إعداد مصادقة ISE 3.4 دون مسوغات الوصول المحمي بين ISE و NAD ل TrustSec
المقدمة
يصف المستند الإعداد الأولي للتكوين دون مسوغات الوصول المحمي بين عملاء ISE و NAD لتنزيل بيانات بيئة TrustSec.
المتطلبات الأساسية
المتطلبات
- التعرف على Cisco TrustSec كحل أمان شبكة.
- معرفة محرك خدمات الهوية (ISE) لإدارة أمان الشبكة.
- الفهم الأساسي لبروتوكول المصادقة المتوسع (EAP) كإطار لنقل معلومات المصادقة.
المكونات المستخدمة
Identity Services Engine (ISE)، الإصدار 3.4.x
Cisco IOS® 17.15.1 أو أعلى
تم إنشاء المعلومات الواردة في هذا المستند من الأجهزة الموجودة في بيئة معملية خاصة. بدأت جميع الأجهزة المُستخدمة في هذا المستند بتكوين ممسوح (افتراضي). إذا كانت شبكتك قيد التشغيل، فتأكد من فهمك للتأثير المحتمل لأي أمر.
معلومات
في وضع عدم وجود مسوغات وصول محمي (PAC)، يكون تنفيذ سياسات TrustSec أسهل لأنها لا تتطلب مسوغات وصول محمي (PAC)، والتي تكون عادة مطلوبة للاتصالات الآمنة بين الأجهزة ومحرك خدمات الهوية (ISE). ويكون هذا النهج مفيدا بشكل خاص في البيئات التي تحتوي على عقد ISE متعددة. في حالة عدم اتصال العقدة الأساسية، يمكن للأجهزة التبديل تلقائيا إلى عملية نسخ إحتياطي دون الحاجة إلى إعادة إنشاء بيانات الاعتماد الخاصة بها، مما يقلل حالات المقاطعة. تعمل المصادقة التي لا تحتوي على مسوغات وصول محمي (PAC) على تبسيط العملية، مما يجعلها أكثر قابلية للتطوير وأكثر سهولة في الاستخدام، كما تدعم أساليب الأمان الحديثة المتوافقة مع مبادئ انعدام الثقة.
في هذا الوضع، تبدأ الأجهزة بإرسال طلب يتضمن اسم مستخدم وكلمة مرور. ويستجيب المعهد لاقتراح عقد جلسة آمنة. وبمجرد إعداد جلسة العمل هذه، يوفر ISE المعلومات المهمة اللازمة لتأمين الاتصال. ويتضمن ذلك مفتاح للأمان والتفاصيل مثل هوية الخادم وتوقيته. وتستخدم هذه المعلومات لضمان الوصول الآمن والمستمر إلى السياسات والبيانات الضرورية.
التكوين
التكوينات
تكوين المبدّل
في هذا المستند، يتم تكوين إعداد المصادقة الأقل من PAC باستخدام المحول Cisco C9300 switch. يمكن لأي محول يعمل بالإصدار 17.15.1 أو إصدار أعلى إجراء مصادقة دون مسوغ وصول محمي PAC باستخدام محرك خدمات الهوية (ISE).
الخطوة 1: قم بتكوين خادم RADIUS ومجموعة RADIUS على المحول ضمن وحدة التكوين الطرفية للمحول.
خادم RADIUS:
radius server
address ipv4auth-port 1812 acct-port 1813
key
مجموعة RADIUS:
aaa group server radius trustsec
server name
الخطوة 2: تخطيط مجموعة خوادم RADIUS إلى تفويض CTS و dot1x للمصادقة باستخدام بدون PAC.
تعيين CTS:
cts authorization list cts-mlist // cts-mlist is the name of the authorization list
مصادقة dot1x:
aaa authentication dot1x default group
aaa authorization network cts-mlist group
الخطوة 3: شكلت ال CTS-id وكلمة تحت ال enable أسلوب على المفتاح
cts credentials id password تكوين ISE
1. على ISE، قم بتكوين جهاز الشبكة تحت الإدارة > موارد الشبكة > أجهزة الشبكة. انقر فوق إضافة لإضافة المحول إلى خادم ISE.
2. قم بإضافة عنوان NAD IP في حقل عنوان IP لكي يقوم ISE بمعالجة طلب RADIUS لمصادقة TRUSTsec من المحول.
3. قم بتمكين إعدادات مصادقة Radius لعميل NAD وأدخل المفتاح السري المشترك ل RADIUS.
4. قم بتمكين إعدادات TrustSec المتقدمة وتحديث اسم الجهاز مع CTS-ID وحقل كلمة المرور مع كلمة المرور من الأمر (بيانات اعتماد معرف <CTS-ID> كلمة المرور <password>).
التحقق من الصحة
للتحقق من أن التكوين يعمل على المحول، قم بتشغيل هذا الأمر للتحقق من تنزيل بيانات البيئة إلى المحول
Command:
show cts environment-data
CTS Environment Data
====================
Current state = COMPLETE
Last status = Successful
Service Info Table:
Local Device SGT:
SGT tag = 2-00:TrustSec_Devices
Server List Info:
Installed list: CTSServerList1-0001, 1 server(s):
Server: 10.127.196.169, port 1812, A-ID 35DE97B0FA3D6B801821DF8CD0501645
Status = ALIVE
auto-test = FALSE, keywrap-enable = FALSE, idle-time = 60 mins, deadtime = 20 secs
Security Group Name Table:
0-00:Unknown
2-00:TrustSec_Devices
3-00:Network_Services
4-00:Employees
5-00:Contractors
6-00:Guests
7-00:Production_Users
8-00:Developers
9-00:Auditors
10-00:Point_of_Sale_Systems
11-00:Production_Servers
12-00:Development_Servers
13-00:Test_Servers
14-00:PCI_Servers
15-00:BYOD
255-00:Quarantined_Systems
Environment Data Lifetime = 86400 secs
Last update time = 14:27:48 UTC Sun Feb 23 2025
Env-data expires in 0:23:51:23 (dd:hr:mm:sec)
Env-data refreshes in 0:23:51:23 (dd:hr:mm:sec)
Cache data applied = NONE
State Machine is running
عن طريق تشغيل الأمر، CTS تحديث البيانات البيئية على المحول، يتم إرسال طلب RADIUS إلى ISE للمصادقة. 
استكشاف الأخطاء وإصلاحها
لاستكشاف الأخطاء وإصلاحها، الرجاء تشغيل عمليات تصحيح الأخطاء هذه على المحول:
Debug Command:
debug cts environment-data all
debug cts env
debug cts aaa
debug radius
debug cts ifc events
debug cts authentication details
debug cts authorization all debug
debug snippet:
*23 فبراير 14:48:14.974: CTS env-data: فرض تحديث البيانات البيئيةقناع البت 0x2
*23 فبراير 14:48:14.974: CTS env-data: تنزيل transport-type = CTS_TRANSPORT_IP_UDP
*23 فبراير 14:48:14.974: cts_env_data full: أثناء حالة env_data_complete، تم الحصول على الحدث 0(env_data_request)
*23 فبراير 14:48:14.974: اكتمل @@@ cts_env_data: env_data_complete -> env_data_waiting_rsp
*23 فبراير 14:48:14.974: env_data_waiting_rsp_enter: الحالة = waiting_response
*23 فبراير 14:48:14.974: يوجد مفتاح آمن على الجهاز، تابع تنزيل // بدء مصادقة PAC-Less-PAC من المحول
*23 فبراير 14:48:14.974: cts_aaa_is_fragmented: (CTS env-data SM)NOT-FRAG ATTR_q(0)
*23 فبراير 14:48:14.974: env_data_request_action: الحالة = waiting_response
*23 فبراير 14:48:14.974: env_data_download_complete:
status(false)، req(x0)، rec(x0)
*23 فبراير 14:48:14.974: status(false)، req(x0)، rec(x0)، expect(x81)،
wait_for_server_list(x85)، wait_for_multicast_SGT(xB5)، wait_for_SGName_mapping_tbl(x1485)،
wait_for_SG-EPG_tbl(x18085)، wait_for_default_EPG_tbl(xC0085)، wait_for_default_SGT_tbl(x600085) wait_for_default_SERVICE_ENTRY_TBL(xC00085)
*23 فبراير 14:48:14.974: env_data_request_action: الحالة = WAITING_RESPONSE، تم تلقيها = 0x0 الطلب = 0x0
*23 فبراير 14:48:14.974: cts_env_data_aaa_req_setup : aaa_id = 15
*23 فبراير 14:48:14.974: cts_aaa_req_setup: (CTS env-data SM)تبدو المجموعة الخاصة ميتة، حاول إنشاء مجموعة عامة
*23 فبراير 14:48:14.974: cts_aaa_attr_add: AAA req(0x7AB57A6AA2C0)
*23 فبراير 14:48:14.974: اسم المستخدم = #CTSREQUEST#
*23 فبراير 14:48:14.974: سمة إضافة سياق AAA: (CTS env-data SM)attr(إختبار)
*23 فبراير 14:48:14.974: CTS-Environment-Data = إختبار
*23 فبراير 14:48:14.974: cts_aaa_attr_add: AAA req(0x7AB57A6AA2C0)
*23 فبراير 14:48:14.974: سمة إضافة سياق AAA: (CTS env-data SM)attr(env-data-fragment)
*23 فبراير 14:48:14.974: CTS-device-capability = env-data-gment
*23 فبراير 14:48:14.974: cts_aaa_attr_add: AAA req(0x7AB57A6AA2C0)
*23 فبراير 14:48:14.975: سمة إضافة سياق AAA: (CTS env-data SM)attr(متعدد الخوادم-IP المدعومة)
*23 فبراير 14:48:14.975: قدرة جهاز CTS = متعدد الخوادم-ip المدعومة
*23 فبراير 14:48:14.975: cts_aaa_attr_add: AAA req(0x7AB57A6AA2C0)
*23 فبراير 14:48:14.975: سمة إضافة سياق AAA: (CTS env-data SM)attr(wnlx)
*23 فبراير 14:48:14.975: CLID = wnlx
*23 فبراير 14:48:14.975: cts_aaa_req_send: تم إرسال AAA req(0x7AB57A6AA2C0) بنجاح إلى AAA.
*23 فبراير 14:48:14.975: RADIUS/ENCODE(000000F):ORIG. نوع المكون = CTS
*23 فبراير 14:48:14.975: RADIUS(000000f): تكوين NAS IP: 0.0.0.0
*23 فبراير 14:48:14.975: vrfid: [65535] IPv6 tableid : [0]
*23 فبراير 14:48:14.975: قيمة IDB هي NULL
*23 فبراير 14:48:14.975: RADIUS(000000f): تكوين NAS IPv6: ::
*23 فبراير 14:48:14.975: RADIUS/التشفير (000000f): acct_session_id: 4003
*23 فبراير 14:48:14.975: RADIUS(000000f): إيفاد
*23 فبراير 14:48:14.975: RADIUS: وضع PAC الأقل، والسر موجود
*23 فبراير 14:48:14.975: RADIUS: تمت إضافة سمة CTS بدون حزم إلى طلب RADIUS بنجاح
*23 فبراير 14:48:14.975: RADIUS/التشفير: أفضل عنوان IP محلي 10.127.196.234 لخادم RADIUS 10.127.196.169
*23 فبراير 14:48:14.975: RADIUS: وضع PAC الأقل، والسر موجود
*23 فبراير 14:48:14.975: RADIUS(000000f): إرسال طلب الوصول إلى 10.127.196.169:1812 المعرف 1645/11، len 249 // طلب الوصول إلى RADIUS من المحول
RADIUS: مصدق 78 800500 E5 D3 DD F1 - B4 82 57 E2 1F 95 3B 92
*23 فبراير 14:48:14.975: RADIUS: اسم المستخدم [1] 14 #CTSREQUEST#
*23 فبراير 14:48:14.975: RADIUS: المورد، Cisco [26] 33
*23 فبراير 14:48:14.975: RADIUS: Cisco AVpair [1] 27 "CTS-environment-data=test"
*23 فبراير 14:48:14.975: RADIUS: المورد، Cisco [26] 47
*23 فبراير 14:48:14.975: RADIUS: Cisco AVpair [1] 41 "CTS-device-capability=env-data-gment"
*23 فبراير 14:48:14.975: RADIUS: بائع، Cisco [26] 58
*23 فبراير 14:48:14.975: RADIUS: Cisco AVpair [1] 52 "CTS-device-capability=multi-server-ip-supported"
*23 فبراير 14:48:14.975: RADIUS: كلمة مرور المستخدم [2] 18 *
*23 فبراير 14:48:14.975: RADIUS: Call-Station-ID [31] 8 "wnlx
*23 فبراير 14:48:14.975: RADIUS: نوع الخدمة [6] 6 الصادر [5]
*23 فبراير 14:48:14.975: RADIUS: NAS-IP-Address [4] 6 10.127.196.234
*23 فبراير 14:48:14.975: RADIUS: المورد، Cisco [26] 39
*23 فبراير 14:48:14.975: RADIUS: Cisco AVpair [1] 33 "CTS-PAC-CAPABILITY=CTS-PAC-less" // CTS PAC Less CV-pair attribute تضيف إلى طلب ISE لمعالجة الحزمة للمصادقة دون PAC
*23 فبراير 14:48:14.975: RADIUS(000000f): إرسال حزمة IPv4 RADIUS
*23 فبراير 14:48:14.975: RADIUS(000000f): بدء مهلة 5 ثوان
*23 فبراير 14:48:14.990: RADIUS: تم الاستلام من المعرف 1645/11 10.127.196.169:1812، Access-Accept، len 313. // نجاح المصادقة
RADIUS: المصدق 92 4c 21 5c 99 28 64 8b - 23 06 4b 87 F6 FF 66 3c
*23 فبراير 14:48:14.990: RADIUS: اسم المستخدم [1] 14 #CTSREQUEST#
*23 فبراير 14:48:14.990: RADIUS: الفئة [25] 78
RADIUS: 43 41 43 53 3a 30 61 37 66 63 34 61 39 54 37 68 [CACS:0a7fc4a9T7h]
RADIUS: 39 79 44 42 70 2F 7A 64 66 66 56 49 55 74 D [9yDBp/zjdffVIUtM]
RADIUS: 78 34 68 63 50 4C 4A 45 49 76 75 79 51 62 4C 70 [x4hcPLJEIvuyQbLp]
RADIUS: 31 48 7A 35 50 45 39 38 3a 69 73 65 33 34 31 2F [1 هرتز5PE98:ISE341/]
RADIUS: 35 32 39 36 36 39 30 32 31 2F 32 31 [ 52969021/21]
*23 فبراير 14:48:14.990: RADIUS: المورد، Cisco [26] 39
*23 فبراير 14:48:14.990: RADIUS: Cisco AVpair [1] 33 "CTS-PAC-CAPABILITY=CTS-PAC-less"
*23 فبراير 14:48:14.990: RADIUS: بائع، Cisco [26] 43
*23 فبراير 14:48:14.991: RADIUS: Cisco AVpair [1] 37 "cts:server-list=CTSServerList1-0001"
*23 فبراير 14:48:14.991: RADIUS: بائع، Cisco [26] 38
*23 فبراير 14:48:14.991: RADIUS: Cisco AVpair [1] 32 "cts:security-group-tag=0002-00"
*23 فبراير 14:48:14.991: RADIUS: المورد، Cisco [26] 41
*23 فبراير 14:48:14.991: RADIUS: Cisco AVpair [1] 35 "cts:environment-data-expiry=86400"
*23 فبراير 14:48:14.991: RADIUS: المورد، Cisco [26] 40
*23 فبراير 14:48:14.991: RADIUS: Cisco AVpair [1] 34 "cts:security-group-table=0001-17"
*23 فبراير 14:48:14.991: RADIUS: وضع PAC الأقل، والسر موجود
*23 فبراير 14:48:14.991: RADIUS(000000f): تم الاستلام من المعرف 1645/11
*23 فبراير 14:48:14.991: cts_aaa_callback: (CTS env-data SM)AAA req(0x7AB57A6AA2C0) نجاح الاستجابة
*23 فبراير 14:48:14.991: AAA CTX Frag Clean: (CTS env-data SM)attr(إختبار)
*23 فبراير 14:48:14.991: AAA CTX Frag Clean: (CTS env-data SM)attr(env-data-fragment)
*23 فبراير 14:48:14.991: AAA CTX Frag Clean: (CTS env-data SM)attr(متعدد الخوادم-IP المدعومة)
*23 فبراير 14:48:14.991: AAA CTX Frag Clean: (CTS env-data SM)attr(wnlx)
*23 فبراير 14:48:14.991: AAA ATTR: نوع غير معروف (450).
*23 فبراير 14:48:14.991: AAA ATTR: نوع غير معروف (1324).
*23 فبراير 14:48:14.991: AAA ATTR: server-list = CTSServerList1-0001.
*23 فبراير 14:48:14.991: اسم SLIST المستلم. إعداد cts_is_slist_send_to_binos_req إلى FALSE
*23 فبراير 14:48:14.991: AAA ATTR: علامة مجموعة الأمان = 0002-00.
*23 فبراير 14:48:14.991: AAA ATTR: انتهاء صلاحية بيانات البيئة = 86400.
*23 فبراير 14:48:14.991: AAA ATTR: جدول مجموعة الأمان = 0001-17.CTS env-data: تلقي سمات AAA. // تنزيل بيانات البيئة
CTS_AAA_SLIST
تم تلقي اسم slist(CTSServerList1) في أول قبول وصول
اسم slist(CTSServerList1) موجود
CTS_AAA_SECURITY_GROUP_TAG
CTS_AAA_ENVIRONMENT_DATA_EXPIRY = 86400.
CTS_AAA_SGT_NAME_LIST
تم تلقي الجدول (0001) في أول قبول وصول
قم بنسخ الجدول (0001) من المثبت إلى المستلم لعدم إجراء أي تغيير.
New name(0001)، gen(17)
CTS_AAA_Data_END
*23 فبراير 14:48:14.991: cts_env_data waiting_response: أثناء حالة env_data_waiting_rsp، تم الحصول على الحدث 1(env_data_receive)
*23 فبراير 14:48:14.991: @@@ cts_env_data WAITING_RESPONSE: env_data_waiting_rsp -> env_data_evaluation
*23 فبراير 14:48:14.991: env_data_evaluation_enter: الدولة = التقييم
*23 فبراير 14:48:14.991: cts_aaa_is_fragmented: (CTS env-data SM)NOT-FRAG ATTR_q(0)
*23 فبراير 14:48:14.991: env_data_evaluation_action: الدولة = التقييم
*23 فبراير 14:48:14.991: env_data_download_complete:
status(false)، req(x81)، rec(xC87)
*23 فبراير 14:48:14.991: توقع ما تم إستلامه
*23 فبراير 14:48:14.991: status(TRUE)، req(x81)، rec(xC87)، expect(x81)،
wait_for_server_list(x85)، wait_for_multicast_SGT(xB5)، wait_for_SGName_mapping_tbl(x1485)،
wait_for_SG-EPG_tbl(x18085)، wait_for_default_EPG_tbl(xC0085)، wait_for_default_SGT_tbl(x600085) wait_for_default_SERVICE_ENTRY_TBL(xC00085)
*23 فبراير 14:48:14.991: cts_env_data evaluation: أثناء قيام الحالة env_data_evaluation، تم الحصول على الحدث 4(env_data_complete)
*23 فبراير 14:48:14.991: @@@ cts_env_data Evaluation: env_data_evaluation -> env_data_complete
*23 فبراير 14:48:14.991: env_data_complete_enter: الحالة = الإكمال
*23 فبراير 14:48:14.991: CTS-IFC-EV: قم بإبلاغ بيانات إلى الأساسي، النتيجة: نجحت العملية
*23 فبراير 14:48:14.991: env_data_install_action: الحالة = Complete Completed.Types 0x0
*23 فبراير 14:48:14.991: env_data_install_action: نظف تثبيت الرقيب<->جدول sgname
*23 فبراير 14:48:14.991: تنظيف قائمة sg-epg المثبتة
*23 فبراير 14:48:14.991: تنظيف قائمة رسائل البريد الافتراضية المثبتة
*23 فبراير 14:48:14.991: env_data_install_action: تم تحديث طاولة mcast_sgt
*23 فبراير 14:48:14.991: تمكين مزامنة البيانات إلى حالة الاستعداد 2
*23 فبراير 14:48:14.991: SLIST هو نفس التحديث السابق. لا حاجة لإرساله إلى Binos
*23 فبراير 14:48:14.991: CTS-SG-epg-events:إعداد default_sg 0 إلى بيانات env
محفوظات المراجعة
| المراجعة | تاريخ النشر | التعليقات |
|---|---|---|
1.0 |
19-Mar-2025
|
الإصدار الأولي |
التعليقات