Autorisierungsrichtlinie auf Basis des VLAN-ID-Attributs der ISE konfigurieren

Download-Optionen

  • PDF     (373.5 KB)
    Mit Adobe Reader auf verschiedenen Geräten anzeigen
  • ePub     (225.7 KB)
    In verschiedenen Apps auf iPhone, iPad, Android, Sony Reader oder Windows Phone anzeigen
  • Mobi (Kindle)     (126.1 KB)
    Auf einem Kindle-Gerät oder einer Kindle-App auf mehreren Geräten anzeigen
Aktualisiert:25. November 2021
Dokument-ID:217586

Inklusive Sprache

In dem Dokumentationssatz für dieses Produkt wird die Verwendung inklusiver Sprache angestrebt. Für die Zwecke dieses Dokumentationssatzes wird Sprache als „inklusiv“ verstanden, wenn sie keine Diskriminierung aufgrund von Alter, körperlicher und/oder geistiger Behinderung, Geschlechtszugehörigkeit und -identität, ethnischer Identität, sexueller Orientierung, sozioökonomischem Status und Intersektionalität impliziert. Dennoch können in der Dokumentation stilistische Abweichungen von diesem Bemühen auftreten, wenn Text verwendet wird, der in Benutzeroberflächen der Produktsoftware fest codiert ist, auf RFP-Dokumentation basiert oder von einem genannten Drittanbieterprodukt verwendet wird. Hier erfahren Sie mehr darüber, wie Cisco inklusive Sprache verwendet.

Informationen zu dieser Übersetzung

Cisco hat dieses Dokument maschinell übersetzen und von einem menschlichen Übersetzer editieren und korrigieren lassen, um unseren Benutzern auf der ganzen Welt Support-Inhalte in ihrer eigenen Sprache zu bieten. Bitte beachten Sie, dass selbst die beste maschinelle Übersetzung nicht so genau ist wie eine von einem professionellen Übersetzer angefertigte. Cisco Systems, Inc. übernimmt keine Haftung für die Richtigkeit dieser Übersetzungen und empfiehlt, immer das englische Originaldokument (siehe bereitgestellter Link) heranzuziehen.

    Einleitung

    In diesem Artikel werden die Schritte zum Konfigurieren der ISE-Autorisierungsrichtlinie anhand des vom NAD gesendeten Attributs "VLAN id" beschrieben. Diese Funktion ist nur in IBNS 2.0 verfügbar.

    Anwendungsfall

    Kunden möchten die auf der Zugriffsschnittstelle konfigurierte VLAN-ID ausfüllen und später verwenden, um den Zugriff über die ISE bereitzustellen.

    Konfigurationsschritte

    NAD-Seite

    1. Konfigurieren Sie den Switch so, dass die Attribute des VLAN-Radius in der Zugriffsanfrage gesendet werden.

    Device# configure terminal
Device(config)# access-session attributes filter-list list TEST
Device(config-com-filter-list)# vlan-id
Device(config-com-filter-list)# exit
Device(config)# access-session accounting attributes filter-spec include list TEST
Device(config)# access-session authentication attributes filter-spec include list TEST
Device(config)# end

    HINWEIS: Sie erhalten möglicherweise eine Warnung, wenn Sie den Befehl "access-session accounting attribute filter-spec include list TEST" eingeben, um die Migration auf IBNS 2 zu akzeptieren.

    Switch(config)#access-session accounting attributes filter-spec include list TEST
This operation will permanently convert all relevant authentication commands to their CPL control-policy equivalents. As this conversion is irreversible and will disable the conversion CLI 'authentication display [legacy|new-style]', you are strongly advised to back up your current configuration before proceeding. 
Do you wish to continue? [yes]:

    Weitere Informationen finden Sie im folgenden Handbuch: Konfigurationsleitfaden für VLAN-ID-RADIUS-Attribute

    ISE-seitig

    1. Erstellen Sie eine Authentifizierungsrichtlinie auf Basis Ihrer Anforderungen (MAB/DOT1X).

    2. Die Autorisierungsrichtlinie enthält den nächsten Bedingungstyp. Achten Sie darauf, dass die genaue Syntax

    Radius·Tunnel-Private-Group-ID EQUALS (tag=1)

    Beispiel:

    Für eine VLAN-ID = 77

    Screen Shot 2021-11-25 at 2.57.17 p.m.

    Test

    NAD-Seite

    
Switch#sh run interface Tw1/0/3 
Building configuration...

Current configuration : 336 bytes
!
interface TwoGigabitEthernet1/0/3
 switchport access vlan 77
 switchport mode access
 device-tracking attach-policy DT_POLICY
 access-session host-mode multi-host
 access-session closed
 access-session port-control auto
 mab
 dot1x pae authenticator
 spanning-tree portfast
 service-policy type control subscriber POLICY_Tw1/0/3
end

Switch#
    
Switch#sh auth sess inter Tw1/0/3 details 
            Interface:  TwoGigabitEthernet1/0/3
               IIF-ID:  0x1FA6B281
          MAC Address:  c85b.768f.51b4
         IPv6 Address:  Unknown
         IPv4 Address:  10.4.18.167
            User-Name:  C8-5B-76-8F-51-B4
               Status:  Authorized
               Domain:  DATA
       Oper host mode:  multi-host
     Oper control dir:  both
      Session timeout:  N/A
    Common Session ID:  33781F0A00000AE958E57C9D
      Acct Session ID:  0x0000000e
               Handle:  0x43000019
       Current Policy:  POLICY_Tw1/0/3


Local Policies:
        Service Template: DEFAULT_LINKSEC_POLICY_SHOULD_SECURE (priority 150)
      Security Policy:  Should Secure

Server Policies:


Method status list:
       Method           State
          mab           Authc Success

Switch#

    ISE-seitig

    Screen Shot 2021-11-25 at 3.07.20 p.m.

    Screen Shot 2021-11-25 at 3.07.52 p.m.

    Revisionsverlauf

    Überarbeitung Veröffentlichungsdatum Kommentare
    1.0
    25-Nov-2021
    Erstveröffentlichung
    TAC Authored

    Beiträge von Cisco Ingenieuren

    • Jonathan Casillas Gutierrez
      Technischer Berater

    War dieses Dokument hilfreich?

    FeedbackFeedback

    Cisco kontaktieren

    Dieses Dokument gilt für folgende Produkte.