2014sept_ciscoroadshow_lab2
Download
Report
Transcript 2014sept_ciscoroadshow_lab2
Roadshow
Mini-Lab2
Converged Access Wireless AVC / Local Profiling / オプションラボ
シスコシステムズ合同会社
Sep 2014
Lab構成について(Pod1〜5)
Center
SW
Router
ISE
AD/CA
VPN
Cat3650
MC&
MA
AP2700
Pod-1
© 2013-2014 Cisco and/or its affiliates. All rights reserved.
Pod-2
Pod-3
Pod-4
Pod-5
Cisco Public
2
Lab構成について(Pod6〜10)
Center
SW
Router
ISE
AD/CA
VPN
Cat3650
MC&
MA
AP2700
Pod-6
© 2013-2014 Cisco and/or its affiliates. All rights reserved.
Pod-7
Pod-8
Pod-9
Pod-10
Cisco Public
3
Lab構成について(Pod11〜15)
Center
SW
Router
ISE
AD/CA
VPN
Cat3650
MC&
MA
AP2700
Pod-11
© 2013-2014 Cisco and/or its affiliates. All rights reserved.
Pod-12
Pod-13
Pod-14
Pod-15
Cisco Public
4
Lab環境について
Pod番号と機器に設定されているVLAN ID、およびIPアドレスの対応は以下のとおりです。
Pod
Uplink
VLAN
AP mgmt
VLAN
Client
VLAN
1
10
10.10.10.0/24
11
10.10.11.0/24
12
10.10.12.0/24
2
20
10.10.20.0/24
21
10.10.21.0/24
22
10.10.22.0/24
3
30
10.10.30.0/24
31
10.10.31.0/24
32
10.10.32.0/24
4
40
10.10.40.0/24
41
10.10.41.0/24
42
10.10.42.0/24
5
50
10.10.50.0/24
51
10.10.51.0/24
52
10.10.52.0/24
※Catalyst 3650には既に各VLANのIPアドレス(〜.1)、およびDHCPが設定されています。
© 2013-2014 Cisco and/or its affiliates. All rights reserved.
Cisco Public
5
Lab環境について
Pod番号と機器に設定されているVLAN ID、およびIPアドレスの対応は以下のとおりです。
Pod
Uplink
VLAN
AP mgmt
VLAN
Client
VLAN
6
60
10.10.60.0/24
61
10.10.61.0/24
62
10.10.62.0/24
7
70
10.10.70.0/24
71
10.10.71.0/24
72
10.10.72.0/24
8
80
10.10.80.0/24
81
10.10.81.0/24
82
10.10.82.0/24
9
90
10.10.90.0/24
91
10.10.91.0/24
92
10.10.92.0/24
10
100
10.10.100.0/24
101
10.10.101.0/24
102
10.10.102.0/24
※Catalyst 3650には既に各VLANのIPアドレス(〜.1)、およびDHCPが設定されています。
© 2013-2014 Cisco and/or its affiliates. All rights reserved.
Cisco Public
6
Lab環境について
Pod番号と機器に設定されているVLAN ID、およびIPアドレスの対応は以下のとおりです。
Pod
Uplink
VLAN
AP mgmt
VLAN
Client
VLAN
11
110
10.10.110.0/24
111
10.10.111.0/24
112
10.10.112.0/24
12
120
10.10.120.0/24
121
10.10.121.0/24
122
10.10.122.0/24
13
130
10.10.130.0/24
131
10.10.131.0/24
132
10.10.132.0/24
14
140
10.10.140.0/24
141
10.10.141.0/24
142
10.10.142.0/24
15
150
10.10.150.0/24
151
10.10.151.0/24
152
10.10.152.0/24
※Catalyst 3650には既に各VLANのIPアドレス(〜.1)、およびDHCPが設定されています。
© 2013-2014 Cisco and/or its affiliates. All rights reserved.
Cisco Public
7
AVCの設定 – Visibility
無線LAN用にflow monitorを定義します。
flow monitor wireless-avc-basic
record wireless avc basic
flow monitor名は任意ですが、
record定義は固定です。
wlan(SSID)にflow monitorを適用します。
wlan [pod名] 1 [pod名]
ip flow monitor wireless-avc-basic input
ip flow monitor wireless-avc-basic output
© 2013-2014 Cisco and/or its affiliates. All rights reserved.
pod5の例:
wlan pod5 1 pod5
Cisco Public
8
AVCの設定 – 確認
ブラウザからスイッチに、現在接続しているWireless経由でログインして確認してください。
pod2の例:
https://[スイッチのIPアドレス]/
https://10.10.20.1/
※HTTPでも接続可能です
ユーザ名: admin
パスワード: cisco
© 2013-2014 Cisco and/or its affiliates. All rights reserved.
Cisco Public
9
AVCの設定 – 確認
© 2013-2014 Cisco and/or its affiliates. All rights reserved.
Cisco Public
10
AVCの設定 – 確認
© 2013-2014 Cisco and/or its affiliates. All rights reserved.
Cisco Public
11
AVCの設定 – 確認
© 2013-2014 Cisco and/or its affiliates. All rights reserved.
Cisco Public
12
AVCの設定 – Control
今回は下記のクライアントポリシーを適用します。
上り(クライアント→Cat3650)方向
• Dropboxのトラフィックをブロック
• OneDrive (SkyDrive)のトラフィックをブロック
Other
OneDrive
Dropbox
service-policy
policy-map
class-map
© 2013-2014 Cisco and/or its affiliates. All rights reserved.
Cisco Public
13
Wireless QoSの設定
class-mapによりパケットをDropするクラス(アプリケーション)を定義します。
class-map match-any DROP-CLASS
match protocol dropbox
match protocol skydrive
policy-mapにより先ほど定義したクラスに対する制御を定義します。
policy-map wlan-client-ingress
class DROP-CLASS
drop
© 2013-2014 Cisco and/or its affiliates. All rights reserved.
Cisco Public
14
Wireless QoSの設定
wlan(SSID)にポリシーを適用します。
wlan [pod名] 1 [pod名]
shutdown
service-policy client input wlan-client-ingress
no shutdown
show policy-map interface wireless client
で状況が確認できます
© 2013-2014 Cisco and/or its affiliates. All rights reserved.
Cisco Public
15
© 2013-2014 Cisco and/or its affiliates. All rights reserved.
Cisco Public
16
Wireless Local Profilingとは
通常ISE等で行うProfilingを、簡易的にWLC
(Convered Accessの場合はMA) で実施する機
能です
HTTPリクエストやMACアドレスに基づ
いてクライアントのデバイス種別を判定
3850/3650
Local Profiling
Windows Workstation
• HTTP
(User-Agent)
• DHCP
(hostname)
• MAC Address
(OUI)
Apple iPad
Android
Apple iPhone
© 2013-2014 Cisco and/or its affiliates. All rights reserved.
Cisco Public
17
Wireless Local Profilingの設定
Device Classifierを有効にします。
※MAC OUI、およびDHCPによるプロファイリングが有効になります。
device classifier
wlan(SSID)上でのDevice Classification とローカルプロファイリングを有効にします。
wlan [pod名] 1 [pod名]
shutdown
device-classification
profiling local http
profiling radius http
no shutdown
© 2013-2014 Cisco and/or its affiliates. All rights reserved.
Cisco Public
18
Wireless Local Profilingの確認
Monitor > Clients
© 2013-2014 Cisco and/or its affiliates. All rights reserved.
Cisco Public
19
Wireless Local Profilingの確認
Windows7-workstation
© 2013-2014 Cisco and/or its affiliates. All rights reserved.
Device Typeが、
Intel-Deviceになって
しまった場合は、
どこかhttpサイトへ
アクセスしてから
再確認してください。
Cisco Public
20
オプション
Change of Authorization (CoA)
Wireless Mobility Memberの登録
セルフプロビジョニング
セルフプロビジョニングしたデバイスの登
録削除
© 2013-2014 Cisco and/or its affiliates. All rights reserved.
Cisco Public
21
【オプション1】認証・認可・Change of Authorization
Authentication (認証)
Authorization (認可)
端末またはユーザが(認証許可リストに)存在するかどうかを判定します
認証済みの端末またはユーザについて、アクセスできる範囲や接続ポリシー(時間、場所など)を適
用します
Change of Authorization (CoA)
今回は、ラボのPC以外の端末を新たに接続されると、CoAが動作します。
認証済みの端末の属性情報等に変更が起きた際 、現在のセッション情報を変更する機能です。
今回は、最初にPEAP認証を行い、正しいユーザかどうかをまず判断します(次ページ参
照)。その後、Native Supplicant Provisioning (NSP) が開始されます。NSPのプロセスの
中でEAP-TLS用のユーザ証明書やSSIDの名前がデバイスに設定されます。
今回は、ラボPC以外の端末をセルフプロビジョニングによって新たに登録するとCoAが
動作します。ISEにはCoA発生時のアクションとして再認証を行うように設定してあり、
その結果(プロビジョニング後のデバイスは)EAP-TLSによる認証・認可を受けること
になり、それをパスすれば通常のネットワークアクセスが可能になります。
これはISEを使ってEAP-TLSに必要なユーザ証明書を自動で端末に流し込むための仕組みです。
© 2013-2014 Cisco and/or its affiliates. All rights reserved.
Cisco Public
22
【オプション1】 802.1X 認証
ホスト
AP2700
Cat3650(MA)
(ネットワークデバイス/NAD)
ISE
AD/CA
ホストが認証要求(今回はPEAP)
NADがホストの認証要求を送信
ユーザの参照
認証成功
NADが認証結果をホストに送信
通信開始
© 2013-2014 Cisco and/or its affiliates. All rights reserved.
Cisco Public
23
【オプション1】今回のラボでのChange of Authorization (CoA)を含めた認証フロー
接続不可
スタート
A
2回目の認証
No
Yes
認証成功
EAP-TLS
1回目の認証
No
PEAP
Yes
認証成功
No
No
接続不可
接続不可
© 2013-2014 Cisco and/or its affiliates. All rights reserved.
Yes
Native
Supplicant
Provisioning
CoA
再認証
SSID
ユーザ証明書
Cisco Public
24
【オプション1】 CoA 動作のその他の例
ISE
HTTPリクエストやMACアドレスに基づ
いてクライアントのデバイス種別を判定
?
PEAP
MAC OUI に基づきAppleデバイスと識別
Apple デバイス
ブラウザ
アクセス
User-Agent に基づきiPhoneまたはiPadと識別
Apple iPhone
Apple iPad
CoA
最認証・再接続
iPhone/iPadそれぞれに個別ポリシー適用
© 2013-2014 Cisco and/or its affiliates. All rights reserved.
Cisco Public
25
【オプション1】 CoA、Captive Network Assistantの設定
CoA(Change of Authorization)を設定します。ラボのPC以外を接続させる場合に必要です。
aaa server radius dynamic-author
client 192.168.236.34 server-key roadshow2014
auth-type any
iOSデバイスのCaptive Network Assistant機能を回避させます。
(android、ラボのPCでは不要です)
captive-portal-bypass
※Captive Network Assistant: iOS 端末は、デフォルトでアップル社
のサイトへの疎通を確認する挙動であり、疎通ができない場合、ロ
グインが必要と判断しログイン画面がでる機能です
© 2013-2014 Cisco and/or its affiliates. All rights reserved.
Cisco Public
26
【参考】クライアントACL
※今回は既に設定済ですので実行しないでください。
今回のLabではISE-AD連携によるユーザ認証を行っていますので、ユーザの所属するグ
ループ(AD上)等によってアクセスできる先を制御することが可能です。
各スイッチに予めACLを定義しておき、ISEのAuthorizationポリシーでそのACLを適用する
ように設定すれば、ACLをインターフェイスに適用することなくユーザ毎のアクセス制御
が可能になります。
ユーザのアクセス制御に用いる以下のACLが設定されています。
今回は、FinanceとSalesの二つのユーザグループを用意します。
ip access-list extended fin_acl
deny tcp any host 192.168.236.28 eq 443
deny tcp any host 192.168.236.28 eq www
permit ip any any
!
ip access-list extended sales_acl
permit ip any any
© 2013-2014 Cisco and/or its affiliates. All rights reserved.
Cisco Public
27
【オプション2】 Wireless Mobility Memberの登録
同じモビリティグループ内に、MCが複数台ある
場合のローミングを有効にします。
モビリティグループ
MC/MA
© 2013-2014 Cisco and/or its affiliates. All rights reserved.
MC/MA
※不要なローミングや意図しないAPにアソシエートす
るのを防ぐため、今回はモビリティグループのみを同じ
にして、SSIDは各pod毎に異なる設定にしています。
Cisco Public
28
【オプション2】 Wireless Mobility Memberの登録
隣や前後のpodとmemberを組んでみてください。
wireless mobility group name [モビリティグループ名]
wireless mobility group member ip [同一モビリティグループ内にあるMCのIPアドレス]
pod3の例:
wireless mobility group name roadshow
wireless mobility group member ip 10.10.11.1
wireless mobility group member ip 10.10.21.1
wireless mobility group member ip 10.10.41.1
wireless mobility group member ip 10.10.51.1
※メンバーに定義するIPアドレスはwireless management interfaceのアドレスにする必要があります
© 2013-2014 Cisco and/or its affiliates. All rights reserved.
Cisco Public
29
【オプション3】はじめに - セルフプロビジョニングとは
アクセス 無線LAN
ポイント コントローラ
セルフサービスの端末登録フローを提供
多様な端末設定オプション
Cisco ISE
エンドデバイス
登録端末?
登録済み
アクセス許可
無線・有線サプリカント設定
証明書配布(ISE1.3 認証局機能搭載予定)
連携MDM製品レジストレーションページへのリダ
イレクト
サポート端末:iOS, Android, Windows, MAC
※ Androidでは専用App (Network Setup Assistant)、
Windows, MACでは専用ウィザードを使用
未登録
端末登録
© 2013-2014 Cisco and/or its affiliates. All rights reserved.
サプリカント設定、
証明書インポート
登録完了
Cisco Public
30
【オプション3】 セルフプロビジョニング
iOS (android は後述)
設定 > WiFiから各podのSSIDをタップします
ユーザ名/パスワードを入力します
各Pod番号
を選択
© 2013-2014 Cisco and/or its affiliates. All rights reserved.
Cisco Public
31
【オプション3】 セルフプロビジョニング
iOS
接続できたらSSIDの右の「i」をタップして
IPアドレス等が取得できていることを確認し
ます
© 2013-2014 Cisco and/or its affiliates. All rights reserved.
CAの証明書をインストールします
Cisco Public
32
【オプション3】 セルフプロビジョニング
iOS
Safariを立ち上げ、任意のURL(www.cisco.com等)
にアクセスしようとするとセルフプロビジョニング
が開始されます。(「登録」をタップします)
© 2013-2014 Cisco and/or its affiliates. All rights reserved.
プロファイルのインストールが始まります
ので、「インストール」をタップします
Cisco Public
33
【オプション3】 セルフプロビジョニング
iOS
プロファイルのインストールが完了したら
「完了」をタップします
© 2013-2014 Cisco and/or its affiliates. All rights reserved.
デバイスの登録が完了し、通信可能になります
(EAP-TLSでの接続となります)
Cisco Public
34
【オプション3】プロファイルの削除(iOS デバイス対象)
端末にラボで設定したものを残さないための方法
ご自身で登録したiPhone/iPadから
1. 設定 > 一般 > プロファイルを開きます
2. 構成プロファイルから「RS_iDevice_[pod名]」をタップして「削除」を
タップします
(パスコードの入力を求められた場合は、パスコードを入力します)
3. 同様に「spms-AD-CA」も削除します
© 2013-2014 Cisco and/or its affiliates. All rights reserved.
Cisco Public
35
【オプション3】 セルフプロビジョニング
Android
設定 > WiFiから各podの
SSIDを選択し、ユーザ名/パス
ワードを入力して接続します。
© 2013-2014 Cisco and/or its affiliates. All rights reserved.
接続が成功したら、ブラウザを立ち上げて、任意のサイトのURLを入力し
ます。証明書についての警告が表示されますが、「続行」をタップします。
Cisco Public
36
【オプション3】 セルフプロビジョニング
Android
デバイスの登録画面が表示され、
セルフプロビジョニングが開始
されます
© 2013-2014 Cisco and/or its affiliates. All rights reserved.
アプリケーションの選択画面が表
示されますので「Playストア」を
選択して「今回のみ」をタップし
ます
Cisco Network Setup Assistantアプ
リが表示されますので、「インス
トール」または「開く」をタップ
します。
Cisco Public
37
【オプション3】 セルフプロビジョニング
Android
Network Setup Assistantアプリが
起動しますので、「開始」を
タップします。
© 2013-2014 Cisco and/or its affiliates. All rights reserved.
証明書の名前等を聞かれますので、
「OK」をタップします。
Network Setup Assistantが完
了したら、「終了」をタッ
プします
Cisco Public
38
【オプション3】 セルフプロビジョニング
Android
デバイスの登録が完了した旨の
画面が表示され、セルフプロビ
ジョニングが完了します。
© 2013-2014 Cisco and/or its affiliates. All rights reserved.
設定>WiFiから各SSIDを選択し、
接続状況を確認します。
Cisco Public
39
【オプション3】証明書の削除(Androidデバイス対象)
端末にラボで設定したものを残さないための方法
設定>セキュリティを
タップして開きます。
© 2013-2014 Cisco and/or its affiliates. All rights reserved.
「信頼できる認証情
報」をタップして開き
ます。
「ユーザー」タブを
タップして開きます。
「削除」をタップしま
す。
Cisco Public
40
【オプション4】セルフプロビジョニングしたデバイスの登
録削除
セルフプロビジョニング
によりご自身のデバイスを
登録された方のみ行ってください。
※ラボのPCは削除しないでください。
© 2013-2014 Cisco and/or its affiliates. All rights reserved.
ブラウザを開き、URLに
https://mydevicesportal.spms.local
と入力します
Cisco Public
41
【オプション4】セルフプロビジョニングしたデバイスの登
録削除
My Devices Portalのログイン画面が表示されますので、セルフプロビジョニング時に入
力したユーザ名とパスワードを入力してログインします。
<pod1の場合>
ユーザ名: pod1s
パスワード:roadshow2014
© 2013-2014 Cisco and/or its affiliates. All rights reserved.
Cisco Public
42
【オプション4】セルフプロビジョニングしたデバイスの登
録削除
自分が登録したデバイスをラジオボタンで選択し、「Delete」(「削除」)をクリック
します
© 2013-2014 Cisco and/or its affiliates. All rights reserved.
Cisco Public
43
【オプション4】セルフプロビジョニングしたデバイスの登
録削除
確認画面が表示されますので、「OK」をクリックします
© 2013-2014 Cisco and/or its affiliates. All rights reserved.
Cisco Public
44
Thank you.