ 4

[Save] をクリックします。

ステップ 5

[Update and Apply to Device] をクリックします。

クラス マップの作成(CLI)


(注)  

CLI によるクラスマップの設定には、GUI よりも多くのオプションがあり、詳細に設定できます。

手順

  コマンドまたはアクション 目的

ステップ 1

configure terminal

例:

Device# configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 2

class-map type control subscriber match-any class-map-name

例:

Device(config)# class-map type control subscriber match-any cls_user

クラス マップのタイプと名前を指定します。

ステップ 3

match username username

例:

Device(config-filter-control-classmap)# match username ciscoise

クラス マップ属性フィルタ基準を指定します。

ステップ 4

class-map type control subscriber match-any class-map-name

例:

Device(config)# class-map type control subscriber match-any cls_userrole

クラス マップのタイプと名前を指定します。

ステップ 5

match user-role ユーザー ロール

例:

Device(config-filter-control-classmap)# match user-role engineer

クラス マップ属性フィルタ基準を指定します。

ステップ 6

class-map type control subscriber match-any class-map-name

例:

Device(config)# class-map type control subscriber match-any cls_oui

クラス マップのタイプと名前を指定します。

ステップ 7

match oui oui-address

例:

Device(config-filter-control-classmap)# match oui 48.f8.b3

クラス マップ属性フィルタ基準を指定します。

ステップ 8

class-map type control subscriber match-any class-map-name

例:

Device(config)# class-map type control subscriber match-any cls_mac

クラス マップのタイプと名前を指定します。

ステップ 9

match mac-address mac-address

例:

Device(config-filter-control-classmap)# match mac-address 0040.96b9.4a0d

クラス マップ属性フィルタ基準を指定します。

ステップ 10

class-map type control subscriber match-any class-map-name

例:

Device(config)# class-map type control subscriber match-any cls_devtype

クラス マップのタイプと名前を指定します。

ステップ 11

match device-type device-type

例:

Device(config-filter-control-classmap)# match device-type windows

クラス マップ属性フィルタ基準を指定します。

ステップ 12

class-map type control subscriber match-all class-map-name

例:

Device(config)# class-map type control subscriber match-all match_tod

クラス マップのタイプと名前を指定します。

ステップ 13

match join-time-of-day start-time end-time

例:

Device(config-filter-control-classmap)# match join-time-of-day 10:30 12:30

時刻の一致を指定します。

ここで照合の対象となるのは、参加時刻です。たとえば、一致フィルタが午前 11:00 から午後 2:00 に設定されている場合、午前 10:59 に接続したデバイスは、クレデンシャルの取得が午前 11:00 以降であっても一致と見なされません。

ここで、各変数は次のように定義されます。

start-timeend-time は 24 時間形式で指定します。

設定を確認するには、show class-map type control subscriber name name コマンドを使用します。

(注)  

 

このコマンドを使用するには、AAA オーバーライドも無効にする必要があります。

ステップ 14

match day day-of-week

例:

Device(config-filter-control-classmap)# match day Monday

曜日と一致します。

設定を確認するには、show class-map type control subscriber name name コマンドを使用します。

ステップ 15

class-map type control subscriber match-all class-map-name

例:

Device(config)# class-map type control subscriber match-all match_eap

EAP としてクラス マップのタイプとフィルタを指定します。

ステップ 16

match eap-type eap-type

例:

Device(config-filter-control-classmap)# match eap-type peap

EAP タイプを使ってポリシー一致を指定します。

設定を確認するには、show class-map type control subscriber name name コマンドを使用します。

ステップ 17

class-map type control subscriber match-all class-map-name

例:

Device(config)# class-map type control subscriber match-all match_device

デバイスとしてクラス マップのタイプとフィルタを指定します。

ステップ 18

match device-type device-name

例:

Device(config-filter-control-classmap)# match device-type android

デバイス タイプを使用して名前を照合します。デバイス タイプの後に疑問符(?)を入力し、リストからデバイスを選択します。

(注)  

 

デバイス リストを表示するには、デバイス分類子を有効にする必要があります。

サービス テンプレートの作成(GUI)

手順

ステップ 1

[Configuration] > [Security] > [Local Policy] を選択します。

ステップ 2

[Local Policy] ページの [Service Template] タブで、[ADD] をクリックします。

ステップ 3

[Create Service Template] ウィンドウで、次のパラメータを入力します。

  • [Service Template Name]:テンプレートの名前を入力します。

  • [VLAN ID]:テンプレートの VLAN ID を入力します。有効な範囲は 1 ~ 4094 です。

  • [Session Timeout (secs)]:テンプレートのタイムアウト時間を設定します。有効な範囲は 1 ~ 65535 です。

  • [Access Control List]:ドロップダウンリストからアクセス制御リストを選択します。

  • [Ingress QOS]:ドロップダウンリストからクライアントの入力 QoS ポリシーを選択します

  • [Egress QOS]:ドロップダウンリストからクライアントの出力 QoS ポリシーを選択します

ステップ 4

[Save & Apply to Device] をクリックします。

サービス テンプレートの作成(CLI)

手順

  コマンドまたはアクション 目的

ステップ 1

configure terminal

例:

Device# configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 2

service-template service-template-name

例:

Device(config)# service-template svc1

サービス テンプレート コンフィギュレーション モードを開始します。

ステップ 3

vnid vnid

例:

Device(config-service-template)# vnid test

VXLAN ネットワーク ID(VNID)を指定します。

設定を確認するには、show service-template service-template-name コマンドを使用します。

ステップ 4

access-group access-list-name

例:

Device(config-service-template)# access-group acl-auto

適用するアクセス リストを指定します。

ステップ 5

vlan vlan-id

例:

Device(config-service-template)# vlan 10

VLAN ID を指定します。有効な範囲は 1 ~ 4094 です。

ステップ 6

absolute-timer timer

例:

Device(config-service-template)# absolute-timer 1000

サービス テンプレートのセッション タイムアウト値を指定します。有効な範囲は 1 ~ 65535 です。

ステップ 7

service-policy qos input qos-policy

例:

Device(config-service-template)# service-policy qos input in_qos

クライアントの入力 QoS ポリシーを設定します。

ステップ 8

service-policy qos output qos-policy

例:

Device(config-service-template)# service-policy qos output out_qos

クライアントの出力 QoS ポリシーを設定します。

パラメータ マップの作成

手順

  コマンドまたはアクション 目的

ステップ 1

configure terminal

例:

Device# configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 2

parameter-map type subscriber attribute-to-service parameter-map-name

例:

Device(config)# parameter-map type subscriber attribute-to-service param

パラメータ マップのタイプと名前を指定します。

ステップ 3

map-indexmap device-type eqfilter-name

例:

Device(config-parameter-map-filter)# 1 map device-type eq "windows" 
mac-address eq 3c77.e602.2f91 username eq "cisco"

パラメータ マップ属性フィルタ基準を指定します。ここに示す例では、複数のフィルタが使用されています。

ステップ 4

map-indexservice-templateservice-template-name precedence precedence-num

例:

Device(config-parameter-map-filter-submode)# 1 service-template svc1 precedence 150

サービス テンプレートとその優先順位を指定します。

ポリシー マップの作成(GUI)

手順

ステップ 1

[Configuration] > [Security] > [Local Policy] > [Policy Map] タブを選択します。

ステップ 2

[Policy Map Name] テキスト フィールドに、ポリシー マップの名前を入力します。

ステップ 3

[Add] をクリックします。

ステップ 4

[Service Template] ドロップダウンリストからサービス テンプレートを選択します。

ステップ 5

次のパラメータでは、ドロップダウンリストからフィルタのタイプを選択し、必要な一致基準を入力します。

  • デバイスタイプ

  • ユーザー ロール

  • ユーザー名

  • OUI

  • MAC アドレス

ステップ 6

[Add Criteria] をクリックします。

ステップ 7

[Update & Apply to Device] をクリックします。

ポリシー マップの作成(CLI)

始める前に

ポリシー マップまたはパラメータ マップを削除する場合は、事前にターゲットから削除するか、WLAN プロファイルをシャット ダウンするか、セッションを削除する必要があります。

手順

  コマンドまたはアクション 目的

ステップ 1

configure terminal

例:

Device# configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 2

policy-map type control subscriber policy-map-name

例:

Device(config)# policy-map type control subscriber polmap5

ポリシー マップ タイプを指定します。

ステップ 3

event identity-update match-all

例:

Device(config-event-control-policymap)# event identity-update match-all

ポリシー マップに対して一致基準を指定します。

ステップ 4

次に示すように、クラス マップまたはパラメータ マップのいずれかを使用してサービス テンプレートを適用できます。

  • class-num class class-map-name do-until-failure
  • action-index activate service-template service-template-name
  • action-index map attribute-to-service table parameter-map-name

例:

次の例は、サービス テンプレートを含むクラス マップを適用する方法を示しています。

Device(config-class-control-policymap)# 10 class cls_mac do-until-failure
Device(config-action-control-policymap)# 10 activate service-template svc1

例:

次の例は、パラメータ マップを適用する方法を示しています(パラメータ マップ「param」の作成時にサービス テンプレートがすでに関連付けられています)。

Device(config-action-control-policymap)#1 map attribute-to-service table param

ローカル プロファイリング ポリシーのクラス マップ番号を設定し、アクションの実行方法を指定するか、サービス テンプレートをアクティブ化するか、identity-update 属性を自動設定テンプレートにマッピングします。

ステップ 5

end

例:

Device(config-action-control-policymap)# end

コンフィギュレーション モードを終了します。

ステップ 6

configure terminal

例:

Device# configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 7

wireless profile policy wlan-policy-profile-name

例:

Device(config)# wireless profile policy wlan-policy-profilename

ワイヤレス ポリシー プロファイルを設定します。

注意    

 

名前付きワイヤレス プロファイル ポリシーでネイティブ プロファイリングの AAA オーバーライドを設定しないでください。ネイティブプロファイリングは、AAA ポリシーよりも低い優先順位で適用されます。AAA オーバーライドが有効になっている場合、AAA ポリシーでネイティブ プロファイル ポリシーがオーバーライドされます。

ステップ 8

description profile-policy-description

例:

Device(config-wireless-policy)# description "default policy profile"

ポリシー プロファイルの説明を追加します。

ステップ 9

dhcp-tlv-caching

例:

Device(config-wireless-policy)# dhcp-tlv-caching

WLAN で DHCP TLV キャッシングを設定します。

ステップ 10

http-tlv-caching

例:

Device(config-wireless-policy)# http-tlv-caching

WLAN でクライアント HTTP TLV キャッシングを設定します。

ステップ 11

subscriber-policy-name policy-name

例:

Device(config-wireless-policy)# subscriber-policy-name polmap5

サブスクライバ ポリシー名を設定します。

ステップ 12

vlan vlan-id

例:

Device(config-wireless-policy)# vlan 1

VLAN 名または VLAN ID を設定します。

ステップ 13

no shutdown

例:

Device(config-wireless-policy)# no shutdown

設定を保存します。

ローカル モードでのネイティブ プロファイリングの設定

ローカルモードでネイティブプロファイリングを設定するには、で説明されている手順に従う必要があります。ポリシープロファイルでは、ネイティブプロファイリングを設定するには、以下の手順の説明に従い、中央スイッチングを有効にする必要があります。

手順

コマンドまたはアクション 目的

central switching

例:

Device(config-wireless-policy)# central switching

中央スイッチングを有効にします。

ネイティブ プロファイル設定の確認

ネイティブ プロファイル設定を確認するには、次の show コマンドを使用します。 

Device# show wireless client device summary 

Active classified device summary
MAC Address       Device-type                       User-role                             Protocol-map  
------------------------------------------------------------------------------------------------------
1491.82b8.f94b    Microsoft-Workstation             sales                                            9  
1491.82bc.2fd5    Windows7-Workstation              sales                                           41 
 
Device# show wireless client device cache

Cached classified device info
 
MAC Address       Device-type                       User-role                             Protocol-map  
------------------------------------------------------------------------------------------------------
2477.031b.aa18    Microsoft-Workstation                                                              9  
30a8.db3b.a753    Un-Classified Device                                                               9  
4400.1011.e8b5    Un-Classified Device                                                               9  
980c.a569.7dd0    Un-Classified Device        
Device# show wireless client mac-address 4c34.8845.e32c detail | s 
Session Manager:
  Interface :
  IIF ID           : 0x90000002
  Device Type      : Microsoft-Workstation
  Protocol Map     : 0x000009
  Authorized       : TRUE
  Session timeout  : 1800
  Common Session ID: 78380209000000174BF2B5B9
  Acct Session ID  : 0
  Auth Method Status List
  	Method : MAB
  		SM State        : TERMINATE
  		Authen Status   : Success
  Local Polices:
  	Service Template : wlan_svc_C414.3CCA.0A51 (priority 254)
  		Absolute-Timer   : 1800
  Server Polices:
  Resultant Policies:
  Filter-ID        : acl-auto
  Input QOS        : in_qos
  Output QOS       : out_qos
  Idle timeout     : 60 sec
  VLAN              : 10
  Absolute-Timer   : 1000

クラス マップ名のクラス マップの詳細を確認するには、次の show コマンドを使用します。 

Device# show class-map type control subscriber name test
Class-map               Action                       Exec  Hit  Miss  Comp
---------                ------                      ----  ---  ----   ---
match-any test     match day Monday                    0     0    0     0    
match-any test     match join-time-of-day 8:00 18:00   0     0    0     0    
Key:
  "Exec" - The number of times this line was executed
  "Hit"  - The number of times this line evaluated to TRUE
  "Miss" - The number of times this line evaluated to FALSE
  "Comp" - The number of times this line completed the execution of its
       condition without a need to continue on to the end