LoginSignup
1
0

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?

@yatogash

Cisco Secure AccessでRadius連携してRAVPN(ISE) その1

Posted at

はじめに

免責事項
 本ページおよび、これに対応するコメント記載については、投稿者本人の個人的意見であり、シスコの意見ではありません。本サイトの内容は、情報の提供のみを目的として掲載されており、シスコや他の関係者による推奨や表明を目的としたものではありません。各利用者は、本Webサイトへの掲載により、投稿、リンクその他の方法でアップロードした全ての情報の内容に対して全責任を負い、本Web サイトの利用に関するあらゆる責任からシスコを免責することに同意したものとします。

本記事は、Cisco Secure AccessのRAVPN時に、社内のRadiusサーバと連携する際の設定Tipsをまとめています。

前提情報

以下が、今回の構成です。
EndpointデバイスがSSL VPN接続した際のユーザ認証を環境構築したので、備忘録として、Radius (ISE)で実施する場合の手順の一例となればと思い、残しておこうと思います。
その2に続くので、公開したらURLをこちらへUpdateします。

* SSE Radiusサーバ登録
* ISE 設定作業
* SSE User登録
* SSE Access policy
* SSE/ISE 接続確認

image.png

事前環境

C8000VとSSEのInternal networkの接続は、以下のページ参考です。
Cisco Secure AccessとISRルータを繋げてみた

参考document

設定

SSE Virtual Private Network設定

SSEでまず、Virtual Private Networkの設定をします。参考ドキュメントはこちら

Manage IP Pools

こちらに従い設定します。

Connect > End User Connectivity > Virtual Private NetworkでManage
Add IP Pool

DNSサーバは、すでに構築している内部DNSサーバ、または外部DNSサーバをそれぞれのDNS設計に従い設定します。なければ、Umbrellaを指定する、という手もあります。

なお、この時に、設定したIP Poolの「Management IP Pools」のIPレンジは、ISEのNetwork device登録で必要になりますのでメモしておきます。
以下の場合は、10.150.201.0/24です。
IP Pool

Add a RADIUS Group

今回、Radiusを使った認証、になりますので、SSEへRadius登録します。
こちらに従い設定します。

設定時はRadius serverのValidationはしません。まずはパラメータとして登録します。

Radiusプロトコルの設定がありますので、大きく変える必要がなければそのまま、Secure Accessのデフォルト値で問題ないかと思います。要件によってポート番号を変える必要がある場合は、適宜変更します。(Radius側も同様に設定が必要になります。)
AddRadiusGroup

ノードの設定は、シークレットキーとともに、登録します。
AddRadiusServer

ConfigureRadiusServer

Add VPN Profiles

こちらを参照し、VPNプロファイルを作成します。
AddRadiusGroup

Step1は、ドキュメントに従い、必要な項目を設定していきます。

  • Include machine tunnel for this profileは、ユーザーがログインを開始する前に、クライアントデバイスをSecure Accessに接続する要件がある場合に、チェックを入れます。
  • Include regional FQDNは、クライアントがVPNヘッドエンドに接続する際、リージョン固有のFQDNをホスト名へ追加する場合に、チェック入れます。
    Example general settings
    全ての項目を入力しNextを押します。

Step2では、こちらを参照しながら設定をします。
ProtocolはRadiusを選択してください。Authentication/Authorization/Accountingへ必要に応じて、先ほど設定したRadius Serverを定義します。

https://files.readme.io/b5b3e57-aaa-pick-radius-group.png

Step3では、Secure Access接続後のTunnelへ通す通信を設定できます。
Conenct to Secure Accessは、全ての通信(Private/Internetすべて)をTunnelへフォワードします。その中でも、ある特定の通信だけをTunnelから除外する場合、Add Exceptionsで定義します。
Conenct to Secure Access

Bypass Secure Accessは、Tunnelに特定の通信だけ通したい場合に利用します。特定の通信をAdd Exceptionsで定義します。
Bypass Secure Access

Step4は、Cisco Secure Clientへ適用するコンフィグレーションを設定します。特に変更がなければそのままのデフォルト値とします。

Remind

ISEでのユーザ設定が終わったら、ユーザ連携があるので戻ってきます。

ISE 設定作業

ISEはRadiusサーバとして動作させます。ユーザ登録、グループ設定、ポリシーセット設定が必要です。ポスチャは今回実施しません。
ISE3.3ではAAAの機能なので、Essentialライセンスで動作可能です。

一般的なRadius認証の設定なので、それほど難しくはないと思います。その2へ続きます。

1
0
0

Register as a new user and use Qiita more conveniently

  1. You get articles that match your needs
  2. You can efficiently read back useful information
  3. You can use dark theme
What you can do with signing up
Sign upLogin
1
0

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?