問題
下記内容でISEにnetwork deviceが登録されているとします。
Test-NAD : IP Address 10.66.92.128/29
SW-Autopod2 : IP Range 10.66.92.132-133/32
このとき、10.66.92.132 のnetwork deviceから認証要求が届いた場合、最長マッチであるSW-Autopod2にマッチするのではなく、IPアドレスで登録したTest-NAD にマッチすることになります。
本件の動作確認はISE2.6にて実施しております。
原因
管理者ガイドに説明があります通り、RADIUS またはTACACS の要求を受け取る際に、先にIPアドレスとして登録したNADをチェックし、その次はIP rangeをチェックすることになります。
そのため、上記のようなシナリオでは、10.66.92.132 のnetwork deviceから認証要求はIPアドレスとして登録しているTest-NAD : IP Address 10.66.92.128/29に先にマッチすることになります。
内容抜粋:
Cisco ISE performs the following procedure when a RADIUS or TACACS request is received:
- Looks for a specific IP address that matches the one in the request.
- Looks up the ranges to see if the IP address in the request falls within the range that is specified.
- If both step 1 and 2 fail, it uses the default device definition (if defined) to process the request.
https://www.cisco.com/c/en/us/td/docs/security/ise/2-6/admin_guide/b_ise_admin_guide_26/b_ise_admin_guide_26_chapter_01001.html#ID31