Guest

Servicios de red basado en la identidad

Nube de TrustSec con el 802.1x MACsec en el ejemplo de configuración del Catalyst 3750X Series Switch

Contenido del artículo de Techzone

ID del Documento: 116498

Actualizado: De oct el 09 de 2013

Contribuido por Michal Garcarz, ingeniero de Cisco TAC.

   Imprimir

Introducción

Este artículo describe los pasos requeridos para configurar una nube de Cisco TrustSec (CTS) con el cifrado de link entre dos Catalyst 3750X Series Switch (3750X).

Este artículo explica el proceso del cifrado de la Seguridad del control de acceso a los medios del switch a switch (MACsec) que utiliza el protocolo de la asociación de seguridad (SAP). Este proceso utiliza el modo del IEEE 802.1X en vez del modo manual.

Aquí está una lista de los pasos implicados:

  • Aprovisionamiento credencial protegido del acceso (PAC) para los dispositivos del germen y del NON-germen
  • Autenticación del control de admisión del dispositivo de red (NDAC) y negociación de MACsec con SAP para la administración de claves
  • El entorno y la directiva restauran
  • Autenticación del puerto para los clientes
  • Tráfico que marca con etiqueta con la etiqueta del grupo de seguridad (SGT)
  • Aplicación de políticas con el grupo de seguridad ACL (SGACL)

Prerrequisitos

Requisitos

Cisco recomienda que tenga conocimiento sobre estos temas:

  • Conocimiento básico de los componentes CTS
  • Conocimiento básico de la configuración CLI de los switches de Catalyst
  • Experiencia con la configuración del Identity Services Engine (ISE)

Componentes Utilizados

La información que contiene este documento se basa en las siguientes versiones de software y hardware.

  • Microsoft (MS) Windows 7 y MS Windows XP
  • software 3750X, versiones 15.0 y posterior
  • Software ISE, versiones 1.1.4 y posterior

La información que contiene este documento se creó a partir de los dispositivos en un ambiente de laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron en funcionamiento con una configuración verificada (predeterminada). Si la red está funcionando, asegúrese de haber comprendido el impacto que puede tener cualquier comando.

Configurar

Diagrama de la red

En este diagrama de la topología de red, el Switch 3750X-5 es el dispositivo simiente que conoce la dirección IP del ISE, y descarga automáticamente el PAC que se utiliza para la autenticación subsiguiente en la nube CTS. El dispositivo simiente actúa como authenticator del 802.1x para los dispositivos del NON-germen. El switch de la serie del Cisco Catalyst 3750X-6 (3750X-6) es el dispositivo del NON-germen. Actúa como supplicant del 802.1x al dispositivo simiente. Después de que el dispositivo del NON-germen autentique al ISE a través del dispositivo simiente, es acceso permitido a la nube CTS. Después de una autenticación satisfactoria, cambian al estado del puerto del 802.1x en el Switch 3750X-5 a autenticado, y se negocia el cifrado de MACsec. El tráfico entre el Switches después se marca con etiqueta con SGT y se cifra.

Esta lista resume el flujo de tráfico previsto:

  • El germen 3750X-5 conecta con el ISE y descarga el PAC, que se utiliza más adelante para un entorno y la directiva restaura.
  • El non-germen 3750X-6 realiza la autenticación del 802.1x con el papel del supplicant para autenticar/autoriza y descarga el PAC del ISE.
  • El 3750X-6 realiza una segunda autenticación de Protocol Flexible de autenticación ampliable del 802.1x vía la sesión segura del protocolo (EAP-FAST) para autenticar con el túnel protegido basado en el PAC.
  • El 3750X-5 descarga las directivas SGA para sí mismo y en nombre de 3750X-6.
  • Se negocia una sesión de SAP ocurre entre el 3750X-5 y el 3750X-6, las cifras de MACsec, y se intercambia la directiva.
  • El tráfico entre el Switches se marca con etiqueta y se cifra.

Switches del germen y del NON-germen de la configuración

El dispositivo simiente (3750X-5) se configura para utilizar el ISE como servidor de RADIUS para el CTS:

aaa new-model
aaa authentication dot1x default group radius
aaa authorization network default group radius
aaa authorization network ise group radius
aaa accounting dot1x default start-stop group radius

cts authorization list ise

radius-server host 10.48.66.129 pac key cisco
radius-server host 10.48.66.129 auth-port 1812
radius-server vsa send accounting
radius-server vsa send authentication

Se habilitan la lista de control de acceso basada en Role (RBACL) y la aplicación basada grupo de seguridad de la lista de control de acceso (SGACL) (se utilizan más adelante):

cts role-based enforcement
cts role-based enforcement vlan-list 1-1005,1007-4094

El dispositivo del NON-germen (3750X-6) se configura solamente para el Authentication, Authorization, and Accounting (AAA) sin la necesidad de la autorización RADIUS o CTS:

aaa new-model
aaa authentication dot1x default group radius
aaa authorization network default group radius
aaa accounting dot1x default start-stop group radius

Antes de que usted habilite el 802.1x en la interfaz, es necesario configurar el ISE.

Configure el ISE

Complete estos pasos para configurar el ISE:

  1. Navegue a la administración > a los recursos de red > a los dispositivos de red, y agregue ambo Switches como dispositivos de acceso a la red (NAD). Bajo configuraciones avanzadas de TrustSec, configure una contraseña CTS para su uso posterior en el Switch CLI.



  2. Navegue a los grupos del > Security (Seguridad) del acceso del grupo del > Security (Seguridad) de la directiva > de los elementos > de los resultados de la directiva, y agregue el SGTs apropiado. Se descargan estas etiquetas cuando el Switches pide un entorno restaura.



  3. Navegue al grupo ACL del > Security (Seguridad) del acceso del grupo del > Security (Seguridad) de la directiva > de los elementos > de los resultados de la directiva, y configure un SGACL.



  4. Navegue al acceso del grupo del > Security (Seguridad) de la directiva, y defina una directiva con la matriz.



Nota: Usted debe configurar la directiva de la autorización para el supplicant de MS Windows, de modo que reciba la etiqueta correcta. Refiera al ASA y al ejemplo de configuración de TrustSec del Catalyst 3750X Series Switch y resuelva problemas la guía para una configuración detallada para esto.

Aprovisionamiento PAC para el 3750X-5

El PAC es necesario para la autenticación en el dominio CTS (como phase1 para el EAP-FAST), y también se utiliza para obtener los datos del entorno y de la directiva del ISE. Sin el PAC correcto, no es posible obtener esos datos del ISE.


Después de que usted proporcione las credenciales correctas en el 3750X-5, descarga el PAC:

bsns-3750-5#cts credentials id 3750X password ciscocisco
bsns-3750-5#show cts pacs
  AID: C40A15A339286CEAC28A50DBBAC59784
  PAC-Info:
    PAC-type = Cisco Trustsec
    AID: C40A15A339286CEAC28A50DBBAC59784
    I-ID: 3750X
    A-ID-Info: Identity Services Engine
    Credential Lifetime: 08:31:32 UTC Oct 5 2013
  PAC-Opaque: 000200B00003000100040010C40A15A339286CEAC28A50DBBAC5978400060094
0003010076B969769CB5D45453FDCDEB92271C500000001351D15DD900093A8044DF74B2B71F
E667D7B908DB7AEEA32208B4E069FDB0A31161CE98ABD714C55CA0C4A83E4E16A6E8ACAC1D081
F235123600B91B09C9A909516D0A2B347E46D15178028ABFFD61244B3CD6F332435C867A968CE
A6B09BFA8C181E4399CE498A676543714A74B0C048A97C18684FF49BF0BB872405
  Refresh timer is set for 2y25w

El PAC se descarga vía el EAP-FAST con el Challenge Handshake Authentication Protocol de Microsoft (MSCHAPv2), con las credenciales proporcionadas en el CLI y las mismas credenciales configuradas en el ISE.

El PAC se utiliza para el entorno y la directiva restaura. Para eso Switches, pedidos de RADIUS del uso con el cisco av-pair cts-PAC-opaco, que se deriva de la clave PAC y se puede desencriptar en el ISE.

Aprovisionamiento PAC para la autenticación 3750X-6 y NDAC

Para que un nuevo dispositivo pueda conecte con el dominio CTS, él es necesario habilitar el 802.1x en los puertos correspondientes.

El protocolo de SAP se utiliza para la administración de claves y la negociación de la habitación de la cifra. El Message Authentication Code de Galois (GMAC) se utiliza para la autenticación y Galois/el modo contrario (GCM) para el cifrado.

En el Switch del germen:

interface GigabitEthernet1/0/20
 switchport trunk encapsulation dot1q
 switchport mode trunk
 cts dot1x  
sap mode-list gcm-encrypt

En el Switch del NON-germen:

interface GigabitEthernet1/0/1
 switchport trunk encapsulation dot1q
 switchport mode trunk
 cts dot1x
  sap mode-list gcm-encrypt

Esto se soporta solamente en los puertos troncales (switch switch MACsec). Para el Switch-host MACsec, que utiliza el protocolo dominante en lugar de otro SAP del acuerdo de MACsec (MKA), refiera al cifrado de Configurig MACsec.

Inmediatamente después que usted habilita el 802.1x en los puertos, el Switch del NON-germen actúa como supplicant al Switch del germen, que es el authenticator.

Este proceso se llama NDAC, y su objetivo es conectar un nuevo dispositivo con el dominio CTS. La autenticación es bidireccional; el nuevo dispositivo tiene credenciales que se verifiquen en el servidor de autenticación ISE. Después del aprovisionamiento PAC, el dispositivo está también seguro que conecta con el dominio CTS.

Nota: El PAC se utiliza para construir un túnel de Transport Layer Security (TLS) para el EAP-FAST. El 3750X-6 confía en las credenciales PAC que son proporcionadas por el servidor similar a la manera un cliente confían en que el certificado previó por el servidor para el túnel de TLS el método del EAP-TLS.

Se intercambian los mensajes de RADIUS múltiples:

La primera sesión del 3750X (Switch del germen) se utiliza para el aprovisionamiento PAC. El EAP-FAST se utiliza sin el PAC (un túnel anónimo para la autenticación del MSCHAPv2 se construye).

12131  EAP-FAST built anonymous tunnel for purpose of PAC provisioning
22037  Authentication Passed
11814  Inner EAP-MSCHAP authentication succeeded
12173  Successfully finished EAP-FAST CTS PAC provisioning/update
11003  Returned RADIUS Access-Reject

El nombre de usuario y contraseña del MSCHAPv2 configurado vía el comando credentials de los cts se utiliza. También, un Access-Reject RADIUS se vuelve en el extremo, porque después de que el PAC tenga ya aprovisionado, no hay otra autenticación necesaria.

La segunda entrada en el registro refiere a la autenticación del 802.1x. El EAP-FAST se utiliza con el PAC que era aprovisionado anterior.

12168  Received CTS PAC
12132  EAP-FAST built PAC-based tunnel for purpose of authentication
11814  Inner EAP-MSCHAP authentication succeeded
15016  Selected Authorization Profile - Permit Access
11002  Returned RADIUS Access-Accept

Esta vez, el túnel no es anónimo, pero protegido por el PAC. Una vez más las mismas credenciales para la sesión del MSCHAPv2 se utilizan. Entonces, se verifica contra las reglas de la autenticación y autorización en el ISE, y se vuelve un access-accept RADIUS. Entonces, el Switch del authenticator aplica los atributos vueltos, y la sesión del 802.1x para los movimientos de ese puerto a un estado autorizado.

¿Qué hace el proceso para las primeras dos sesiones del 802.1x parece del germen conmutó?

Aquí están los debugs más importantes del germen. El germen detecta que el puerto está para arriba, e intenta determinar qué papel se debe utilizar para el 802.1x - el supplicant o el authenticator:

debug cts all
debug dot1x all
debug radius verbose
debug radius authentication

Apr 9 11:28:35.347: CTS-ifc-ev: CTS process: received msg_id CTS_IFC_MSG_LINK_UP
Apr 9 11:28:35.347: @@@ cts_ifc GigabitEthernet1/0/20, INIT: ifc_init ->
ifc_authenticating
Apr 9 11:28:35.356: CTS-ifc-ev: Request to start dot1x Both PAE(s) for
GigabitEthernet1/0/20
Apr 9 11:28:35.356: dot1x-ev(Gi1/0/20): Created authenticator subblock
Apr 9 11:28:35.356: dot1x-ev(Gi1/0/20): Created supplicant subblock

Apr 9 11:28:35.364: dot1x-ev:dot1x_supp_start: Not starting default supplicant
on GigabitEthernet1/0/20
Apr 9 11:28:35.381: dot1x-sm:Posting SUPP_ABORT on Client=7C24F2C

Apr 9 11:28:35.397: %AUTHMGR-5-START: Starting 'dot1x' for client (10f3.11a7.e501) on
Interface Gi1/0/20 AuditSessionID C0A800010000054135A5E32

Finalmente, se utiliza el papel del authenticator, porque el Switch tiene acceso al ISE. En el 3750X-6, se elige el papel del supplicant.

Detalles en la selección del papel del 802.1x

Nota: Después de que el Switch del supplicant obtenga el PAC y sea 802.1x-authenticated, descarga los datos del entorno (descritos más adelante), y aprende la dirección IP del servidor de AAA. En este ejemplo, ambo Switches tiene una conexión dedicada (de la estructura básica) para el ISE. Más adelante, los papeles pueden ser diferentes; el primer Switch que recibe una respuesta del servidor de AAA se convierte en el authenticator, y segundo se convierte en el supplicant.

Esto es posible porque ambo Switches con el servidor de AAA marcado como VIVO envía una identidad de la petición del Protocolo de Autenticación Extensible (EAP). El que primero recibe la respuesta de la identidad EAP se convierte en el authenticator, y peticiones subsiguientes de la identidad de los descensos.

Después de que se seleccione el papel del 802.1x (en este escenario, el 3750X-6 es el supplicant, porque no tiene ningún acceso al servidor de AAA con todo), los próximos paquetes implican el intercambio del EAP-FAST para el aprovisionamiento PAC. Utilizan al cliente del nombre de usuario CTS para el nombre de usuario del pedido de RADIUS y como la identidad EAP:

Apr  9 11:28:36.647: RADIUS:  User-Name           [1]   12  "CTS client"
Apr  9 11:28:35.481: RADIUS:  EAP-Message         [79]  17  
Apr  9 11:28:35.481: RADIUS:   02 01 00 0F 01 43 54 53 20 63 6C 69 65 6E 74        [ CTS client]

Después de que se construya el túnel del EAP-FAST del anonymus, una sesión del MSCHAPv2 ocurre para el nombre de usuario 3750X6 (credenciales de los cts). No es posible ver eso en el Switch, porque es un túnel de TLS (cifrado), pero detallado abre una sesión el ISE para el aprovisionamiento PAC lo prueba. Usted puede ver al cliente CTS para el nombre de usuario de RADIUS y como la respuesta de la identidad EAP. Sin embargo, para el método interno (MSCHAP), se utiliza el nombre de usuario 3750X6:

La segunda autenticación del EAP-FAST ocurre. Esta vez, utiliza el PAC que era aprovisionado anterior. Una vez más utilizan al cliente CTS como el nombre de usuario de RADIUS y la identidad externa, pero 3750X6 se utiliza para la identidad interna (MSCHAP). La autenticación tiene éxito:

Sin embargo, este vez, el ISE vuelve varios atributos en el RADIUS valida el paquete:

Aquí, el Switch del authenticator cambia el puerto al estado autorizado:

bsns-3750-5#show authentication sessions int g1/0/20
            Interface:  GigabitEthernet1/0/20
          MAC Address:  10f3.11a7.e501
           IP Address:  Unknown
            User-Name:  3750X6
               Status:  Authz Success
               Domain:  DATA
      Security Policy:  Should Secure
      Security Status:  Unsecure
       Oper host mode:  multi-host
     Oper control dir:  both
        Authorized By:  Authentication Server
          Vlan Policy:  N/A
      Session timeout:  86400s (local), Remaining: 81311s
       Timeout action:  Reauthenticate
         Idle timeout:  N/A
    Common Session ID:  C0A800010000054135A5E321
      Acct Session ID:  0x0000068E
               Handle:  0x09000542

Runnable methods list:
       Method   State
       dot1x    Authc Success

¿Cómo el Switch del authenticator aprende que el username es 3750X6? Para el nombre de usuario de RADIUS y la identidad externa EAP, utilizan al cliente CTS, y se cifra la identidad interna y no visible para el authenticator. El nombre de usuario es aprendido por el ISE. El paquete RADIUS más reciente (access-accept) contiene username=3750X6, mientras que todos los otros contuvieron el nombre de usuario = al cliente de Cts. Esta es la razón por la cual el Switch del supplicant reconoce el nombre de usuario real. Este comportamiento es en conformidad con RFC. Del 3.0 de la sección del RFC3579:

The User-Name attribute within the Access- Accept packet need not be the same
as the User-Name attribute in the Access-Request.

En el paquete más reciente de la sesión de la autenticación del 802.1x, el ISE vuelve un RADIUS valida el Cisco-av-pair del mensaje con el EAP-Clave-nombre:

Esto se utiliza como material de codificación para la negociación de SAP.

También, se pasa el SGT. Esto significa que el Switch del authenticator marca el tráfico con etiqueta del supplicant con un valor predeterminado = 0. Usted puede configurar un valor específico en el ISE para volver cualquier otro valor. Esto solicita solamente el tráfico sin Tags; el tráfico con Tag no se reescribe porque, por abandono, el Switch del authenticator confía en el tráfico del supplicant autenticado (solamente éste puede también ser cambiado en el ISE).

Descarga de la directiva SGA

Hay intercambios adicionales RADIUS (sin el EAP) con excepción de las primeras dos sesiones del EAP-FAST del 802.1x (las primeras para el aprovisionamiento PAC, y los segundos para la autenticación). Aquí están los registros ISE otra vez:

El tercer registro (descarga de la directiva del par) indica un intercambio simple RADIUS: El pedido de RADIUS y el RADIUS validan para el usuario 3760X6. Esto es necesario para descargar las directivas para el tráfico del supplicant. Dos la mayoría de los atributos importantes son:

Debido a esto, el Switch del authenticator confía en el tráfico que SGT-es marcado con etiqueta por el supplicant (cts: el trusted-device=true), y también marca el tráfico sin Tags con etiqueta con tag=0.

El cuarto registro indica el mismo intercambio RADIUS. Sin embargo, este vez, está para el usuario 3750X5 (authenticator). Esto es porque ambos pares deben tener una directiva para uno a. Es interesante observar que el supplicant todavía no conoce la dirección IP del servidor de AAA. Esta es la razón por la cual el Switch del authenticator descarga la directiva en nombre del supplicant. Esta información pasa más adelante al supplicant (junto con la dirección IP ISE) en la negociación de SAP.

Negociación de SAP

Inmediatamente después que la sesión de la autenticación del 802.1x acaba, la negociación de SAP ocurre. Se requiere esta negociación para:

  • Negocie los niveles del cifrado (con la MODE-lista de la savia gcm-cifre el comando) y las habitaciones de la cifra
  • Derive las claves de la sesión para el tráfico de datos
  • Experimente el proceso de reintroducción
  • Realice los controles de seguridad complementaria y aseegurese que los pasos anteriores están asegurados

SAP es protocolo diseñado por Cisco Systems basó en una versión provisional de 802.11i/D6.0. Para los detalles, el acceso de la petición en el protocol protocol de la asociación de seguridad de Cisco TrustSec que soportaba Cisco confiaba en la Seguridad para la página del nexo 7000 de Cisco.

SAP intercambia es 802.1AE-compliant. Un protocolo extensible authentication sobre el intercambio de claves LAN (EAPOL) ocurre entre el supplicant y el authenticator para negociar una habitación de la cifra, intercambiar los parámetros de seguridad, y manejar las claves. Desafortunadamente, Wireshark no tiene decodificador para todos los tipos requeridos EAP:

La terminación satisfactoria de éstos encarga los resultados en el establecimiento de una asociación de seguridad (SA).

En el Switch del supplicant:

bsns-3750-6#show cts interface g1/0/1
Global Dot1x feature is Enabled
Interface GigabitEthernet1/0/1:
    CTS is enabled, mode:    DOT1X
    IFC state:               OPEN
    Authentication Status:   SUCCEEDED
        Peer identity:       "3750X"
        Peer's advertised capabilities: "sap"
        802.1X role:         Supplicant
        Reauth period applied to link:  Not applicable to Supplicant role
    Authorization Status:    SUCCEEDED
        Peer SGT:            0:Unknown
        Peer SGT assignment: Trusted
    SAP Status:              SUCCEEDED
        Version:             2
        Configured pairwise ciphers:
            gcm-encrypt

        Replay protection:      enabled
        Replay protection mode: STRICT

        Selected cipher:        gcm-encrypt

    Propagate SGT:           Enabled
    Cache Info:
        Cache applied to link : NONE

    Statistics:
        authc success:              12
        authc reject:               1556
        authc failure:              0
        authc no response:          0
        authc logoff:               0
        sap success:                12
        sap fail:                   0
        authz success:              12
        authz fail:                 0
        port auth fail:             0

    L3 IPM:   disabled.

Dot1x Info for GigabitEthernet1/0/1
-----------------------------------
PAE                       = SUPPLICANT
StartPeriod               = 30
AuthPeriod                = 30
HeldPeriod                = 60
MaxStart                  = 3
Credentials profile       = CTS-ID-profile
EAP profile               = CTS-EAP-profile

En el authenticator:

bsns-3750-5#show cts interface g1/0/20
Global Dot1x feature is Enabled
Interface GigabitEthernet1/0/20:
    CTS is enabled, mode:    DOT1X
    IFC state:               OPEN
    Interface Active for 00:29:22.069
    Authentication Status:   SUCCEEDED
        Peer identity:       "3750X6"
        Peer's advertised capabilities: "sap"
        802.1X role:         Authenticator
        Reauth period configured:       86400 (default)
        Reauth period per policy:       86400 (server configured)
        Reauth period applied to link:  86400 (server configured)
        Reauth starts in approx. 0:23:30:37 (dd:hr:mm:sec)
        Peer MAC address is 10f3.11a7.e501
        Dot1X is initialized
    Authorization Status:    ALL-POLICY SUCCEEDED
        Peer SGT:            0:Unknown
        Peer SGT assignment: Trusted
    SAP Status:              SUCCEEDED
        Version:             2
        Configured pairwise ciphers:
            gcm-encrypt
            {3, 0, 0, 0} checksum 2

        Replay protection:      enabled
        Replay protection mode: STRICT

        Selected cipher:        gcm-encrypt

    Propagate SGT:           Enabled
    Cache Info:
        Cache applied to link : NONE
        Data loaded from NVRAM: F
        NV restoration pending: F
        Cache file name       : GigabitEthernet1_0_20_d
        Cache valid           : F
        Cache is dirty        : T
        Peer ID               : unknown
        Peer mac              : 0000.0000.0000
        Dot1X role            : unknown
        PMK                   :
             00000000 00000000 00000000 00000000
             00000000 00000000 00000000 00000000

    Statistics:
        authc success:              12
        authc reject:               1542
        authc failure:              0
        authc no response:          0
        authc logoff:               2
        sap success:                12
        sap fail:                   0
        authz success:              13
        authz fail:                 0
        port auth fail:             0

    L3 IPM:   disabled.

Dot1x Info for GigabitEthernet1/0/20
-----------------------------------
PAE                       = AUTHENTICATOR
QuietPeriod               = 60
ServerTimeout             = 0
SuppTimeout               = 30
ReAuthMax                 = 2
MaxReq                    = 2
TxPeriod                  = 30

Aquí, los puertos utilizan el modo gcm-cifran, así que significa que el tráfico está autenticado y cifrado, así como SGT-marcado con etiqueta correctamente. Ninguno de los dos dispositivos utiliza cualquier directiva específica de la autorización del dispositivo de red en el ISE, así que significa que todo el tráfico iniciado del dispositivo utiliza la etiqueta predeterminada de 0. También confianza SGTs de ambo Switches recibido del par (debido a los atributos de RADIUS a partir de la fase de la descarga de la directiva del par).

El entorno y la directiva restauran

Después de que ambos dispositivos estén conectados con la nube CTS, se inicia un entorno y una directiva restauran. El entorno restaura es necesario para obtener el SGTs y los nombres, y una directiva restaura es necesaria para descargar el SGACL definida en el ISE.

En esta etapa, el supplicant conoce ya la dirección IP del servidor de AAA, así que puede hacerla para sí mismo.

Refiera al ASA y al ejemplo de configuración de TrustSec del Catalyst 3750X Series Switch y resuelva problemas la guía para más información sobre el entorno y la directiva restaura.

El Switch del supplicant recuerda la dirección IP del servidor de RADIUS, incluso cuando no hay servidor de RADIUS configurado y cuando va el link CTS abajo (hacia el Switch del authenticator). Sin embargo, es posible forzar el Switch a olvidarlo:

bsns-3750-6#show run | i radius
aaa authentication dot1x default group radius
aaa authorization network default group radius
aaa authorization network ise group radius
aaa accounting dot1x default start-stop group radius
radius-server vsa send authentication

bsns-3750-6#show cts server-list
CTS Server Radius Load Balance = DISABLED
Server Group Deadtime = 20 secs (default)
Global Server Liveness Automated Test Deadtime = 20 secs
Global Server Liveness Automated Test Idle Time = 60 mins
Global Server Liveness Automated Test = ENABLED (default)

Preferred list, 1 server(s):
 *Server: 10.48.66.129, port 1812, A-ID C40A15A339286CEAC28A50DBBAC59784
          Status = ALIVE
          auto-test = TRUE, keywrap-enable = FALSE, idle-time = 60 mins,
deadtime = 20 secs
Installed list: CTSServerList1-0001, 1 server(s):
 *Server: 10.48.66.129, port 1812, A-ID C40A15A339286CEAC28A50DBBAC59784
          Status = ALIVE
          auto-test = TRUE, keywrap-enable = FALSE, idle-time = 60 mins,
deadtime = 20 secs

bsns-3750-6#show radius server-group all

Server group radius
    Sharecount = 1  sg_unconfigured = FALSE
    Type = standard  Memlocks = 1
Server group  private_sg-0
    Server(10.48.66.129:1812,1646) Successful Transactions:
    Authen: 8   Author: 16      Acct: 0
    Server_auto_test_enabled: TRUE
    Keywrap enabled: FALSE

bsns-3750-6#clear cts server 10.48.66.129

bsns-3750-6#show radius server-group all
Server group radius
    Sharecount = 1  sg_unconfigured = FALSE
    Type = standard  Memlocks = 1
Server group  private_sg-0

Para verificar el entorno y la directiva en el supplicant conmute, ingrese estos comandos:

bsns-3750-6#show cts environment-data 
CTS Environment Data
====================
Current state = COMPLETE
Last status = Successful
Local Device SGT:
  SGT tag = 0-01:Unknown
Server List Info:
Security Group Name Table:
    0-00:Unknown
    2-00:VLAN10
    3-00:VLAN20
    4-00:VLAN100
Environment Data Lifetime = 86400 secs
Last update time = 03:23:51 UTC Thu Mar 31 2011
Env-data expires in   0:13:09:52 (dd:hr:mm:sec)
Env-data refreshes in 0:13:09:52 (dd:hr:mm:sec)
Cache data applied           = NONE
State Machine is running

bsns-3750-6#show cts role-based permissions

¿Por qué ningunas directivas visualizan? Ninguna visualización de las directivas, porque usted debe permitir a la aplicación de los cts para aplicarlas:

bsns-3750-6(config)#cts role-based enforcement 
bsns-3750-6(config)#cts role-based enforcement vlan-list all
bsns-3750-6#show cts role-based permissions
IPv4 Role-based permissions default:
        Permit IP-00
IPv4 Role-based permissions from group 2:VLAN10 to group Unknown:
        ICMP-20

¿Por qué el supplicant tiene solamente una directiva para agrupar el desconocido mientras que el authenticator tiene más?

bsns-3750-5#show cts role-based permissions 
IPv4 Role-based permissions default:
        Permit IP-00
IPv4 Role-based permissions from group 2:VLAN10 to group Unknown:
        ICMP-20
IPv4 Role-based permissions from group 2:VLAN10 to group 3:VLAN20:
        ICMP-20
        Deny IP-00

Autenticación del puerto para los clientes

El cliente de MS Windows está conectado y autenticado al puerto g1/0/1 del 3750-5 Switch:

bsns-3750-5#show authentication sessions int g1/0/1
        Interface:  GigabitEthernet1/0/1
          MAC Address:  0050.5699.4ea1
           IP Address:  192.168.2.200
            User-Name:  cisco
               Status:  Authz Success
               Domain:  DATA
      Security Policy:  Should Secure
      Security Status:  Unsecure
       Oper host mode:  multi-auth
     Oper control dir:  both
        Authorized By:  Authentication Server
          Vlan Policy:  20
              ACS ACL:  xACSACLx-IP-PERMIT_ALL_TRAFFIC-51134bb2
                  SGT:  0003-0
      Session timeout:  N/A
         Idle timeout:  N/A
    Common Session ID:  C0A80001000001BD336EC4D6
      Acct Session ID:  0x000002F9
               Handle:  0xF80001BE

          
Runnable methods list:
       Method   State
       dot1x    Authc Success
       mab      Not run

Aquí, el Switch 3750-5 sabe que ese tráfico de ese host se debe marcar con etiqueta con SGT=3 cuando está enviado a la nube CTS.

Tráfico que marca con etiqueta con el SGT

¿Cómo usted huele y verifica traficó?

Esto es difícil porque:

  • Se integra soportan a la captura de paquetes solamente para el tráfico IP (y éste una trama Ethernet modificada con el payload de SGTs y de MACsec).
  • Puerto del Switched Port Analyzer (SPAN) con la palabra clave de la replicación - esto pudo trabajar, pero el problema es que cualquier PC con Wireshark conectó con el puerto destino de una sesión de la supervisión cae las tramas debido a la falta de soporte de 802.1ae, que puede suceder en el nivel del hardware.
  • El puerto SPAN sin la palabra clave de la replicación quita la encabezado de los cts antes de que ponga un puerto destino.

Aplicación de políticas con el SGACL

La aplicación de políticas en la nube CTS se hace siempre en el puerto destino. Esto es porque solamente el dispositivo más reciente conoce el destino SGT del dispositivo de punto final que está conectado directamente con ese Switch. El paquete lleva solamente al sargento de la fuente. La fuente y el destino SGT se requieren para tomar una decisión.

Esta es la razón por la cual los dispositivos no necesitan descargar todas las directivas del ISE. En lugar, necesitan solamente a la parte de la directiva que se relaciona con el SGT para el cual el dispositivo tiene dispositivos conectados directamente.

Aquí está el 3750-6, que es el Switch del supplicant:

bsns-3750-6#show cts role-based permissions 
IPv4 Role-based permissions default:
        Permit IP-00
IPv4 Role-based permissions from group 2:VLAN10 to group Unknown:
        ICMP-20

Hay dos directivas aquí. El primer es el valor por defecto para el tráfico sin Tags (a/desde). El segundo es de SGT=2 al SGT untagged, que es 0. Esta directiva existe porque el dispositivo sí mismo utiliza la directiva SGA del ISE, y pertenece a SGT=0. También, SGT=0 es etiqueta predeterminada. Por lo tanto, usted debe descargar todas las directivas que tienen las reglas para el tráfico a/desde SGT=0. Si usted mira la matriz, usted ve solamente una tal directiva: a partir el 2 a 0.

Aquí está el 3750-5, que es el Switch del authenticator:

bsns-3750-5#show cts role-based permissions 
IPv4 Role-based permissions default:
        Permit IP-00
IPv4 Role-based permissions from group 2:VLAN10 to group Unknown:
        ICMP-20
IPv4 Role-based permissions from group 2:VLAN10 to group 3:VLAN20:
        ICMP-20
        Deny IP-00

Hay una más directiva aquí: a partir el 2 a 3. Esto es porque el cliente del 802.1x (MS Windows) está conectado con g1/0/1 y marcado con etiqueta con SGT=3. Esta es la razón por la cual usted debe descargar todas las directivas a SGT=3.

Intente hacer ping de 3750X-6 (SGT=0) a MS Windows XP (SGT=3). El 3750X-5 es el dispositivo que aplica.

Antes de esto, usted debe configurar una directiva en el ISE para el tráfico de SGT=0 a SGT=3. Este ejemplo creó un registro del Internet Control Message Protocol (ICMP) SGACL con solamente la línea, registro ICMP del permiso, y lo utilizó en la matriz para el tráfico de SGT=0 a SGT=3:

Aquí está una restauración de la directiva en el Switch que aplica, y una verificación de la nueva directiva:

bsns-3750-5#cts refresh policy              
Policy refresh in progress

bsns-3750-5#show cts role-based permissions
IPv4 Role-based permissions default:
        Permit IP-00
IPv4 Role-based permissions from group 2:VLAN10 to group Unknown:
        ICMP-20
IPv4 Role-based permissions from group Unknown to group 3:VLAN20:
        ICMPlog-10
        Deny IP-00
IPv4 Role-based permissions from group 2:VLAN10 to group 3:VLAN20:
        ICMP-20
        Deny IP-00

Para verificar que el Access Control List (ACL) esté descargado del ISE, ingrese este comando:

bsns-3750-5#show ip access-lists ICMPlog-10
Role-based IP access list ICMPlog-10 (downloaded)
    10 permit icmp log

Para verificar que el ACL sea aplicado (soporte del hardware), ingrese este comando:

bsns-3750-5#show cts rbacl | b ICMPlog-10
  name   = ICMPlog-10
  IP protocol version = IPV4
  refcnt = 2
  flag   = 0x41000000
    POLICY_PROGRAM_SUCCESS
    POLICY_RBACL_IPV4
  stale  = FALSE
  ref_q:
    acl_infop(74009FC), name(ICMPlog-10)
  sessions installed:
    session hld(460000F8)
  RBACL ACEs:
  Num ACEs: 1
    permit icmp log

Aquí están los contadores antes de ICMP:

bsns-3750-5#show cts role-based counters 
Role-based IPv4 counters
# '-' in hardware counters field indicates sharing among cells with identical
policies
From    To      SW-Denied       HW-Denied       SW-Permitted    HW-Permitted   

2       0       0               0               4099            224            

*       *       0               0               321810          340989         

0       3       0               0               0               0              

2       3       0               0               0               0

Aquí está un ping de SGT=0 (3750-6 Switch) a MS Windows XP (SGT=3) y los contadores:

bsns-3750-6#ping 192.168.2.200
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 192.168.2.200, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 1/1/1 ms

bsns-3750-5#show cts role-based counters
Role-based IPv4 counters
# '-' in hardware counters field indicates sharing among cells with identical
policies
From    To      SW-Denied       HW-Denied       SW-Permitted    HW-Permitted   

2       0       0               0               4099            224            

*       *       0               0               322074          341126         

0       3       0               0               0               5              

2       3       0               0               0               0  

Aquí están los contadores ACL:

bsns-3750-5#show ip access-lists ICMPlog-10
Role-based IP access list ICMPlog-10 (downloaded)
    10 permit icmp log (5 matches)

Verificación

Actualmente, no hay un procedimiento de verificación disponible para esta configuración.

Troubleshooting

Actualmente, no hay información específica de troubleshooting disponible para esta configuración.

Información Relacionada

Actualizado: De oct el 09 de 2013
ID del Documento: 116498