- はじめに
-
- 概要
- 使用する前に
- ライセンスの管理
- 802.11 帯域の設定
- 802.11 パラメータの設定
- DHCP プロキシの設定
- [DHCP Link Select] および [VPN Select] の設定
- SNMP の設定
- アグレッシブ ロード バランシングの設定
- 高速 SSID 変更の設定
- 802.3 ブリッジの設定
- マルチキャストの設定
- クライアント ローミングの設定
- IP-MAC アドレス バインディングの設定
- Quality of Service の設定
- Application Visibility and Control の設定
- メディアおよび EDCA パラメータの設定
- Cisco Discovery Protocol の設定
- コントローラと NTP サーバの認証の設定
- RFID タグ追跡の設定
- コントローラのデフォルト設定へのリセット
- コントローラ ソフトウェアと設定の管理
- ユーザ アカウントの管理
- Web 認証の管理
- 有線ゲスト アクセスの設定
- トラブルシューティング
-
- Cisco Unified Wireless Network Solution セキュリティ
- RADIUS の設定
- 「Configuring TACACS+」
- FIPS、CC、UCAPL の設定
- 最大ローカル データベース エントリの設定
- コントローラでのローカル ネットワーク ユーザの設定
- パスワード ポリシーの設定
- LDAP の設定
- ローカル EAP の設定
- SpectraLink 社の NetLink 電話用システムの設定
- RADIUS NAC サポートの設定
- RADIUS VSA およびレルムの設定
- 無線による管理機能の使用
- 動的インターフェイスによる管理機能
- DHCP オプション 82 の設定
- アクセス コントロール リストの設定と適用
- 管理フレーム保護の設定
- クライアント除外ポリシーの設定
- Identity ネットワーキングの設定
- AAA Override の設定
- 不正なデバイスの管理
- 不正なアクセス ポイントの分類
- Cisco TrustSec SXP の設定
- ローカル ポリシーの設定
- Cisco Intrusion Detection System の設定
- IDS シグニチャの設定
- wIPS の設定
- Wi-Fi Direct クライアント ポリシーの設定
- Web 認証プロキシの設定
- 意図的な悪用の検出
-
- WLAN の設定
- WLAN ごとのクライアント カウントの設定
- DHCP の設定
- DHCP スコープの設定
- WLAN の MAC フィルタリングの設定
- ローカル MAC フィルタの設定
- タイムアウトの設定
- DTIM period の設定
- ピアツーピア ブロッキングの設定
- レイヤ 2 セキュリティの設定
- Static WEP と Dynamic WEP の両方をサポートする WLAN の設定
- Sticky Key Caching の設定
- CKIP の設定
- レイヤ 3 セキュリティの設定
- キャプティブ バイパスの設定
- MAC フィルタリングおよび Web 認証を伴うフォールバック ポリシーの設定
- QoS プロファイルの割り当て
- QoS Enhanced BSS の設定
- メディア セッション スヌーピングおよびレポートの設定
- Key Telephone System-Based CAC の設定
- ローミングしている音声クライアントのリアンカーの設定
- シームレスな IPv6 モビリティの設定
- Cisco Client Extensions の設定
- リモート LAN の設定
- AP グループの設定
- RF プロファイルの設定
- 8021.X 認証を使用した Web リダイレクトの設定
- NAC アウトオブバンド統合の設定
- パッシブ クライアントの設定
- クライアント プロファイルの設定
- WLAN ごとの RADIUS 送信元サポートの設定
- モバイル コンシェルジュの設定
- 経由ローミングの設定
- 802.1Q-in-Q VLAN タギングの設定
-
- アクセス ポイント通信プロトコルの使用
- CAPWAP 優先モードの設定
- アクセス ポイントの検索
- アクセス ポイントのグローバル クレデンシャルの設定
- アクセス ポイントの認証の設定
- 組み込みアクセス ポイントの設定
- 自律アクセス ポイントの Lightweight モードへの変換
- パケット キャプチャの設定
- Cisco 700 シリーズ アクセス ポイントの設定
- Cisco ワークグループ ブリッジの使用
- Cisco 以外のワークグループ ブリッジの使用
- バックアップ コントローラの設定
- ハイ アベイラビリティの設定
- アクセス ポイントのフェールオーバー プライオリティの設定
- AP の再送信間隔および再試行回数の設定
- Country Code の設定
- アクセス ポイントでの RFID トラッキングの最適化
- プローブ要求フォワーディングの設定
- コントローラとアクセス ポイント上の一意のデバイス ID の取得
- リンク テストの実行
- リンク遅延の設定
- TCP MSS の設定
- Power over Ethernet の設定
- クライアントの表示
- アクセス ポイントの LED 状態の設定
- デュアル バンド無線によるアクセス ポイントの設定
Cisco Wireless LAN Controller コンフィギュレーション ガイド リリース 8.0
- Updated:
- 2017年5月17日
章のタイトル: RADIUS NAC サポートの設定
目次
- RADIUS NAC サポートの設定
- RADIUS NAC サポートについて
- デバイス登録
- 中央 Web 認証
- ローカル Web 認証
- RADIUS NAC サポートの制約事項
- RADIUS NAC サポートの設定(GUI)
- RADIUS NAC サポートの設定(CLI)
RADIUS NAC サポートについて
Cisco Identity Services Engine(ISE)は、次世代のコンテキストベース アクセス コントロール ソリューションで、Cisco Secure Access Control System(ACS)と Cisco Network Admission Control(NAC)の機能を 1 つの統合されたプラットフォームで提供します。
ISE は Cisco Unified Wireless Network のリリース 7.0.116.0 で導入されています。 ISE を使用して、配備されたネットワークで高度なセキュリティを実現できます。 ISE は、コントローラ上で設定できる認証サーバです。 RADIUS NAC 対応の WLAN 上のコントローラにクライアントがアソシエートされると、コントローラは ISE サーバに要求を転送します。
ISE サーバはデータベースでユーザを検証し、認証が正常に完了すると、URL と事前認証 ACL がクライアントに送信されます。 このときクライアントは Posture Required 状態になり、ISE サーバから返された URL にリダイレクトされます。
 (注) |
ISE サーバから返された URL にキーワード「cwa」が含まれる場合、クライアントは、Central Web Authentication の状態になります。 |
クライアントの NAC エージェントによって、ポスチャ検証プロセスがトリガーされます。 ISE サーバによるポスチャ検証が正常に完了すると、クライアントは RUN 状態になります。
(注) |
RADIUS NAC による Flex ローカル スイッチングは、リリース 7.2.110.0 で追加されました。 これは、7.0 リリースおよび 7.2 リリースではサポートされていません。 RADIUS NAC 対応の WLAN 機能が動作するよう再設定するには、7.2.110.0 以降のリリースを 7.2 または 7.0 リリースにダウングレードする必要があります。 |
デバイス登録
デバイス登録を行うと、RADIUS NAC を使用して WLAN の新しいデバイスの認証とプロビジョニングを行えるようになります。 デバイスを WLAN に登録すると、設定されている ACL に基づいてネットワークを使用できるようになります。
中央 Web 認証
中央 Web 認証(CWA)の場合、Web 認証は ISE サーバで行われます。 ISE サーバの Web ポータルに、クライアント用のログイン ページが表示されます。 ISE サーバで資格情報が検証されると、クライアントがプロビジョニングされます。 CoA が適用されるまで、クライアントは POSTURE_REQD 状態のままです。 資格情報と ACL が ISE サーバから送信されます。
ローカル Web 認証
ローカル Web 認証は、RADIUS NAC でサポートされていません。
| RADIUS NAC 対応 | Yes | No | Yes |
| L2 なし | No | PSK、Static WEP、CKIP | No |
| L3 なし | 該当なし | 内部/外部 | 該当なし |
| MAC フィルタリング対応 | Yes | No | Yes |
RADIUS NAC サポートの制約事項
-
設定されたアカウンティング サーバが認証(ISE)サーバではない場合、RADIUS NAC は機能しません。 ISE 機能を使用する場合は、認証およびアカウンティング サーバと同じサーバを設定する必要があります。 ISE を ACS 機能専用にする場合は、アカウンティング サーバを柔軟に設定できます。
- 認証またはアカウンティング RADIUS サーバに障害が発生した場合、認証またはアカウンティング サーバのリスト内の該当するサーバが起動しなくなります。 これは、クライアント認証およびアカウンティングが同じ IP 認証およびアカウンティング サーバで実行されていることを意味しています。 ただし、認証およびアカウンティング サーバを連携させる場合、RADIUS サーバの設定時にこれらのサーバを同じ順序で追加する必要があります。
-
クライアントがある WLAN から別の WLAN へ移動し、アイドル タイムアウトが発生する前に元の WLAN に戻った場合、コントローラはそのクライアントの監査セッション ID を保持しています。 したがって、アイドル タイムアウト セッションの期限が切れる前にクライアントがコントローラに join すると、それらのクライアントはただちに RUN 状態になります。 セッションがタイムアウトしてから、クライアントがコントローラに再アソシエートされているかどうかが検証されます。
-
たとえば 2 つの WLAN があり、1 台のコントローラに WLAN 1 が設定され(WLC1)、もう 1 台のコントローラに WLAN2 が設定され(WLC2)、その両方が RADIUS NAC 対応であるとします。 クライアントはまず WLC1 に接続し、ポスチャ検証のあと RUN 状態になります。 次にこのクライアントは、WLC2 に移動するとします。 WLC1 内のこのクライアントに対する PMK の期限が切れる前に、クライアントが WLC1 に再接続した場合、このクライアントに対するポスチャ検証は省略されます。 クライアントはポスチャ検証を省略してただちに RUN 状態になります。これは、コントローラがこのクライアントの古い監査セッション ID を保持し、ISE がその ID をすでに認識しているからです。
-
ワイヤレス ネットワークに RADIUS NAC を導入する場合は、プライマリおよびセカンダリ ISE サーバを設定しないでください。 代わりに、2 つの ISE サーバ間に HA を設定することをお勧めします。 プライマリおよびセカンダリ ISE を設定すると、クライアントが RUN 状態に移行する前に、ポスチャ検証が必要になります。 HA を設定すると、クライアントはフォールバック ISE サーバで自動的に RUN 状態に移行します。
-
RADIUS NAC が設定されたコントローラ ソフトウェアは、サービス ポートでの認可変更(CoA)をサポートしません。
-
アクティブなネットワーク内で AAA サーバ インデックスを入れ替えないでください。クライアントが切断され、RADIUS サーバへの再接続が必要になる可能性があります。それによって、ISE サーバ ログにログ メッセージが追加される場合があります。
-
RADIUS NAC を有効にすると、RADIUS サーバの上書きインターフェイスはサポートされません。
-
クライアントとサーバ間の DHCP 通信。 DHCP プロファイルは一度だけ解析されます。 これは一度だけ ISE サーバに送信されます。
-
AAAの url-redirect-acl および url-redirect 属性を AAA サーバが要求する場合、AAA Override 機能をコントローラで有効にする必要があります。
RADIUS NAC サポートの設定(GUI)
| ステップ 1 | [WLANs] タブを選択します。 |
| ステップ 2 | ISE を有効にする WLAN の WLAN ID をクリックします。 |
| ステップ 3 | [Advanced] タブをクリックします。 |
| ステップ 4 | [NAC State] ドロップダウン リストから [Radius NAC] を選択します。 |
| ステップ 5 | [Apply] をクリックします。 |
RADIUS NAC サポートの設定(CLI)
目次
RADIUS NAC サポートについて
Cisco Identity Services Engine(ISE)は、次世代のコンテキストベース アクセス コントロール ソリューションで、Cisco Secure Access Control System(ACS)と Cisco Network Admission Control(NAC)の機能を 1 つの統合されたプラットフォームで提供します。
ISE は Cisco Unified Wireless Network のリリース 7.0.116.0 で導入されています。 ISE を使用して、配備されたネットワークで高度なセキュリティを実現できます。 ISE は、コントローラ上で設定できる認証サーバです。 RADIUS NAC 対応の WLAN 上のコントローラにクライアントがアソシエートされると、コントローラは ISE サーバに要求を転送します。
ISE サーバはデータベースでユーザを検証し、認証が正常に完了すると、URL と事前認証 ACL がクライアントに送信されます。 このときクライアントは Posture Required 状態になり、ISE サーバから返された URL にリダイレクトされます。
(注) |
ISE サーバから返された URL にキーワード「cwa」が含まれる場合、クライアントは、Central Web Authentication の状態になります。 |
クライアントの NAC エージェントによって、ポスチャ検証プロセスがトリガーされます。 ISE サーバによるポスチャ検証が正常に完了すると、クライアントは RUN 状態になります。
(注) |
RADIUS NAC による Flex ローカル スイッチングは、リリース 7.2.110.0 で追加されました。 これは、7.0 リリースおよび 7.2 リリースではサポートされていません。 RADIUS NAC 対応の WLAN 機能が動作するよう再設定するには、7.2.110.0 以降のリリースを 7.2 または 7.0 リリースにダウングレードする必要があります。 |
RADIUS NAC サポートの制約事項
-
設定されたアカウンティング サーバが認証(ISE)サーバではない場合、RADIUS NAC は機能しません。 ISE 機能を使用する場合は、認証およびアカウンティング サーバと同じサーバを設定する必要があります。 ISE を ACS 機能専用にする場合は、アカウンティング サーバを柔軟に設定できます。
- 認証またはアカウンティング RADIUS サーバに障害が発生した場合、認証またはアカウンティング サーバのリスト内の該当するサーバが起動しなくなります。 これは、クライアント認証およびアカウンティングが同じ IP 認証およびアカウンティング サーバで実行されていることを意味しています。 ただし、認証およびアカウンティング サーバを連携させる場合、RADIUS サーバの設定時にこれらのサーバを同じ順序で追加する必要があります。
-
クライアントがある WLAN から別の WLAN へ移動し、アイドル タイムアウトが発生する前に元の WLAN に戻った場合、コントローラはそのクライアントの監査セッション ID を保持しています。 したがって、アイドル タイムアウト セッションの期限が切れる前にクライアントがコントローラに join すると、それらのクライアントはただちに RUN 状態になります。 セッションがタイムアウトしてから、クライアントがコントローラに再アソシエートされているかどうかが検証されます。
-
たとえば 2 つの WLAN があり、1 台のコントローラに WLAN 1 が設定され(WLC1)、もう 1 台のコントローラに WLAN2 が設定され(WLC2)、その両方が RADIUS NAC 対応であるとします。 クライアントはまず WLC1 に接続し、ポスチャ検証のあと RUN 状態になります。 次にこのクライアントは、WLC2 に移動するとします。 WLC1 内のこのクライアントに対する PMK の期限が切れる前に、クライアントが WLC1 に再接続した場合、このクライアントに対するポスチャ検証は省略されます。 クライアントはポスチャ検証を省略してただちに RUN 状態になります。これは、コントローラがこのクライアントの古い監査セッション ID を保持し、ISE がその ID をすでに認識しているからです。
-
ワイヤレス ネットワークに RADIUS NAC を導入する場合は、プライマリおよびセカンダリ ISE サーバを設定しないでください。 代わりに、2 つの ISE サーバ間に HA を設定することをお勧めします。 プライマリおよびセカンダリ ISE を設定すると、クライアントが RUN 状態に移行する前に、ポスチャ検証が必要になります。 HA を設定すると、クライアントはフォールバック ISE サーバで自動的に RUN 状態に移行します。
-
RADIUS NAC が設定されたコントローラ ソフトウェアは、サービス ポートでの認可変更(CoA)をサポートしません。
-
アクティブなネットワーク内で AAA サーバ インデックスを入れ替えないでください。クライアントが切断され、RADIUS サーバへの再接続が必要になる可能性があります。それによって、ISE サーバ ログにログ メッセージが追加される場合があります。
-
RADIUS NAC を有効にすると、RADIUS サーバの上書きインターフェイスはサポートされません。
-
クライアントとサーバ間の DHCP 通信。 DHCP プロファイルは一度だけ解析されます。 これは一度だけ ISE サーバに送信されます。
-
AAAの url-redirect-acl および url-redirect 属性を AAA サーバが要求する場合、AAA Override 機能をコントローラで有効にする必要があります。
フィードバック