Cisco ISE - Mac Authentication Bypass + Dynamic VLAN



 ◆ Cisco ISE - MAB(MAC Authentication Bypass)の設定 - ダイナミックVLAN

 認証(Authentication)成功後、認可(Authorization)フェーズで動的にVLAN IDをRadiusクライアントに
 Atrriubteとして送ることができます。Cisco ISEでは、Cisco ISE - MAB設定のMACアドレス登録の設定に
 加えて、ポリシーの作成前に認可(Authorization)プロファイルの作成が必要となります。以下の設定では
 MAB-VLAN201という名前の認可プロファイルを作成しています。

 


 以下の通りVLAN部分にチェックを入れて、Radiusクライアントに送信したいVLAN IDを入力します。

 


 最後に「Submit」を押します。

 



 そして、ポリシー定義の際にPermissionで以下の通りAuthorization Profileを指定します。

 



 該当するMACアドレスのデバイスを接続したスイッチポートにVLAN201が割り当てられる事を確認できます。
 また、Operationsの認証/認可の結果のDetailsにおいて以下のとおり、VLAN ID 201の送信を確認できます。


◇ ISEのAuthenticationのDetailsの画面の一部


 ◆ Cisco ISE - MAB(MAC Authentication Bypass)の設定 - ダイナミックVLAN + dACL

 CatalystスイッチやWLCなどのRadiusクライアントなどで認証前ACLを設定していて、そのACLをdACLで
 上書きしたい場合には以下の通り「DACL Name」にチェックを入れます。そして、どのdACLを適用したい
 のかをメニューで選択します。ここでは「PERMIT_ALL_TRAFFIC」を指定していますがこれはデフォルトで
 存在するpermi ip any anyの意味を持つdACLです。

 



 dACLにより、CatalystスイッチやWLCの認証前ACLを書き換えるような動作をさせることになることから
 Attirubutes Setting において、cisco-av-pairではprivilege level 15にして、Radius Service-Typeには
 Loginを指定する必要があります。 なお、ポリシーの定義方法に変更はありません。

 


 ISEの「Operation」⇒「Authentication」の画面でEvent ID 5200 Authentication Succeeded以外に
 Event 5232のDACL Download Succeededが表示されることになります。つまり2行のSuccessが表示。



Cisco ISE

ネットワークエンジニアとして

Copyright (C) 2002-2019 ネットワークエンジニアとして All Rights Reserved.