バージョン10.17より、CXシリーズスイッチにおいて、port-access policyでのFQDN指定がサポートされました。
本機能により、認証失敗時にロールおよびport-access policyを用いて特定のWebサイトへのアクセスを許可する場合、アクセス許可先をIPアドレスではなくFQDNで指定することが可能となります。
従来、複数のIPアドレスを持つWebサイトに対しては、複数のIPアドレスエントリを登録する必要がありましたが、本機能の利用により設定エントリ数の削減が可能となり、あわせて設定ミスの低減が期待できます。
また、IPアドレスが頻繁に変更される環境においても、設定変更に伴う運用負荷を軽減できます。
【設定をサポートする機種】
以下の機種でサポートされています。
CX4100i
CX6000/6100/6200
CX5420
CX6300/6400
CX8100/8325/8325P/8325H/8360/10000
【機能詳細】
設定および動作は以下のとおりです。
- port-access policyにおいて、LUR/DURのclass内でFQDN指定できます。
- FQDNを指定できるのは、class設定における宛先アドレスのみです。
- IPv4およびIPv6アドレスの名前解決に対応しています。
- 1つのFQDNに対して、複数のIPアドレスの名前解決をサポートします。
- FQDNの更新間隔は、3600~86400秒の範囲で指定可能です(デフォルト:86400秒)
【FQDN指定時の動作に必要な設定】
[リゾルバの更新間隔]
リゾルバの更新間隔を秒単位で設定します。
!
CX6200(config)# ip dns fqdn-resolver refresh-interval
<3600-86400> Specify the interval in seconds (Default: 86400 seconds)
CX6200(config)# ip dns fqdn-resolver refresh-interval 3600
CX6200(config)#
!
* ip dns fqdn-resolver refresh-interval コマンドについて
https://arubanetworking.hpe.com/techdocs/AOS-CX/AOSCX-CLI-Bank/cli_6200/Content/Chp_DNS/DNS_cmds/ip-dns-fqdn-ref-int.htm
[classの設定例]
FQDNを宛先として指定したclassを作成します。
!
class ip class1
11 match tcp any fqdn www.hpe.com
!
【動作確認の設定】
今回の動作確認では、MAC認証を意図的に失敗させることで、ロール名「test-role」を適用しています。
!
radius-server host 172.17.150.81 key ciphertext AQBapX01JRuFkzX46q7l1n5PRzGAoWlMe2VZ6TQiMrYCFjKTBwAAABRRe31npbM=
!
aaa group server radius cppm-sg
server 172.17.150.81
!
client track ip
!
vlan 24
client track ip
vlan 150
!
class ip dhcp-class
11 match udp any any eq dhcp-server count
!
class ip dns-class
11 match udp any any eq dns count
!
class ip fqdn-test-class
11 match tcp any fqdn www.hpe.com count
!
port-access policy pa-p
11 class ip dhcp-class
12 class ip dns-class
13 class ip fqdn-test-class
!
port-access role test-role
associate policy pa-p
vlan access 24
!
aaa authentication port-access mac-auth
radius server-group cppm-sg
enable
!
interface 1/1/1
no shutdown
no routing
vlan access 1
aaa authentication port-access reject-role test-role
aaa authentication port-access mac-auth
enable
!
interface 1/1/24
no shutdown
no routing
vlan trunk native 150
vlan trunk allowed 24,150
!
interface vlan 150
ip address 172.17.150.61/24
!
ip route 0.0.0.0/0 172.17.150.254
ip dns server-address 172.17.100.51
ip dns fqdn-resolver refresh-interval 3600
!
ip source-interface radius 172.17.150.61
ip source-interface dns 172.17.150.61
!
[設定の動作について]
- CXスイッチが使用するDNSサーバのアドレスは、172.17.100.51 です。
- RADIUSサーバのアドレスは、172.17.150.81 です。
- CXスイッチは、VLAN150のIPアドレス(172.17.150.61)を使用して、RADIUSサーバおよびDNSサーバと通信します。
- ポート1/1/1においてMAC認証を有効化しています。PCを接続した際に認証が失敗すると、reject-roleとしてロール名「test-role」が適用されます。
- 「test-role」には、port-access policyとして「pa-p」が適用されています。
- ポリシー「pa-p」には、classとして「dhcp-class」、「dns-class」、「fqdn-test-class」の3つのclassが指定されており、classのactionにより通信が許可されます。
fqdn-test-classでは、宛先FQDNとして「www.hpe.com」が指定されているため、ユーザは、www.hpe.comへのみアクセス可能であり、当該Webサイトを閲覧できる状態となります。その他のWebサイトはclass内で許可されていないため閲覧できません。
【動作確認】
ポート1/1/1 に接続された端末(MACアドレス:84:af:ec:73:d9:c9)には、認証失敗時に適用されるユーザロールとして「test-role」が適用されています。
CX6200# show port-access clients interface 1/1/1
Port Access Clients
RADIUS overridden user roles are suffixed with '*'
Flags: Onboarding-Method|Mode|Device-Type|Status
Onboarding-Method: 1x 802.1X, ma MAC-Auth, ps Port-Security, dp Device-Profile
Mode: c Client-Mode, d Device-Mode, m Multi-Domain
Device-Type: d Data, v Voice
Status: s Success, f Failed, p In-Progress, d Role-Download-Failed
--------------------------------------------------------------------------------------------------------------
Port Client-Name IPv4-Address User-Role VLAN Flags
--------------------------------------------------------------------------------------------------------------
1/1/1 84:af:ec:73:d9:c9 172.17.24.6 test-role, Reject (u)24 --|c|-|s
CX6200#
CX6200# show port-access clients interface 1/1/1 detail
Port Access Client Status Details:
RADIUS overridden user roles are suffixed with '*'
Client 84:af:ec:73:d9:c9
========================
Session Details
---------------
Port : 1/1/1
Session Time : 443s
IPv4 Address : 172.17.24.6
IPv6 Address :
Device Type :
VLAN Details
------------
VLAN Group Name :
VLANs Assigned : 24
Access : 24
Native Untagged :
Allowed Trunk :
Authentication Details
----------------------
Status : Authentication Failed, Server-Reject
Auth Precedence : dot1x - Not attempted, mac-auth - Unauthenticated
Auth History : mac-auth - Unauthenticated, Server-Reject, 438s ago
MACsec Details
--------------
MKA Session Status :
MACsec Status :
Authorization Details
----------------------
Role : test-role, Reject role
Status : Applied
Role Information:
Name : test-role
Type : local
----------------------------------------------
Access VLAN : 24
Policy : pa-p
Access Policy Details:
Policy Name : pa-p
Policy Type : Local
Policy Status : Applied
Base Policy : N/A
ACL Names : N/A
SEQUENCE CLASS TYPE ACTION
----------- ---------------------------- ---- ----------------------------------
11 dhcp-class ipv4 permit
12 dns-class ipv4 permit
13 fqdn-test-class ipv4 permit
Class Details:
class ip dhcp-class
11 match udp any any eq dhcp-server count
class ip dns-class
11 match udp any any eq dns count
class ip fqdn-test-class
11 match tcp any fqdn www.hpe.com count
CX6200#
この端末のユーザは、webサイト(www.hpe.com)を閲覧できます。アクセス前のpolicyで参照しているclassのエントリに一致したカウント数は0となっています。
* カウント数の確認は、classのエントリ設定でcountオプションを含めるようにします。
CX6200# show port-access policy pa-p hitcounts client
Port Access Policy Hit-Counts Details:
======================================
Policy Name : pa-p
Policy Type : local
Policy Status : applied
SEQUENCE CLASS TYPE ACTION CUR-RATE(kbps)
-------- ---------------- ---- --------------------------------- --------------
Class Name : dhcp-class
Class Type : ipv4
SEQUENCE CLASS-ENTRY HIT-COUNT
----------- ------------------------------------------------------- -----------
11 match udp any any eq 67 count 1
Class Name : dns-class
Class Type : ipv4
SEQUENCE CLASS-ENTRY HIT-COUNT
----------- ------------------------------------------------------- -----------
11 match udp any any eq 53 count 13
Class Name : fqdn-test-class
Class Type : ipv4
SEQUENCE CLASS-ENTRY HIT-COUNT
----------- ------------------------------------------------------- -----------
11 match tcp any fqdn www.hpe.com count 0
CX6200#
Webサイト(www.hpe.com)へアクセスすると、policyで参照しているclassのエントリに一致したカウント数も増加します。
CX6200# show port-access policy pa-p hitcounts client
Port Access Policy Hit-Counts Details:
======================================
Policy Name : pa-p
Policy Type : local
Policy Status : applied
SEQUENCE CLASS TYPE ACTION CUR-RATE(kbps)
-------- ---------------- ---- --------------------------------- --------------
Class Name : dhcp-class
Class Type : ipv4
SEQUENCE CLASS-ENTRY HIT-COUNT
----------- ------------------------------------------------------- -----------
11 match udp any any eq 67 count 1
Class Name : dns-class
Class Type : ipv4
SEQUENCE CLASS-ENTRY HIT-COUNT
----------- ------------------------------------------------------- -----------
11 match udp any any eq 53 count 17
Class Name : fqdn-test-class
Class Type : ipv4
SEQUENCE CLASS-ENTRY HIT-COUNT
----------- ------------------------------------------------------- -----------
11 match tcp any fqdn www.hpe.com count 3818
CX6200#
show ip dns fqdn-resolverコマンドで、FQDNエントリの総数、更新時間、ソース情報を確認することができます。
CX6200# show ip dns fqdn-resolver
Total FQDN: 1
Refresh Time: 3600 seconds
Source: port-access
VRF | FQDN | Status | Addr-Family | ip-address
--------------+--------------------------------+-------------+--------------+------------------------------------------------
default | www.hpe.com | resolved | ipv4 | 184.26.251.98
--------------+--------------------------------+-------------+--------------+------------------------------------------------
CX6200#
CX6200# show ip dns fqdn-resolver detail
--------------------------------------------------------------------------------
Source: port-access
--------------------------------------------------------------------------------
FQDN: www.hpe.com
VRF: default
Requested Address Family: ipv4
Status: resolved
IPv4 Addresses:
184.26.251.98
--------------------------------------------------------------------------------
CX6200#
【設定の拡張性】
- 1つのclassに最大128個のFQDNエントリを含めることができます。
- アクセスポリシーには、最大128個のFQDNエントリを含めることができます。
- スイッチ全体で最大256個のFQDNエントリをサポートできます。
#Blog #Wired
-------------------------------------------