一、始めに
Catalyst スイッチ IOS XE 16.X で 802.1X、MAB、TrustSec などを設定し、Downloadable ACL、Security Group Tag (SGT) 機能などを使用する場合は、SIFS (Switch Integrated Security Features) を設定する必要があります。
本稿では IOS XE 16.X で SISFにより Device Tracking を設定する方法について説明します。
Catalystスイッチの Device Tracking 機能はスイッチに接続されたデバイスを追跡する機能で、スイッチに “ip device tracking XXX”関連の設定を追加することにより使用できます(※1)。
しかし IOS XE 16.X からは Device Tracking の設定は SISF ベースの設定に移行しています(※2)。
SIFS の有効化にはスイッチのほかの関連機能により自動的に有効化する方法とマニュアル的に有効化する方法があります。本稿ではマニュアル的に有効化する方法について説明します。
二、ネットワークト構成図と使用機器
本稿では以下のデバイスを使用しています:
|
スイッチ:Catalyst 9300L, 16.12.3a 認証サーバ: ISE 2.6 端末: Windows 10 PC |
三、シナリオと設定方法
(1) SISF を設定しない場合
まずはSISFを設定しない状態で C9300L に Dot1X 認証を設定し、ISE により Win10 PC を認証します。
以下が C9300L での Dot1X 認証関連の設定となります。認証サーバ ISE 及び PC 側の設定は省略します。
|
aaa new-model aaa group server radius ISE server name ISE-1
aaa authentication dot1x default group ISE aaa authorization network default group ISE aaa accounting update newinfo aaa accounting dot1x default start-stop group ISE
radius server ISE-1 address ipv4 1.180.130.61 auth-port 1812 acct-port 1813
aaa server radius dynamic-author client 1.180.130.61 server-key cisco
dot1x system-auth-control
interface GigabitEthernet1/0/10 switchport access vlan 1356 switchport mode access authentication order dot1x mab authentication priority dot1x mab authentication port-control auto mab dot1x pae authenticator |
上記の設定で PC を認証させると Device Tracking が機能していないため、 IPv6/IPv4 アドレスが “Unknown” と表示されているのが確認できます。
|
C9300L#show authentication sessions interface gigabitEthernet 1/0/10 details Interface: GigabitEthernet1/0/10 IIF-ID: 0x1760E5AD MAC Address: 0090.ccef.b8db IPv6 Address: Unknown IPv4 Address: Unknown User-Name: testuser1 Status: Authorized Domain: DATA Oper host mode: single-host Oper control dir: both Session timeout: N/A Common Session ID: 5EFEB40100000012B5C634D0 Acct Session ID: 0x0000000a Handle: 0xfa000008 Current Policy: POLICY_Gi1/0/10 Local Policies: Service Template: DEFAULT_LINKSEC_POLICY_SHOULD_SECURE (priority 150) Security Policy: Should Secure Security Status: Link Unsecured Server Policies: SGT Value: 16 Method status list: Method State dot1x Authc Success |
(2) SISF による Device Tracking の設定
SISF により Device Tracking を設定するためには、まずグローバル設定にて device-tracking ポリシーを設定します。
以下の例では Device Tracking ポリシー Track_Policy1 を設定し、tracking を有効にしています。
|
device-tracking policy Track_Policy1 tracking enable |
Device-Tracking ポリシーには上記の“tracking enable”以外にも使用 protocol の指定、最大アドレス数の指定なども設定できます。本稿ではデフォルトのままにします。
次にTrack_Policy1をDevice Trackingを有効にしたいインタフェース( 本稿では Gig1/0/10 ) に適用します。
|
interface GigabitEthernet1/0/10 device-tracking attach-policy Track_Policy1 |
上記の設定後 PC を再認証させるとスイッチが PC の IPv6/IPv4 アドレスを両方学習しているのが確認できます。
|
C9300L-1#$tication sessions interface gigabitEthernet 1/0/10 details Interface: GigabitEthernet1/0/10 IIF-ID: 0x1BA82F82 MAC Address: 0090.ccef.b8db IPv6 Address: fe80::e058:32e:1d7:c9e9 fd00:10:15:1:e058:32e:1d7:c9e9 fd00:10:15:1:2466:dbf2:a09f:aeb2 IPv4 Address: 192.168.56.106 User-Name: testuser1 Status: Authorized Domain: DATA Oper host mode: single-host Oper control dir: both Session timeout: N/A Common Session ID: 5EFEB40100000014B5CE68F5 Acct Session ID: 0x0000000c Handle: 0x8500000a Current Policy: POLICY_Gi1/0/10 Local Policies: Service Template: DEFAULT_LINKSEC_POLICY_SHOULD_SECURE (priority 150) Security Policy: Should Secure Security Status: Link Unsecured Server Policies: SGT Value: 16 Method status list: Method State dot1x Authc Success |
四、参考文献
※1 IP デバイス追跡(IPDT)の概要
※2 Cisco IOS XE Denali 16.1.1(Catalyst 3650 スイッチ) ソフトウェアコンフィギュレーションガイド
