Nube de TrustSec con el 802.1x MACsec en el ejemplo de configuración del Catalyst 3750X Series Switch
ID del Documento: 116498
Actualizado: De oct el 09 de 2013
Contribuido por Michal Garcarz, ingeniero de Cisco TAC.
Contenido
Introducción
Este artículo describe los pasos requeridos para configurar una nube de Cisco TrustSec (CTS) con el cifrado de link entre dos Catalyst 3750X Series Switch (3750X).
Este artículo explica el proceso del cifrado de la Seguridad del control de acceso a los medios del switch a switch (MACsec) que utiliza el protocolo de la asociación de seguridad (SAP). Este proceso utiliza el modo del IEEE 802.1X en vez del modo manual.
Aquí está una lista de los pasos implicados:
- Aprovisionamiento credencial protegido del acceso (PAC) para los dispositivos del germen y del NON-germen
- Autenticación del control de admisión del dispositivo de red (NDAC) y negociación de MACsec con SAP para la administración de claves
- El entorno y la directiva restauran
- Autenticación del puerto para los clientes
- Tráfico que marca con etiqueta con la etiqueta del grupo de seguridad (SGT)
- Aplicación de políticas con el grupo de seguridad ACL (SGACL)
Prerequisites
Requisitos
Cisco recomienda que tenga conocimiento sobre estos temas:
- Conocimiento básico de los componentes CTS
- Conocimiento básico de la configuración CLI de los switches de Catalyst
- Experiencia con la configuración del Identity Services Engine (ISE)
Componentes Utilizados
La información que contiene este documento se basa en las siguientes versiones de software y hardware.
- Microsoft (MS) Windows 7 y MS Windows XP
- software 3750X, versiones 15.0 y posterior
- Software ISE, versiones 1.1.4 y posterior
La información que contiene este documento se creó a partir de los dispositivos en un ambiente de laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron en funcionamiento con una configuración verificada (predeterminada). Si la red está funcionando, asegúrese de haber comprendido el impacto que puede tener cualquier comando.
Configurar
Diagrama de la red
En este diagrama de la topología de red, el Switch 3750X-5 es el dispositivo simiente que conoce la dirección IP del ISE, y descarga automáticamente el PAC que se utiliza para la autenticación subsiguiente en la nube CTS. El dispositivo simiente actúa como authenticator del 802.1x para los dispositivos del NON-germen. El switch de la serie del Cisco Catalyst 3750X-6 (3750X-6) es el dispositivo del NON-germen. Actúa como supplicant del 802.1x al dispositivo simiente. Después de que el dispositivo del NON-germen autentique al ISE a través del dispositivo simiente, es acceso permitido a la nube CTS. Después de una autenticación satisfactoria, cambian al estado del puerto del 802.1x en el Switch 3750X-5 a autenticado, y se negocia el cifrado de MACsec. El tráfico entre el Switches después se marca con etiqueta con SGT y se cifra.
Esta lista resume el flujo de tráfico previsto:
- El germen 3750X-5 conecta con el ISE y descarga el PAC, que se utiliza más adelante para un entorno y la directiva restaura.
- El non-germen 3750X-6 realiza la autenticación del 802.1x con el papel del supplicant para autenticar/autoriza y descarga el PAC del ISE.
- El 3750X-6 realiza una segunda autenticación de Protocol Flexible de autenticación ampliable del 802.1x vía la sesión segura del protocolo (EAP-FAST) para autenticar con el túnel protegido basado en el PAC.
- El 3750X-5 descarga las directivas SGA para sí mismo y en nombre de 3750X-6.
- Se negocia una sesión de SAP ocurre entre el 3750X-5 y el 3750X-6, las cifras de MACsec, y se intercambia la directiva.
- El tráfico entre el Switches se marca con etiqueta y se cifra.
Switches del germen y del NON-germen de la configuración
El dispositivo simiente (3750X-5) se configura para utilizar el ISE como servidor de RADIUS para el CTS:
aaa new-model
aaa authentication dot1x default group radius
aaa authorization network default group radius
aaa authorization network ise group radius
aaa accounting dot1x default start-stop group radius
cts authorization list ise
radius-server host 10.48.66.129 pac key cisco
radius-server host 10.48.66.129 auth-port 1812
radius-server vsa send accounting
radius-server vsa send authentication
Se habilitan la lista de control de acceso basada en Role (RBACL) y la aplicación basada grupo de seguridad de la lista de control de acceso (SGACL) (se utilizan más adelante):
cts role-based enforcement
cts role-based enforcement vlan-list 1-1005,1007-4094
El dispositivo del NON-germen (3750X-6) se configura solamente para el Authentication, Authorization, and Accounting (AAA) sin la necesidad de la autorización RADIUS o CTS:
aaa new-model
aaa authentication dot1x default group radius
aaa authorization network default group radius
aaa accounting dot1x default start-stop group radius
Antes de que usted habilite el 802.1x en la interfaz, es necesario configurar el ISE.
Configure el ISE
Complete estos pasos para configurar el ISE:
- Navegue a la administración > a los recursos de red > a los dispositivos de red, y agregue ambo Switches como dispositivos de acceso a la red (NAD). Bajo configuraciones avanzadas de TrustSec, configure una contraseña CTS para su uso posterior en el Switch CLI.
- Navegue a los grupos del > Security (Seguridad) del acceso del grupo del > Security (Seguridad) de la directiva > de los elementos > de los resultados de la directiva, y agregue el SGTs apropiado. Se descargan estas etiquetas cuando el Switches pide un entorno restaura.
- Navegue al grupo ACL del > Security (Seguridad) del acceso del grupo del > Security (Seguridad) de la directiva > de los elementos > de los resultados de la directiva, y configure un SGACL.
- Navegue al acceso del grupo del > Security (Seguridad) de la directiva, y defina una directiva con la matriz.
Aprovisionamiento PAC para el 3750X-5
El PAC es necesario para la autenticación en el dominio CTS (como phase1 para el EAP-FAST), y también se utiliza para obtener los datos del entorno y de la directiva del ISE. Sin el PAC correcto, no es posible obtener esos datos del ISE.
Después de que usted proporcione las credenciales correctas en el 3750X-5, descarga el PAC:
bsns-3750-5#cts credentials id 3750X password ciscocisco
bsns-3750-5#show cts pacs
AID: C40A15A339286CEAC28A50DBBAC59784
PAC-Info:
PAC-type = Cisco Trustsec
AID: C40A15A339286CEAC28A50DBBAC59784
I-ID: 3750X
A-ID-Info: Identity Services Engine
Credential Lifetime: 08:31:32 UTC Oct 5 2013
PAC-Opaque: 000200B00003000100040010C40A15A339286CEAC28A50DBBAC5978400060094
0003010076B969769CB5D45453FDCDEB92271C500000001351D15DD900093A8044DF74B2B71F
E667D7B908DB7AEEA32208B4E069FDB0A31161CE98ABD714C55CA0C4A83E4E16A6E8ACAC1D081
F235123600B91B09C9A909516D0A2B347E46D15178028ABFFD61244B3CD6F332435C867A968CE
A6B09BFA8C181E4399CE498A676543714A74B0C048A97C18684FF49BF0BB872405
Refresh timer is set for 2y25w
El PAC se descarga vía el EAP-FAST con el Challenge Handshake Authentication Protocol de Microsoft (MSCHAPv2), con las credenciales proporcionadas en el CLI y las mismas credenciales configuradas en el ISE.
El PAC se utiliza para el entorno y la directiva restaura. Para eso Switches, pedidos de RADIUS del uso con el cisco av-pair cts-PAC-opaco, que se deriva de la clave PAC y se puede desencriptar en el ISE.
Aprovisionamiento PAC para la autenticación 3750X-6 y NDAC
Para que un nuevo dispositivo pueda conecte con el dominio CTS, él es necesario habilitar el 802.1x en los puertos correspondientes.
El protocolo de SAP se utiliza para la administración de claves y la negociación de la habitación de la cifra. El Message Authentication Code de Galois (GMAC) se utiliza para la autenticación y Galois/el modo contrario (GCM) para el cifrado.
En el Switch del germen:
interface GigabitEthernet1/0/20
switchport trunk encapsulation dot1q
switchport mode trunk
cts dot1x
sap mode-list gcm-encrypt
En el Switch del NON-germen:
interface GigabitEthernet1/0/1
switchport trunk encapsulation dot1q
switchport mode trunk
cts dot1x
sap mode-list gcm-encrypt
Esto se soporta solamente en los puertos troncales (switch switch MACsec). Para el Switch-host MACsec, que utiliza el protocolo dominante en lugar de otro SAP del acuerdo de MACsec (MKA), refiera al cifrado de Configurig MACsec.
Inmediatamente después que usted habilita el 802.1x en los puertos, el Switch del NON-germen actúa como supplicant al Switch del germen, que es el authenticator.
Este proceso se llama NDAC, y su objetivo es conectar un nuevo dispositivo con el dominio CTS. La autenticación es bidireccional; el nuevo dispositivo tiene credenciales que se verifiquen en el servidor de autenticación ISE. Después del aprovisionamiento PAC, el dispositivo está también seguro que conecta con el dominio CTS.
Se intercambian los mensajes de RADIUS múltiples:
La primera sesión del 3750X (Switch del germen) se utiliza para el aprovisionamiento PAC. El EAP-FAST se utiliza sin el PAC (un túnel anónimo para la autenticación del MSCHAPv2 se construye).
12131 EAP-FAST built anonymous tunnel for purpose of PAC provisioning
22037 Authentication Passed
11814 Inner EAP-MSCHAP authentication succeeded
12173 Successfully finished EAP-FAST CTS PAC provisioning/update
11003 Returned RADIUS Access-Reject
El nombre de usuario y contraseña del MSCHAPv2 configurado vía el comando credentials de los cts se utiliza. También, un Access-Reject RADIUS se vuelve en el extremo, porque después de que el PAC tenga ya aprovisionado, no hay otra autenticación necesaria.
La segunda entrada en el registro refiere a la autenticación del 802.1x. El EAP-FAST se utiliza con el PAC que era aprovisionado anterior.
12168 Received CTS PAC
12132 EAP-FAST built PAC-based tunnel for purpose of authentication
11814 Inner EAP-MSCHAP authentication succeeded
15016 Selected Authorization Profile - Permit Access
11002 Returned RADIUS Access-Accept
Esta vez, el túnel no es anónimo, pero protegido por el PAC. Una vez más las mismas credenciales para la sesión del MSCHAPv2 se utilizan. Entonces, se verifica contra las reglas de la autenticación y autorización en el ISE, y se vuelve un access-accept RADIUS. Entonces, el Switch del authenticator aplica los atributos vueltos, y la sesión del 802.1x para los movimientos de ese puerto a un estado autorizado.
¿Qué hace el proceso para las primeras dos sesiones del 802.1x parece del germen conmutó?
Aquí están los debugs más importantes del germen. El germen detecta que el puerto está para arriba, e intenta determinar qué papel se debe utilizar para el 802.1x - el supplicant o el authenticator:
debug cts all
debug dot1x all
debug radius verbose
debug radius authentication
Apr 9 11:28:35.347: CTS-ifc-ev: CTS process: received msg_id CTS_IFC_MSG_LINK_UP
Apr 9 11:28:35.347: @@@ cts_ifc GigabitEthernet1/0/20, INIT: ifc_init ->
ifc_authenticating
Apr 9 11:28:35.356: CTS-ifc-ev: Request to start dot1x Both PAE(s) for
GigabitEthernet1/0/20
Apr 9 11:28:35.356: dot1x-ev(Gi1/0/20): Created authenticator subblock
Apr 9 11:28:35.356: dot1x-ev(Gi1/0/20): Created supplicant subblock
Apr 9 11:28:35.364: dot1x-ev:dot1x_supp_start: Not starting default supplicant
on GigabitEthernet1/0/20
Apr 9 11:28:35.381: dot1x-sm:Posting SUPP_ABORT on Client=7C24F2C
Apr 9 11:28:35.397: %AUTHMGR-5-START: Starting 'dot1x' for client (10f3.11a7.e501) on
Interface Gi1/0/20 AuditSessionID C0A800010000054135A5E32
Finalmente, se utiliza el papel del authenticator, porque el Switch tiene acceso al ISE. En el 3750X-6, se elige el papel del supplicant.
Detalles en la selección del papel del 802.1x
Esto es posible porque ambo Switches con el servidor de AAA marcado como VIVO envía una identidad de la petición del Protocolo de Autenticación Extensible (EAP). El que primero recibe la respuesta de la identidad EAP se convierte en el authenticator, y peticiones subsiguientes de la identidad de los descensos.
Después de que se seleccione el papel del 802.1x (en este escenario, el 3750X-6 es el supplicant, porque no tiene ningún acceso al servidor de AAA con todo), los próximos paquetes implican el intercambio del EAP-FAST para el aprovisionamiento PAC. Utilizan al cliente del nombre de usuario CTS para el nombre de usuario del pedido de RADIUS y como la identidad EAP:
Apr 9 11:28:36.647: RADIUS: User-Name [1] 12 "CTS client"
Apr 9 11:28:35.481: RADIUS: EAP-Message [79] 17
Apr 9 11:28:35.481: RADIUS: 02 01 00 0F 01 43 54 53 20 63 6C 69 65 6E 74 [ CTS client]
Después de que se construya el túnel del EAP-FAST del anonymus, una sesión del MSCHAPv2 ocurre para el nombre de usuario 3750X6 (credenciales de los cts). No es posible ver eso en el Switch, porque es un túnel de TLS (cifrado), pero detallado abre una sesión el ISE para el aprovisionamiento PAC lo prueba. Usted puede ver al cliente CTS para el nombre de usuario de RADIUS y como la respuesta de la identidad EAP. Sin embargo, para el método interno (MSCHAP), se utiliza el nombre de usuario 3750X6:
La segunda autenticación del EAP-FAST ocurre. Esta vez, utiliza el PAC que era aprovisionado anterior. Una vez más utilizan al cliente CTS como el nombre de usuario de RADIUS y la identidad externa, pero 3750X6 se utiliza para la identidad interna (MSCHAP). La autenticación tiene éxito:
Sin embargo, este vez, el ISE vuelve varios atributos en el RADIUS valida el paquete:
Aquí, el Switch del authenticator cambia el puerto al estado autorizado:
bsns-3750-5#show authentication sessions int g1/0/20
Interface: GigabitEthernet1/0/20
MAC Address: 10f3.11a7.e501
IP Address: Unknown
User-Name: 3750X6
Status: Authz Success
Domain: DATA
Security Policy: Should Secure
Security Status: Unsecure
Oper host mode: multi-host
Oper control dir: both
Authorized By: Authentication Server
Vlan Policy: N/A
Session timeout: 86400s (local), Remaining: 81311s
Timeout action: Reauthenticate
Idle timeout: N/A
Common Session ID: C0A800010000054135A5E321
Acct Session ID: 0x0000068E
Handle: 0x09000542
Runnable methods list:
Method State
dot1x Authc Success
¿Cómo el Switch del authenticator aprende que el username es 3750X6? Para el nombre de usuario de RADIUS y la identidad externa EAP, utilizan al cliente CTS, y se cifra la identidad interna y no visible para el authenticator. El nombre de usuario es aprendido por el ISE. El paquete RADIUS más reciente (access-accept) contiene username=3750X6, mientras que todos los otros contuvieron el nombre de usuario = al cliente de Cts. Esta es la razón por la cual el Switch del supplicant reconoce el nombre de usuario real. Este comportamiento es en conformidad con RFC. Del 3.0 de la sección del RFC3579:
The User-Name attribute within the Access- Accept packet need not be the same
as the User-Name attribute in the Access-Request.
En el paquete más reciente de la sesión de la autenticación del 802.1x, el ISE vuelve un RADIUS valida el Cisco-av-pair del mensaje con el EAP-Clave-nombre:
Esto se utiliza como material de codificación para la negociación de SAP.
También, se pasa el SGT. Esto significa que el Switch del authenticator marca el tráfico con etiqueta del supplicant con un valor predeterminado = 0. Usted puede configurar un valor específico en el ISE para volver cualquier otro valor. Esto solicita solamente el tráfico sin Tags; el tráfico con Tag no se reescribe porque, por abandono, el Switch del authenticator confía en el tráfico del supplicant autenticado (solamente éste puede también ser cambiado en el ISE).
Descarga de la directiva SGA
Hay intercambios adicionales RADIUS (sin el EAP) con excepción de las primeras dos sesiones del EAP-FAST del 802.1x (las primeras para el aprovisionamiento PAC, y los segundos para la autenticación). Aquí están los registros ISE otra vez:
El tercer registro (descarga de la directiva del par) indica un intercambio simple RADIUS: El pedido de RADIUS y el RADIUS validan para el usuario 3760X6. Esto es necesario para descargar las directivas para el tráfico del supplicant. Dos la mayoría de los atributos importantes son:
Debido a esto, el Switch del authenticator confía en el tráfico que SGT-es marcado con etiqueta por el supplicant (cts: el trusted-device=true), y también marca el tráfico sin Tags con etiqueta con tag=0.
El cuarto registro indica el mismo intercambio RADIUS. Sin embargo, este vez, está para el usuario 3750X5 (authenticator). Esto es porque ambos pares deben tener una directiva para uno a. Es interesante observar que el supplicant todavía no conoce la dirección IP del servidor de AAA. Esta es la razón por la cual el Switch del authenticator descarga la directiva en nombre del supplicant. Esta información pasa más adelante al supplicant (junto con la dirección IP ISE) en la negociación de SAP.
Negociación de SAP
Inmediatamente después que la sesión de la autenticación del 802.1x acaba, la negociación de SAP ocurre. Se requiere esta negociación para:
- Negocie los niveles del cifrado (con la MODE-lista de la savia gcm-cifre el comando) y las habitaciones de la cifra
- Derive las claves de la sesión para el tráfico de datos
- Experimente el proceso de reintroducción
- Realice los controles de seguridad complementaria y aseegurese que los pasos anteriores están asegurados
SAP es protocolo diseñado por Cisco Systems basó en una versión provisional de 802.11i/D6.0. Para los detalles, el acceso de la petición en el protocol protocol de la asociación de seguridad de Cisco TrustSec que soportaba Cisco confiaba en la Seguridad para la página del nexo 7000 de Cisco.
SAP intercambia es 802.1AE-compliant. Un protocolo extensible authentication sobre el intercambio de claves LAN (EAPOL) ocurre entre el supplicant y el authenticator para negociar una habitación de la cifra, intercambiar los parámetros de seguridad, y manejar las claves. Desafortunadamente, Wireshark no tiene decodificador para todos los tipos requeridos EAP:
La terminación satisfactoria de éstos encarga los resultados en el establecimiento de una asociación de seguridad (SA).
En el Switch del supplicant:
bsns-3750-6#show cts interface g1/0/1
Global Dot1x feature is Enabled
Interface GigabitEthernet1/0/1:
CTS is enabled, mode: DOT1X
IFC state: OPEN
Authentication Status: SUCCEEDED
Peer identity: "3750X"
Peer's advertised capabilities: "sap"
802.1X role: Supplicant
Reauth period applied to link: Not applicable to Supplicant role
Authorization Status: SUCCEEDED
Peer SGT: 0:Unknown
Peer SGT assignment: Trusted
SAP Status: SUCCEEDED
Version: 2
Configured pairwise ciphers:
gcm-encrypt
Replay protection: enabled
Replay protection mode: STRICT
Selected cipher: gcm-encrypt
Propagate SGT: Enabled
Cache Info:
Cache applied to link : NONE
Statistics:
authc success: 12
authc reject: 1556
authc failure: 0
authc no response: 0
authc logoff: 0
sap success: 12
sap fail: 0
authz success: 12
authz fail: 0
port auth fail: 0
L3 IPM: disabled.
Dot1x Info for GigabitEthernet1/0/1
-----------------------------------
PAE = SUPPLICANT
StartPeriod = 30
AuthPeriod = 30
HeldPeriod = 60
MaxStart = 3
Credentials profile = CTS-ID-profile
EAP profile = CTS-EAP-profile
En el authenticator:
bsns-3750-5#show cts interface g1/0/20
Global Dot1x feature is Enabled
Interface GigabitEthernet1/0/20:
CTS is enabled, mode: DOT1X
IFC state: OPEN
Interface Active for 00:29:22.069
Authentication Status: SUCCEEDED
Peer identity: "3750X6"
Peer's advertised capabilities: "sap"
802.1X role: Authenticator
Reauth period configured: 86400 (default)
Reauth period per policy: 86400 (server configured)
Reauth period applied to link: 86400 (server configured)
Reauth starts in approx. 0:23:30:37 (dd:hr:mm:sec)
Peer MAC address is 10f3.11a7.e501
Dot1X is initialized
Authorization Status: ALL-POLICY SUCCEEDED
Peer SGT: 0:Unknown
Peer SGT assignment: Trusted
SAP Status: SUCCEEDED
Version: 2
Configured pairwise ciphers:
gcm-encrypt
{3, 0, 0, 0} checksum 2
Replay protection: enabled
Replay protection mode: STRICT
Selected cipher: gcm-encrypt
Propagate SGT: Enabled
Cache Info:
Cache applied to link : NONE
Data loaded from NVRAM: F
NV restoration pending: F
Cache file name : GigabitEthernet1_0_20_d
Cache valid : F
Cache is dirty : T
Peer ID : unknown
Peer mac : 0000.0000.0000
Dot1X role : unknown
PMK :
00000000 00000000 00000000 00000000
00000000 00000000 00000000 00000000
Statistics:
authc success: 12
authc reject: 1542
authc failure: 0
authc no response: 0
authc logoff: 2
sap success: 12
sap fail: 0
authz success: 13
authz fail: 0
port auth fail: 0
L3 IPM: disabled.
Dot1x Info for GigabitEthernet1/0/20
-----------------------------------
PAE = AUTHENTICATOR
QuietPeriod = 60
ServerTimeout = 0
SuppTimeout = 30
ReAuthMax = 2
MaxReq = 2
TxPeriod = 30
Aquí, los puertos utilizan el modo gcm-cifran, así que significa que el tráfico está autenticado y cifrado, así como SGT-marcado con etiqueta correctamente. Ninguno de los dos dispositivos utiliza cualquier directiva específica de la autorización del dispositivo de red en el ISE, así que significa que todo el tráfico iniciado del dispositivo utiliza la etiqueta predeterminada de 0. También confianza SGTs de ambo Switches recibido del par (debido a los atributos de RADIUS a partir de la fase de la descarga de la directiva del par).
El entorno y la directiva restauran
Después de que ambos dispositivos estén conectados con la nube CTS, se inicia un entorno y una directiva restauran. El entorno restaura es necesario para obtener el SGTs y los nombres, y una directiva restaura es necesaria para descargar el SGACL definida en el ISE.
En esta etapa, el supplicant conoce ya la dirección IP del servidor de AAA, así que puede hacerla para sí mismo.
Refiera al ASA y al ejemplo de configuración de TrustSec del Catalyst 3750X Series Switch y resuelva problemas la guía para más información sobre el entorno y la directiva restaura.
El Switch del supplicant recuerda la dirección IP del servidor de RADIUS, incluso cuando no hay servidor de RADIUS configurado y cuando va el link CTS abajo (hacia el Switch del authenticator). Sin embargo, es posible forzar el Switch a olvidarlo:
bsns-3750-6#show run | i radius
aaa authentication dot1x default group radius
aaa authorization network default group radius
aaa authorization network ise group radius
aaa accounting dot1x default start-stop group radius
radius-server vsa send authentication
bsns-3750-6#show cts server-list
CTS Server Radius Load Balance = DISABLED
Server Group Deadtime = 20 secs (default)
Global Server Liveness Automated Test Deadtime = 20 secs
Global Server Liveness Automated Test Idle Time = 60 mins
Global Server Liveness Automated Test = ENABLED (default)
Preferred list, 1 server(s):
*Server: 10.48.66.129, port 1812, A-ID C40A15A339286CEAC28A50DBBAC59784
Status = ALIVE
auto-test = TRUE, keywrap-enable = FALSE, idle-time = 60 mins,
deadtime = 20 secs
Installed list: CTSServerList1-0001, 1 server(s):
*Server: 10.48.66.129, port 1812, A-ID C40A15A339286CEAC28A50DBBAC59784
Status = ALIVE
auto-test = TRUE, keywrap-enable = FALSE, idle-time = 60 mins,
deadtime = 20 secs
bsns-3750-6#show radius server-group all
Server group radius
Sharecount = 1 sg_unconfigured = FALSE
Type = standard Memlocks = 1
Server group private_sg-0
Server(10.48.66.129:1812,1646) Successful Transactions:
Authen: 8 Author: 16 Acct: 0
Server_auto_test_enabled: TRUE
Keywrap enabled: FALSE
bsns-3750-6#clear cts server 10.48.66.129
bsns-3750-6#show radius server-group all
Server group radius
Sharecount = 1 sg_unconfigured = FALSE
Type = standard Memlocks = 1
Server group private_sg-0
Para verificar el entorno y la directiva en el supplicant conmute, ingrese estos comandos:
bsns-3750-6#show cts environment-data
CTS Environment Data
====================
Current state = COMPLETE
Last status = Successful
Local Device SGT:
SGT tag = 0-01:Unknown
Server List Info:
Security Group Name Table:
0-00:Unknown
2-00:VLAN10
3-00:VLAN20
4-00:VLAN100
Environment Data Lifetime = 86400 secs
Last update time = 03:23:51 UTC Thu Mar 31 2011
Env-data expires in 0:13:09:52 (dd:hr:mm:sec)
Env-data refreshes in 0:13:09:52 (dd:hr:mm:sec)
Cache data applied = NONE
State Machine is running
bsns-3750-6#show cts role-based permissions
¿Por qué ningunas directivas visualizan? Ninguna visualización de las directivas, porque usted debe permitir a la aplicación de los cts para aplicarlas:
bsns-3750-6(config)#cts role-based enforcement
bsns-3750-6(config)#cts role-based enforcement vlan-list all
bsns-3750-6#show cts role-based permissions
IPv4 Role-based permissions default:
Permit IP-00
IPv4 Role-based permissions from group 2:VLAN10 to group Unknown:
ICMP-20
¿Por qué el supplicant tiene solamente una directiva para agrupar el desconocido mientras que el authenticator tiene más?
bsns-3750-5#show cts role-based permissions
IPv4 Role-based permissions default:
Permit IP-00
IPv4 Role-based permissions from group 2:VLAN10 to group Unknown:
ICMP-20
IPv4 Role-based permissions from group 2:VLAN10 to group 3:VLAN20:
ICMP-20
Deny IP-00
Autenticación del puerto para los clientes
El cliente de MS Windows está conectado y autenticado al puerto g1/0/1 del 3750-5 Switch:
bsns-3750-5#show authentication sessions int g1/0/1
Interface: GigabitEthernet1/0/1
MAC Address: 0050.5699.4ea1
IP Address: 192.168.2.200
User-Name: cisco
Status: Authz Success
Domain: DATA
Security Policy: Should Secure
Security Status: Unsecure
Oper host mode: multi-auth
Oper control dir: both
Authorized By: Authentication Server
Vlan Policy: 20
ACS ACL: xACSACLx-IP-PERMIT_ALL_TRAFFIC-51134bb2
SGT: 0003-0
Session timeout: N/A
Idle timeout: N/A
Common Session ID: C0A80001000001BD336EC4D6
Acct Session ID: 0x000002F9
Handle: 0xF80001BE
Runnable methods list:
Method State
dot1x Authc Success
mab Not run
Aquí, el Switch 3750-5 sabe que ese tráfico de ese host se debe marcar con etiqueta con SGT=3 cuando está enviado a la nube CTS.
Tráfico que marca con etiqueta con el SGT
¿Cómo usted huele y verifica traficó?
Esto es difícil porque:
- Se integra soportan a la captura de paquetes solamente para el tráfico IP (y éste una trama Ethernet modificada con el payload de SGTs y de MACsec).
- Puerto del Switched Port Analyzer (SPAN) con la palabra clave de la replicación - esto pudo trabajar, pero el problema es que cualquier PC con Wireshark conectó con el puerto destino de una sesión de la supervisión cae las tramas debido a la falta de soporte de 802.1ae, que puede suceder en el nivel del hardware.
- El puerto SPAN sin la palabra clave de la replicación quita la encabezado de los cts antes de que ponga un puerto destino.
Aplicación de políticas con el SGACL
La aplicación de políticas en la nube CTS se hace siempre en el puerto destino. Esto es porque solamente el dispositivo más reciente conoce el destino SGT del dispositivo de punto final que está conectado directamente con ese Switch. El paquete lleva solamente al sargento de la fuente. La fuente y el destino SGT se requieren para tomar una decisión.
Esta es la razón por la cual los dispositivos no necesitan descargar todas las directivas del ISE. En lugar, necesitan solamente a la parte de la directiva que se relaciona con el SGT para el cual el dispositivo tiene dispositivos conectados directamente.
Aquí está el 3750-6, que es el Switch del supplicant:
bsns-3750-6#show cts role-based permissions
IPv4 Role-based permissions default:
Permit IP-00
IPv4 Role-based permissions from group 2:VLAN10 to group Unknown:
ICMP-20
Hay dos directivas aquí. El primer es el valor por defecto para el tráfico sin Tags (a/desde). El segundo es de SGT=2 al SGT untagged, que es 0. Esta directiva existe porque el dispositivo sí mismo utiliza la directiva SGA del ISE, y pertenece a SGT=0. También, SGT=0 es etiqueta predeterminada. Por lo tanto, usted debe descargar todas las directivas que tienen las reglas para el tráfico a/desde SGT=0. Si usted mira la matriz, usted ve solamente una tal directiva: a partir el 2 a 0.
Aquí está el 3750-5, que es el Switch del authenticator:
bsns-3750-5#show cts role-based permissions
IPv4 Role-based permissions default:
Permit IP-00
IPv4 Role-based permissions from group 2:VLAN10 to group Unknown:
ICMP-20
IPv4 Role-based permissions from group 2:VLAN10 to group 3:VLAN20:
ICMP-20
Deny IP-00
Hay una más directiva aquí: a partir el 2 a 3. Esto es porque el cliente del 802.1x (MS Windows) está conectado con g1/0/1 y marcado con etiqueta con SGT=3. Esta es la razón por la cual usted debe descargar todas las directivas a SGT=3.
Intente hacer ping de 3750X-6 (SGT=0) a MS Windows XP (SGT=3). El 3750X-5 es el dispositivo que aplica.
Antes de esto, usted debe configurar una directiva en el ISE para el tráfico de SGT=0 a SGT=3. Este ejemplo creó un registro del Internet Control Message Protocol (ICMP) SGACL con solamente la línea, registro ICMP del permiso, y lo utilizó en la matriz para el tráfico de SGT=0 a SGT=3:
Aquí está una restauración de la directiva en el Switch que aplica, y una verificación de la nueva directiva:
bsns-3750-5#cts refresh policy
Policy refresh in progress
bsns-3750-5#show cts role-based permissions
IPv4 Role-based permissions default:
Permit IP-00
IPv4 Role-based permissions from group 2:VLAN10 to group Unknown:
ICMP-20
IPv4 Role-based permissions from group Unknown to group 3:VLAN20:
ICMPlog-10
Deny IP-00
IPv4 Role-based permissions from group 2:VLAN10 to group 3:VLAN20:
ICMP-20
Deny IP-00
Para verificar que el Access Control List (ACL) esté descargado del ISE, ingrese este comando:
bsns-3750-5#show ip access-lists ICMPlog-10
Role-based IP access list ICMPlog-10 (downloaded)
10 permit icmp log
Para verificar que el ACL sea aplicado (soporte del hardware), ingrese este comando:
bsns-3750-5#show cts rbacl | b ICMPlog-10
name = ICMPlog-10
IP protocol version = IPV4
refcnt = 2
flag = 0x41000000
POLICY_PROGRAM_SUCCESS
POLICY_RBACL_IPV4
stale = FALSE
ref_q:
acl_infop(74009FC), name(ICMPlog-10)
sessions installed:
session hld(460000F8)
RBACL ACEs:
Num ACEs: 1
permit icmp log
Aquí están los contadores antes de ICMP:
bsns-3750-5#show cts role-based counters
Role-based IPv4 counters
# '-' in hardware counters field indicates sharing among cells with identical
policies
From To SW-Denied HW-Denied SW-Permitted HW-Permitted
2 0 0 0 4099 224
* * 0 0 321810 340989
0 3 0 0 0 0
2 3 0 0 0 0
Aquí está un ping de SGT=0 (3750-6 Switch) a MS Windows XP (SGT=3) y los contadores:
bsns-3750-6#ping 192.168.2.200
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 192.168.2.200, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 1/1/1 ms
bsns-3750-5#show cts role-based counters
Role-based IPv4 counters
# '-' in hardware counters field indicates sharing among cells with identical
policies
From To SW-Denied HW-Denied SW-Permitted HW-Permitted
2 0 0 0 4099 224
* * 0 0 322074 341126
0 3 0 0 0 5
2 3 0 0 0 0
Aquí están los contadores ACL:
bsns-3750-5#show ip access-lists ICMPlog-10
Role-based IP access list ICMPlog-10 (downloaded)
10 permit icmp log (5 matches)
Verificación
Actualmente, no hay un procedimiento de verificación disponible para esta configuración.
Troubleshooting
Actualmente, no hay información específica de troubleshooting disponible para esta configuración.
Información Relacionada
¿Era este documento útil? Sí ningún
Gracias por su feedback.
Abra un caso de soporte
(requiere un contrato de servicios con Cisco.)
Discusiones relacionadas de la comunidad del soporte de Cisco
La comunidad del soporte de Cisco es un foro para que usted haga y conteste a las preguntas, las sugerencias de la parte, y colabora con sus pares.
Refiera a los convenios de los consejos técnicos de Cisco para la información sobre los convenios usados en este documento.
Déjenos ayudarlo
- Abrir un caso de soporte
- (Requiere un Cisco Service Contract)