在ISE中配置IP访问限制
简介
本文档介绍在ISE 3.1、3.2和3.3中配置IP访问限制的可用选项。
先决条件
要求
Cisco 建议您了解以下主题:
- 思科身份服务引擎基础知识
使用的组件
本文档不限于特定的软件和硬件版本。
本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始(默认)配置。如果您的网络处于活动状态,请确保您了解所有命令的潜在影响。
背景信息
IP访问限制功能允许管理员控制哪些IP地址或范围可以访问ISE管理员门户和服务。
此功能适用于各种ISE接口和服务,包括:
- 管理员门户访问和CLI
- ERS API访问
- 访客和发起人门户访问
- 我的设备门户访问
启用时,ISE仅允许来自指定IP地址或范围的连接。阻止从非指定IP访问ISE管理接口的任何尝试。
在意外锁定情况下,ISE提供可绕过IP访问限制的“安全模式”启动选项。这样,管理员可以重新获得访问权限并纠正任何错误配置。
ISE 3.1及更低版本中的行为
导航至Administration > Admin Access > Settings > Access。您有以下选项:
- 会话
- IP访问
- MnT访问
配置
- 选择“仅允许列出的IP地址连接”
- 点击“添加”
IP访问配置
- 在ISE 3.1中,您没有在“管理员”和“用户”服务之间选择的选项,启用IP访问限制阻止连接到:
- GUI
- CLI
- SNMP
- SSH
- 将打开一个对话框,您可以在其中输入CIDR格式的IP地址(IPv4或IPv6)。
- 配置IP后,以CIDR格式设置掩码。
编辑IP CIDR
注意:IP CIDR(无类域间路由)格式是表示IP地址及其相关路由前缀的方法。
示例:
IP:10.8.16.32
掩码: /32
注意:配置IP限制时必须小心,以免意外锁定合法管理员访问权限。Cisco建议在完全实施任何IP限制配置之前对其进行全面测试。
提示:对于IPv4地址:
- 对特定IP地址使用/32。
- 对于子网,请使用任何其他选项。示例:10.26.192.0/18
ISE 3.2中的行为
导航至Administration > Admin Access > Settings > Access。您可以使用以下选项:
- 会话
- IP访问
- MnT访问
配置
- 选择“仅允许列出的IP地址连接”
- 点击“添加”
IP访问配置
- 将打开一个对话框,您可以在其中输入CIDR格式的IP地址(IPv4或IPv6)。
- 配置IP后,以CIDR格式设置掩码。
- 这些选项可用于IP访问限制
- 管理服务:GUI、CLI (SSH)、SNMP、ERS、OpenAPI、UDN、API网关、PxGrid(在补丁2中已禁用)、MnT分析
- 用户服务:访客、BYOD、状态、分析
- 管理员和用户服务
编辑IP CIDR
- 点击“保存”按钮
- “ON”表示启用管理服务,“OFF”表示禁用用户服务。
3.2中的IP访问配置
ISE 3.2 P4及更高版本中的行为
导航至Administration > Admin Access > Settings > Access。您可以使用以下选项:
- 会话
- 管理GUI&CLI:ISE GUI (TCP 443)、ISE CLI (SSH TCP22)和SNMP。
- 管理服务:ERS API、Open API、pxGrid、DataConnect。
- 用户服务:访客、BYOD、状态。
- MNT访问:使用此选项,ISE不使用从外部源发送的系统日志消息。
配置
- 选择“仅允许列出的IP地址连接”
- 点击“添加”
3.3中的IP访问配置
- 将打开一个对话框,您可以在其中输入CIDR格式的IP地址(IPv4或IPv6)。
- 配置IP后,以CIDR格式设置掩码。
- 点击“添加”
恢复ISE GUI/CLI
- 使用控制台登录
- 使用应用停止ISE停止ISE服务
- 使用application start ise safe启动ISE服务
- 从GUI中删除IP访问限制。
故障排除
执行数据包捕获,验证ISE是否不响应或丢弃流量。
检查ISE防火墙规则
- 对于3.1及更低版本,只能在show tech中检查。
- 您可以获取一个show tech,并使用“show tech-support file <filename>”将其存储在本地磁盘中
- 然后,您可以使用“copy disk:/<filename> ftp://<ip_address>/path”将文件传输到存储库,存储库url会根据您使用的存储库类型而变化
- 您可以将该文件下载到您的计算机,以便读取它并查找“Running iptables -nvL”
- 下面不包括show tech命令的初始规则。换句话说,在这里可以找到附加到show tech by IP Access限制功能的最后规则。
*****************************************
Running iptables -nvL...
*****************************************
.
.
Chain ACCEPT_22_tcp_ipv4 (1 references)
pkts bytes target prot opt in out source destination
0 0 ACCEPT tcp -- eth0 * x.x.x.x/x 0.0.0.0/0 tcp dpt:22 Firewall rule permitting the SSH traffic from segment x.x.x.x/x
461 32052 ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED
65 4048 DROP all -- * * 0.0.0.0/0 0.0.0.0/0
Chain ACCEPT_161_udp_ipv4 (1 references)
pkts bytes target prot opt in out source destination
0 0 ACCEPT udp -- * * x.x.x.x/x 0.0.0.0/0 udp dpt:161 Firewall rule permitting the SNMP traffic from segment x.x.x.x/x
0 0 ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED
0 0 DROP all -- * * 0.0.0.0/0 0.0.0.0/0
- 对于3.2及更高版本,您可以使用命令“show firewall”检查防火墙规则。
- 3.2及更高版本可以更好地控制被IP访问限制阻止的服务。
gjuarezo-311/admin#show firewall
.
.
Chain ACCEPT_22_tcp_ipv4 (1 references)
pkts bytes target prot opt in out source destination
170 13492 ACCEPT tcp -- eth0 * x.x.x.x/x 0.0.0.0/0 tcp dpt:22 Firewall rule permitting the SSH traffic from segment x.x.x.x/x
0 0 ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED
13 784 DROP all -- * * 0.0.0.0/0 0.0.0.0/0
Chain ACCEPT_161_udp_ipv4 (1 references)
pkts bytes target prot opt in out source destination
0 0 ACCEPT udp -- * * x.x.x.x/x 0.0.0.0/0 udp dpt:161 Firewall rule permitting the SNMP traffic from segment x.x.x.x/x
0 0 ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED
0 0 DROP all -- * * 0.0.0.0/0 0.0.0.0/0
Chain ACCEPT_8910_tcp_ipv4 (1 references)
pkts bytes target prot opt in out source destination
0 0 ACCEPT tcp -- * * x.x.x.x/x 0.0.0.0/0 tcp dpt:8910 Firewall rule permitting the PxGrid traffic from segment x.x.x.x/x
0 0 ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED
90 5400 DROP all -- * * 0.0.0.0/0 0.0.0.0/0
Chain ACCEPT_8443_tcp_ipv4 (1 references)
pkts bytes target prot opt in out source destination
0 0 ACCEPT tcp -- * * x.x.x.x/x 0.0.0.0/0 tcp dpt:8443 Firewall rule permitting the HTTPS traffic from segment x.x.x.x/x
0 0 ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED
0 0 DROP all -- * * 0.0.0.0/0 0.0.0.0/0
Chain ACCEPT_8444_tcp_ipv4 (1 references)
pkts bytes target prot opt in out source destination
0 0 ACCEPT tcp -- * * x.x.x.x/x 0.0.0.0/0 tcp dpt:8444 Firewall rule permitting the Block List Portal traffic from segment x.x.x.x/x
0 0 ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED
0 0 DROP all -- * * 0.0.0.0/0 0.0.0.0/0
Chain ACCEPT_8445_tcp_ipv4 (1 references)
pkts bytes target prot opt in out source destination
0 0 ACCEPT tcp -- * * x.x.x.x/x 0.0.0.0/0 tcp dpt:8445 Firewall rule permitting the Sponsor Portal traffic from segment x.x.x.x/x
0 0 ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED
0 0 DROP all -- * * 0.0.0.0/0 0.0.0.0/0
检查调试日志
警告:并非所有流量都生成日志。IP访问限制可以在应用级别使用Linux内部防火墙阻止流量。SNMP、CLI和SSH在防火墙级别被阻止,因此不会生成任何日志。
- 在GUI的DEBUG中启用“基础架构”组件。
- 使用show logging application ise-psc.log tail
当IP访问限制执行操作时,可以查看下一个日志。
2024-07-04 18:19:11,339 DEBUG [admin-http-pool31][] cisco.cpm.infrastructure.systemconfig.CpmIpFilterCache -::::- Low ip address10.31.126.128
2024-07-04 18:19:11,339 DEBUG [admin-http-pool31][] cisco.cpm.infrastructure.systemconfig.CpmIpFilterCache -::::- High ip address10.31.126.255
2024-07-04 18:19:11,339 DEBUG [admin-http-pool31][] cisco.cpm.infrastructure.systemconfig.CpmIpFilterCache -::::- Low ip address10.4.16.0
2024-07-04 18:19:11,339 DEBUG [admin-http-pool31][] cisco.cpm.infrastructure.systemconfig.CpmIpFilterCache -::::- High ip address10.4.23.255
2024-07-04 18:19:11,339 DEBUG [admin-http-pool31][] cisco.cpm.infrastructure.systemconfig.CpmIpFilterCache -::::- Checkin Ip in List returned false
相关信息
修订历史记录
| 版本 | 发布日期 | 备注 |
|---|---|---|
1.0 |
05-Jul-2024 |
初始版本 |
反馈