802.1X自体は正確に退屈なコマンド、あまりにも難しいことではありません、実験環境(仮想+物理マシンスイッチ)を構築することは困難です。人々は参入障壁がより困難です。私は物理的なスイッチを持っていないが、すべての後に、限り、ブログ内の構成は、ライン上に掲載さ。ISEおよび802.1xのコンセプトは、まだ検討中で動作することができます。
スイッチ推奨
:を参照することができます文書は、米国シスコSEが書いている
http://www.network-node.com/blog/2015/12/30/switch-configuration-for-dot1x
公式文書
HTTPS:// www.cisco.com/c/en/us/support/docs/security/identity-services-engine/116143-config-cise-posture-00.html
私は再びリフレッシュ
AAA新モデル
AAAのauthenticatoinは、dot1xデフォルトのグループISE
AAA許可ネットワークのデフォルト・グループISEの
AAAの会計は、dot1x設定調歩グループISE
(フォーマットは再び阿呆TACACS +と非常に類似しており、デフォルトでは実際には、すべてのサポートされているインターフェイス上で802.1x認証を開くことであることを覚えて、アクセスポート、シスコ、ネットワークへの認可は何地獄ですか?)
AAAグループサーバ半径ISE
サーバのプライベート192.168.133.11キーはcisco123
AAAサーバの半径ダイナミック著者の
クライアント192.138.133.11キーはcisco123
IP半径ソースインターフェイスループバック0
dot1x system-auth-control
デバイス追跡追跡3750/3850は少し違うようだ
センド認証RADIUSサーバのVSA
センド会計RADIUSサーバのVSA
//がアクセス要求でservice-type属性を送信し、オン用のログイン-AUTHは、radius-server属性6
は、radius-server属性8が含ま-にアクセス-REQ //送信フレームを選ぶ-IPアドレス属性
は、radius-server属性25 access-要求は、アクセス要求にクラス属性を送信//含ま
IPアクセスリストの拡張ACL-DEFAULT
発言のDHCPの
許可UDP任意のEQ bootpc任意のEQ BOOTPS
発言のDNS
許可UDP任意の任意のEQドメインの
発言のPINGの
許可は、任意の任意のICMP
発言のTFTPの
許可UDP任意の任意のEQのTFTPの
発言は、ALLドロップ
IPに任意の任意のログを否定します
ウェブ・リダイレクト拡張IPアクセスリスト
の任意のUDP任意のEQドメインを拒否
任意のEQのBOOTPSがUDP EQ bootpcを否定する
任意のEQ 8905 TCPいずれかを否定する
任意のEQ 8905は、任意のUDP否定する
任意のEQ 8909は、TCPいずれかを否定する
任意のUDP任意のEQ 8909を否定
いずれかを任意の当量のTCPを拒否8443
許可IP任意の任意の
IP、HTTPサーバー
のIP、HTTPセキュアサーバー
私は書類を確認し、コースウェアポート8906の指導者はすでに不要です。
https://www.cisco.com/c/en/us/support/docs/security/identity-services-engine/116143-config-cise-posture-00.html
UDP / TCP 8905:BETWEEN NACポスチャの通信に使用されますISEおよびエージェントの
UDP / TCP 8909:クライアントのプロビジョニングに使用される。
TCP 8443:ゲストと姿勢の検出に使用。
ポートアクセスの
int型のGI 1/0/22
モードアクセススイッチポート
スイッチポートVLAN 10のアクセスは、
スパニングツリーは、PortFastの
デバイス・トラッキング// 3650分の3850プラットフォームは確かではないの前に、インターフェイスでこのコマンドを持っている必要があります
IPアクセスグループACL-DEFAULTに / /デフォルトのACLのリリース、および認証オープンで使用する
認証オープン//認証は、物理インターフェイスを開くことができます失敗しますが、何の不正なトラフィックはデフォルトのACLによって制御されていない
認証イベント失敗アクションメソッド、次へ-
認証イベント・サーバーデッドアクションにauthorize VLAN 999
の認証イベント・サーバーアライブ再初期化アクション
認証MODEマルチホスト認証
認証順序は、dot1xモノクローナル抗体
authenticatinoは、dot1x優先のmAb
認証ポート制御自動の
認証違反インクルードを制限する
モノクローナル抗体
でdot1x認証者PAE
二つのMABと802.1xのコンセプトは、
いくつかの段落をコピーします。
- MABは、エンドポイントが802.1xをサポートしていないときに展開認証です
- MABは、パスワードを持っているためにPAP / ASCIIまたは必要に応じて、EAP-MD5を使用しています。しかし、半径はクリアテキストで、ユーザ名はMACアドレスであります
公式は非常に詳細なドキュメントMABがあると言って、私はいくつかの重要なポイント傍受
、ハイレベルMAB認証シーケンスを認証プロセスで見ることができ、要求のIDを送信することである802.1xのタイムアウトがモノクローナル抗体アドレス認証を開始した後、3回まで切り替える
- 
-典型的にMABパッケージ、サービスタイプ=コールチェックNASに注意を払う -Port-タイプ=イーサネット平文の注目のユーザー名なので、これは実際には非常に良い欺瞞である
-iseエンドデフォルトのMAB整合条件
関係なく、あなたが許可するかどうかのISE、すべてのエンドポイントを覚えて、MACアドレスは、すべてのISEを記録することができます。私たちはグループに応じて権限を付与することができ、これらの端末がグループ化されているプロファイリングています。
三つの802.1x
私はいくつかの認証方法についてお話しましょう、EAP-MD5(詳細に話すことではない、本番環境が展開されていない、検査をテストするものではありません)、PEAP(MS-CHAPv2を)、EAP-TLS、EAP-FAST
まず彼は、EAP、拡張認証プロトコルの下で、インドの外国ワイヤレス偉大な神は、彼のブログの書き込みは非常に良好であると述べました。私は直接彼の写真を借りました。
通常のEAP、貴重な何も
PEAP (MS-CHAPv2)
这种认证方式要求ISE需要有CA签发的证书,客户端需要信任CA的根证书。如果需要做机器认证,那就需要在客户端上配有computer certificate并且ISE需要导入CA根证书。
配置演示
首先先缩小可以使用的协议范围:
记住hostlookup 和PAP/ASCII是留着给MAB做保底用的,所以不能删除。
authorization profile
这个排版是丑。。。
附带客户端的配置:
smartcart or certifcate指的其实就是EAP-TLS,右边的additional setting里面是指机器认证和用户认证同时进行。
EAP-TLS,
这种认证方式要求ISE和客户端都有CA的根证书,本质上就是使用证书的双向认证。
注意,EAP-TLS也是支持机器认证的。
ISE段policy sets里面的东西几乎大同小异,唯一不同的是identity source。因为是使用证书认证,那就得创建一个certificate profile。
EAP-FAST (felxible authenticatino via secure tunnel)
这种认证方式必须得在客户端安装anyconnect NAM组件。当然有了anyconnect之后,可以支持现在这三种主流的认证技术。需要指出的是,EAP-FAST是ISE推了一个PAC文件到客户端,搭建TLS tunnel。
三 无线dot1x
无线没啥项目经验,只是做过些实验。摸着石头过河吧。
首先WLC一个重要概念,port和interface。port指的是物理接口,而interface是一个逻辑概念。
思科的官网一个图片解释的很清楚,一个port可以连接这交换机的trunk接口。一个我们自己配置的dynamic interface 对应一个vlan,同时和WLAN SSID之间的mapping关系也是我们自己配置的。
至于AP如何找到并和WLC建立capwap tunnel,这是无线的内容。一般我们用option 43。
创建一个dynamic interface,在flexconnect其实未必需要
认证方式默认其实是802.1x,可以改成
AP启用flexconnect模式
由于没有AP,没办法截图。主要就是AP 模式切换成flexconnect,在flexconnect里面配置vlan mapping,AP地址需要使用native vlan。(这些配完之后,使用PSK实际上就可以通信了)
接下来配置radius服务器
记得需要enable CoA
添加审计Radius
接下来就是修改flexconnect ACL。记住WLC此时对于ISE就是一台NAD,交换机上的类似的一些列表,也需要在WLC上进行配置。因为我们使用的是flexconnect,所以配置的也是FlexConnect ACL。
两条ACL,一个permit all 一个basic traffic,放行DHCP,DNS,CAPWAP和ICMP流量
我们需要在flexconnect group里面启用这些个ACL,在红圈的地方添加AP
需要调用这条basic-traffic ACL到某一个特定的AP,老样子,没办法截图。
接下来去WLAN,修改认证的属性。
记住ISE NAC,其实就是让这个WLAN支持CoA
添加一个SNMP,这个主要还是给profiling用的,radius的授权仍然只要经过radius就可以。
接下来ISE端的配置。。
首先就是NAD,SNMP,如上,其实就是给profiling做准备的。802.1x其实意义不大。
主要看看authorization profile,不像交换机,有DACL或者ACL需要配置。Wireless 802.1x就是一个airos 的ACL和VLAN。
policy set的匹配条件主要就是wireless_802.1x和WLC的location,device type等等
记得在查看授权结果的时候应该去WLC查看client
四 Web authentication for guest
web authentication 就是专门为guest 服务而设置的。
当一个endpoint连接到我们网络的时候,因为他既不支持dot1x,MAC地址也不在ISE的数据库中,当MAB 超时之后,我们配置的ISE策略会让他自动掉落到最后一条策略。所以我们在看到ISE预配的MAB策略中,有个continue
web authentication其实在ISE端是个二次认证的过程。第一次,客户会在一个默认的VLAN环境下,得到一个网页进行认证,同时得到一条Web Redirect ACL(在交换机内配置)以及一条DACL。记住web authentication是种三层认证方式。
另外,这个youtube vod
https://www.youtube.com/watch?v=Zb6uTmzsSAE
讲了一下web authentication的flow。前面十分钟很有借鉴意义。基本上解释了当MAB过时之后他会发送一个authentication passed 回给NAD,同时授权结果是个网页。
当客户收到这个网页之后,会登记自己的信息,产生一个guest账户,然后再做一次认证。
说下posture_remediation 这条DACL。这条DACL是和web redirect一起作为结果推送给NAS的。
permit udp any any eq domain
permit icmp any any
permit tcp any host 192.168.133.11 eq 8905
permit udp any host 192.168.133.11 eq 8905
permit tcp any host 192.168.133.11 eq 8909
permit udp any host 192.168.133.11 eq 8909
permit tcp any host 192.168.133.11 eq 8443
permit tcp any any eq 80
permit tcp any any eq 443
ip access-list extended Web-Redirect
deny udp any any eq domain
deny udp eq bootpc any eq bootps
deny tcp any any eq 8905
deny udp any any eq 8905
deny tcp any any eq 8909
deny udp any any eq 8909
deny tcp any any eq 8443
permit ip any any
所有在posture被permit的和redirect ACL中被redirect的,尤其是DNS,需要注意。
我们可以看到在推送授权结果的时候,还有一个self-registered-portal
以此类推,我们也需要在WLC配置一条类似的flexconnect ACL(注意:我这里是central web authentication,central 的意义在于是由ISE推送认证页面,至于identity source仍然是可以在WLC或者交换机本地的,当然实际上没人会这么做)。
这个portal是在Guest Access里面配置的。
点进去配置
这两个要剔除,因为这是BYOD的东西。
可以自定义Guest Type
进入sponsor portal修改
点击Sponsor Groups,我们看到有三种可以选择
ALL_ACCOUNTS: 能够管理所有的guest 账户
GroupAccounts: 能够管理由这个组的用户所创建的Guest 账户
OwnAccounts:只能够管理有这个用户创建的guest 账户
在部署过程中,其实这些就用系统预配的就可以了。
这里因为是guest,所以一般就可以只要上到网页就行了,当然实际可以调优,比如要收邮件等等。
WLC和flexconnect group配置ACL
两个授权结果,一个有线一个无线
授权策略,
另外吐槽一下,这个identity group我找了半天。。。。
WLC端的认证方式需要修改。需要注意的是WLC,dot1x MAB 和web authentication是相互矛盾的。网页认证属于三层认证方式,所以拿到了ip地址之后一般授权结果也只有ACL
需要vlan,因为授权不会推送vlan
禁用二层认证,mac filtering就是MAB
認証する802.1X MABのウェブサイトの訪問者は、一時的にここで終了します。。。たくさんの、または証明書話すを分割。