目次

• はじめに
• 前提条件
• 要件
• 使用されるコンポーネント
• 表記法
• 機能の概要
• 実装
• AP の SXPv4
• CTS PAC プロビジョニングおよびデバイス登録
• 環境データ
• インライン タギング
• ワークフロー
• WLC 8.4 での Wireless TrustSec サポート
• Wireless TrustSec 導入の使用例
• Wireless TrustSec 構成チェックリスト（参考）
• 設定手順
• Wireless TrustSec 設定のための CLI コマンド

はじめに

---

このドキュメントでは、Wireless TrustSec の機能とその導入についての一般的なガイドラインについて説明します。このドキュメントの目的は以下のとおりです。

• Wireless TrustSec 機能の概要について説明する

• サポートされる主要機能を強調する

• WLC での Wireless TrustSec の導入および管理についての詳細を説明する

このガイドは、Wireless TrustSec の機能についてのみ取り上げています。

有線の TrustSec の詳細ついては、次を参照してください。

http:/​/​www.cisco.com/​c/​en/​us/​solutions/​enterprise-networks/​trustsec/​index.html

http:/​/​www.cisco.com/​c/​en/​us/​solutions/​enterprise-networks/​trustsec/​design-guide-listing.html

前提条件

8.4 コードにアップグレードするために、ワイヤレス LAN コントローラに AireOS 8.0 以降のリリースを用意する必要があります。

要件

このドキュメントについての特定な要件はありません。

使用されるコンポーネント

このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されたものです。このマニュアルで使用されるデバイスはすべて、初期設定（デフォルト）の状態から作業が開始されています。ネットワークが稼働中の場合は、コマンドが及ぼす潜在的な影響を十分に理解しておく必要があります。

表記法

ドキュメント表記の詳細は、『Cisco Technical Tips Conventions』を参照してください。

機能の概要

Cisco TrustSec（CTS）のアーキテクチャは、各企業がデータの機密性、信頼性、整合性の保護を実現するネイバーや通信リンクによって認証され、信頼されるエンドツーエンドのセキュアなネットワークを提供します。また CTS では、ネットワーク全体での一貫性のある統合された一連のポリシーの作成が促進されます。次のセクションでは、AireOS WLC のプラットフォームにおける CTS インフラストラクチャのサポートに関連する具体的な点について説明します。

実装

図 1. Wireless TrustSec ソリューション

TrustSec ドメインに参加するすべてのエンド ポイントは、役割やデバイス タイプ（他のクライアント属性）などのエンドユーザのアイデンティティに基づいて ISE によって分類され、SGT と呼ばれる固有のタグ（セキュリティ グループ タグ）に関連付けられてから、認証の成功時にクライアント認証を要求したデバイスと共有されます。これにより、クライアントのアイデンティティ属性に基づいたクライアントのグループ化を実行できるので、アクセス制御エンティティ（ACE）数が著しく減少します。SGACL 使用の大きなメリットとして、アクセス ACE の統合と、従来のアクセス リストのメンテナンスに必要とされた運用費の節約が挙げられます。

TrustSec ソリューションは、TrustSec ドメイン内の次の 3 つの異なるフェーズで実現できます。

• 中央ポリシー データベース（ISE）によるドメイン入口でのクライアント分類、および役割などのクライアント アイデンティティ属性に基づく固有の SGT のクライアントへの割り当て。

• SXPv4 またはインライン タギングの方法（またはその両方）を使用した近隣デバイスへの IP-SGT バインドの伝達。

• SGACL ポリシーの適用：AP がセントラル/ローカル スイッチング（中央認証）のエンフォースメント ポイントになります。

AP の SXPv4

WLC は近隣のデバイスに IP-SGT バインドを伝達するために SXPv2 スピーカ モードを引き続きサポートしますが、SXPv4 はサポートしません。APは、SXPv4 リスナー モードとスピーカ モードをサポートします。

CTS PAC プロビジョニングおよびデバイス登録

CTS ネットワークに参加しているすべてのデバイスは、認証され、信頼される必要があります。認証プロセスを促進するために、CTS ネットワークに接続された新しいデバイスは、デバイス内で CTS のデバイスの認証に特に必要であるクレデンシャルと、一般的な CTS 環境情報を取得するための登録プロセスを経なければなりません。

WLC のデバイス登録は、ISE サーバによる PAC プロビジョニングの一部として、WLC によって開始されます。WLC は EAP-FAST を開始して、PAC を取得します。これは、LOCAL-EAP EAP-FAST PAC プロビジョニングのインフラストラクチャを使用して実行されます。一意に取得された PAC は、デバイス ID にマップされます。デバイス ID を変更すると、以前のデバイス ID に関連付けられた PAC データが PAC ストアから削除されます。PAC のプロビジョニングに使用する RADIUS サーバ インスタンスが有効になると、PAC プロビジョニングがトリガーされます。

高可用性（HA）設定の場合、PAC はスタンバイ ボックスに同期されます。

環境データ

CTS 環境データとは、デバイスが CTS 関連機能を実行するための一連の情報または属性を指します。

セキュアな RADIUS アクセスリクエストが送信されて、デバイスが Cisco TrustSec ドメインに初めて参加するときに、デバイス（AirOS WLC）は認証サーバから環境データを取得します。認証サーバは、環境有効期間終了タイムアウト属性などの属性とともに RADIUS Access-Accept を返します。これは、Cisco TrustSec デバイスがその環境データを更新する必要がある頻度を制御する時間間隔になります。

インライン タギング

インライン タギング機能とは、ワイヤレス コントローラまたはアクセス ポイントが送信元 SGT（S-SGT）を認識するためのトランスポート機構を指します。以下の 2 つのタイプがあります。

• セントラル スイッチング：中央にスイッチングされたパケットの場合、WLC は Cisco メタデータ（CMD）タグを付けることによって、WLC に存在するワイヤレス クライアントから送信されるすべてのパケットに対して、インライン タギングを実行します。DS から受信されるパケットの場合、インライン タギングでは、AP が S-SGT タグを学習できるように WLC がヘッダのパケットを外して CAPWAPで AP に送信することも含まれます。SGACL 適用は、AP で実行されます。

• ローカル スイッチング：ローカルでスイッチングされたトラフィックを送信するために AP では、AP に接続するクライアントから送信されたパケットに対してインライン タギングを実行します。トラフィックを受信するときに、AP はローカルでスイッチングされたパケットと中央でスイッチングされたパケットの両方を処理し、パケット用の S-SGT タグを使用して、SGACL ポリシーを適用します。

WLC 上で有効化された Wireless TrustSec では、タグをスイッチと交換するために SXP を有効化し、設定するという選択はオプションになります。SXPv2 スピーカ モードおよびインライン タギングの両モードはサポートされます。ただし、SXP と Wireless TrustSec の両方を AP 上で同時に有効化する使用例はありません。

ワークフロー

WLC で ISE から SGACL ポリシーをダウンロードする前に、EAP-FAST TLS を介して PAC（Protected Access Credential）プロビジョニングを開始する必要があります。このプロビジョニングは、認証されるクライアント SGT タグに基づいて、必要に応じた SGACL をダウンロードするために使用されます。現在、ISE は、すべての既知のソース SGT（S-SGT）から特定の接続先 SGT（D-SGT）への SGACL ポリシーのダウンロードをサポートしています。ワイヤレス クライアントが ISE 認証されると、WLC はクライアントに関連付けられた SGT を受信します。WLC はクライアント SGT を D-SGT として処理し、接続先の SGACL ポリシー名を ISE からダウンロードします。返されるポリシー名は、特定のクライアント D-SGT と対になったすべての有効かつ既知の S-SGT になります。D-SGT に関連付けられるこれらのポリシーは WLC でキャッシュされ、クライアントが接続している AP にプッシュされます。

図 2. 簡素化されるインター/イントラ VLAN トラフィックの ACL 管理

クライアントの分類は、ポリシー ルールによりクライアント アイデンティティに基づいてクライアントに固有の S-SGT を割り当てる中央ポリシー データベース（ISE）によって入口で行われます。SGACL のダウンロードとポリシーは、出力側で（D-SGT に関連付けられて）適用されます。

• ローカルおよびセントラル スイッチ トラフィックに対する SGACL は、WLC でなく AP で適用されます。

• ローカル認証を行うフレックス モード AP では、エンフォースメント ポイントは AP になります。

図 3. 入口で分類、出口で適用

WLC 8.4 での Wireless TrustSec サポート

機能	プラットフォーム
SGT インライン タギング、SG-ACL 適用	17xx、27xx、37xx、18xx、28xx、38xx、5520、8540
SXPv2	5520、8540、8510、7510、vWLC、5508、WISM2、2504
SXPv4	17xx、27xx、37xx、18xx、28xx、38xx

Wireless TrustSec 導入の使用例

以下に示すのは、さまざまな役割を持つクライアント（従業員や請負業者）が同一の WLAN（単一SSID）に接続して、同一の VLAN から IP アドレスを取得し、ISE から異なる SGT タグを継承するシンプルな使用例です。さらに、ワイヤレス上でこれら 2 つのユーザ グループ（従業員と請負業者）間の通信をブロックする ISE ポリシーを作成します。このプロセスでは、Cisco Wireless TrustSec の ISE および WLC の構成方法がわかります。

ISE は、以下を含むすべての TrustSec 構成のセントラル ポイントです。

• ネットワーク デバイスの信頼されるドメインに対する NDAC（ネットワーク デバイス アドミッション コントロール）の定義。

• SGT（セキュリティ グループ タグ）の定義。

• SGACL/名前テーブル：安全なチャネルを通じてエンフォーサにプッシュされる TrustSec ポリシー マトリックス。

• ISE が、有線/ワイヤレス/VPN クライアントを認証し、SGT を割り当てます。

ISE 認証されていないクライアント（オープン/webauth/PSK）は、次に示すように、[WLAN]> [Advanced] 設定から WLC の SGT タグに対して設定できます。

Wireless TrustSec 構成チェックリスト（参考）

• 基本的なインフラストラクチャ設定：証明書、Active Directory の統合など。

• ネットワークで使用するセキュリティ グループ タグを作成します。

• ネットワーク デバイス アドミッション コントロール（NDAC）を設定します。

• ユーザとデバイスの認証および認可ポリシーを定義します。

• SGACL と出力ポリシーを設定します。

設定手順

次に、デバイスを追加するための ISE の設定を示します。

1. WLC が RADIUS および TrustSec の ISE に追加されていることを確認します。ISE のメイン メニューから、[Administration]> [Network Resources] > [Network Devices] に移動します。

   
   
   
   

   

   
   
   
   
   
   

   

   
   

   以下を入力したネットワーク デバイスのページを事前に設定しています。

   • WLC 名

   • WLC の IP アドレス

   • チェックボックスをオンにして、RADIUS 認証設定を有効化

   • 共有秘密キー

   • 使用デバイス ID のチェックボックスをオンにして、[Advance TrustSec Settings] > [Identification] を有効化

   • デバイスの認証設定で、パスワード設定済み

     
     
     
     
     

   CTS ネットワークに参加しているすべてのデバイスは、認証され、信頼される必要があります。認証プロセスを促進するために、CTS ネットワークに接続された新しいデバイスは、デバイス内で CTS のデバイスの認証に特に必要であるクレデンシャルと、一般的な CTS 環境情報を取得するための登録プロセスを経なければなりません。

   
   
   
   
   

2. ISE TrustSec ポリシー設定では、ISE のメイン メニューから、[Work Centers]> [TrustSec] に移動します。

   
   
   
   
   

3. [Work Centers] > [TrustSec] > [Components]では、セキュリティ グループと関連 SGT がリストされます。

   

4. SGACL を作成するには、[TrustSec]> [Components] > [Security Group ACLs] に移動します。SGACL の設定方法の例は、次のとおりです。

   
   
   
   
   

5. [Work Centers]> [TrustSec] > [TrustSec Policy] に移動し、作成されたポリシーを表示します。従業員と請負業者が相互に通信することを拒否するポリシーが設定されています。従業員タグが 4 で、請負業者タグが 5.であることに注意してください。これらのタグはいったん WLAN に関連付けられると、クライアントによって継承されます。

   
   
   
   
   

   デフォルトのルールは許可または拒否です。

   以下の例では、拒否ルールに SGACL が設定されます。

   
   
   
   
   

6. また、[Policy]> [Authorization] では、クライアントが認証された場合に、従業員と請負業者にタグが渡される認可ルールが設定されています。

   
   
   
   
   

7. ISE とワイヤレス LAN コントローラを統合するには、WLC GUI のメイン メニューから [Security]> [RADIUS] > [Authentication] に移動し、ISE サーバが追加されていることを確認します。

   
   
   
   
   

8. ISE のサーバ インデックスをクリックし、PAC のプロビジョニングが [Enabled] になっており、PAC パラメータが ISE からダウンロードされていることを確認します。

   
   
   
   
   
   
   
   
   

   

   
   
9. [Security] > [TrustSec] > [General] から、次のようになっていることを確認します。

   • CTS が有効である。

   • デバイス ID が設定されている。

   • パスワードは ISE の場合と同じに設定されている。

   • 現在のステータスは [Complete] を示している。

   • セキュリティ グループ テーブルが出力されている。

   
   

   

   
   

10. [SECURITY]> [TrustSec]> [Policy] に移動して、SGT-TAG のリストを表示し、ポリシーが WLC にダウンロードされていることを確認します。

    
    
    
    
    

    [Policy] をドリルダウンすると、SGACL が表示されます。

    
    
    
    
    

    さらにドリルダウンすると、SGACL ごとの ACE が表示されます。

    
    
    
    
    

11. WLC の WLAN を設定するには、[WLANs] から [Create New] を選択して、[Go]をクリックします。

    
    
    
    
    

    プロファイル名を [POD1-CTS] に設定し、[Apply]をクリックします。

    
    
    
    
    

    [General] タブで、WLANを有効にします。

    
    
    
    
    

12. [Security]> [AAA Servers] から、上記で設定した AAA サーバを選択し、[Apply] をクリックします。

    
    
    
    
    
13. ISE のデフォルト設定を有効にすると、WLC は WLANの [Advanced] タブを次のように自動設定します。

    • [Allow AAA override] は、[Enabled] になっています。

      
      
      
      
      

14. AP で SGACL を適用せずにクライアントのトラフィックをテストするには、次の手順を実行します。

    1. クライアント デバイスを使用して、従業員クライアントとしてログインし、別の請負業者クライアントとしてログインします。

       
       
       
       
       
       
       
       
       

    2. WLC ページの [Monitor]> [Clients] から、両ユーザの詳細と、SGT セキュリティ タグが両ユーザにプッシュされていることを確認します。

       
       
       
       
       
       
       
       
       

    3. SGACL ごとにアプリケーションをテストするには、あるデバイスに従業員として接続し、別のデバイスに請負業者として接続してから、両クライアントが互いに ping 送信できることを確認します。以下は、請負業者のデバイスから従業員のデバイスへの ICMP 通信の例です（IP: 10.10.40.200）。

       
       
       
       
       

15. 1. ローカル モード のAP で TrustSec の適用を有効にするには、[Wireless]タブ > [Select an Access point] > [Advanced] タブに移動し、次のように SGACL を適用します。

       
       
       
       
       

       
       

       
       
       

    2. Flexconnect AP で SXP またはインライン設定を追加するには、[Wireless]> [AP] > [Advanced] > [Trusted Security] > [TrustSec Config] に移動します。

       
       
       
       
       

16. AP で「TrustSec」を適用すると、次に示すように、2 人のクライアント間（従業員と請負業者）で ping を送信できなくなります。

    
    
    
    
    

Wireless TrustSec 設定のための CLI コマンド

1. WLC での PAC のダウンロード

   # config radius auth pac <server-index> enable
   # config radius acct pac <server-index> enable

   サーバからの CTS PAC ダウンロードを有効にします。

   # config cts device-id <device-id> password <pwd>

   最初の PAC ダウンロード中に使用する CTS デバイス ID とパスワードを設定します。

   # show cts pacs

   WLC での PAC ダウンロードのステータスを確認します。

   # clear cts pac <A-ID>

   PAC をクリアします。

2. インライン タギング

   WLC の CLI コマンド：

   # config cts inline tagging {enable | disable} 
   # show cts summary

   AP の CLI コマンド：

   #config cts inline-tag (enable|disable)
   # show cts ap summary
   # show ap config general
   #config cts ap inline-tagging {enable | disable} <apname/all>

3. SXPv4

   # config cts sxpv ap {ap name} enable/disable
   # show cts ap summary
   # show ap config general
   #config sxp ap enable/disable <ap_name/all>
   #config cts sxp ap connection default password <passwd> <ap/all>
   #config cts sxp ap connection peer <ipaddr> password [default | none] mode [speaker | listener | both] <ap/all>
   #config cts sxp ap listener holdtime <min> <max> <ap-name/all>
   #config cts sxp ap speaker holdtime <secs> <ap-name/all>
   #config cts sxp ap reconciliation period <secs> <ap-name/all>
   #config cts sxp ap retry period <val> <ap_name/all>

4. Debug

   使用可能なデバッグ オプション：

       #debug cts ?
       aaa            Configure the CTS AAA debug options.
       authz          Configures the CTS SXP debug options.
       capwap         Debugs for CTS policy download over capwap messages
       env-data       Configure the CTS environment data debugs.
       ha             Configure the CTS HA debug options.
       key-store      Configure the CTS Key-store debug options.
       provisioning   Configure the CTS PAC Provisioning debug options.
       sxp            Configures the CTS SXP debug options.

5. AP のコマンドを表示

   （注）	AP プラットフォームに応じてコマンドに違いがあります。

   11AC wave1 と以前の AP（17xx、27xx、37xx）：

   SXPv4：

   #sh ct sxp connections brief

   接続を確認します。

   # sh ct sxp sgt-map brief

   SXP バインドを確認します。

   # sh ct role-based sgt-map all 

   ローカル スイッチングに対する IP-SGT バインドのみを確認します。

   # sh controllers dot11Radio 1 | beg SG

   セントラル スイッチング クライアントに対する SGT を確認します。

   SGALC の確認：

   #sh ct role permissions ?
     		default  Default Permission list
    		 from     Source Group
     		ipv4     Protocol Version - IPv4
     		ipv6     Protocol Version - IPv6
     		to       Destination Group
     		|        Output modifiers
     		<cr>
   sh access-lists <name>

   デバッグ：

         #debug rbm dp packets.
           #sh cts role-based counters ?
     	     default  Default policy counters
     	     from     Source Group
     	     ipv4     Protocol Version - IPv4
           ipv6     Protocol Version - IPv6
     	     to       Destination Group
    	      |        Output modifiers
     	     <cr>

   Wave2 AP（18xx、28xx、38xx）:

   SXP：

   #sh ct sxp connections

   接続を確認します。

   #sh ct sxp sgt-map

   SXP バインドを確認します。

   # sh ct role-based sgt-map all  

   （セントラルおよびローカル スイッチングのみの）IP-SGT バインドを確認します。

   SGALC の確認：

   #sh cts role-based permissions
   #sh cts access-lists <name>

   デバッグ：

   #debug ct enforcement
   #sh cts role-based counters 

Copyright © 2017, Cisco Systems, Inc. All rights reserved.