Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
このページの目次
 

Cisco ISEおよびJuniper EXスイッチを802.1Xベースの認証に設定する

このネットワーク構成例について

このネットワーク設定例(NCE)では、IEEE 802.1Xベースの認証用にCisco Identity Services Engine 2.X(Cisco ISE)およびJuniper EXスイッチを設定する方法を説明します。

概要

Cisco ISE 2.X には、多くのネットワーク デバイス プロファイルが事前にインポートされていますが、ジュニパー用のプロファイルは付属していません。ネットワーク デバイス プロファイルは、MAC Radius、dot1x 認証、VLAN と ACL の割り当て、CoA 機能の処理方法を指定します。

Cisco ISE では、ネットワーク デバイス プロファイルを XML 形式でインポートして、IEEE 802.1X 標準ネットワーク デバイスとの統合を可能にします。この例では、ジュニパー ネットワーク デバイス プロファイルをインポートし、Cisco ISE および Juniper EX スイッチで IEEE 802.1X ベースの認証を許可する設定を行う方法を示します。

トポロジ

この例では、 図 1 のネットワーク トポロジーを使用します。

図 1: トポロジの例 Example Topology

この例で使用されているハードウェアおよびソフトウェア コンポーネントの詳細を次に示します。

デバイス

ソフトウェアバージョン

役割

ジュニパーEX2300-C-12P

Junos 18.2R1-S1

スイッチとオーセンティケータ

Cisco ISE

2.4.0.357 パッチ2-18080100

RADIUS サーバー

ポリコム VVX 310 IP 電話

SIP/5.5.1.11526/22-11-16 15:05

サプリカント(MAC Radius)

ウィンドウズ 10 プロフェッショナル

2018-08-22現在のすべての推奨パッチ

サプリカント(dot1x)

ネットワークプリンタ

N/a

サプリカント(MAC Radius)

Juniper Mist AP43

0.6.18981

サプリカント(MAC Radius)

すべてのユーザとエンドポイントは、内部の Cisco ISE データベースに保存されます。

Microsoft Active Directory、LDAP、証明書ベース認証などの外部ユーザ データベースの統合については、 『Cisco Identity Services Engine Administrator Guide, Release 2.4』を参照してください。

手順

ジュニパー有線デバイスプロファイルをインポートする

ネットワーク上でCisco ISEが稼働していると仮定すると、まずJuniper EXスイッチデバイスプロファイルを追加する必要があります。

  1. Cisco ISE 用の最新のジュニパー EX スイッチ デバイス プロファイルをダウンロードします(Cisco ISE 2.7 で検証済み)。
  2. Cisco ISE で、[ 管理] > [ネットワーク リソース] > [ネットワーク デバイス プロファイル] を選択します。
  3. [ インポート(Import )] をクリックし、手順 1 でダウンロードした Juniper EX スイッチ デバイス プロファイルを選択します。ジュニパーネットワークデバイスプロファイルをインポートすると、Cisco ISEネットワークデバイスプロファイルリストにJuniper_Wiredとして表示されます。

ジュニパーデバイスプロファイルへのEXスイッチの追加

EXスイッチは個別に追加することも、IPアドレス範囲として追加することもできます。

  1. Cisco ISE で、[ 管理] > [ネットワーク リソース] > [ネットワーク デバイス] を選択します。
  2. [ネットワーク デバイス] 画面で、Juniper_Wiredデバイス プロファイルを選択します。
  3. EXスイッチの名前とIPアドレスを指定します。複数のEXスイッチを追加する場合は、IPアドレス範囲を指定できます。
  4. RADIUS パスワードを指定します。これは、後でEXスイッチを構成するときに必要になります。

許可プロファイルの作成

認可プロファイルを使用すると、ユーザーまたはエンドポイントに異なる属性を適用できます。名前または VLAN ID で VLAN を変更できます。スイッチにすでに設定されているファイアウォールフィルターを割り当てることもできます。この例では、4 つの認証プロファイルを作成します。

  • Juniper_VoIP_VLAN_500

  • Juniper_VoIP_VLAN_100

  • Juniper_VoIP_VLAN_100_ACL

  • Juniper_VoIP_VLAN_100_dACL

最初のプロファイルは、Juniper-VoIP-VLAN属性を使用してVoIP VLANを500に設定します。

  1. Cisco ISE で、[ ポリシー>結果] を選択し、左側のペインから [ 許可] > [許可プロファイル] を選択します。
  2. プロファイル Juniper_VoIP_VLAN_500に という名前を付けます。
  3. VLAN ID/名前 500を に設定します。
  4. [ 追加] をクリックします。

2 番目の認証プロファイルは、VLAN ID の標準 RADIUS 属性を使用して、データ VLAN を 100 に設定します。

  1. Cisco ISE で、[ ポリシー>結果] を選択し、左側のペインから [ 認可] > [許可プロファイル] を選択します。

  2. プロファイル Juniper_VoIP_VLAN_100に という名前を付けます。

  3. VLAN ID/名前 100を に設定します。

  4. [ 追加] をクリックします。

3 番目のプロファイルは、データ VLAN を 100 に設定し、ローカル ファイアウォール フィルター/ACL をサプリカントに適用します。このファイアウォールフィルター/ACLは、スイッチ上ですでに設定されている必要があります。ファイアウォールフィルター/ACLは、標準のフィルターID半径属性を使用して適用されます。スイッチに設定されているローカルフィルターの名前を入力します。

  1. Cisco ISE で、[ ポリシー] > [結果] を選択し、左側のペインから [ 認可] > [許可プロファイル] を選択します。

  2. プロファイル Juniper_VoIP_VLAN_100_ACLに という名前を付けます。

  3. [共通タスク] で、[ACL (フィルター ID)] を [すべて拒否] に設定します。

  4. VLAN ID/名前 100を に設定します。

  5. [ 追加] をクリックします。

4 番目の認証プロファイルは、データ VLAN を 100 に設定し、動的/ダウンロード可能なファイアウォール フィルター/ACL をサプリカントに適用します。このファイアウォールフィルター/ACLは動的に作成されるため、スイッチ上でローカルに設定する必要はありません。この認証プロファイルは、Juniper-Switching-Filter属性を使用します。

メモ:

構文と機能セットは、通常のJunosファイアウォールフィルター/ACLとは異なります。複数のエントリはコンマで区切ります。構文の詳細については、 Juniper-Switching-Filter VSA一致条件とアクション を参照してください。

エンドポイント ID グループの作成

IP Phone などのエンドポイントは、エンドポイント ID グループにグループ化して、VoIP VLAN などの共通属性を簡単に適用できます。

  1. Cisco ISE で、[ 管理] > [グループ] > [エンドポイント ID グループ] を選択します。
  2. [ 追加] をクリックします。
  3. [エンドポイント ID グループ] の下に [名前] と [説明] を入力します。
  4. [ 送信] をクリックします。

エンドポイントの追加

このセットアップの Polycom IP Phone は、dot1x 認証用には設定されていません。代わりに、MAC RADIUSとMAC認証バイパス(MAB)に依存しています。

  1. Cisco ISE で、[ エンドポイント>コンテキストの可視性] を選択します。
  2. [+] をクリックします。
  3. IP Phone の MAC アドレスを追加し、ポリシー グループに割り当てます。
  4. 保存」をクリックします。

ユーザ ID グループの作成

ユーザ識別グループを使用すると、グループのメンバーであるユーザに特定の属性を適用できます。この例では、3 つの新しいユーザ ID グループを作成します。

  • VLAN_100_User_ID_Group

  • VLAN_100_ACL_User_ID_Group

  • VLAN_100_dACL_User_ID_Group

  1. Cisco ISE で、[ 管理] > [グループ] > [ユーザ ID グループ] を選択します。
  2. [ 追加] をクリックします。
  3. ユーザ ID グループの名前を入力し、[ 送信(Submit)] をクリックします。

ユーザーの追加

この例では、user1、user2、および user3 という名前の 3 つのローカル ユーザーを作成します。各ユーザは、異なるユーザ ID グループに割り当てられます。

  1. Cisco ISE で、[ 管理] > [アイデンティティ管理] を選択します。
  2. [ 追加] をクリックします。
  3. 名前とログインパスワードを入力します。
  4. [ユーザ グループ(User Groups)] ドロップダウン リストから、新しいユーザに割り当てるユーザ ID グループを選択します。

    この例では、新しいユーザを次のユーザ ID グループに割り当てます。

    • ユーザー 1 からVLAN_100_User_ID_Group

    • ユーザー 2 からVLAN_100_ACL_User_ID_Group

    • ユーザー 3 からVLAN_100_dACL_User_ID_Group

作成した 3 人のユーザーの概要を次に示します。

認証ポリシーの設定

認証ポリシーには、デフォルトで 3 つのエントリが含まれています。

定義済みの MAB および dot1x ルールには、ネットワーク デバイス プロファイルに関連付けられた条件があります。ジュニパーのデバイスから要求があった場合、スイッチは自動的にジュニパーのネットワーク デバイス プロファイルで設定された属性を使用して、MAB および dot1x 要求を認証します。Default という名前の認証ポリシーには、許可されたプロトコルの既定のネットワーク アクセス ポリシーが含まれています。このネットワークアクセスポリシーは、Juniper EXスイッチと互換性があります。

この例では、既定の認証ポリシーを使用します。

  1. [ ポリシー] > [ポリシーセット] を選択します。
  2. 「デフォルト」ポリシー・セットの右端にある「 > 」をクリックし、ドロップダウン・ボックスから「 デフォルト・ネットワーク・アクセス 」を選択します。

Cisco ISE デフォルト ネットワーク アクセス プロファイル

Juniper EXスイッチのデフォルトネットワークアクセスプロファイルのCisco ISE設定を次に示します。

認可ポリシーの設定

承認ポリシーの順序は重要であり、設定によって異なる場合があります。作成しようとしているルールの上に一般的なルールがないことを確認してください。

この例では、それぞれ 3 つの条件を持つ 4 つの新しいルールを作成します。

  • ジュニパーEXスイッチに接続されたポリコムIP電話用VLAN 500

  • ジュニパーEXスイッチに接続されたdot1xユーザー向けのVLAN 100

  • ジュニパーEXスイッチに接続されたdot1xユーザー用のACL付きVLAN 100

  • ジュニパーEXスイッチに接続されたdot1xユーザー向けのdACLを備えたVLAN 100

  1. [承認ポリシー] を展開し、画面の左上隅にある [+] ボタンをクリックします。
  2. ルールの名前を入力します(例: VLAN 500 for Polycom IP Phones connected to Juniper EX Switches)。
  3. [条件] をクリックして条件ツールを開きます。
  4. 左側のライブラリから右側のエディターにドラッグアンドドロップします。一致させるさまざまな属性を構築します。
  5. 完了したら、[ 保存] をクリックしないでください。代わりに、右下隅にある [US] ボタンをクリックします。

条件スタジオの例を次に示します。

この 4 つの新しいルールを分析してみましょう。各ルールには 3 つの条件があります。最初の 2 つの条件は同じですが、3 番目の条件は別の属性で一致します。ルールがポートに適用されるのは、3 つの条件がすべて満たされた場合のみです。

ルール

エンドポイントが

次に、スイッチはポート/サプリカントをに割り当てます。

ジュニパーEXスイッチに接続されたポリコムIP電話用VLAN 500

ネットワークアクセス認証に合格し、リクエストがジュニパーEXスイッチから送信され、エンドポイントがPolycom-IP-Phoneグループに存在する

音声 VLAN 500

ジュニパーEXスイッチに接続されたdot1xユーザー向けのVLAN 100

ネットワークアクセス認証に合格し、要求がジュニパーEXスイッチから送信され、エンドポイントがVLAN_100_User_ID_Group内にある

データ VLAN 100

ジュニパーEXスイッチに接続されたdot1xユーザー用のACL付きVLAN 100

ネットワークアクセス認証に合格し、リクエストがジュニパーEXスイッチから送信され、エンドポイントがVLAN_100_ACL_User_ID_Group内にある

データ VLAN 100 と ACL

ジュニパーEXスイッチに接続されたdot1xユーザー向けのdACLを備えたVLAN 100

ネットワークアクセス認証に合格し、要求がジュニパーEXスイッチから送信され、エンドポイントがVLAN_100_dACL_User_ID_Group内にある

データ VLAN 100 と動的/ダウンロード可能な ACL

ゲスト アクセスを有効にするための Cisco ISE ポリシーの設定

Cisco ISE ゲスト ポータルを含むゲスト アクセスのユースケースの場合、Juniper EX スイッチは、Juniper-CWA-Redirect-URL VSA と特別なフィルタ ID JNPR_RSVD_FILTER_CWAをサポートし、不明なゲスト クライアントを Cisco ISE ポータルにリダイレクトします。次の図は、Cisco ISE でのゲスト アクセス フローの概要を示しています。

このシナリオのJuniper EXスイッチの構成を次に示します。

ゲスト アクセスを有効にするように Cisco ISE ポリシーを設定する方法を次に示します。

  1. Cisco ISE で、[ ポリシー セット] >有線アクセスを選択します。
  2. WIRED MAB 認証ポリシーがデータ ストアの [内部エンドポイント] に設定され、[ユーザーが見つからない場合] と [プロセスが失敗した場合] の [続行] が設定されていることを確認します。
  3. 2 つの承認ポリシーを作成します。クライアント(MAC)がすでにゲストエンドポイント ID グループに登録されている場合、Cisco ISE は「アクセスを許可」メッセージを送信します。それ以外の場合、Cisco ISE は CWA リダイレクト属性を送信して、クライアントを Cisco ISE ゲスト ポータルに移動します。

    次に、ゲストリダイレクト有線認証プロファイルの設定例を示します。

    メモ:

    CWAフィルターを機能させるには、FQDNの代わりに静的IPアドレスを構成する必要があります。または、ジュニパースイッチングフィルターをFQDNベースのリダイレクトURLで使用することもできます。
  4. EXスイッチのCLIで設定を確認します。

    クライアントが Cisco ISE で認証されると、Cisco ISE は CoA を送信します。再認証時に、EX スイッチの CLI 出力に正常な MAC 認証が表示されます。

IETF Egress-VLAN-ID 属性を使用した無色ポートの設定

Junos 20.4 以降では、スイッチ ポートをアクセス/トランク ポートに自動的に設定し、RADIUS(Cisco ISE)応答に基づいて複数の VLAN を割り当てることができます。例えば、スイッチに共通のポート構成を設定し、Mist AP、プリンター、会社のラップトップなど、接続デバイスのIDに基づいて自動的に再構成することができます。

タグなしの管理用ネイティブVLANを使用してMist AP用に構成されたトランクポートの例を次に示します。

デフォルトでは、ポートは 802.1X および MAC-RADIUS が有効になっているアクセス ポートとして設定されます。

Cisco ISE で新しいプロファイラ ポリシーを作成して、Mist MAC-OUI に基づいて Mist AP を自動プロファイリングする方法を次に示します。プロファイラ ポリシーは、完全なスイッチ ポート構成(ネイティブ VLAN 51 とその他すべての必須 VLAN がタグ付けされたトランク)を送信します。

  1. [ ポリシー] > [プロファイリング] > [プロファイル ポリシー] > [新規作成] を選択します。
  2. 現在の Mist MAC OUI を指定するために、Radius_Calling_Station_ID_STARTSWITH 5c-5b-35 または d2-20-b0 を使用して 2 つのルールを作成します。
  3. プロファイラー ポリシーを保存します。
  4. プロファイラー ポリシーに移動し、別の承認規則を追加します。

    認証プロファイルは次のようになります。

上記のすべての数値はどのようにして取得しましたか?次の式を使用しました。

  1. access-acceptでプッシュする各VLANの16進数値を作成します。16 進形式は 0x31000005です。最初の 7 文字は、0x31000 (タグ付き) または 0x32000 (タグなし) のいずれかです。最後の3文字は、16進数に変換された実際のVLAN IDです。 10進数から16進数へのコンバーター を使用して、16進数の値を取得できます。たとえば、タグなしのVLAN 51を送信する場合、値は 0x32000033 です。

  2. この 16 進数値を入力したら、値全体を 10 進数に戻します。この 1進数から10進数へのコンバーター を使用して、10進数を取得できます。

    この例では、0x32000033 を 10 進数に変換すると、値は 52428851 になります。

  3. 10 進数値を使用して Cisco ISE 許可プロファイルを設定します。

  4. Mist APを差し込み、出力を確認します。

EXスイッチで802.1Xプロトコルを設定する

ウィンドウズ10を設定する

  1. キーボードの Windows キーを押して、services.msc を検索します。
  2. 右クリックして、有線自動構成サービスを有効にします。
  3. [コントロールパネル]>[ネットワークと共有センター]を選択して>アダプター設定を変更します
  4. 有線接続に使用するアダプタを右クリックし、[ プロパティ]を選択します。
  5. [ 認証 ] タブをクリックし、[ Microsoft で保護された EAP] を選択して、[ 設定] をクリックします。
  6. チェックボックスをオフにして、サーバ ID 証明書を検証します。
    注意:

    これはテストのみを目的としています。本番環境ではこれを無効にしないでください。クライアントには常に信頼できる CA 証明書をプロビジョニングします。実稼働環境では、Cisco ISE 証明書をインストールする必要があります。『 Cisco アイデンティティ サービス エンジン管理者ガイド、リリース 2.4』を参照してください。

    OK をクリックします。

  7. 「イーサネット・プロパティー」ウィンドウに戻ります。[ 追加設定] をクリックします。
  8. [ ユーザー認証 ] を選択し、[ 資格情報の保存] をクリックします。
  9. ユーザー名とパスワード(例:user1、user2、user3)を入力します。
  10. OK をクリックします。

テストと検証

IP 電話の認証ステータスの確認

  1. IP電話をポートge-0/0/0に接続した後、 コマンドを実行し、 show dot1x interface ge-0/0/0 MAC認証バイパスを使用して認証されていることを確認します。
  2. show dot1x interface ge-0/0/0 detailコマンドを実行して詳細な出力を表示し、MAC Radiusを使用してIP電話を認証していることを確認します。
  3. このコマンドを実行して、 show ethernet-switching interface ge-0/0/0 Cisco ISE がポート ge-0/0/0 のタグ付き VLAN として音声 VLAN 500 を適用していることを確認します。
  4. show lldp neighbors interface ge-0/0/0コマンドを実行してLLDP出力を表示し、IP電話が音声にタグ付きVLAN 500を使用していることを確認します。
  5. Cisco ISE で認証ステータスを確認します。[ オペレーション] > [ライブログ] を選択します。
  6. [ オペレーション] > [ライブセッション] を選択します。

Windows 10 クライアントへの接続を確認する

ユーザー 1 の確認

  1. ユーザー 1 の dot1x クレデンシャルを Windows で入力し、PC を IP フォンに接続します。user1 が認証されていることを確認します。
  2. Cisco ISE がデータ VLAN 100 をポート ge-0/0/0 に適用していることを確認します。
  3. Cisco ISE ログを表示します。[ オペレーション] > [ライブログ] を選択します。
  4. オペレーション>ライブセッションの選択

ユーザー 2 の確認

  1. Windows の資格情報をユーザー 2 に変更します。
  2. user2 が認証されていることを確認します。
  3. Cisco ISE がデータ VLAN 100 を適用し、deny_all と呼ばれるローカルに設定されたファイアウォール フィルタ/ACL も適用していることを確認します。
  4. Cisco ISE ログを表示します。 [操作] -[ライブログ>] を選択します。user2 に適用される異なる許可ポリシー、データ VLAN 100 + ACL deny_allに注意してください。
  5. [ 操作] > [ライブセッション] を選択します。

ユーザー 3 の確認

  1. Windows で資格情報をユーザー 3 に変更します。
  2. user3 が認証されていることを確認します。
  3. Cisco ISE がデータ VLAN 100 を適用し、動的/ダウンロード可能なファイアウォール フィルタ/ACL もサプリカントに適用していることを確認します。
  4. サプリカントに対してファイアウォールフィルターがアクティブになっていることを確認します。用語は次の順序で指定する必要があります。

    • t0は最初の項です

    • T1は2番目の用語です

    • t-nameのないT 用語は、すべてのトラフィックを許可する最後の用語です

  5. Cisco ISE ログを表示します。[ オペレーション] > [ライブログ] を選択します。user3 に適用される異なる許可ポリシー、データ VLAN 100 + dACL に注意してください。
  6. [オペレーション] > [ライブセッション] を選択します
  7. user3 が認証されていることを確認します。
  8. Cisco ISE ログを表示します。[ 操作] > [ライブ セッション] > [CoA アクションの表示] > ユーザー 3 の [セッション終了 ] を選択します。
  9. [ CoA アクションとセッション終了の表示] をクリックします。
  10. user3 セッションが終了したことを確認します。

ポートバウンスによるCoAセッション切断の確認

  1. IP 電話が認証されていることを確認します。(0004f228b69d1)
  2. Cisco ISE ログを表示します。[ 操作] > [ライブ セッション] > [CoA アクションの表示] > [IP Phone のセッション終了] を選択します
  3. [ CoA アクションの表示 ] をクリックし、[ ポート バウンスによるセッションの終了] を選択します。
  4. コマンドを実行 show dot1x interface すると、ポートがバウンスされたため、すべてのセッションが終了したことがわかります。