Inleiding
In dit document worden de beschikbare opties beschreven om IP-toegangsbeperking in ISE 3.1, 3.2 en 3.3 te configureren.
Voorwaarden
Vereisten
Cisco raadt kennis van de volgende onderwerpen aan:
- Basiskennis van Cisco Identity Service Engine
Gebruikte componenten
Dit document is niet beperkt tot specifieke software- en hardware-versies.
De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u zorgen dat u de potentiële impact van elke opdracht begrijpt.
Achtergrondinformatie
Met de functie voor IP-toegangsbeperking kunnen beheerders bepalen welke IP-adressen of -bereiken toegang kunnen krijgen tot het ISE-beheerportal en de services.
Deze optie is van toepassing op verschillende ISE-interfaces en -services, waaronder:
- Admin-poorttoegang en CLI
- ERS API-toegang
- Toegang tot gast- en sponsorportal
- Toegang tot mijn apparaatportal
Als deze optie is ingeschakeld, maakt ISE alleen verbindingen mogelijk vanaf de opgegeven IP-adressen of bereiken. Alle pogingen om toegang te krijgen tot ISE-beheerinterfaces van niet-gespecificeerde IP’s worden geblokkeerd.
In het geval van accidentele lock-out biedt ISE een opstartoptie 'safe mode' die IP-toegangsbeperkingen kan omzeilen. Hiermee kunnen beheerders toegang verkrijgen en eventuele fouten corrigeren.
Gedrag in ISE 3.1 en lager
Navigeer naar Beheer>Admin Access>Instellingen>Toegang. U hebt de volgende opties:
- Sessie
- IP-toegang
- MnT-toegang
Configureren
- Selecteer "Alleen genoemde IP-adressen toestaan om verbinding te maken"
- Klik op "Toevoegen"
IP-toegangsconfiguratie
- In ISE 3.1 hebt u geen optie om te kiezen tussen "Admin" en "User" services, waardoor IP Access Restriction blokkeert verbindingen om:
- Er wordt een dialoogvenster geopend waar u de IP-adressen, IPv4 of IPv6, in CIDR-indeling kunt invoeren.
- Zodra IP is geconfigureerd, stelt u het masker in CIDR-indeling in.
IP CIDR bewerken
Opmerking: het formaat IP CIDR (Classless Inter-Domain Routing) is een methode om IP-adressen en het bijbehorende routingprefix weer te geven.
Voorbeeld:
IP: 10.8.16.32
Masker: /32
Waarschuwing: bij het configureren van IP-beperkingen moet u voorzichtig zijn om te voorkomen dat legitieme beheerderstoegang per ongeluk wordt uitgesloten. Cisco adviseert het grondig testen van elke configuratie van IP-beperkingen voordat deze volledig wordt geïmplementeerd.
Tip: voor IPv4-adressen:
- Gebruik /32 voor specifieke IP-adressen.
- Gebruik voor subnetten een andere optie. Voorbeeld: 10.26.192.0/18
Gedrag in ISE 3.2
Navigeer naar Beheer>Admin Access>Instellingen>Toegang. U hebt de volgende opties beschikbaar:
- Sessie
- IP-toegang
- MnT-toegang
Configureren
- Selecteer "Alleen genoemde IP-adressen toestaan om verbinding te maken"
- Klik op "Toevoegen"
IP-toegangsconfiguratie
- Er wordt een dialoogvenster geopend waar u de IP-adressen, IPv4 of IPv6, in CIDR-indeling kunt invoeren.
- Zodra IP is geconfigureerd, stelt u het masker in CIDR-indeling in.
- Deze opties zijn beschikbaar voor IP-toegangsbeperking
- Admin Services: GUI, CLI (SSH), SNMP, ERS, OpenAPI, UDN, API-gateway, PxGrid (uitgeschakeld in Patch 2), MnT Analytics
- Gebruikersservices: Gast, BYOD, Positie, Profiling
- Beheer- en gebruikersservices
IP CIDR bewerken
- Klik op de knop "Opslaan"
- "AAN" staat voor Admin-services ingeschakeld en "OFF" staat voor gebruikersservices die zijn uitgeschakeld.
IP-toegangsconfiguratie in 3.2
Gedrag in ISE 3.2 P4 en hoger
Navigeer naar Beheer>Admin Access>Instellingen>Toegang. U hebt de volgende opties beschikbaar:
- Sessie
- Admin GUI&CLI: ISE GUI (TCP 43), ISE CLI (SSH TCP22) en SNMP.
- Beheerservices: ERS API, Open API, pxGrid, DataConnect.
- Gebruikersdiensten: Gast, BYOD, Positie.
- MNT Access: met deze optie neemt ISE geen Syslog-berichten uit externe bronnen in beslag.
Configureren
- Selecteer "Alleen genoemde IP-adressen toestaan om verbinding te maken"
- Klik op "Toevoegen"
IP-toegangsconfiguratie in 3.3
- Er wordt een dialoogvenster geopend waar u de IP-adressen, IPv4 of IPv6, in CIDR-indeling kunt invoeren.
- Zodra IP is geconfigureerd, stelt u het masker in CIDR-indeling in.
- Klik op "Toevoegen"
ISE-GUI/CLI herstellen
- Aanmelden met console
- Stop ISE-services met applicatie stop ise
- Start ISE-services met applicatie start ise safe
- Verwijder de IP-toegangsbeperking uit de GUI.
Probleemoplossing
Neem een pakketopname om te controleren of ISE niet reageert of het verkeer laat vallen.
![alt-tag-for-image](/c/dam/en/us/support/docs/security/identity-services-engine/222103-configure-ip-access-restriction-in-ise-06.png)
Controleer ISE-firewallregels
- Voor 3.1 en lager kun je dit alleen controleren in de show tech.
- U kunt een show tech nemen en opslaan in de localdisk met behulp van "show tech-support bestand <filename>"
- Vervolgens kunt u het bestand overbrengen naar een repository met behulp van "copy disk:/<filename> ftp://<ip_address>/path" de repository URL verandert afhankelijk van het type repository dat u gebruikt
- U kunt het bestand downloaden naar uw computer, zodat u het kunt lezen en op zoek kunt naar "Running iptables -nvL"
- De eerste regels in de show tech zijn niet hieronder opgenomen. Met andere woorden, hier kunt u de laatste regels vinden die aan de showtech zijn toegevoegd door de beperkingsfunctie van IP Access.
*****************************************
Running iptables -nvL...
*****************************************
.
.
Chain ACCEPT_22_tcp_ipv4 (1 references)
pkts bytes target prot opt in out source destination
0 0 ACCEPT tcp -- eth0 * x.x.x.x/x 0.0.0.0/0 tcp dpt:22 Firewall rule permitting the SSH traffic from segment x.x.x.x/x
461 32052 ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED
65 4048 DROP all -- * * 0.0.0.0/0 0.0.0.0/0
Chain ACCEPT_161_udp_ipv4 (1 references)
pkts bytes target prot opt in out source destination
0 0 ACCEPT udp -- * * x.x.x.x/x 0.0.0.0/0 udp dpt:161 Firewall rule permitting the SNMP traffic from segment x.x.x.x/x
0 0 ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED
0 0 DROP all -- * * 0.0.0.0/0 0.0.0.0/0
- Voor 3.2 en hoger kunt u de opdracht "Toon firewall" gebruiken om de firewallregels te controleren.
- 3.2 en hoger bieden meer controle over de services die worden geblokkeerd door IP-toegangsbeperking.
gjuarezo-311/admin#show firewall
.
.
Chain ACCEPT_22_tcp_ipv4 (1 references)
pkts bytes target prot opt in out source destination
170 13492 ACCEPT tcp -- eth0 * x.x.x.x/x 0.0.0.0/0 tcp dpt:22 Firewall rule permitting the SSH traffic from segment x.x.x.x/x
0 0 ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED
13 784 DROP all -- * * 0.0.0.0/0 0.0.0.0/0
Chain ACCEPT_161_udp_ipv4 (1 references)
pkts bytes target prot opt in out source destination
0 0 ACCEPT udp -- * * x.x.x.x/x 0.0.0.0/0 udp dpt:161 Firewall rule permitting the SNMP traffic from segment x.x.x.x/x
0 0 ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED
0 0 DROP all -- * * 0.0.0.0/0 0.0.0.0/0
Chain ACCEPT_8910_tcp_ipv4 (1 references)
pkts bytes target prot opt in out source destination
0 0 ACCEPT tcp -- * * x.x.x.x/x 0.0.0.0/0 tcp dpt:8910 Firewall rule permitting the PxGrid traffic from segment x.x.x.x/x
0 0 ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED
90 5400 DROP all -- * * 0.0.0.0/0 0.0.0.0/0
Chain ACCEPT_8443_tcp_ipv4 (1 references)
pkts bytes target prot opt in out source destination
0 0 ACCEPT tcp -- * * x.x.x.x/x 0.0.0.0/0 tcp dpt:8443 Firewall rule permitting the HTTPS traffic from segment x.x.x.x/x
0 0 ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED
0 0 DROP all -- * * 0.0.0.0/0 0.0.0.0/0
Chain ACCEPT_8444_tcp_ipv4 (1 references)
pkts bytes target prot opt in out source destination
0 0 ACCEPT tcp -- * * x.x.x.x/x 0.0.0.0/0 tcp dpt:8444 Firewall rule permitting the Block List Portal traffic from segment x.x.x.x/x
0 0 ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED
0 0 DROP all -- * * 0.0.0.0/0 0.0.0.0/0
Chain ACCEPT_8445_tcp_ipv4 (1 references)
pkts bytes target prot opt in out source destination
0 0 ACCEPT tcp -- * * x.x.x.x/x 0.0.0.0/0 tcp dpt:8445 Firewall rule permitting the Sponsor Portal traffic from segment x.x.x.x/x
0 0 ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED
0 0 DROP all -- * * 0.0.0.0/0 0.0.0.0/0
Logboeken voor debuggen controleren
Waarschuwing: niet al het verkeer genereert logs. IP Access-beperking kan het verkeer op toepassingsniveau blokkeren met behulp van Linux Internal Firewall. SNMP, CLI en SSH zijn op firewallniveau geblokkeerd, zodat er geen logs worden gegenereerd.
- Schakel de component "Infrastructuur" in DEBUG vanuit GUI in.
- Gebruik show logging applicatie ise-psc.log tail
De volgende logbestanden kunnen worden weergegeven wanneer er actie wordt ondernomen tegen de beperking van IP-toegang.
2024-07-04 18:19:11,339 DEBUG [admin-http-pool31][] cisco.cpm.infrastructure.systemconfig.CpmIpFilterCache -::::- Low ip address10.31.126.128
2024-07-04 18:19:11,339 DEBUG [admin-http-pool31][] cisco.cpm.infrastructure.systemconfig.CpmIpFilterCache -::::- High ip address10.31.126.255
2024-07-04 18:19:11,339 DEBUG [admin-http-pool31][] cisco.cpm.infrastructure.systemconfig.CpmIpFilterCache -::::- Low ip address10.4.16.0
2024-07-04 18:19:11,339 DEBUG [admin-http-pool31][] cisco.cpm.infrastructure.systemconfig.CpmIpFilterCache -::::- High ip address10.4.23.255
2024-07-04 18:19:11,339 DEBUG [admin-http-pool31][] cisco.cpm.infrastructure.systemconfig.CpmIpFilterCache -::::- Checkin Ip in List returned false
Gerelateerde informatie