シングルホストとマルチドメインのシナリオ用 IBNS 2.0 の設定

ダウンロード オプション

  • PDF     (377.3 KB)
    Adobe Reader を使ってさまざまなデバイスで表示
  • ePub     (126.2 KB)
    iPhone、iPad、Android、ソニーの Reader、または Windows Phone 上で、さまざまなアプリを使って表示
  • Mobi (Kindle)     (115.8 KB)
    Kindle デバイスで、または Kindle アプリを使って複数のデバイスで表示
Updated: 2024 年 10 月 31 日
Document ID:207193

偏向のない言語

この製品のドキュメントセットは、偏向のない言語を使用するように配慮されています。このドキュメントセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブ ランゲージの取り組みの詳細は、こちらをご覧ください。

翻訳について

シスコは世界中のユーザにそれぞれの言語でサポート コンテンツを提供するために、機械と人による翻訳を組み合わせて、本ドキュメントを翻訳しています。ただし、最高度の機械翻訳であっても、専門家による翻訳のような正確性は確保されません。シスコは、これら翻訳の正確性について法的責任を負いません。原典である英語版(リンクからアクセス可能)もあわせて参照することを推奨します。

    はじめに

    本書では、シングルホスト シナリオとマルチドメイン シナリオ用に Identity Based Networking Services 2.0(IBNS)を設定する方法について説明します。

    前提条件

    要件

    次の項目に関する知識があることが推奨されます。

    • ローカル エリア ネットワーク上の Extensible Authentication Protocol(EAPoL)
    • RADIUS プロトコル
    • Cisco Identity Services Engine バージョン 2.0

    使用するコンポーネント

    このドキュメントの情報は、次のソフトウェアとハードウェアのバージョンに基づいています。

    • Cisco Identity Service Engine バージョン 2.0 パッチ 2
    • Windows 7 OS 搭載エンドポイント
    • Cisco IOS® 15.2(4)E1搭載のCiscoスイッチ3750X
    • 03.02.03.SE 搭載 Cisco スイッチ 3850
    • Cisco IP Phone 9971

    このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されました。このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。本稼働中のネットワークでは、各コマンドによって起こる可能性がある影響を十分確認してください。

    設定

    構成理論

    IBNS 2.0 を有効にするには、Cisco スイッチ上から権限モードでコマンドを実行する必要があります。

    #authentication display new-style

    以下のコマンドを使用して、IBNS 2.0 のスイッチポートを設定します。

     access-session host-mode {single-host | multi-domain | multi-auth | multi-host}
 access-session port-control auto
 dot1x pae authenticator
     {mab}
 service-policy type control subscriber TEST

    これらのコマンドにより、インターフェイスでdot1x認証およびオプションでMAC認証バイパス(MAB)が有効になります。新しい構文を使用するときは、access-sessionで始まるコマンドを使用します。これらのコマンドの目的は、古い構文を使用するコマンドの場合と同じです(認証キーワードから始まります)。インターフェイスに使用できるポリシーマップを指定するには、service-policyを適用します。

    記載されているポリシーマップは、認証中のスイッチ(オーセンティケータ)の動作を定義します。たとえば、認証が失敗した場合に何が起こるかを指定できます。イベントごとに、設定されている class-map 内の一致したイベントのタイプに基づいて、複数のアクションを設定できます。例として、下記のリスト(policy-map TEST4)を参照してください。このポリシーが適用されているインターフェイスに接続されているdot1xエンドポイントが失敗すると、DOT1X_FAILEDで定義されたアクションが実行されます。MAB_FAILED や DOT1X_FAILED などのクラスに対して同じ動作を指定するには、デフォルト クラスの class-map always を使用できます。

    policy-map type control subscriber TEST4
(...)
 event authentication-failure match-first
  10 class DOT1X_FAILED do-until-failure
   10 terminate dot1x
(...)
  40 class always do-until-failure
   10 terminate mab
   20 terminate dot1x
   30 authentication-restart 60
(...)

    IBNS 2.0 に使用する policy-map のタイプは必ずコントロール サブスクライバである必要があります。

    使用可能なイベントのリストは、次の方法で表示できます。

    Switch(config-event-control-policymap)#event ?
  aaa-available                 aaa-available event
  absolute-timeout              absolute timeout event
  agent-found                   agent found event
  authentication-failure        authentication failure event
  authentication-success        authentication success event
  authorization-failure         authorization failure event
      authorization-success         authorization success event
      identity-update               identity update event
  inactivity-timeout            inactivity timeout event
      remote-authentication-failure authentication failure event
      remote-authentication-success authentication remote success event
      remote-update update          from remote device
      session-disconnected          session disconnected event
      session-started               session started event
  tag-added                     tag to apply event
  tag-removed                   tag to remove event
  template-activated            template activated event
  template-activation-failed    template activation failed event
  template-deactivated          template deactivated event
  template-deactivation-failed  template deactivation failed event
  timer-expiry                  timer-expiry event
  violation                     session violation event

    イベント設定では、クラスを評価する方法を定義できます。

    Switch(config-event-control-policymap)#event authentication-failure ?
  match-all    Evaluate all the classes
  match-first  Evaluate the first class

    クラスマップに対して同様のオプションを定義できますが、ここではクラスが一致する場合のアクションの実行方法を指定します。

    Switch(config-class-control-policymap)#10 class always ?
  do-all            Execute all the actions
  do-until-failure  Execute actions until one of them fails
  do-until-success  Execute actions until one of them is successful

    新しいスタイルの dot1x の設定の最後の部分(オプション)は class-map です。 コントロールサブスクライバと入力することもでき、特定の動作やトラフィックを照合するために使用されます。class-map 条件評価の要件を設定します。すべての条件が一致する必要があるか、いずれかの条件が一致する必要があるか、またはどの条件も一致しないことを指定できます。

    Switch(config)#class-map type control subscriber ?
  match-all   TRUE if everything matches in the class-map
  match-any   TRUE if anything matches in the class-map
  match-none  TRUE if nothing matches in the class-map

    これは、dot1x認証の失敗を照合するために使用されるクラスマップの例です。

    class-map type control subscriber match-all DOT1X_FAILED
 match method dot1x
 match result-type method dot1x authoritative

    一部のシナリオ(主にサービステンプレートが使用されている場合)では、認可変更(CoA)の設定を追加する必要があります。

    aaa server radius dynamic-author
 client 10.48.17.232 server-key cisco

    単一ホストのシナリオ

    ネットワーク図

    Network Diagram - Scenario for Single-Host

    コンフィギュレーション

    Cisco IOS 15.2(4)E1搭載のCatalyst 3750Xでテストされた単一ホストシナリオに必要な基本的な802.1X設定。シナリオは、Windows Native Supplicant および Cisco AnyConnect でテストされました。

    aaa new-model
!
aaa group server radius tests
 server name RAD-1
!
aaa authentication dot1x default group tests
aaa authorization network default group tests
!
dot1x system-auth-control
!
policy-map type control subscriber TEST
 event session-started match-all
  10 class always do-until-failure
   10 authenticate using dot1x priority 10
!
interface GigabitEthernet1/0/21
 switchport access vlan 613
 switchport mode access
 access-session host-mode single-host
 access-session port-control auto
 dot1x pae authenticator
 service-policy type control subscriber TEST
!
radius server RAD-1
 address ipv4 10.48.17.232 auth-port 1812 acct-port 1813
 key cisco

    マルチドメインのシナリオ

    ネットワーク図

    Network Diagram - Scenario for Multi-Domain

    コンフィギュレーション

    マルチドメインシナリオは、Cisco IOS 03.02.03.SEを使用したCatalyst 3850でテストされました。これは、IP Phone(Cisco IP Phone 9971)のPoE(Power over Ethernet)要件に基づいています。 

    aaa new-model
!
aaa group server radius tests
 server name RAD-1
!
aaa authentication dot1x default group tests
aaa authorization network default group tests
!
aaa server radius dynamic-author
 client 10.48.17.232 server-key cisco
!
dot1x system-auth-control
!
class-map type control subscriber match-all DOT1X
 match method dot1x
!
class-map type control subscriber match-all DOT1X_FAILED
 match method dot1x
 match result-type method dot1x authoritative
!
class-map type control subscriber match-all DOT1X_NO_RESP
 match method dot1x
 match result-type method dot1x agent-not-found
!
class-map type control subscriber match-all MAB
 match method mab
!
class-map type control subscriber match-all MAB_FAILED
 match method mab
 match result-type method mab authoritative
!
policy-map type control subscriber TEST4
 event session-started match-all
  10 class always do-until-failure
   10 authenticate using dot1x priority 10
   20 authenticate using mab priority 20
 event authentication-failure match-first
  10 class DOT1X_FAILED do-until-failure
   10 terminate dot1x
  20 class MAB_FAILED do-until-failure
   10 terminate mab
   20 authenticate using dot1x priority 10
  30 class DOT1X_NO_RESP do-until-failure
   10 terminate dot1x
   20 authentication-restart 60
  40 class always do-until-failure
   10 terminate mab
   20 terminate dot1x
   30 authentication-restart 60
 event agent-found match-all
  10 class always do-until-failure
   10 terminate mab
   20 authenticate using dot1x priority 10
 event authentication-success match-all
  10 class always do-until-failure
   10 activate service-template DEFAULT_LINKSEC_POLICY_SHOULD_SECURE
!
interface GigabitEthernet1/0/1
 switchport access vlan 613
 switchport mode access
 switchport voice vlan 612
 access-session host-mode multi-domain
 access-session port-control auto
 mab
 dot1x pae authenticator
 spanning-tree portfast
 service-policy type control subscriber TEST4
!
radius-server attribute 6 on-for-login-auth
radius-server attribute 8 include-in-access-req
radius-server attribute 25 access-request include
radius-server vsa send cisco-nas-port
!
radius server RAD-1
 address ipv4 10.48.17.232 auth-port 1812 acct-port 1813
 key cisco

    確認

    ここでは、設定が正常に機能しているかどうかを確認します。

    確認のために、次のコマンドを使用して、すべてのスイッチポートからのセッションをリストします。

    show access-session

     また、単一のスイッチポートのセッションに関する詳細情報を表示することもできます。

    show access-session interface [Gi 1/0/1] {detail}

    トラブルシュート

    ここでは、設定のトラブルシューティングに使用できる情報を示します。

    802.1X関連の問題をトラブルシューティングするには、デバッグ(Cisco IOS XE 16.3.2以降)を有効にします。

    set platform software trace smd switch active R0 radius debug
    set platform software trace smd switch active R0 dot1x-all debug
    set platform software trace smd switch active R0 auth-mgr-all debug
    set platform software trace smd switch active R0 epm-all debug

     コマンドshow platform software trace level smd switch active R0は、現在アクティブなデバッグを表示します。 

     デバッグを無効にするには、undebug allを使用するか、set platform software trace smd switch active R0 <sub-component> noticeを使用します。

     生成されたログを表示するには、show platform software trace message smd switch active R0コマンドを使用します。

     古いCisco IOSでは、レガシーコマンドを使用してデバッグを有効にできます。 

    debug mab all
    debug dot1x all
    debug pre all*

     * オプションで、debug preでは、イベントまたはルールのいずれかまたは両方を使用して、出力をIBNS 2.0関連情報に制限できます。

    更新履歴

    改定 発行日 コメント
    5.0
    31-Oct-2024
    ブランディング要件、イメージ、およびフォーマットを更新。
    4.0
    06-Sep-2024
    誤ったCCWアラートを無視 書式設定と文章校正のために編集
    3.0
    04-Sep-2024
    更新された書式。
    2.0
    26-Jun-2023
    代替テキストが追加されました。 免責事項、PII、スタイル要件、機械翻訳、およびフォーマットを更新。
    1.0
    25-Mar-2017
    初版
    TAC Authored

    シスコ エンジニア提供

    • アダム・コトウィカ
      サービスマネージャ

    このドキュメントは役に立ちましたか?

    Feedbackフィードバック

    シスコに問い合わせ

    このドキュメントは次の製品に対応しています