キャンセル
次の結果を表示 
次の代わりに検索 
もしかして: 
cancel
告知

JTAC-Mid-Career-Recruitment-2021.3

 AMATopBanner2021.4.23.JPG

 2021Apr.TopBanner.JPG

 

IOS XE 16.X: SISF によるDevice Tracking の設定

243
閲覧回数
0
いいね!
0
コメント

一、始めに

Catalyst スイッチ IOS XE 16.X 802.1XMABTrustSec などを設定し、Downloadable ACLSecurity Group Tag (SGT) 機能などを使用する場合は、SIFS (Switch Integrated Security Features) を設定する必要があります。

本稿では IOS XE 16.X SISFにより Device Tracking を設定する方法について説明します。

Catalystスイッチの Device Tracking 機能はスイッチに接続されたデバイスを追跡する機能で、スイッチに “ip device tracking XXX”関連の設定を追加することにより使用できます(※1)

しかし IOS XE 16.X からは Device Tracking の設定は SISF ベースの設定に移行しています(※2)。

SIFS の有効化にはスイッチのほかの関連機能により自動的に有効化する方法とマニュアル的に有効化する方法があります。本稿ではマニュアル的に有効化する方法について説明します。

 

二、ネットワークト構成図と使用機器

Topo.jpg                   図1 ネットワークトポロジー

 

本稿では以下のデバイスを使用しています:

スイッチ:Catalyst 9300L, 16.12.3a

認証サーバ: ISE 2.6

端末: Windows 10 PC

 

三、シナリオと設定方法

(1) SISF を設定しない場合

まずはSISFを設定しない状態で C9300L Dot1X 認証を設定し、ISE により Win10 PC を認証します。

以下が C9300L での Dot1X 認証関連の設定となります。認証サーバ ISE 及び PC 側の設定は省略します。

 

aaa new-model

aaa group server radius ISE

 server name ISE-1

 

aaa authentication dot1x default group ISE

aaa authorization network default group ISE

aaa accounting update newinfo

aaa accounting dot1x default start-stop group ISE

 

radius server ISE-1

 address ipv4 1.180.130.61 auth-port 1812 acct-port 1813

 

aaa server radius dynamic-author

 client 1.180.130.61 server-key cisco

 

dot1x system-auth-control

 

interface GigabitEthernet1/0/10

 switchport access vlan 1356

 switchport mode access

 authentication order dot1x mab

 authentication priority dot1x mab

 authentication port-control auto

 mab

 dot1x pae authenticator

上記の設定で PC を認証させると Device Tracking が機能していないため、 IPv6/IPv4 アドレスが “Unknown” と表示されているのが確認できます。

C9300L#show authentication sessions interface gigabitEthernet 1/0/10 details

            Interface:  GigabitEthernet1/0/10

               IIF-ID:  0x1760E5AD

          MAC Address:  0090.ccef.b8db

         IPv6 Address:  Unknown

         IPv4 Address:  Unknown

            User-Name:  testuser1

               Status:  Authorized

               Domain:  DATA

       Oper host mode:  single-host

     Oper control dir:  both

      Session timeout:  N/A

    Common Session ID:  5EFEB40100000012B5C634D0

      Acct Session ID:  0x0000000a

               Handle:  0xfa000008

       Current Policy:  POLICY_Gi1/0/10

Local Policies:

        Service Template: DEFAULT_LINKSEC_POLICY_SHOULD_SECURE (priority 150)

      Security Policy:  Should Secure

      Security Status:  Link Unsecured

Server Policies:

            SGT Value:  16

Method status list:

       Method           State

        dot1x           Authc Success

 

(2) SISF による Device Tracking の設定

SISF により Device Tracking を設定するためには、まずグローバル設定にて device-tracking ポリシーを設定します。

以下の例では Device Tracking ポリシー Track_Policy1 を設定し、tracking を有効にしています。

device-tracking policy Track_Policy1 

 tracking enable

Device-Tracking ポリシーには上記の“tracking enable”以外にも使用 protocol の指定、最大アドレス数の指定なども設定できます。本稿ではデフォルトのままにします。

次にTrack_Policy1Device Trackingを有効にしたいインタフェース( 本稿では Gig1/0/10 ) に適用します。

interface GigabitEthernet1/0/10

  device-tracking attach-policy Track_Policy1

上記の設定後 PC を再認証させるとスイッチが PC IPv6/IPv4 アドレスを両方学習しているのが確認できます。

C9300L-1#$tication sessions interface gigabitEthernet 1/0/10 details

            Interface:  GigabitEthernet1/0/10

               IIF-ID:  0x1BA82F82

          MAC Address:  0090.ccef.b8db

         IPv6 Address:  fe80::e058:32e:1d7:c9e9

                        fd00:10:15:1:e058:32e:1d7:c9e9

                        fd00:10:15:1:2466:dbf2:a09f:aeb2

         IPv4 Address:  192.168.56.106

            User-Name:  testuser1

               Status:  Authorized

               Domain:  DATA

       Oper host mode:  single-host

     Oper control dir:  both

      Session timeout:  N/A

    Common Session ID:  5EFEB40100000014B5CE68F5

      Acct Session ID:  0x0000000c

               Handle:  0x8500000a

       Current Policy:  POLICY_Gi1/0/10

Local Policies:

        Service Template: DEFAULT_LINKSEC_POLICY_SHOULD_SECURE (priority 150)

      Security Policy:  Should Secure

      Security Status:  Link Unsecured

Server Policies:

            SGT Value:  16

Method status list:

       Method           State

        dot1x           Authc Success

 

四、参考文献

※1 IP デバイス追跡(IPDT)の概要

https://www.cisco.com/c/ja_jp/support/docs/ip/address-resolution-protocol-arp/118630-technote-ipdt-00.html

※2 Cisco IOS XE Denali 16.1.1(Catalyst 3650 スイッチ) ソフトウェアコンフィギュレーションガイド

https://www.cisco.com/c/ja_jp/td/docs/switches/lan/catalyst3650/software/release/16-1/configuration_guide/b_161_consolidated_3650_cg/b_161_consolidated_3650_cg_chapter_01001000.html#concept_E39C0430D4F148F2937FCAFD2757A4B5