2024-01-26 06:33 PM
認証装置(Authenticator)にCatalystを、認証サーバ(Authentication Server)にCisco ISE 3.2 を使用しています。
MAB認証を使っており、ISEにMACアドレス登録がある端末の場合は認証が成功するようにしています。
ISEでのMACアドレスの登録について、個別で設定しているのですが、
ベンダーコードで登録することは可能でしょうか。
Endpoint Identity Groups
→
Context Visibility Endpoints
→
80:80:80:80:80:80
80:80:80:80:80:81
にて1台ずつ作成しております。
80:80:80:XX:XX:XX
の機器はすべて認証を許可したいです。
解決済! 解決策の投稿を見る。
2024-01-30 07:51 PM
Cisco Community内の情報などを調べて軽く検証してみましたが、主に2つの案があるように見えました。
【A案】
Profilingの機能でMACアドレスのOUI情報を比較する方法です。
利用するにあたってライセンスに依存する可能性があります。
【B案】
ISEではMACアドレスがRADIUSのUsernameの情報に格納されるようなので
「Radius·User-Name」の文字列をOUIと比較する方法があります。
Authorization Policy の記述の仕方としては下記のようになります。
[Radius·User-Name] [Start with] [A1B2C3] ※MACアドレスのOUIが A1B2C3 の場合
私は深くは検証してなくて運用時の考慮漏れ等があるかもしれないので、事前に実機で挙動確認するのをオススメします。
2024-01-30 07:51 PM
Cisco Community内の情報などを調べて軽く検証してみましたが、主に2つの案があるように見えました。
【A案】
Profilingの機能でMACアドレスのOUI情報を比較する方法です。
利用するにあたってライセンスに依存する可能性があります。
【B案】
ISEではMACアドレスがRADIUSのUsernameの情報に格納されるようなので
「Radius·User-Name」の文字列をOUIと比較する方法があります。
Authorization Policy の記述の仕方としては下記のようになります。
[Radius·User-Name] [Start with] [A1B2C3] ※MACアドレスのOUIが A1B2C3 の場合
私は深くは検証してなくて運用時の考慮漏れ等があるかもしれないので、事前に実機で挙動確認するのをオススメします。
2024-02-07 02:20 PM
ありがとうございます。
【B案】で検証した所、A1:B2:C3:xx:xx:xxの機器全ての認証が通ることを確認できました。
2024-02-02 03:42 PM
MACアドレスの登録の観点でいえば、残念ながらワイルドカードのようなものを用いたエンドポイントの登録はできません。
もし似たような属性の複数MACアドレスを登録したい場合は、以下をご参考にCSV形式からのインポートをお試しください。
CSV ファイルを使用したエンドポイントのインポート
また、もしREST API利用に知見があるのであれば、ERS APIからの一括登録がより柔軟に行えるかと思います。
endpoint API
エキスパートの回答、ステップバイステップガイド、最新のトピックなどお気に入りのアイデアを見つけたら、あとで参照できるように保存しましょう。
コミュニティは初めてですか?これらのヒントを活用してスタートしましょう。 コミュニティの活用方法 新メンバーガイド
下記より関連するコンテンツにアクセスできます