|
◆ Cisco ISE - MAB(MAC Authentication Bypass)の設定 - ダイナミックVLAN
認証(Authentication)成功後、認可(Authorization)フェーズで動的にVLAN IDをRadiusクライアントに
Atrriubteとして送ることができます。Cisco ISEでは、Cisco ISE - MAB設定のMACアドレス登録の設定に
加えて、ポリシーの作成前に認可(Authorization)プロファイルの作成が必要となります。以下の設定では
MAB-VLAN201という名前の認可プロファイルを作成しています。
以下の通りVLAN部分にチェックを入れて、Radiusクライアントに送信したいVLAN IDを入力します。
最後に「Submit」を押します。
そして、ポリシー定義の際にPermissionで以下の通りAuthorization Profileを指定します。
該当するMACアドレスのデバイスを接続したスイッチポートにVLAN201が割り当てられる事を確認できます。
また、Operationsの認証/認可の結果のDetailsにおいて以下のとおり、VLAN ID 201の送信を確認できます。
◇ ISEのAuthenticationのDetailsの画面の一部
 |
|
◆ Cisco ISE - MAB(MAC Authentication Bypass)の設定 - ダイナミックVLAN + dACL
CatalystスイッチやWLCなどのRadiusクライアントなどで認証前ACLを設定していて、そのACLをdACLで
上書きしたい場合には以下の通り「DACL Name」にチェックを入れます。そして、どのdACLを適用したい
のかをメニューで選択します。ここでは「PERMIT_ALL_TRAFFIC」を指定していますがこれはデフォルトで
存在するpermi ip any anyの意味を持つdACLです。
dACLにより、CatalystスイッチやWLCの認証前ACLを書き換えるような動作をさせることになることから
Attirubutes Setting において、cisco-av-pairではprivilege level 15にして、Radius Service-Typeには
Loginを指定する必要があります。 なお、ポリシーの定義方法に変更はありません。
ISEの「Operation」⇒「Authentication」の画面でEvent ID 5200 Authentication Succeeded以外に
Event 5232のDACL Download Succeededが表示されることになります。つまり2行のSuccessが表示。
|