Inleiding
In dit document worden de beschikbare opties beschreven om IP-toegangsbeperking in ISE 3.1, 3.2 en 3.3 te configureren.
Voorwaarden
Vereisten
Cisco raadt u aan kennis te hebben van Cisco Identity Service Engine (ISE).
Gebruikte componenten
De informatie in dit document is gebaseerd op de volgende software- en hardware-versies:
- Cisco ISE versie 3.1
- Cisco ISE versie 3.2
- Cisco ISE versie 3.3
De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u zorgen dat u de potentiële impact van elke opdracht begrijpt.
Achtergrondinformatie
Met de functie voor IP-toegangsbeperking kunnen beheerders bepalen welke IP-adressen of -bereiken toegang kunnen krijgen tot het ISE-beheerportal en de services.
Deze optie is van toepassing op verschillende ISE-interfaces en -services, waaronder:
- Admin-poorttoegang en CLI
- ERS API-toegang
- Toegang tot gast- en sponsorportal
- Toegang tot mijn apparaatportal
Als deze optie is ingeschakeld, maakt ISE alleen verbindingen mogelijk vanaf de opgegeven IP-adressen of bereiken. Alle pogingen om toegang te krijgen tot ISE-beheerinterfaces van niet-gespecificeerde IP’s worden geblokkeerd.
In het geval van accidentele lock-out biedt ISE een opstartoptie 'safe mode' die IP-toegangsbeperkingen kan omzeilen. Hiermee kunnen beheerders toegang verkrijgen en eventuele fouten corrigeren.
Gedrag in ISE 3.1 en lager
Navigeer naar Administration > Admin Access > Settings > Access . U hebt de volgende opties:
- Sessie
- IP-toegang
- MnT-toegang
Configureren
- Selecteer
Allow only listed IP addresses to connect dit.
- Klik op de knop .
Add
IP-toegangsconfiguratie
- In ISE 3.1 hebt u geen optie om tussen
Admin en User services te selecteren, waardoor IP Access Restriction blokkeert verbindingen om:
- Er wordt een dialoogvenster geopend waar u de IP-adressen, IPv4 of IPv6, in CIDR-indeling kunt invoeren.
- Zodra IP is geconfigureerd, stelt u het masker in CIDR-indeling in.
IP CIDR bewerken
Opmerking: CIDR-indeling (IP Classless Inter-Domain Routing) is een methode om IP-adressen en het bijbehorende routingprefix weer te geven.
Voorbeeld:
IP: 10.8.16.32
Masker: /32
Waarschuwing: bij het configureren van IP-beperkingen moet u voorzichtig zijn om te voorkomen dat legitieme beheerderstoegang per ongeluk wordt uitgesloten. Cisco adviseert het grondig testen van elke configuratie van IP-beperkingen voordat deze volledig wordt geïmplementeerd.
Tip: voor IPv4-adressen:
- Gebruik /32 voor specifieke IP-adressen.
- Gebruik voor subnetten een andere optie. Voorbeeld: 10.26.192.0/18
Gedrag in ISE 3.2
Navigeer naar Administration > Admin Access > Settings > Access. U hebt deze opties beschikbaar:
- Sessie
- IP-toegang
- MnT-toegang
Configureren
- Kiezen
Allow only listed IP addresses to connect.
- Klik op de knop .
Add
IP-toegangsconfiguratie
- Er wordt een dialoogvenster geopend waar u de IP-adressen, IPv4 of IPv6, in CIDR-indeling kunt invoeren.
- Zodra IP is geconfigureerd, stelt u het masker in CIDR-indeling in.
- Deze opties zijn beschikbaar voor IP-toegangsbeperking:
- Admin Services: GUI, CLI (SSH), SNMP, ERS, OpenAPI, UDN, API-gateway, PxGrid (uitgeschakeld in Patch 2), MnT Analytics
- Gebruikersservices: Gast, BYOD, Positie, Profiling
- Beheer- en gebruikersservices
IP CIDR bewerken
- Klik op de knop
Save.
ON betekent dat de Admin-services zijn ingeschakeld, OFF dat de gebruikersservices zijn uitgeschakeld.
IP-toegangsconfiguratie in 3.2
Gedrag in ISE 3.2 P4 en hoger
Navigeer naar Administration > Admin Access > Settings > Access . U hebt de volgende opties beschikbaar:
- Sessie
- Admin GUI en CLI: ISE GUI (TCP 43), ISE CLI (SSH TCP22) en SNMP.
- Beheerservices: ERS API, Open API, pxGrid, DataConnect.
- Gebruikersdiensten: Gast, BYOD, Positie.
- MNT Access: met deze optie neemt ISE geen Syslog-berichten uit externe bronnen in beslag.
Opmerking: de toegangsbeperking voor pxGrid en Data Connect geldt voor ISE 3.3+, maar niet voor ISE 3.2 P4+.
Configureren
- Kiezen
Allow only listed IP addresses to connect.
- Klik op de knop
Add.
IP-toegangsconfiguratie in 3.3
- Er wordt een dialoogvenster geopend waar u de IP-adressen, IPv4 of IPv6, in CIDR-indeling kunt invoeren.
- Zodra IP is geconfigureerd, stelt u het masker in CIDR-indeling in.
- Klik op de knop .
Add
ISE-GUI/CLI herstellen
- Aanmelden met console.
- Stop ISE-services met
application stop ise
- Start ISE-services met
application start ise safe
- Verwijder de IP-toegangsbeperking uit de GUI.
Probleemoplossing
Neem een pakketopname om te controleren of ISE niet reageert of het verkeer laat vallen.
Controleer ISE-firewallregels
- Voor 3.1 en lager, kunt u dit slechts in de showtech controleren.
- U kunt een showtech nemen en het opslaan in de lokale schijf met behulp van
show tech-support file <filename>
- Dan kunt u het bestand overbrengen naar een repository met behulp van
copy disk:/<filename> ftp://<ip_address>/path. De URL van de repository verandert afhankelijk van het type repository dat u gebruikt.
- U kunt het bestand naar uw machine downloaden zodat u het kunt lezen en zoeken
Running iptables -nvL.
- De beginregels in de show tech zijn hier niet inbegrepen. Met andere woorden, hier kunt u de laatste regels vinden die aan de showtech zijn toegevoegd door de beperkingsfunctie van IP Access.
*****************************************
Running iptables -nvL...
*****************************************
.
.
Chain ACCEPT_22_tcp_ipv4 (1 references)
pkts bytes target prot opt in out source destination
0 0 ACCEPT tcp -- eth0 * x.x.x.x/x 0.0.0.0/0 tcp dpt:22 Firewall rule permitting the SSH traffic from segment x.x.x.x/x
461 32052 ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED
65 4048 DROP all -- * * 0.0.0.0/0 0.0.0.0/0
Chain ACCEPT_161_udp_ipv4 (1 references)
pkts bytes target prot opt in out source destination
0 0 ACCEPT udp -- * * x.x.x.x/x 0.0.0.0/0 udp dpt:161 Firewall rule permitting the SNMP traffic from segment x.x.x.x/x
0 0 ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED
0 0 DROP all -- * * 0.0.0.0/0 0.0.0.0/0
- Voor 3.2 en hoger kunt u de opdracht gebruiken
show firewall om de firewallregels te controleren.
- 3.2 en hoger bieden meer controle over de services die worden geblokkeerd door IP-toegangsbeperking.
gjuarezo-311/admin#show firewall
.
.
Chain ACCEPT_22_tcp_ipv4 (1 references)
pkts bytes target prot opt in out source destination
170 13492 ACCEPT tcp -- eth0 * x.x.x.x/x 0.0.0.0/0 tcp dpt:22 Firewall rule permitting the SSH traffic from segment x.x.x.x/x
0 0 ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED
13 784 DROP all -- * * 0.0.0.0/0 0.0.0.0/0
Chain ACCEPT_161_udp_ipv4 (1 references)
pkts bytes target prot opt in out source destination
0 0 ACCEPT udp -- * * x.x.x.x/x 0.0.0.0/0 udp dpt:161 Firewall rule permitting the SNMP traffic from segment x.x.x.x/x
0 0 ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED
0 0 DROP all -- * * 0.0.0.0/0 0.0.0.0/0
Chain ACCEPT_8910_tcp_ipv4 (1 references)
pkts bytes target prot opt in out source destination
0 0 ACCEPT tcp -- * * x.x.x.x/x 0.0.0.0/0 tcp dpt:8910 Firewall rule permitting the PxGrid traffic from segment x.x.x.x/x
0 0 ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED
90 5400 DROP all -- * * 0.0.0.0/0 0.0.0.0/0
Chain ACCEPT_8443_tcp_ipv4 (1 references)
pkts bytes target prot opt in out source destination
0 0 ACCEPT tcp -- * * x.x.x.x/x 0.0.0.0/0 tcp dpt:8443 Firewall rule permitting the HTTPS traffic from segment x.x.x.x/x
0 0 ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED
0 0 DROP all -- * * 0.0.0.0/0 0.0.0.0/0
Chain ACCEPT_8444_tcp_ipv4 (1 references)
pkts bytes target prot opt in out source destination
0 0 ACCEPT tcp -- * * x.x.x.x/x 0.0.0.0/0 tcp dpt:8444 Firewall rule permitting the Block List Portal traffic from segment x.x.x.x/x
0 0 ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED
0 0 DROP all -- * * 0.0.0.0/0 0.0.0.0/0
Chain ACCEPT_8445_tcp_ipv4 (1 references)
pkts bytes target prot opt in out source destination
0 0 ACCEPT tcp -- * * x.x.x.x/x 0.0.0.0/0 tcp dpt:8445 Firewall rule permitting the Sponsor Portal traffic from segment x.x.x.x/x
0 0 ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED
0 0 DROP all -- * * 0.0.0.0/0 0.0.0.0/0
Debug-logbestanden controleren
Waarschuwing: niet al het verkeer genereert logs. IP Access-beperking kan het verkeer op toepassingsniveau blokkeren met behulp van Linux Internal Firewall. SNMP, CLI en SSH zijn op firewallniveau geblokkeerd, zodat er geen logs worden gegenereerd.
- Schakel
Infrastructure component in om te ZUIVEREN van GUI.
- Schakel
Admin-infra component in om te DEBUGGEN vanaf GUI.
- Schakel
NSF component in om te DEBUGGEN vanaf GUI.
- Gebruik tonen logboektoepassing ise-psc.log staart.
De voorbeelden logitems kunnen worden weergegeven wanneer de ISE-admin webUI-toegang is beperkt, waarbij het toegestane subnetnummer 198.18.133.0/24 is terwijl de ISE-admin uit 198.18.134.28 komt.
2024-07-18 02:27:55,508 DEBUG [admin-http-pool4][[]] cisco.cpm.infrastructure.systemconfig.CpmIpFilterCache -:::::- IpList -> 198.18.133.0/24/basicServices
2024-07-18 02:27:55,508 DEBUG [admin-http-pool4][[]] cisco.cpm.infrastructure.systemconfig.CpmIpFilterCache -:::::- Low ip address198.18.133.0
2024-07-18 02:27:55,508 DEBUG [admin-http-pool4][[]] cisco.cpm.infrastructure.systemconfig.CpmIpFilterCache -:::::- High ip address198.18.133.255
2024-07-18 02:27:55,508 DEBUG [admin-http-pool4][[]] cisco.cpm.nsf.impl.NetworkElement -:::::- The ip address to check is v4 198.18.134.28
2024-07-18 02:27:55,508 DEBUG [admin-http-pool4][[]] cisco.cpm.infrastructure.systemconfig.CpmIpFilterCache -:::::- Checkin Ip In ipList returned Finally ->false
Gerelateerde informatie