IP-toegangsbeperking configureren in ISE

Downloadopties

  • PDF     (791.7 KB)
    Met Adobe Reader op diverse apparaten bekijken
Bijgewerkt:5 juli 2024
Document-id:222103

Inclusief taalgebruik

De documentatie van dit product is waar mogelijk geschreven met inclusief taalgebruik. Inclusief taalgebruik wordt in deze documentatie gedefinieerd als taal die geen discriminatie op basis van leeftijd, handicap, gender, etniciteit, seksuele oriëntatie, sociaaleconomische status of combinaties hiervan weerspiegelt. In deze documentatie kunnen uitzonderingen voorkomen vanwege bewoordingen die in de gebruikersinterfaces van de productsoftware zijn gecodeerd, die op het taalgebruik in de RFP-documentatie zijn gebaseerd of die worden gebruikt in een product van een externe partij waarnaar wordt verwezen. Lees meer over hoe Cisco gebruikmaakt van inclusief taalgebruik.

Over deze vertaling

Cisco heeft dit document vertaald via een combinatie van machine- en menselijke technologie om onze gebruikers wereldwijd ondersteuningscontent te bieden in hun eigen taal. Houd er rekening mee dat zelfs de beste machinevertaling niet net zo nauwkeurig is als die van een professionele vertaler. Cisco Systems, Inc. is niet aansprakelijk voor de nauwkeurigheid van deze vertalingen en raadt aan altijd het oorspronkelijke Engelstalige document (link) te raadplegen.

    Inleiding

    In dit document worden de beschikbare opties beschreven om IP-toegangsbeperking in ISE 3.1, 3.2 en 3.3 te configureren. 

    Voorwaarden

    Vereisten

    Cisco raadt kennis van de volgende onderwerpen aan:

    • Basiskennis van Cisco Identity Service Engine

    Gebruikte componenten

    Dit document is niet beperkt tot specifieke software- en hardware-versies.

    De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u zorgen dat u de potentiële impact van elke opdracht begrijpt.

    Achtergrondinformatie

    Met de functie voor IP-toegangsbeperking kunnen beheerders bepalen welke IP-adressen of -bereiken toegang kunnen krijgen tot het ISE-beheerportal en de services.

    Deze optie is van toepassing op verschillende ISE-interfaces en -services, waaronder:

    • Admin-poorttoegang en CLI
    • ERS API-toegang
    • Toegang tot gast- en sponsorportal
    • Toegang tot mijn apparaatportal

    Als deze optie is ingeschakeld, maakt ISE alleen verbindingen mogelijk vanaf de opgegeven IP-adressen of bereiken. Alle pogingen om toegang te krijgen tot ISE-beheerinterfaces van niet-gespecificeerde IP’s worden geblokkeerd.

    In het geval van accidentele lock-out biedt ISE een opstartoptie 'safe mode' die IP-toegangsbeperkingen kan omzeilen. Hiermee kunnen beheerders toegang verkrijgen en eventuele fouten corrigeren.

    Gedrag in ISE 3.1 en lager

    Navigeer naar Beheer>Admin Access>Instellingen>Toegang. U hebt de volgende opties:

    • Sessie
    • IP-toegang
    • MnT-toegang

    Configureren

    • Selecteer "Alleen genoemde IP-adressen toestaan om verbinding te maken"
    • Klik op "Toevoegen"

    IP-toegangsconfiguratieIP-toegangsconfiguratie

    • In ISE 3.1 hebt u geen optie om te kiezen tussen "Admin" en "User" services, waardoor IP Access Restriction blokkeert verbindingen om:
      • GUI
      • CLI
      • SNMP
      • SSH
    • Er wordt een dialoogvenster geopend waar u de IP-adressen, IPv4 of IPv6, in CIDR-indeling kunt invoeren.
    • Zodra IP is geconfigureerd, stelt u het masker in CIDR-indeling in.

    IP CIDR bewerkenIP CIDR bewerken

    pictogram van opmerking

    Opmerking: het formaat IP CIDR (Classless Inter-Domain Routing) is een methode om IP-adressen en het bijbehorende routingprefix weer te geven.

    Voorbeeld:

    IP: 10.8.16.32

    Masker: /32

    waarschuwingspictogram

    Waarschuwing: bij het configureren van IP-beperkingen moet u voorzichtig zijn om te voorkomen dat legitieme beheerderstoegang per ongeluk wordt uitgesloten. Cisco adviseert het grondig testen van elke configuratie van IP-beperkingen voordat deze volledig wordt geïmplementeerd.

    tippictogram

    Tip: voor IPv4-adressen:

    • Gebruik /32 voor specifieke IP-adressen.
    • Gebruik voor subnetten een andere optie. Voorbeeld: 10.26.192.0/18

    Gedrag in ISE 3.2

    Navigeer naar Beheer>Admin Access>Instellingen>Toegang. U hebt de volgende opties beschikbaar:

    • Sessie
    • IP-toegang
    • MnT-toegang

    Configureren

    • Selecteer "Alleen genoemde IP-adressen toestaan om verbinding te maken"
    • Klik op "Toevoegen"

    IP-toegangsconfiguratieIP-toegangsconfiguratie

    • Er wordt een dialoogvenster geopend waar u de IP-adressen, IPv4 of IPv6, in CIDR-indeling kunt invoeren.
    • Zodra IP is geconfigureerd, stelt u het masker in CIDR-indeling in.
    • Deze opties zijn beschikbaar voor IP-toegangsbeperking
      • Admin Services: GUI, CLI (SSH), SNMP, ERS, OpenAPI, UDN, API-gateway, PxGrid (uitgeschakeld in Patch 2), MnT Analytics
      • Gebruikersservices: Gast, BYOD, Positie, Profiling
      • Beheer- en gebruikersservices

    IP CIDR bewerkenIP CIDR bewerken

    • Klik op de knop "Opslaan"
    • "AAN" staat voor Admin-services ingeschakeld en "OFF" staat voor gebruikersservices die zijn uitgeschakeld.

    IP-toegangsconfiguratie in 3.2IP-toegangsconfiguratie in 3.2

    Gedrag in ISE 3.2 P4 en hoger

    Navigeer naar Beheer>Admin Access>Instellingen>Toegang. U hebt de volgende opties beschikbaar:

    • Sessie
    • Admin GUI&CLI: ISE GUI (TCP 43), ISE CLI (SSH TCP22) en SNMP.
    • Beheerservices: ERS API, Open API, pxGrid, DataConnect.
    • Gebruikersdiensten: Gast, BYOD, Positie.
    • MNT Access: met deze optie neemt ISE geen Syslog-berichten uit externe bronnen in beslag.

    Configureren

    • Selecteer "Alleen genoemde IP-adressen toestaan om verbinding te maken"
    • Klik op "Toevoegen"

    IP-toegangsconfiguratie in 3.3IP-toegangsconfiguratie in 3.3

    • Er wordt een dialoogvenster geopend waar u de IP-adressen, IPv4 of IPv6, in CIDR-indeling kunt invoeren.
    • Zodra IP is geconfigureerd, stelt u het masker in CIDR-indeling in.
    • Klik op "Toevoegen"

    ISE-GUI/CLI herstellen

    • Aanmelden met console
    • Stop ISE-services met applicatie stop ise
    • Start ISE-services met applicatie start ise safe
    • Verwijder de IP-toegangsbeperking uit de GUI.

    Probleemoplossing

    Neem een pakketopname om te controleren of ISE niet reageert of het verkeer laat vallen.

    alt-tag-for-image

    Controleer ISE-firewallregels

    • Voor 3.1 en lager kun je dit alleen controleren in de show tech. 
      • U kunt een show tech nemen en opslaan in de localdisk met behulp van "show tech-support bestand <filename>"
      • Vervolgens kunt u het bestand overbrengen naar een repository met behulp van "copy disk:/<filename> ftp://<ip_address>/path" de repository URL verandert afhankelijk van het type repository dat u gebruikt 
      • U kunt het bestand downloaden naar uw computer, zodat u het kunt lezen en op zoek kunt naar "Running iptables -nvL"
      • De eerste regels in de show tech zijn niet hieronder opgenomen. Met andere woorden, hier kunt u de laatste regels vinden die aan de showtech zijn toegevoegd door de beperkingsfunctie van IP Access.
    *****************************************
    Running iptables -nvL...
    *****************************************
    .
    .
    Chain ACCEPT_22_tcp_ipv4 (1 references)
    pkts bytes target prot opt in out source destination 
    0 0 ACCEPT tcp -- eth0 * x.x.x.x/x 0.0.0.0/0 tcp dpt:22 Firewall rule permitting the SSH traffic from segment x.x.x.x/x
    461 32052 ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED
    65 4048 DROP all -- * * 0.0.0.0/0 0.0.0.0/0

    Chain ACCEPT_161_udp_ipv4 (1 references)
    pkts bytes target prot opt in out source destination 
    0 0 ACCEPT udp -- * * x.x.x.x/x 0.0.0.0/0 udp dpt:161 Firewall rule permitting the SNMP traffic from segment x.x.x.x/x
    0 0 ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED
    0 0 DROP all -- * * 0.0.0.0/0 0.0.0.0/0
    • Voor 3.2 en hoger kunt u de opdracht "Toon firewall" gebruiken om de firewallregels te controleren.
    • 3.2 en hoger bieden meer controle over de services die worden geblokkeerd door IP-toegangsbeperking.
    gjuarezo-311/admin#show firewall

    .

    .

    Chain ACCEPT_22_tcp_ipv4 (1 references)
    pkts bytes target prot opt in out source destination
    170 13492 ACCEPT tcp -- eth0 * x.x.x.x/x 0.0.0.0/0 tcp dpt:22 Firewall rule permitting the SSH traffic from segment x.x.x.x/x
    0 0 ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED
    13 784 DROP all -- * * 0.0.0.0/0 0.0.0.0/0

    Chain ACCEPT_161_udp_ipv4 (1 references)
    pkts bytes target prot opt in out source destination
    0 0 ACCEPT udp -- * * x.x.x.x/x 0.0.0.0/0 udp dpt:161 Firewall rule permitting the SNMP traffic from segment x.x.x.x/x
    0 0 ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED
    0 0 DROP all -- * * 0.0.0.0/0 0.0.0.0/0

    Chain ACCEPT_8910_tcp_ipv4 (1 references)
    pkts bytes target prot opt in out source destination
    0 0 ACCEPT tcp -- * * x.x.x.x/x 0.0.0.0/0 tcp dpt:8910 Firewall rule permitting the PxGrid traffic from segment x.x.x.x/x
    0 0 ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED
    90 5400 DROP all -- * * 0.0.0.0/0 0.0.0.0/0

    Chain ACCEPT_8443_tcp_ipv4 (1 references)
    pkts bytes target prot opt in out source destination
    0 0 ACCEPT tcp -- * * x.x.x.x/x 0.0.0.0/0 tcp dpt:8443 Firewall rule permitting the HTTPS traffic from segment x.x.x.x/x
    0 0 ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED
    0 0 DROP all -- * * 0.0.0.0/0 0.0.0.0/0

    Chain ACCEPT_8444_tcp_ipv4 (1 references)
    pkts bytes target prot opt in out source destination
    0 0 ACCEPT tcp -- * * x.x.x.x/x 0.0.0.0/0 tcp dpt:8444 Firewall rule permitting the Block List Portal traffic from segment x.x.x.x/x
    0 0 ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED
    0 0 DROP all -- * * 0.0.0.0/0 0.0.0.0/0

    Chain ACCEPT_8445_tcp_ipv4 (1 references)
    pkts bytes target prot opt in out source destination
    0 0 ACCEPT tcp -- * * x.x.x.x/x 0.0.0.0/0 tcp dpt:8445 Firewall rule permitting the Sponsor Portal traffic from segment x.x.x.x/x
    0 0 ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED
    0 0 DROP all -- * * 0.0.0.0/0 0.0.0.0/0

    Logboeken voor debuggen controleren

    waarschuwing-pictogram

    Waarschuwing: niet al het verkeer genereert logs. IP Access-beperking kan het verkeer op toepassingsniveau blokkeren met behulp van Linux Internal Firewall. SNMP, CLI en SSH zijn op firewallniveau geblokkeerd, zodat er geen logs worden gegenereerd.

    • Schakel de component "Infrastructuur" in DEBUG vanuit GUI in.
    • Gebruik show logging applicatie ise-psc.log tail 

    De volgende logbestanden kunnen worden weergegeven wanneer er actie wordt ondernomen tegen de beperking van IP-toegang. 

    2024-07-04 18:19:11,339 DEBUG [admin-http-pool31][] cisco.cpm.infrastructure.systemconfig.CpmIpFilterCache -::::- Low ip address10.31.126.128
    2024-07-04 18:19:11,339 DEBUG [admin-http-pool31][] cisco.cpm.infrastructure.systemconfig.CpmIpFilterCache -::::- High ip address10.31.126.255
    2024-07-04 18:19:11,339 DEBUG [admin-http-pool31][] cisco.cpm.infrastructure.systemconfig.CpmIpFilterCache -::::- Low ip address10.4.16.0
    2024-07-04 18:19:11,339 DEBUG [admin-http-pool31][] cisco.cpm.infrastructure.systemconfig.CpmIpFilterCache -::::- High ip address10.4.23.255
    2024-07-04 18:19:11,339 DEBUG [admin-http-pool31][] cisco.cpm.infrastructure.systemconfig.CpmIpFilterCache -::::- Checkin Ip in List returned false

    Gerelateerde informatie

    Revisiegeschiedenis

    Revisie Publicatiedatum Opmerkingen
    1.0
    05-Jul-2024
    Eerste vrijgave
    TAC Authored

    Bijgedragen door Cisco-engineers

    • Jonathan Casillas Gutierrez
      Security technische leider
    • Glen Juarez Olguin
      Security technische leider

    Was dit document nuttig?

    FeedbackFeedback

    Contact Cisco

    Dit document is van toepassing op deze producten