تكوين تسجيل دخول المسؤول المستند إلى RADIUS على محول Arista
المحتويات
المقدمة
يصف هذا المستند كيفية تكوين محرك خدمات الهوية (ISE) من Cisco لمصادقة تسجيلات المسؤول على محولات Arista باستخدام RADIUS.
المتطلبات الأساسية
المتطلبات
قبل المتابعة، تأكد مما يلي:
- تم تثبيت Cisco ISE (الإصدار 3.x الموصى به) وتشغيله.
- محول Arista الذي يعمل بنظام التشغيل EOS مع دعم تقنية RADIUS.
- Active Directory (AD) أو قاعدة بيانات المستخدم الداخلية المكونة في ISE.
المكونات المستخدمة
تستند المعلومات الواردة في هذا المستند إلى إصدارات البرامج والمكونات المادية التالية:
- إصدار صورة برنامج المحول Arista Switch Software: 4٫33٫2 درجة فهرنهايت
- Cisco Identity Services Engine (ISE)، الإصدار 3.3 Patch 4
تم إنشاء المعلومات الواردة في هذا المستند من الأجهزة الموجودة في بيئة معملية خاصة. بدأت جميع الأجهزة المُستخدمة في هذا المستند بتكوين ممسوح (افتراضي). إذا كانت شبكتك قيد التشغيل، فتأكد من فهمك للتأثير المحتمل لأي أمر.
الرسم التخطيطي للشبكة
وفيما يلي رسم تخطيطي للشبكة يوضح مصادقة الجهاز المستندة إلى RADIUS لمحول Arista باستخدام Cisco ISE، مع إعتبار Active Directory (AD) مصدرا إختياريا للمصادقة.
يتضمن الرسم التخطيطي:
-
محول Arista (يعمل كجهاز الوصول إلى الشبكة، NAD)
-
Cisco ISE (يعمل كخادم RADIUS)
-
خدمة Active Directory (AD) [إختيارية] (تستخدم للتحقق من الهوية)
-
المستخدم/المسؤول (الذي يقوم بتسجيل الدخول عبر SSH)
التكوين
تكوين Cisco ISE
الخطوة 1. الحصول على ملف تعريف جهاز Arista Network ل Cisco ISE
قام مجتمع Cisco بمشاركة ملف تعريف NAD مخصص لأجهزة Arista. يمكن العثور على ملف التعريف هذا مع ملفات القاموس الضرورية في قاموس Arista CloudVision WiFi وتوصيف NAD لتكامل ISE. يؤدي تنزيل هذا الملف التعريفي واستيراده إلى إعداد ISE إلى تسهيل عملية الدمج بشكل أكثر سلاسة
هذه هي الخطوات لاستيراد ملف تعريف Arista و AD في Cisco ISE:
- تنزيل ملف التعريف:
- يمكنك الحصول على ملف تعريف Arista NAD من إرتباط مجتمع Cisco المتوفر أعلاه مجتمع Cisco.
- الوصول إلى Cisco ISE:
- سجل الدخول إلى وحدة التحكم الإدارية Cisco ISE الخاصة بك.
- إستيراد ملف تعريف NAD:
- انتقل إلى إدارة > موارد الشبكة > توصيفات أجهزة الشبكة
- انقر فوق الزر إستيراد.
- قم بتحميل ملف تعريف ARISTA NAD الذي تم تنزيله.
الخطوة 2. إضافة محول Arista كجهاز شبكة
- انتقل إلى إدارة > موارد الشبكة > أجهزة الشبكة> +إضافة.
2. انقر فوق إضافة وأدخل التفاصيل التالية:
- الاسم: محول Arista
- عنوان IP: <switch-ip>
- نوع الجهاز: إختيار اتصال سلكي آخر
- ملف تعريف جهاز الشبكة: حدد AirstaCloudVisionWiFi.
- إعدادات مصادقة RADIUS:
- تمكين مصادقة RADIUS
- أدخل السر المشترك (يجب أن يطابق تكوين المحول).
3. انقر فوق حفظ.
الخطوة 3. التحقق من صحة ظهور الجهاز الجديد ضمن أجهزة الشبكة
الخطوة 4. إنشاء مجموعات هوية المستخدم المطلوبة
انتقل إلى إدارة > إدارة الهوية > مجموعات > مجموعات هوية المستخدم > + إضافة:
الخطوة 5. تعيين اسم لمجموعة هوية مستخدم المسؤول
طقطقة يسلم in order to أنقذت التشكيل:
الخطوة 6. إنشاء المستخدمين المحليين وإضافتهم إلى مجموعة المراسلين الخاصة بهم
انتقل إلى إدارة > إدارة الهوية > هويات > + إضافة:
6.1. إضافة المستخدم مع حقوق المسؤول. قم بتعيين اسم وكلمة مرور وتعيينها على Arista_switch_admin، قم بالتمرير لأسفل وانقر فوق إرسال لحفظ التغييرات.
الخطوة 7. إنشاء ملف تعريف التخويل للمستخدم المسؤول
انتقل إلى السياسة > عناصر السياسة > النتائج > التخويل > ملفات تخصيص التخويل > +إضافة.
قم بتعريف اسم لملف تعريف التفويض، واترك نوع الوصول على هيئة ACCESS_ACCEPT وتحت إعدادات السمات المتقدمة أضف cisco-av-pair=shell:roles="admin" مع الإرسال وانقر فوق.
الخطوة 8. إنشاء مجموعة سياسات تطابق عنوان IP لمحول Arista
وذلك لمنع الأجهزة الأخرى من منح حق الوصول للمستخدمين.
انتقل إلى السياسة > مجموعات السياسات >إضافة علامة أيقونة في الركن العلوي الأيسر.
8.1 يتم وضع سطر جديد في أعلى مجموعات النهج. انقر على أيقونة إضافة لتكوين شرط جديد.
8.2 قم بإضافة شرط علوي لسمة NAS-IP-ADDRESS ل RADIUS المطابقة لعنوان IP لمحول Arista، ثم انقر فوق إستخدام.
8.3 بمجرد اكتمالها، انقر فوق حفظ:
تلميح: لقد سمحنا لهذا التدريب بقائمة بروتوكولات الوصول إلى الشبكة الافتراضية. يمكنك إنشاء قائمة جديدة وتضييق نطاقها حسب الحاجة.
الخطوة 9. عرض مجموعة النهج الجديدة
انقر أيقونة > الموضوعة في نهاية الصف:
9.1 قم بتوسيع قائمة نهج التخويل وانقر فوق (+) لإضافة شرط جديد.
9.2 تعيين الشروط لمطابقة مجموعة هوية القاموس مع اسم السمة يساوي مجموعات هوية المستخدم: Arista_switch_admin (اسم المجموعة الذي تم إنشاؤه في الخطوة 7) وانقر فوق إستخدام.
9.3 تحقق من صحة تكوين الشرط الجديد في نهج التخويل، ثم قم بإضافة ملف تعريف مستخدم ضمن ملفات التعريف:
تكوين محول Arista
الخطوة 1. تمكين مصادقة RADIUS
قم بتسجيل الدخول إلى محول Arista وأدخل وضع التكوين:
التكوين
!
مضيف خادم RADIUS <ISE-IP> المفتاح <RADIUS-secret>
مهلة خادم RADIUS 5
إرسال خادم RADIUS 3
Radius-server Deadtime 30
!
AAA مجموعة نادل radius ISE
خادم <ISE-IP>
!
تسجيل دخول مجموعة ISE المحلية الافتراضية لمصادقة AAA
مجموعة ISE المحلية الافتراضية لبروتوكول AAA للتخويل
AAA المحاسبة EXEC مجموعة بدء-إيقاف افتراضية
أوامر محاسبة AAA رقم 15 لمجموعة بدء الإيقاف الافتراضية ISE
ISE لمجموعة التوقف الافتراضي لنظام محاسبة AAA
!
نهاية
الخطوة 2. حفظ التكوين
للحفاظ على الإعدادات عبر عمليات إعادة التمهيد:
ذاكرة الكتابة
أو
copy running-config startup-config
التحقق من الصحة
مراجعة ISE
1. حاول تسجيل الدخول إلى محول Arista باستخدام بيانات اعتماد RADIUS الجديدة:
1. 1 انتقل إلى العمليات > RADIUS > السجلات المباشرة.
1.2 تظهر المعلومات المعروضة ما إذا قام المستخدم بتسجيل الدخول بنجاح.
2. للاطلاع على حالة الفشل، راجع تفاصيل الجلسة:
3. بالنسبة للطلبات التي لا تظهر في سجلات RADIUS Live، راجع ما إذا كان طلب UDP يصل إلى عقدة ISE من خلال التقاط الحزمة.
3.1. انتقل إلى العمليات > أستكشاف الأخطاء وإصلاحها > أدوات التشخيص > تفريغ TCP.
3.2. قم بإضافة التقاط جديد وتنزيل الملف إلى الجهاز المحلي لديك من أجل مراجعة ما إذا كانت حزم UDP تصل إلى عقدة ISE.
3.3. قم بتعبئة المعلومات المطلوبة، وانتقل لأسفل وانقر فوق حفظ.
3.4. حدد عملية الالتقاط وابدأ تنفيذها.
3.5. حاول تسجيل الدخول إلى محول Arista أثناء تشغيل التقاط ISE.
3.6. أوقف تفريغ TCP في ISE وقم بتنزيل الملف إلى جهاز محلي.
3-7 إستعراض نواتج حركة المرور.
الناتج المتوقع:
الحزمة رقم 1. طلب من محول Arista إلى خادم ISE من خلال المنفذ 1812 (RADIUS).
الحزمة رقم 2. رد خادم ISE بقبول الطلب الأولي.
استكشاف الأخطاء وإصلاحها
السيناريو 1. "تم إسقاط طلب RADIUS ل 5405"
المشكلة
يتضمن هذا السيناريو أستكشاف أخطاء "إسقاط طلب RADIUS 5405" وإصلاحها مع سبب عدم تمكن "11007 من تحديد موقع جهاز الشبكة أو عميل AAA" في Cisco ISE عندما يحاول جهاز شبكة (مثل محول Arista) المصادقة.
الأسباب المحتملة
-
يتعذر على محرك خدمات الهوية من Cisco (ISE) تحديد محول Arista لأن عنوان IP الخاص به غير مدرج بين أجهزة الشبكة المعروفة.
-
يأتي طلب RADIUS من عنوان IP لا يتعرف ISE عليه كجهاز شبكة صالح أو عميل AAA.
-
يمكن أن يكون هناك عدم تطابق في التكوين بين المحول و ISE (مثل عنوان IP غير صحيح أو سر مشترك).
الحل
-
إضافة المحول إلى قائمة Cisco ISE لأجهزة الشبكة باستخدام عنوان IP الصحيح.
-
دققت أن ال ip طابق عنوان وسر مشترك يشكل في ISE تماما ما يكون ثبتت على المفتاح.
-
بمجرد تصحيح طلب RADIUS، يجب التعرف عليه ومعالجته بشكل صحيح.
السيناريو 2: فشل محول Arista في التغلب على الأعطال لنسخ ISE PSN إحتياطيا
المشكلة
تم تكوين محول Arista لاستخدام Cisco ISE لمصادقة RADIUS. عندما تصبح عقدة خدمة سياسة ISE الأساسية (PSN) غير متوفرة، فلن يفشل المحول تلقائيا في الحصول على PSN إحتياطي. ونتيجة لذلك، تظهر سجلات المصادقة فقط من ISE PSN الأساسي، ولا توجد سجلات من PSN الثانوي/الاحتياطي عندما يكون الأساسي معطلا.
الأسباب المحتملة
-
يشير تكوين خادم RADIUS الخاص بمحول Arista فقط إلى عقدة ISE الأساسية، لذلك لا يتم إستخدام خوادم النسخ الاحتياطي.
-
لم يتم تعيين أولوية خادم RADIUS بشكل صحيح، أو أن عنوان IP للنسخ الاحتياطي مفقود من التكوين.
-
تم تعيين إعدادات المهلة وإعادة الإرسال على المحول إلى مستوى منخفض للغاية، مما يمنع النسخ الاحتياطية الناجحة إلى PSN للنسخ الاحتياطي.
-
يستخدم المحول FQDN ل PSN، ولكن دقة DNS لا ترجع كل السجلات A، مما يتسبب في الاتصال بالخادم الأساسي فقط.
الحل
- ضمنت أن يدخل يتعدد ISE PSN IPs في ال radius نادل تشكيل مجموعة من المفتاح. وهذا يسمح للمحول باستخدام ISE PSN للنسخ الاحتياطي إذا كان الوصول إلى الأساسي غير ممكن.
مثال التكوين:
<secret> مفتاح <ISE1-IP> لمضيف خادم Radius
<secret> مفتاح <ISE2-IP> لمضيف خادم Radius
-
تحقق من تكوين قيم أولوية خادم RADIUS والمهلة وإعادة الإرسال بشكل صحيح من أجل تجاوز الفشل الموثوق به.
- إذا كنت تستخدم شبكات FQDN، فتحقق من إعدادات DNS وتحليلها لضمان إرجاع جميع عناوين IP الخاصة ب PSN واستخدامها من قبل المحول.
محفوظات المراجعة
| المراجعة | تاريخ النشر | التعليقات |
|---|---|---|
1.0 |
17-Sep-2025
|
الإصدار الأولي |
التعليقات