シスコサポートコミュニティ
キャンセル
次の結果を表示 
次の代わりに検索 
もしかして: 

[機械翻訳] シスコのWLC(ワイヤレスLANコントローラ)で、ISE(IDサービスエンジン)の統合

 

 

 

このドキュメントは、英語版(バージョン7)を機械翻訳したものです。

最新、かつ正確な内容は英語版をご確認ください。

 

はじめに

このドキュメントでは、CiscoワイヤレスLANコントローラとISE(IDサービスエンジン)を統合するための設定例を提供します。

 

注: - このドキュメントでは、クライアントを姿勢や7.0.116.0に基づいについてです。同じ情報は、VoDのに記載されている。

 

ISEとは何ですか

シスコアイデンティティサービスエンジン(ISE)が1ボックスにソリューション/サービスの様々なタイプを提供し、次世代製品です。例 - ACS、NAC、NAC Profilerは、NACゲストポートフォリオと、より多くの。

 

ISEの主な特長

  • AAAプロトコル - それは、認証、許可およびアカウンティングのRADUISプロトコルを使用します。 ISEのNACとWLCは互いに通信するRADUISプロトコルを使用します。
  • 認証プロトコル - それは認証プロトコルの様々なタイプをサポートしています。 PAP、MS-CHAP、EAP-MD5、PEAP、EAP-FAST、EAP-TLS。
  • アクセス制御 - URLリダイレクト、VLAN割り当て、ダウンロード可能なアクセス制御リストののDACL)と、SGAのタグ付け - それはのようなアクセス制御機構の広い範囲を提供します。
  • 姿勢 - ISEは、NACクライアントエージェントまたはWebエージェントのいずれかを介して、エンドポイントのポスチャ評価を検証します。最新のOSパッチ、ウイルス対策など - 管理者のような姿勢の各種条件を設定することができます -
  • プロファイリング - プロファイリングを特定し、ネットワーク内のエンドポイントを分析するためのものであり、エンドポイントがどのようにネットワークにアクセスしようとするネットワーク内の任意のデバイスとすることができます - iPhone、アプリ、ノートパソコン、プリンタなどのISEがためにいくつかの事前定義されたプロファイルが付属していますエンドポイントを。我々はまた、私たち自身を作成することもできますし、我々は、これらのプロファイルに特定の認可ポリシーを定義することができます。
  • ポリシーモデル - ポリシーモデルは、柔軟で、より具体的なアクセス制御ポリシーを作成するための属性およびルールベースのポリシーを提供しています。
  • ゲストのライフサイクル管理 - この機能はLobby管理者を作成するために使用され、ISEの用語では、それはゲストユーザのログイン認証情報を作成することができますスポンサーユーザと呼ばれています。
  • プラットフォームのオプション - 物理または仮想アプライアンスとして利用できるのISE。また、VMware上にインストールすることができる。
  • モニタリング、トラブルシューティングおよびレポーティングが簡単でユーザーフレンドリーです。

 

 

 

1.jpg

 

 

 

箱の後ろに何が起こるか

1 )まず、クライアントはのdot1x認証を使用して認証します。

2 )認証プロセスでは、ISEはそれが設定されている場合は、ポート80 、 ACLと他の属性のURLをリダイレクトする運び受け入れるアクセスをお送りします。アクセスアクセプトは、WLCに送信されます。

3 )その後、 WLCは、クライアントへのURLおよびACLを適用し、 Posture_Req状態にクライアントを配置します。

4 )次に、クライアントが送信されますHTTP GET要求時にWebブラウザを使用してネットワークにアクセスしよう。

5 ) WLCは、アクセス受入れに、ISEによって提供された事前定義されたURLにこの要求をリダイレクトします。 ISEは、クライアントに応答し、ポスチャ検証を開始しするページを提供します。

クライアントが評価を完了すると6 ) 、 ISEは、WLCに送信された再認証サービスとの半径のCoA -Reqを送信されます。 (COA認可の変更を意味します)

7 )その後、 WLCは、クライアントにEAP開始を送信することにより、クライアントの再認証を開始します。

8 )一度再認証は成功します。

9 ) ISEは、新しいプロファイルを送信し、アクセス受入れネットワークにACLルールに従って完全なアクセスを( )を提供するために、新しいACL (もしあれば)を搭載。

 

 

2.jpg

 

 

 

使用するコンポーネント

シスコ5500シリーズWireless LAN Controller

シスコアイデンティティサービスエンジン(ISE)アプライアンス

Windowsクライアント

 

ネットワーク図

私たちは、APとスイッチに接続されたWLCを持っています。トラフィックは、APとWLC間のCAPWAPプロトコルを使用してカプセル化されます。 ISEは、認証などのクライアントがWLCに関連付けられている、姿勢のためのWLCへの接続性をどこかに、ネットワーク内の座っているされている。

 

 

3.jpg

 

 

設定

さて、物事は、Cisco WLCで設定される必要があるかを議論しましょう​​ -

 

は、dot1xが強化された無線LAN

WLAN上のAAAオーバーライド

WLAN上のRADIUS NAC

ACLの

ISAのAAAサーバとして

 

シスコ5500ワイヤレスLANコントローラ設定

WLANはISEnWLCとして名前が付けられています。デフォルトのWPA2を使用してセキュリティを維持する。アドバンスタブ - > [RADIUS NACを有効にします。我々は半径NACを有効にすると、 AAAオーバーライド機能が自動的に有効になります。

 

注: - 我々は、CLIを介してそれを設定する場合は、AAAの上書きは、WLAN上のRADIUS NACを設定する前に、最初に設定する必要があります。

 

ACLの作成: -

 

ISEは、 3つのカテゴリーには、クライアントを区別し、我々はクライアントに特定のアクセスを与えるために、 3種類のACLを設定する必要があります。これは、 3 ACLを持つことは必須ではありませんね。我々はまた、唯一の2 ACLを使用することができます。管理者が不明と非対応のユーザーを区別するために、彼のためにそれらに異なるアクセスポリシーを与えたくないしたくないとします。その場合、彼は2 、ACL 、未知および非準拠のクライアントおよび準拠のクライアントのための第二ACLのACLを1つ使用することができます。

 

これは、すべての管理者がそれを設定したいかによって異なります。我々は唯一の2 ACLを作成しました。我々は、同様に、未知と非対応クライアントを扱っている。

 

セキュリティに移動 - >アクセス制御リストをクリックしてください - >私たちは、 2 ACLを設定している -

 

Limited_AccessとFull_Access

 

Limited_Accessは、ISEのトラフィックを許可し、Full_Accessは何もブロックしません。

 

今、私たちは、AAAサーバなどのISEを追加します。 [セキュリティ]タブ上 - > SELECT認証 - > GIVE IPアドレス、共有秘密。共有秘密は、同様に、ISEで同じである必要があります。

 

 

4.jpg

 

 

シスコの推奨されているように、管理者は3 ACLを設定する必要があります。それではACLとクライアント/ユーザの姿勢状態の詳細について説明しましょう​​。

 

基本的には、ISEの姿勢を行うために、 3つのカテゴリにクライアントを区別: -

 

不明 - と、新しいクライアント/ユーザに関連付けられます。それは、ISEには未知になります。

非準拠 - クライアントが時間ウィンドウ内で、それ自体を修正することができないときに、その後、ISE非準拠の状態にクライアントを入れます。

準拠 - クライアントが姿勢要件を満たすことができる場合。

 

 

 

だから我々は未知のための3つの異なるアクセスプロファイルを必要とし、非準拠と準拠しています。各プロファイルには、ACLを持つことになります。ユーザー/クライアントの状態に従って、 ISEは、コントローラにプロファイルを送信します。コントローラは、クライアントデータベースにACLと他の属性を適用します。

 

のを許可するか、トラフィックの種類を見てみましょう -

 

ユーザーは、ISEにアクセスすることができるか、私は、そのユーザーが駆け引きのためのISEのページを取得することができる必要があり、クライアントが自分自身を修復することができますので、それはまた、トラフィックを許可する必要がありますだと思いますので、未知のACLは、トラフィックを許可する必要があります。

準拠のACL - それはすべてのトラフィックを許可する必要がありますが、それはすべての管理者と会社の方針に依存します。

非準拠のACL - それはすべてをブロックする必要があります。

 

それは、 3姿勢のACLが、必須ではありませんを設定するには、お勧めします

 

 

 

 

 

ISEの設定

この文書の主な目的は、姿勢と、ISEのNACとWLCの統合を議論することである。そこに非常に多くのオプションを組み合わせ、構成するために、ISEの属性がありますが、それはこの文書に記載されているすべてをカバーするのは難しいので、姿勢を行うために無線クライアントのための基本的な構成のISEのいくつかを説明します。 -

 

管理 -

  • アイデンティティグループ
  • アイデンティティは.....なくローカルユーザについて、我々はまた、Active Directoryを構成することができます。
  • 共有秘密と、WLC。

 

ポリシー要素

 

   条件 -

姿勢コンディション。

 

   結果 -

前後の姿勢のための認可プロファイル。

姿勢要件 - 姿勢条件をマップします。

クライアントプロビジョニング - アップロードエージェントソフトウェア(クライアントまたはWebエージェント)。

 

   クライアントプロビジョニング -

ここでは、アイデンティティ·グループにNAC_Agentをマップします。

 

    承認 -

ルールを作成する。 ···非準拠または準拠した....などのようなクライアントに特定の権限を付与

 

 

5.jpg

 

 

制限事項

 

  • ゲストクライアントはサポートされ - ゲストユーザの姿勢がサポートされていません。
  • HREAPローカルスイッチングはサポートされていません -
  • 802.1Xをサポートしていない無線LANはサポートされません
  • クライアントが遅いローミング時の姿勢を通過します - クライアントが使用され、802.1xを(WPA2またはCCKMていない)関連付けられている場合に、クライアントが1 WLCから他にローミングするときに - WLCは、したがって、クライアントが再びポスチャ検証プロセスを通過します、新しいセッションIDが送信されます。
  • ゲストトンネリングの移動はサポートされません
  • MAC認証バイパスがサポートされていません
  • VLANプーリングはサポートされていません。
  • WGB APはサポートされません
  • APグループはサポートされません。

 

 

ISEは、NAC OOBからのものである - これまで1.0 ISの通り、この違いは、

 

6.jpg

  • ISEは、シングルボックスソリューションではなく、NAC OOBで、次のような完全なソリューションのための複数のアプライアンスに展開する必要があります - プロファイラ、ゲストサーバ、CAM、CASなど
  • ISEは、RADIUSプロトコルを使用して、NAC OOBは、SNMPを使用しています。
  • ISEでは、クライアントがACLを押すことで制限され、VLANは、クライアントにプッシュすることができますが、VLANの変更がまだWLCの7.0.116.0に従って、ポスチャ確認の後、無線クライアントではサポートされません。
  • ISEは、Radiusプロトコルを使用するので、WLANがでdot1xセキュリティで設定されなければならない。一方では、NAC OOBは、セキュリティのすべてのタイプをサポートしています。

 

関連情報

我々は2つのビデオののHemant Sharmaさんからしています。のHemantは、シスコのワイヤレスビジネスユニット内のソフトウェア·エンジニアです。

 

1。 ISEとWLCの統合。

2。 WLCおよびISEの基本構成。

7.jpg

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

https://supportforums.cisco.com/videos/2478

 

 

1。無線クライアントの姿勢。

2。無線クライアントのアソシエーション。

3。制限

8.jpg

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

https://supportforums.cisco.com/videos/2480

 

 

動画を評価してください。パート1とパート2。

 

関連リンク

元のドキュメント:シスコサポートコミュニティ英語DOC-18121

著者:ビナイシャルマ

、2011年は8月26日に掲載

https://supportforums.cisco.com/docs/DOC-18121

 

シスコISEの概要

CiscoワイヤレスLANコントローラ設定ガイド、リリース7.0.116.0 - セキュリティソリューションの設定

529
閲覧回数
5
いいね!
0
コメント