購入する または契約更新する
購入する または契約更新する
キャンセル
提案をオンにする
自動提案では、入力時に可能な一致が提案されるので検索結果を素早く絞り込むことができます。
次の結果を表示 
次の代わりに検索 
もしかして: 
cancel
投稿メッセージを作成する
128
閲覧回数
3
いいね!
4
返信

ISEやWLCの設定でSSID毎にEAP-TLS認証の調整は可能でしょうか

shinya1111
Level 1
Level 1

‎2025-01-15 09:06 AM

[環境]
ISE(3.2)
WLC9800(17.12)
CW9164I AP
端末A:ISE証明書
端末B:ISE証明書
端末C:証明書なし
[実装したい機能]
ISEでCertificate Provisioning Portalsから発行した証明書をクライアントに設定して、EAP-TLS認証を行うにあたり
①SSID1は端末Aが接続②SSID2は端末Bが接続③端末Cはいづれにも接続できない
③は接続には「既定証明書が必要」のひとつのポリシーセットで動作
・①②を構成機器で完結できるような仕組みでどのように区分すれば実現可能でしょうか。

 

ラベル:
4件の返信4

MyHomeNWLab
Spotlight
Spotlight

‎2025-01-15 12:37 PM

「接続先SSIDを判別してISEで制御する」のが実現への一歩だと思いますので参考情報を記載します。
(もしかしたら他にもあるかもしれませんが、)4つのパターンを紹介します。


●パターン1: Called-Station-ID
ISE側で下記の条件式でマッチできます。

    条件式: [ Radius·Called-Station-ID ] [ Ends With ] [ YOUR_SSID ]

「Radius·Called-Station-ID」は「Network Device」カテゴリにあります。
「Called-Station-ID」の書式は「<APのBase Radio MAC>:<SSID>」になっており、
実際の例が「00-00-5e-00-53-01:YOUR_SSID」のようになります。
そのため、比較条件を「Ends With」にして末尾の情報を比較するようにします。


●パターン2: Normalised Radius·SSID
ISE側で下記の条件式でマッチできます。

    条件式: [ Normalised Radius·SSID ] [ Ends With ] [ YOUR_SSID ]

「Normalised Radius·SSID」は「Wi-Fi」カテゴリにあります。

「Network Devices」で設定した「Device Profile」を参照して該当するAVP (Attribute Value Pair)を判断しているため、
「Profile: Cisco」の場合は実質的に「Called-Station-ID」を評価してるのと等しくなります。(パターン1相当)
参考までに他社メーカー向けの「ArubaWireless」だと「Aruba:Aruba-Essid-Name」になっているようなケースがあるので
どのメーカーのWireless製品でも「Called-Station-ID」が評価されるとは限らないようです。

MyHomeNWLab_1-1736908481324.png

ISEのメニュー「Administration > Network Resources > Network Device Profiles」にて
「Profile: Cisco」を参照すると「Attribute Aliasing」で「SSID」が「Radius:Called-Station-ID」になっているのを確認できます。

MyHomeNWLab_2-1736908850880.png


異なるメーカーの機器が混在するような環境では、
Device Profileに基づいて正規化されたSSID情報のみを取り出せるため便利かもしれません。

下記のCommunityのトピックに関連情報があります。(その他の制御要素もまとまっています。)

ISE RADIUS Network Access Attributes - Cisco Community
https://community.cisco.com/t5/-/-/ta-p/3616253#toc-hId-1318092515
「Normalised RADIUS」セクションより

MyHomeNWLab_0-1736907511452.png




●パターン3: Cisco·cisco-av-pair
ISE側で下記の条件式でマッチできます。

    条件式: [ Cisco·cisco-av-pair ] [ Equals ] [ cisco-wlan-ssid=YOUR_SSID ]

「Cisco·cisco-av-pair」は「Subject」カテゴリにあります。
Catalyst 9800の場合は「cisco-wlan-ssid=<SSID>」のAVPでSSIDの情報が確認できます。

Cisco独自のAVPを用いているため、(将来の移行などを踏まえて)特定メーカーのAVPに依存した条件式を書きたくないのであれば、
先述の「Called-Station-ID」による制御の方が好まれるかもしれません。

 

●パターン4: Wireless AAA Policy
C9800のWireless AAA Policyでは認証サーバーへの通知対象の情報を制御できます。
RADIUSとしては「NAS-Identifier」として通知されます。
SSID"以外"の情報 (例: Location設定)も含めたい場合は、本設定の利用を検討するのが良いかと存じます。
C9800とISEの両方で設定が必要です。

【C9800側の設定】
C9800では2つの設定個所があります。

1. Configuration > Security > Wireless AAA Policy
    既定で存在する「default-aaa-policy」は、全てのPolicy Profileにデフォルトで紐づいています。
    いわば、後述のPolicy Profileで参照を変えない限り、「default-aaa-policy」がグローバル設定に相当します。

2. Configuration > Tags & Profiles > Policy
    設定対象の Advanced タブで AAA Policy セクションの Policy Name より Wireless AAA Policy を指定可能です。


【Cisco ISE側の設定】
Cisco ISE側では、
RADIUS・NAS-Identifier」で通知された情報を参照できます。

注意点として、Wireless AAA Policyで複数の情報を通知すると
コロン (:)区切りで通知されるため、
Starts with, Contains, Ends Withを適宜活用してマッチしてるか判断が必要です。


今回はSSIDを別々にする前提の話のようですが、元々の細かなニュアンス (要件)が分からないため、
広い視野で適切な手段を模索するのが良いかと存じます。

用途別にSSIDを増やしすぎるのも電波設計的に好ましくないですし、
かと言って、異なる用途 (例: 社員とゲスト)のものを同じSSIDに入れるのもセキュリティ観点で好ましくなかったりと、
顧客環境や要件に依存する部分が多々あるので。

Memo: 検証時は下記で確認しています。
C9800-CL v17.15.1
Cisco ISE v3.3.0.430

shinya1111
Level 1
Level 1

‎2025-01-15 01:46 PM

ありがとうございます。詳細情報と実装したい環境の補足ですが、
SSID1[クローズドNW]
SSID2[一般的なインターネットOKなNW]
端末Aと端末Bはデバイス分離で管理された端末、端末CはBYODを想定した設計となります。
ISE証明書が設定されている端末AはSSID1、2に接続できるが条件式でSSID2に接続できないようにしたい、
 〃            端末BはSSID1、2に接続できるが条件式でSSID1に接続できないようにしたい、
そもそもISE証明書が設定されていない端末CはSSID1、2に接続できない
端末台数500台を想定しております。この場合、どのパターンがマッチしておりますでしょうか。

 

0 いいね!

MyHomeNWLab
Spotlight
Spotlight
shinya1111に対する応答

‎2025-01-15 06:38 PM

●1点目: どのパターンが適しているかに関して
SSID"以外"の情報が制御に不要なようですと、ISE側のみで設定可能な先述のパターン1~3のいずれかがマッチしてるかと存じます。
あとは運用的にどれを好むかの話になるかなと。

どのパターンでもRule NameでどのSSIDを参照してるかなどを分かりやすく書いておけば、
5年後や7年後の移行時などにも悩みにくいと思います。設計書に意図を書き残すのは勿論として。


●2点目: 実装方法に関する補足
・SSID-1: 端末Aのみが繋がる。(端末Bは繋がってはならない。)

・SSID-2: 端末Bのみが繋がる。(端末Aは繋がってはならない。)

を実現するためには、端末Aと端末Bを区別する必要がありますが、
今回はEAP-TLSで認証するために証明書を配っているので、
「CERTIFICATE」系の要素で条件判別する方法があるかと存じます。

より具体的には、ISEの Certificate Provisioning Portals を用いる話なので、
Certificate Template 内の Organizational Unit (OU) などの情報で
端末Aと端末Bの持ち主 (例: ユーザーの所属)を区別する案があるかなと。

shinya1111
Level 1
Level 1

‎2025-01-20 11:33 AM

知識不足のため設定の回答を求める質問になってしまい申し訳ありません、ISEでのPolicy Setsはどのように実現可能でしょうか。
【WLC】
 ・SSID OU-TEST6G をEAP-TLS設定で作成
【ISE】
 ・Certificate Templates
   いままでは空欄で設定していたOUに[STAFF1][STAFF2]の値でテンプレートを分けて発行。
   端末AにはSTAFF1、端末BにはSTAFF2の証明書のセットアップを実行。
  画像_2025-01-20_111417304.png画像_2025-01-20_111353205.png

 ・Policy Sets
  アクセスにAllow EAP-TLS許可設定
 画像_2025-01-20_111731064.png
 ・Authentication Policy
  EAP_TLS_PF:Certificate Attribute Subject - Common Name を設定
 画像_2025-01-20_112034067.png画像_2025-01-20_112128991.png

 ●Authorization Policy
  どのような設定でSSID1とOU[STAFF1]とSSID2[STAFF2]の条件判別をするのかご教示いただけましでしょうか

  SSIDに対してどのように条件判別を行うのでしょうか  

画像_2025-01-20_112819058.png

  SSIDをポリシーに設定
  画像_2025-01-20_113052713.png

0 いいね!
Customers Also Viewed These Support Documents