دمج ISE مع Prime Infrastructure لإمكانية رؤية نقطة النهاية

المقدمة

يوضح هذا المستند كيفية دمج ISE مع Prime Infrastructure للحصول على إمكانية الرؤية لنقاط النهاية المصدق عليها.

المتطلبات الأساسية

المتطلبات

توصي Cisco بأن تكون لديك معرفة بالمواضيع التالية:

• ISE من Cisco.
• البنية الأساسية ل Cisco Prime.
• تدفق AAA لاسلكي أو سلكي لنقاط النهاية للمصادقة مقابل ISE.
• تكوين SNMP على NADs (أجهزة الوصول إلى الشبكة) مثل المحولات وأجهزة WLCs.

المكونات المستخدمة

تستند المعلومات الواردة في هذا المستند إلى إصدارات البرامج والمكونات المادية التالية:

• نشر ISE 3. 1.
• Cisco Prime Infrastructure، الإصدار 3.8.
• C6816-X-LE الذي يشغل برنامج Cisco IOS® 15. 5.
• جهاز Windows 10.

تم إنشاء المعلومات الواردة في هذا المستند من الأجهزة الموجودة في بيئة معملية خاصة. بدأت جميع الأجهزة المُستخدمة في هذا المستند بتكوين ممسوح (افتراضي). إذا كانت شبكتك قيد التشغيل، فتأكد من فهمك للتأثير المحتمل لأي أمر.

التكوين

الرسم التخطيطي للشبكة

التكوينات

تكوين المبدّل

1. تكوين جهاز الوصول إلى الشبكة (NAD) لمصادقة AAA مقابل ISE. في هذا الدليل أنت تستخدم هذا تشكيل:

aaa new-model

radius server ise31
 address ipv4 10.4.21.47 auth-port 1812 acct-port 1813
 key Cisc0123

aaa server radius dynamic-author
 client 10.4.21.47 server-key Cisc0123

aaa group server radius ISE
 server name ise31

aaa authentication dot1x default group ISE
aaa authorization network default group ISE
aaa accounting dot1x default start-stop group ISE

dot1x system-auth-control

2. تكوين تعقب الأجهزة في المحول:

device-tracking policy DT1
 tracking enable

device-tracking tracking auto-source

3. قم بتكوين switchport لمصادقة dot1x وإرفاق نهج تعقب الجهاز به:

interface TenGigabitEthernet1/11
 device-tracking attach-policy DT1
 authentication host-mode multi-domain
 authentication order dot1x mab webauth
 authentication priority dot1x mab webauth
 authentication port-control auto
 mab
 dot1x pae authenticator

4. قم بتكوين مجتمع RO SNMP وإختبارات SNMP لتلبية متطلبات الشبكات الخاصة بك (إختياريا، يمكنك تكوين مجتمع RW):

snmp-server community public RO
snmp-server community private RW
snmp-server trap-source TenGigabitEthernet1/16
snmp-server source-interface informs TenGigabitEthernet1/16
snmp-server enable traps snmp authentication linkdown linkup coldstart warmstart
snmp-server enable traps aaa_server
snmp-server enable traps trustsec authz-file-error
snmp-server enable traps auth-framework sec-violation
snmp-server enable traps port-security
snmp-server enable traps event-manager
snmp-server enable traps errdisable
snmp-server enable traps mac-notification change move threshold
snmp-server host 10.4.18.130 version 2c public udp-port 161

5. قم بتكوين الوصول إلى Telnet أو SSH حتى يمكن ل Prime إدارة الجهاز:

username admin password 0 cisco!123
aaa authentication login default local

line vty 0 4
 transport input ssh
 login authentication default

6. (إختياري) لاتصالات SSH، يلزم توفر مفتاح RSA. إذا لم يكن لدى NAD واحد، فاستخدم هذه الخطوات لإنشائه.

ملاحظة: تتطلب بعض الأجهزة مجالا تم تكوينه قبل إنشاء RSA. تحقق مما إذا كان لدى الجهاز مجال تم تكوينه بحيث لا تتجاوز المجال الموجود.

ip domain-name cisco.com
crypto key generate rsa

تكوين البنية الأساسية ل Cisco Prime

7. إضافة جهاز الشبكة في المخزون > إدارة الأجهزة > أجهزة الشبكة > علامة زائد (+) > إضافة جهاز:

الحقول الإلزامية المراد إكمال المخزون هي:

بالنسبة للأجهزة السلكية:

• عام: إما IP أو DNS.
• SNMP: مجتمع RO مطلوب - تأكد من تكوينه أيضا في المحول/WLC.
• Telnet/SSH: وضع EXEC وتمكين بيانات اعتماد الوضع.

بالنسبة إلى WLC:

• عام: إما IP أو DNS.

• SNMP: مجتمع RO مطلوب - تأكد من تكوينه أيضا في المحول/WLC.

في هذا مرشد أنت يستعمل cisco مفتاح:

ط. قسم عام:

ثانيا. قسم SNMP:

ثالثا. قسم Telnet/SSH:

8. بمجرد اكتمال جميع الحقول المطلوبة، تأكد من أن إمكانية الوصول وحالة المجموعة هما الأخضر والمكتملان على التوالي:

9. دمج Prime مع ISE.

ط. انتقل إلى إدارة > خوادم > خوادم ISE.

ثانيا. في القائمة المنسدلة، حدد إضافة خادم ISE ثم انقر فوق انتقال:

ثالثا. قم بتعبئة كل الحقول وانقر حفظ.

ملاحظة: يجب إنشاء الاتصال مقابل عقد ISE الأساسية والثانوية (إن أمكن) للمراقبة.

ملاحظة: ثبتت الميناء تقصير إلى 443، غير أن أنت يستطيع استعملت آخر فتح ميناء في ISE أن يؤسس التوصيل.

رابعا. ارجع إلى صفحة خادم ISE. تقول حالة الخادم أنه يمكن الوصول إليه ويتم عرض الدور (إما مستقل أو أساسي [mnT] أو ثانوي [mnT]):

تكوين نقطة النهاية

10. يجب تكوين نقطة النهاية لإجراء مصادقة dot1x (RFC 3850). ويمكن تحقيق ذلك إما من خلال تكوين مدير الوصول إلى الشبكة (NAM) من Cisco أو الاستفادة من موجه نظام التشغيل الأصلي. هناك الكثير من الأدلة المتعلقة بهذا التكوين حتى لا نقوم بإدراج هذه الخطوات في هذا الدليل.

التحقق من الصحة

التحقق من ISE

تتلقى ISE طلب RADIUS من NAD وتصادق المستخدم بنجاح.

تتم إضافة NAD وتكوينه ل RADIUS في ISE > إدارة > موارد الشبكة > أجهزة الشبكة.

1. انتقل إلى العمليات > RADIUS > جلسات العمل المباشرة.

تأكد من إدراج جلسة عمل المستخدم المباشرة في هذه الصفحة. تتم مشاركة معلومات الجلسة مع Prime Infrastructure.

2.  تحقق من معرف جلسة العمل في العمليات > RADIUS > السجلات المباشرة:

التحقق من NAD

3. راجع تفاصيل جلسة العمل في NAD. يتطابق معرف جلسة العمل مع معرف جلسة العمل في ISE:

MXC.TAC.M.07-6816-01#show authentication session int Te1/11 detail
        Interface: TenGigabitEthernet1/11
      MAC Address: a036.9fb9.67ea
     IPv6 Address: Unknown
     IPv4 Address: 10.4.21.51
        User-Name: ivillega
           Status: Authorized
           Domain: DATA
   Oper host mode: multi-domain
 Oper control dir: both
  Session timeout: N/A
Common Session ID: 0A58AEE20000002F1E163DA0
  Acct Session ID: 0x00000023
           Handle: 0xD9000001
   Current Policy: POLICY_Te1/11

Method status list:
        Method     State
        dot1x      Authc Success

التحقق من البنية الأساسية ل Prime

4. انتقل إلى الشاشة > أدوات المراقبة > العملاء والمستخدمين. يتم عرض عنوان MAC لنقطة النهاية:

5. إذا قمت بالنقر فوقها، سترى تفاصيل جلسة عمل المستخدم ومعلومات خادم ISE:

6. هناك أيضا علامة تبويب مسماة باسم ISE لاسترداد أحداث جلسة العمل لنقطة النهاية هذه. يمكنك تحديد الإطار الزمني الذي تستخدمه Prime Infrastructure لجلب الأحداث من ISE:

استكشاف الأخطاء وإصلاحها

1. إختبار الاتصال بين ISE و Prime Infrastructure باستخدام إختبارات الاتصال. إذا لم يكن هناك اتصال، فيمكنك إستخدام مسارات التتبع إما من ISE أو PI لتحديد موقع المشكلة.

2. تحقق من فتح المنفذ الذي تم تكوينه في الخطوة 9 في عقدة ISE MnT (المنفذ الافتراضي هو 443):

ise-31-1/admin# show ports | include :443
     tcp: 0.0.0.0:80, 0.0.0.0:19444, 0.0.0.0:19001, 0.0.0.0:443

إذا كان المنفذ مدرجا في الإخراج، فإن ذلك يعني أن ISE MnT لديه المنفذ المفتوح.

إذا لم يكن هناك إخراج أو كان المنفذ غير مدرج، فهذا يعني أن ISE MnT لديه ذلك المنفذ مغلقا. في مثل هذه الحالة، أنت يستطيع حاولت مع آخر ميناء أو افتح حالة TAC مع ISE فريق أن يفحص لما الميناء لم يفتح.

ملاحظة: لا تستخدم عقدة ISE MnT إلا بعض المنافذ، ولا توجد طريقة لفتح المنافذ في عقدة ISE MnT غير المدرجة في دليل تثبيت ISE، أو قسم مرجع المنافذ.

3. اختبر المنفذ الذي تم تكوينه في الخطوة 9 باستخدام Telnet من البنية الأساسية ل Prime:

prime-testcom/admin# telnet 10.4.21.55 port 443
Trying 10.4.21.55...
Connected to 10.4.21.55.

إذا كان إخراج إختبار Telnet متصلا ب <ISE MnT IP/FQDN>، فهذا يعني أن الاختبار كان ناجحا.

إذا كان إخراج إختبار Telnet عالقا في محاولة <ISE MnT IP/FQDN>، فإن ذلك يعني فشل الاختبار. يمكن أن يكون هذا مرتبطا بقوائم ACL في أجهزة الشبكة الوسيطة لديك أو مع قواعد جدار الحماية.