Einleitung
In diesem Artikel werden die Schritte zum Konfigurieren der ISE-Autorisierungsrichtlinie anhand des vom NAD gesendeten Attributs "VLAN id" beschrieben. Diese Funktion ist nur in IBNS 2.0 verfügbar.
Anwendungsfall
Kunden möchten die auf der Zugriffsschnittstelle konfigurierte VLAN-ID ausfüllen und später verwenden, um den Zugriff über die ISE bereitzustellen.
Konfigurationsschritte
NAD-Seite
1. Konfigurieren Sie den Switch so, dass die Attribute des VLAN-Radius in der Zugriffsanfrage gesendet werden.
Device# configure terminal
Device(config)# access-session attributes filter-list list TEST
Device(config-com-filter-list)# vlan-id
Device(config-com-filter-list)# exit
Device(config)# access-session accounting attributes filter-spec include list TEST
Device(config)# access-session authentication attributes filter-spec include list TEST
Device(config)# end
HINWEIS: Sie erhalten möglicherweise eine Warnung, wenn Sie den Befehl "access-session accounting attribute filter-spec include list TEST" eingeben, um die Migration auf IBNS 2 zu akzeptieren.
Switch(config)#access-session accounting attributes filter-spec include list TEST
This operation will permanently convert all relevant authentication commands to their CPL control-policy equivalents. As this conversion is irreversible and will disable the conversion CLI 'authentication display [legacy|new-style]', you are strongly advised to back up your current configuration before proceeding.
Do you wish to continue? [yes]:
Weitere Informationen finden Sie im folgenden Handbuch: Konfigurationsleitfaden für VLAN-ID-RADIUS-Attribute
ISE-seitig
1. Erstellen Sie eine Authentifizierungsrichtlinie auf Basis Ihrer Anforderungen (MAB/DOT1X).
2. Die Autorisierungsrichtlinie enthält den nächsten Bedingungstyp. Achten Sie darauf, dass die genaue Syntax
Radius·Tunnel-Private-Group-ID EQUALS (tag=1)
Beispiel:
Für eine VLAN-ID = 77

Test
NAD-Seite
Switch#sh run interface Tw1/0/3
Building configuration...
Current configuration : 336 bytes
!
interface TwoGigabitEthernet1/0/3
switchport access vlan 77
switchport mode access
device-tracking attach-policy DT_POLICY
access-session host-mode multi-host
access-session closed
access-session port-control auto
mab
dot1x pae authenticator
spanning-tree portfast
service-policy type control subscriber POLICY_Tw1/0/3
end
Switch#
Switch#sh auth sess inter Tw1/0/3 details
Interface: TwoGigabitEthernet1/0/3
IIF-ID: 0x1FA6B281
MAC Address: c85b.768f.51b4
IPv6 Address: Unknown
IPv4 Address: 10.4.18.167
User-Name: C8-5B-76-8F-51-B4
Status: Authorized
Domain: DATA
Oper host mode: multi-host
Oper control dir: both
Session timeout: N/A
Common Session ID: 33781F0A00000AE958E57C9D
Acct Session ID: 0x0000000e
Handle: 0x43000019
Current Policy: POLICY_Tw1/0/3
Local Policies:
Service Template: DEFAULT_LINKSEC_POLICY_SHOULD_SECURE (priority 150)
Security Policy: Should Secure
Server Policies:
Method status list:
Method State
mab Authc Success
Switch#
ISE-seitig

