Configuration de la restriction d'accès IP dans ISE

Options de téléchargement

  • PDF     (791.2 KB)
    Consulter à l'aide d'Adobe Reader sur un grand nombre d'appareils
  • ePub     (640.3 KB)
    Consulter à l’aide de différentes applications sur iPhone, iPad, Android ou Windows Phone
  • Mobi (Kindle)     (476.5 KB)
    Consulter sur un appareil Kindle ou à l’aide d’une application Kindle sur plusieurs appareils
Mis à jour:5 juillet 2024
ID du document:222103

Langage exempt de préjugés

Dans le cadre de la documentation associée à ce produit, nous nous efforçons d’utiliser un langage exempt de préjugés. Dans cet ensemble de documents, le langage exempt de discrimination renvoie à une langue qui exclut la discrimination en fonction de l’âge, des handicaps, du genre, de l’appartenance raciale de l’identité ethnique, de l’orientation sexuelle, de la situation socio-économique et de l’intersectionnalité. Des exceptions peuvent s’appliquer dans les documents si le langage est codé en dur dans les interfaces utilisateurs du produit logiciel, si le langage utilisé est basé sur la documentation RFP ou si le langage utilisé provient d’un produit tiers référencé. Découvrez comment Cisco utilise le langage inclusif.

À propos de cette traduction

Cisco a traduit ce document en traduction automatisée vérifiée par une personne dans le cadre d’un service mondial permettant à nos utilisateurs d’obtenir le contenu d’assistance dans leur propre langue. Il convient cependant de noter que même la meilleure traduction automatisée ne sera pas aussi précise que celle fournie par un traducteur professionnel.

    Introduction

    Ce document décrit les options disponibles pour configurer la restriction d'accès IP dans ISE 3.1, 3.2 et 3.3. 

    Conditions préalables

    Exigences

    Cisco vous recommande de prendre connaissance des rubriques suivantes :

    • Connaissances de base de Cisco Identity Service Engine

    Composants utilisés

    Ce document n'est pas limité à des versions de matériel et de logiciel spécifiques.

    The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. Si votre réseau est en ligne, assurez-vous de bien comprendre l’incidence possible des commandes.

    Informations générales

    La fonctionnalité de restriction d'accès IP permet aux administrateurs de contrôler les adresses IP ou les plages qui peuvent accéder au portail et aux services d'administration ISE.

    Cette fonctionnalité s'applique à divers services et interfaces ISE, notamment :

    • Accès au portail admin et CLI
    • Accès à l'API ERS
    • Accès au portail invité et sponsor
    • Accès au portail Mes périphériques

    Lorsqu'elle est activée, ISE autorise uniquement les connexions à partir des plages ou adresses IP spécifiées. Toute tentative d'accès aux interfaces d'administration ISE à partir d'IP non spécifiées est bloquée.

    En cas de verrouillage accidentel, ISE fournit une option de démarrage « en mode sans échec » qui peut contourner les restrictions d'accès IP. Cela permet aux administrateurs de récupérer l'accès et de corriger les erreurs de configuration.

    Comportement dans ISE 3.1 et versions antérieures

    Accédez à Administration>Admin Access>Settings>Access. Vous disposez des options suivantes :

    • Session
    • Accès IP
    • Accès MnT

    Configurer

    • Sélectionnez « Autoriser uniquement les adresses IP répertoriées à se connecter »
    • Cliquez sur Ajouter.

    Configuration d'accès IPConfiguration d'accès IP

    • Dans ISE 3.1, vous n'avez pas la possibilité de sélectionner entre les services « Admin » et « User », ce qui permet à la restriction d'accès IP de bloquer les connexions vers :
      • IUG
      • CLI 
      • SNMP
      • SSH 
    • Une boîte de dialogue s'ouvre et vous permet d'entrer les adresses IP, IPv4 ou IPv6, au format CIDR.
    • Une fois l’adresse IP configurée, définissez le masque au format CIDR.

    Modifier le CIDR IPModifier le CIDR IP

    note-icon

    Remarque : le format CIDR (Classless Inter-Domain Routing) IP est une méthode de représentation des adresses IP et de leur préfixe de routage associé.

    Exemple :

    IP : 10.8.16.32

    Masque : /32

    caution-icon

    Attention : vous devez être prudent lors de la configuration des restrictions IP afin d'éviter de verrouiller accidentellement l'accès administrateur légitime. Cisco recommande de tester minutieusement toute configuration de restriction IP avant de l'implémenter complètement.

    icône représentant un conseil

    Conseil : pour les adresses IPv4 :

    • Utilisez /32 pour des adresses IP spécifiques.
    • Pour les sous-réseaux, utilisez une autre option. Exemple : 10.26.192.0/18

    Comportement dans ISE 3.2

    Accédez à Administration>Admin Access>Settings>Access. Vous disposez des options suivantes :

    • Session
    • Accès IP
    • Accès MnT

    Configurer

    • Sélectionnez « Autoriser uniquement les adresses IP répertoriées à se connecter »
    • Cliquez sur Ajouter.

    Configuration de l'accès IPConfiguration de l'accès IP

    • Une boîte de dialogue s'ouvre et vous permet d'entrer les adresses IP, IPv4 ou IPv6, au format CIDR.
    • Une fois l’adresse IP configurée, définissez le masque au format CIDR.
    • Ces options sont disponibles pour la restriction d'accès IP
      • Services d'administration : GUI, CLI (SSH), SNMP, ERS, OpenAPI, UDN, API Gateway, PxGrid (désactivé dans le patch 2), MnT Analytics
      • Services utilisateur : invité, BYOD, posture, profilage
      • Services administrateur et utilisateur

    Modifier le CIDR IPModifier le CIDR IP

    • Cliquez sur le bouton « Enregistrer »
    • "ON" signifie que les services d'administration sont activés, "OFF" signifie que les services d'utilisateur sont désactivés.

    Configuration de l'accès IP dans 3.2Configuration de l'accès IP dans 3.2

    Comportement dans ISE 3.2 P4 et versions ultérieures

    Accédez à Administration>Admin Access>Settings>Access. Vous disposez des options suivantes :

    • Session
    • Interface GUI&CLI d'administration : interface GUI d'ISE (TCP 443), interface CLI d'ISE (SSH TCP22) et SNMP.
    • Services d'administration : API ERS, API ouverte, pxGrid, DataConnect.
    • Services utilisateur : invité, BYOD, posture.
    • MNT Access : avec cette option, ISE ne consomme pas les messages Syslog envoyés depuis des sources externes.

    Configurer

    • Sélectionnez « Autoriser uniquement les adresses IP répertoriées à se connecter »
    • Cliquez sur Ajouter.

    Configuration de l'accès IP dans 3.3Configuration de l'accès IP dans 3.3

    • Une boîte de dialogue s'ouvre et vous permet d'entrer les adresses IP, IPv4 ou IPv6, au format CIDR.
    • Une fois l’adresse IP configurée, définissez le masque au format CIDR.
    • Cliquez sur Ajouter.

    Récupérer l'interface utilisateur graphique/CLI ISE

    • Se connecter avec la console
    • Arrêter les services ISE à l'aide de l'application
    • Démarrez les services ISE à l'aide de l'application start ise safe
    • Supprimez la restriction d'accès IP de l'interface utilisateur graphique.

    Dépannage

    Effectuez une capture de paquets pour vérifier si ISE ne répond pas ou s'il abandonne le trafic.

    alt-tag-for-image

    Vérifier les règles de pare-feu ISE

    • Pour les versions 3.1 et inférieures, vous pouvez vérifier cela uniquement dans le show tech. 
      • Vous pouvez prendre un show tech et le stocker dans le disque local en utilisant "show tech-support file <filename>"
      • Vous pouvez ensuite transférer le fichier vers un référentiel à l'aide de la commande "copy disk:/<filename> ftp://<ip_address>/path". L'URL du référentiel change en fonction du type de référentiel que vous utilisez 
      • Vous pouvez télécharger le fichier sur votre machine pour le lire et rechercher "Running iptables -nvL"
      • Les règles initiales du show tech ne sont pas incluses ci-dessous. En d'autres termes, vous trouverez ici les dernières règles ajoutées à la fonctionnalité de restriction show tech by IP Access.
    *****************************************
    Running iptables -nvL...
    *****************************************
    .
    .
    Chain ACCEPT_22_tcp_ipv4 (1 references)
    pkts bytes target prot opt in out source destination 
    0 0 ACCEPT tcp -- eth0 * x.x.x.x/x 0.0.0.0/0 tcp dpt:22 Firewall rule permitting the SSH traffic from segment x.x.x.x/x
    461 32052 ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED
    65 4048 DROP all -- * * 0.0.0.0/0 0.0.0.0/0

    Chain ACCEPT_161_udp_ipv4 (1 references)
    pkts bytes target prot opt in out source destination 
    0 0 ACCEPT udp -- * * x.x.x.x/x 0.0.0.0/0 udp dpt:161 Firewall rule permitting the SNMP traffic from segment x.x.x.x/x
    0 0 ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED
    0 0 DROP all -- * * 0.0.0.0/0 0.0.0.0/0
    • Pour les versions 3.2 et ultérieures, vous pouvez utiliser la commande "show firewall" pour vérifier les règles de pare-feu.
    • Les versions 3.2 et ultérieures offrent un meilleur contrôle sur les services bloqués par la restriction d'accès IP.
    gjuarezo-311/admin#show firewall

    .

    .

    Chain ACCEPT_22_tcp_ipv4 (1 references)
    pkts bytes target prot opt in out source destination
    170 13492 ACCEPT tcp -- eth0 * x.x.x.x/x 0.0.0.0/0 tcp dpt:22 Firewall rule permitting the SSH traffic from segment x.x.x.x/x
    0 0 ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED
    13 784 DROP all -- * * 0.0.0.0/0 0.0.0.0/0

    Chain ACCEPT_161_udp_ipv4 (1 references)
    pkts bytes target prot opt in out source destination
    0 0 ACCEPT udp -- * * x.x.x.x/x 0.0.0.0/0 udp dpt:161 Firewall rule permitting the SNMP traffic from segment x.x.x.x/x
    0 0 ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED
    0 0 DROP all -- * * 0.0.0.0/0 0.0.0.0/0

    Chain ACCEPT_8910_tcp_ipv4 (1 references)
    pkts bytes target prot opt in out source destination
    0 0 ACCEPT tcp -- * * x.x.x.x/x 0.0.0.0/0 tcp dpt:8910 Firewall rule permitting the PxGrid traffic from segment x.x.x.x/x
    0 0 ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED
    90 5400 DROP all -- * * 0.0.0.0/0 0.0.0.0/0

    Chain ACCEPT_8443_tcp_ipv4 (1 references)
    pkts bytes target prot opt in out source destination
    0 0 ACCEPT tcp -- * * x.x.x.x/x 0.0.0.0/0 tcp dpt:8443 Firewall rule permitting the HTTPS traffic from segment x.x.x.x/x
    0 0 ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED
    0 0 DROP all -- * * 0.0.0.0/0 0.0.0.0/0

    Chain ACCEPT_8444_tcp_ipv4 (1 references)
    pkts bytes target prot opt in out source destination
    0 0 ACCEPT tcp -- * * x.x.x.x/x 0.0.0.0/0 tcp dpt:8444 Firewall rule permitting the Block List Portal traffic from segment x.x.x.x/x
    0 0 ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED
    0 0 DROP all -- * * 0.0.0.0/0 0.0.0.0/0

    Chain ACCEPT_8445_tcp_ipv4 (1 references)
    pkts bytes target prot opt in out source destination
    0 0 ACCEPT tcp -- * * x.x.x.x/x 0.0.0.0/0 tcp dpt:8445 Firewall rule permitting the Sponsor Portal traffic from segment x.x.x.x/x
    0 0 ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED
    0 0 DROP all -- * * 0.0.0.0/0 0.0.0.0/0

    Vérifier les journaux de débogage

    icône d'avertissement

    Avertissement : tout le trafic ne génère pas de journaux. La restriction d'accès IP peut bloquer le trafic au niveau de l'application et à l'aide du pare-feu interne Linux. Les protocoles SNMP, CLI et SSH sont bloqués au niveau du pare-feu, de sorte qu'aucun journal n'est généré.

    • Activez le composant « Infrastructure » dans DEBUG à partir de l'interface utilisateur graphique.
    • Utiliser show logging application ise-psc.log tail 

    Les journaux suivants peuvent être consultés lorsque la restriction d'accès IP prend des mesures. 

    2024-07-04 18:19:11,339 DEBUG [admin-http-pool31][] cisco.cpm.infrastructure.systemconfig.CpmIpFilterCache -::::- Low ip address10.31.126.128
    2024-07-04 18:19:11,339 DEBUG [admin-http-pool31][] cisco.cpm.infrastructure.systemconfig.CpmIpFilterCache -::::- High ip address10.31.126.255
    2024-07-04 18:19:11,339 DEBUG [admin-http-pool31][] cisco.cpm.infrastructure.systemconfig.CpmIpFilterCache -::::- Low ip address10.4.16.0
    2024-07-04 18:19:11,339 DEBUG [admin-http-pool31][] cisco.cpm.infrastructure.systemconfig.CpmIpFilterCache -::::- High ip address10.4.23.255
    2024-07-04 18:19:11,339 DEBUG [admin-http-pool31][] cisco.cpm.infrastructure.systemconfig.CpmIpFilterCache -::::- Checkin Ip in List returned false

    Informations connexes

    Historique de révision

    Révision Date de publication Commentaires
    1.0
    05-Jul-2024
    Première publication
    TAC Authored

    Contribution d’experts de Cisco

    • Jonathan Casillas Gutierrez
      responsable technique de la sécurité
    • Glen Juarez Olguin
      responsable technique de la sécurité

    Ce document vous est-il utile?

    FeedbackCommentaires

    Contacter Cisco

    Ce document s’applique à ces produits