Skip to content

Device Access Control

項目内容
AAA5.6 AAA に分離
ローカル認証最低限の緊急アクセスを確保
外部認証RADIUS/TACACS+ で一元管理
設定目的コンフィグモードコマンド例
AAA有効化Global configaaa new-model
ローカルユーザーGlobal configusername admin secret <password>

VTYアクセス設定

設定目的コンフィグモードコマンド例
パスワード設定Line configpassword <password>
パスワード認証有効化Line configlogin
ローカルDB認証有効化Line configlogin local
権限レベル指定Line configprivilege level {0-15}
自動切断(無操作)Line configexec-timeout <分> <秒>
自動切断(セッション開始から)Line configabsolute-timeout <分>
受信プロトコル指定Line configtransport input {telnet|ssh|all|none}
送信プロトコル指定Line configtransport output {telnet|ssh|all|none}
ACLによるアクセス制御Line configaccess-class <ACL番号> in

重要: login はパスワード認証、login local はローカルデータベース(username)認証。用途が異なる。

重要: exec-timeout は無操作時の自動切断(0分0秒で無効)。absolute-timeout は操作の有無に関わらずセッション開始からの経過時間で強制切断(0分=デフォルトで無効)。

重要: transport input はVTYポートへの着信プロトコル(外部からの接続受付)。transport output はそのライン(console/VTY)から他デバイスへの発信プロトコル。未設定時のデフォルトはoutput側が制限なし(all)。

Enable パスワード

設定目的コンフィグモードコマンド例
特権モードパスワード(非推奨)Global configenable password <password>
特権モードパスワード(推奨)Global configenable secret <password>

重要: enable passwordenable secret の両方が設定されている場合、セキュリティレベルの高い enable secret が優先される。enable password はType 7(可逆)、enable secret はMD5以上(不可逆)で保存される。

重要: enable passwordenable secret のどちらも設定されていない場合、line console に設定されたパスワードが特権モード移行時のパスワードとして使われる。

権限レベル(Privilege Level)

使用できるコマンドを制限する機能。レベル0〜15。

レベル用途説明
0限定コマンドのみlogout, enable, disable
1ユーザモード(デフォルト)show系コマンド等
15特権モード全コマンド使用可能

重要: VTYで privilege level 15 を設定すると、ログイン後に直接特権モードでセッションが開始される。

ユーザアカウント作成

設定目的コンフィグモードコマンド例
ユーザ作成(secret)Global configusername <name> privilege <level> secret <password>
ユーザ作成(password)Global configusername <name> privilege <level> password <type> <password>
passwordタイプ意味
0平文パスワードを指定(デフォルト)
7暗号化済みパスワードを指定(平文を指定するとエラー)
secretタイプアルゴリズム強度
0平文(入力時のみ、保存時にハッシュ化)
5MD5(1,000回反復、32bitソルト)弱(非推奨)
8PBKDF2-SHA256(20,000回反復、80bitソルト)強(推奨)
9Scrypt(メモリ高負荷、GPU耐性あり)強(推奨)

重要: secret はハッシュで保存(推奨)。password はType 7の可逆暗号で保存(非推奨)。password 7 に平文を入れるとエラーになる。Type 5は現在非推奨、Type 8/9への移行が推奨。

autocommand

ログイン時に自動的にコマンドを実行する設定。

(config)#username {ユーザ名} autocommand {コマンド}

重要: autocommandで指定されたコマンドが実行された後、セッションは自動的に終了する。

service password-encryption

設定目的コンフィグモードコマンド例
パスワード暗号化有効化Global configservice password-encryption

平文(Type 0)で保存されているパスワードをType 7(Vigenere)で暗号化する。

重要: secret は既にMD5以上でハッシュ化されているため、service password-encryption を実行しても変化しない。影響を受けるのは password で設定された平文パスワードのみ。

HTTP/HTTPSによるデバイス管理

設定目的コンフィグモードコマンド例
HTTPサーバ有効化Global configip http server
HTTPサーバ無効化Global configno ip http server
HTTPSサーバ有効化Global configip http secure-server
HTTPSサーバ無効化Global configno ip http secure-server
ACL適用Global configip http access-class <ACL番号>

重要: HTTPは暗号化されないため無効化推奨。ACL番号は標準ACL(1〜99)のみ指定可能。

NAC (Network Access Control)

ユーザやデバイスを認証で識別し、適切なアクセス権限を与える制御方法。

認証方法

認証方法説明優先順位
IEEE 802.1X認証用クライアントソフト(サプリカント)を使用1st(最優先)
MAB (MAC Authentication Bypass)デバイスのMACアドレスで認証2nd(802.1Xのフォールバック)
Web認証 (WebAuth)ブラウザでユーザ名/パスワードを入力3rd(802.1X/MABのフォールバック)

Web認証の種類

種類説明
LWA (Local Web Authentication)スイッチ/WLCが提供するWebポータルで認証。入力情報はRADIUSサーバに送信
CWA (Central Web Authentication)Cisco ISEを使用して認証を行う方式

重要: 認証のフォールバック順序は 802.1X → MAB → Web認証。アクセス制御にはTrustSec(SGTベース)が使われる。

Cisco ISE (Identity Services Engine)

ネットワーク上のセキュリティポリシーを一元管理するプラットフォーム。

ISEの主な機能

機能説明
ゲストポータルゲストユーザ向け認証ポータルを提供
SGT管理ユーザのグループ分け用SGT(Security Group Tag)を一元管理
pxGridセキュリティ製品間の統合規格。脅威の軽減・修復・封じ込めを実施

重要: pxGrid(Platform Exchange Grid)はISEの機能の一つで、異なるセキュリティ製品間でコンテキスト情報を共有し、ネットワーク全体のセキュリティ脅威の修復を行う。SD-AccessやNGFWの機能ではない。

ゲストユーザのネットワーク利用フロー

順序内容
ゲストユーザがネットワークに接続
WLC等のネットワークデバイスの認可設定によって、ISEのゲストポータルへリダイレクトされる
ゲストポータルにてアカウントを作成し、クレデンシャル(ユーザ名/パスワード)でログインすることでネットワーク利用が可能になる

重要: ゲストユーザが利用するDNSサーバに、ゲストポータルのDNSレコードが登録されている必要がある。ゲストポータルのFQDNとIPアドレスが正しく登録されていないと名前解決が行えず、リダイレクトが機能しない。