ISEでのIPアクセス制限の設定

はじめに

このドキュメントでは、ISE 3.1、3.2、および3.3でIPアクセス制限を設定するために使用できるオプションについて説明します。 

前提条件

要件

Cisco Identity Service Engine(ISE)に関する知識があることが推奨されます。

使用するコンポーネント

このドキュメントの情報は、次のソフトウェアとハードウェアのバージョンに基づいています。

• Cisco ISE バージョン 3.1
• Cisco ISE バージョン 3.2
• Cisco ISE バージョン 3.3

このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されました。このドキュメントで使用するすべてのデバイスは、クリアな（デフォルト）設定で作業を開始しています。本稼働中のネットワークでは、各コマンドによって起こる可能性がある影響を十分確認してください。

背景説明

IPアクセス制限機能を使用すると、管理者は、どのIPアドレスまたは範囲がISE管理ポータルおよびサービスにアクセスできるかを制御できます。

この機能は、次のようなさまざまなISEインターフェイスおよびサービスに適用されます。

• 管理ポータルアクセスおよびCLI
  
• ERS APIアクセス
• ゲストおよびスポンサーポータルへのアクセス
• My Devicesポータルへのアクセス

有効にすると、ISEは指定されたIPアドレスまたは範囲からの接続のみを許可します。指定されていないIPからISE管理インターフェイスにアクセスしようとすると、ブロックされます。

誤ってロックアウトが発生した場合、ISEには、IPアクセス制限をバイパスできる「セーフモード」起動オプションが用意されています。これにより、管理者はアクセスを回復し、設定ミスを修正できます。

ISE 3.1以前の動作

Administration > Admin Access > Settings > Accessに移動します。次のオプションがあります。

• セッション
• IPアクセス
• MnTアクセス

設定

• Allow only listed IP addresses to connect を選択します。
• をクリックします。Add

IPアクセスの設定

• ISE 3.1では、AdminとサーUser  ビスの間で選択するオプションがありません。IPアクセス制限を有効にすると、次のものに対する接続がブロックされます。
  • GUI
  • CLI を使う場合：
  • SNMP
  • SSH
• ダイアログボックスが開き、IPアドレス（IPv4またはIPv6）をCIDR形式で入力できます。
• IPを設定したら、CIDR形式でマスクを設定します。

IP CIDRの編集

ISE 3.2の動作

次のオプションを使用でAdministration > Admin Access > Settings > Access. きるように移動します。

• セッション
• IPアクセス
• MnTアクセス

設定

• 選択  Allow only listed IP addresses to connect.
• をクリックします。Add

IPアクセスの設定

• ダイアログボックスが開き、IPアドレス（IPv4またはIPv6）をCIDR形式で入力できます。
• IPを設定したら、CIDR形式でマスクを設定します。
• IPアクセスの制限には、次のオプションを使用できます。
  • Admin Services:GUI、CLI(SSH)、SNMP、ERS、OpenAPI、UDN、API Gateway、PxGrid（パッチ2では無効）、MnT Analytics
  • ユーザサービス：ゲスト、BYOD、ポスチャ、プロファイリング
  • 管理サービスとユーザサービス

IP CIDRの編集

• Saveボタンをクリックします。
• ON Adminサービスが有効であることを意味し、OFF、ユーザサービスが無効であることを意味します。

3.2のIPアクセス設定

ISE 3.2 P4以降での動作

Administration > Admin Access > Settings > Accessに移動します。次のオプションを使用できます。

• セッション
• 管理GUIおよびCLI:ISE GUI(TCP 443)、ISE CLI(SSH TCP22)、およびSNMP。
• 管理サービス：ERS API、Open API、pxGrid、DataConnect
• ユーザサービス：ゲスト、BYOD、ポスチャ
• MNTアクセス：このオプションを使用すると、ISEは外部ソースから送信されるsyslogメッセージを消費しません。

設定

• 選択  Allow only listed IP addresses to connect.
• クリック  Add.

3.3のIPアクセス設定

• ダイアログボックスが開き、IPアドレス（IPv4またはIPv6）をCIDR形式で入力できます。
• IPを設定したら、CIDR形式でマスクを設定します。
• をクリックします。Add

ISE GUI/CLIの回復

• コンソールを使用してログインします。
• ISEサービスの停止  application stop ise

• ISEサービスの開始方法  application start ise safe

• GUIからIPアクセス制限を削除します。

トラブルシューティング

ISEが応答していないか、またはトラフィックをドロップしているかを確認するために、パケットキャプチャを実行します。

ISEファイアウォールルールの確認

• 3.1以前の場合、これはshow techでのみチェックできます。 
  • show techコマンドを実行して、localdiskに保存できます。  show tech-support file <filename>
  • その後、リポジトリにファイルを転送できます。copy disk:/<filename> ftp://<ip_address>/path.  リポジトリのURLは、使用しているリポジトリタイプに応じて変わります。
  • ファイルをマシンにダウンロードして、ファイルを読み取り、  Running iptables -nvL.
  • show techの初期ルールは含まれていません。つまり、show tech by IP Access restriction機能に最後のルールが追加されています。

*****************************************
Running iptables -nvL...
*****************************************
.
.
Chain ACCEPT_22_tcp_ipv4 (1 references)
pkts bytes target prot opt in out source destination 
0 0 ACCEPT tcp -- eth0 * x.x.x.x/x 0.0.0.0/0 tcp dpt:22 Firewall rule permitting the SSH traffic from segment x.x.x.x/x
461 32052 ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED
65 4048 DROP all -- * * 0.0.0.0/0 0.0.0.0/0

Chain ACCEPT_161_udp_ipv4 (1 references)
pkts bytes target prot opt in out source destination 
0 0 ACCEPT udp -- * * x.x.x.x/x 0.0.0.0/0 udp dpt:161 Firewall rule permitting the SNMP traffic from segment x.x.x.x/x
0 0 ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED
0 0 DROP all -- * * 0.0.0.0/0 0.0.0.0/0

• 3.2以降では、show firewallコマンドを使用してファイアウォールルールを確認できます。
• 3.2以降では、IPアクセス制限によってブロックされるサービスをより細かく制御できます。

gjuarezo-311/admin#show firewall
.
.

Chain ACCEPT_22_tcp_ipv4 (1 references)
pkts bytes target prot opt in out source destination
170 13492 ACCEPT tcp -- eth0 * x.x.x.x/x 0.0.0.0/0 tcp dpt:22 Firewall rule permitting the SSH traffic from segment x.x.x.x/x
0 0 ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED
13 784 DROP all -- * * 0.0.0.0/0 0.0.0.0/0

Chain ACCEPT_161_udp_ipv4 (1 references)
pkts bytes target prot opt in out source destination
0 0 ACCEPT udp -- * * x.x.x.x/x 0.0.0.0/0 udp dpt:161 Firewall rule permitting the SNMP traffic from segment x.x.x.x/x
0 0 ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED
0 0 DROP all -- * * 0.0.0.0/0 0.0.0.0/0

Chain ACCEPT_8910_tcp_ipv4 (1 references)
pkts bytes target prot opt in out source destination
0 0 ACCEPT tcp -- * * x.x.x.x/x 0.0.0.0/0 tcp dpt:8910 Firewall rule permitting the PxGrid traffic from segment x.x.x.x/x
0 0 ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED
90 5400 DROP all -- * * 0.0.0.0/0 0.0.0.0/0

Chain ACCEPT_8443_tcp_ipv4 (1 references)
pkts bytes target prot opt in out source destination
0 0 ACCEPT tcp -- * * x.x.x.x/x 0.0.0.0/0 tcp dpt:8443 Firewall rule permitting the HTTPS traffic from segment x.x.x.x/x
0 0 ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED
0 0 DROP all -- * * 0.0.0.0/0 0.0.0.0/0

Chain ACCEPT_8444_tcp_ipv4 (1 references)
pkts bytes target prot opt in out source destination
0 0 ACCEPT tcp -- * * x.x.x.x/x 0.0.0.0/0 tcp dpt:8444 Firewall rule permitting the Block List Portal traffic from segment x.x.x.x/x
0 0 ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED
0 0 DROP all -- * * 0.0.0.0/0 0.0.0.0/0

Chain ACCEPT_8445_tcp_ipv4 (1 references)
pkts bytes target prot opt in out source destination
0 0 ACCEPT tcp -- * * x.x.x.x/x 0.0.0.0/0 tcp dpt:8445 Firewall rule permitting the Sponsor Portal traffic from segment x.x.x.x/x
0 0 ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED
0 0 DROP all -- * * 0.0.0.0/0 0.0.0.0/0

デバッグログの確認

• コンポInfrastructure  ーネントをGUIからデバッグできるようにします。
• コンポーAdmin-infra  ネントがGUIからデバッグできるようにします。
• コンポーNSF  ネントがGUIからデバッグできるようにします。
• show logging application ise-psc.log tailを使用します。

サンプルログエントリは、ISE管理者のwebUIアクセスが制限され、許可されるサブネットが198.18.133.0/24であるのに対し、ISE管理者のアクセス元が198.18.134.28の場合に表示されます。

2024-07-18 02:27:55,508 DEBUG [admin-http-pool4][[]] cisco.cpm.infrastructure.systemconfig.CpmIpFilterCache -:::::- IpList -> 198.18.133.0/24/basicServices
2024-07-18 02:27:55,508 DEBUG [admin-http-pool4][[]] cisco.cpm.infrastructure.systemconfig.CpmIpFilterCache -:::::- Low ip address198.18.133.0
2024-07-18 02:27:55,508 DEBUG [admin-http-pool4][[]] cisco.cpm.infrastructure.systemconfig.CpmIpFilterCache -:::::- High ip address198.18.133.255
2024-07-18 02:27:55,508 DEBUG [admin-http-pool4][[]] cisco.cpm.nsf.impl.NetworkElement -:::::- The ip address to check is v4 198.18.134.28
2024-07-18 02:27:55,508 DEBUG [admin-http-pool4][[]] cisco.cpm.infrastructure.systemconfig.CpmIpFilterCache -:::::- Checkin Ip In ipList returned Finally ->false

関連情報