Ejemplo de Configuración de la Nube TrustSec con MACsec 802.1x en Catalyst 3750X Series Switch
Contenido
Introducción
En este artículo se describen los pasos necesarios para configurar una nube Cisco TrustSec (CTS) con cifrado de enlaces entre dos switches Catalyst serie 3750X (3750X).
En este artículo se explica el proceso de cifrado de seguridad de control de acceso a los medios (MACsec) de switch a switch que utiliza el protocolo de asociación de seguridad (SAP). Este proceso utiliza el modo IEEE 802.1x en lugar del modo manual.
A continuación, se muestra una lista de los pasos que se deben seguir:
- Aprovisionamiento de credenciales de acceso protegido (PAC) para dispositivos simientes y no simientes
- Autenticación de Control de Admisión de Dispositivos de Red (NDAC) y negociación MACsec con SAP para la administración de claves
- Actualización de políticas y entorno
- Autenticación de puerto para clientes
- Etiquetado de tráfico con Security Group Tag (SGT)
- Aplicación de políticas con la ACL del grupo de seguridad (SGACL)
Prerequisites
Requirements
Cisco recomienda que tenga conocimiento sobre estos temas:
- Conocimiento básico de los componentes CTS
- Conocimiento básico de la configuración CLI de switches Catalyst
- Experiencia con la configuración de Identity Services Engine (ISE)
Componentes Utilizados
La información que contiene este documento se basa en las siguientes versiones de software y hardware.
- Microsoft (MS) Windows 7 y MS Windows XP
- Software 3750X, versiones 15.0 y posteriores
- Software ISE, versiones 1.1.4 y posteriores
The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. If your network is live, make sure that you understand the potential impact of any command.
Configurar
Diagrama de la red
En este diagrama de topología de red, el switch 3750X-5 es el dispositivo simiente que conoce la dirección IP del ISE y descarga automáticamente el PAC que se utiliza para la autenticación posterior en la nube CTS. El dispositivo simiente actúa como un autenticador 802.1x para dispositivos no simientes. El switch Catalyst de Cisco serie 3750X-6 (3750X-6) es el dispositivo no simiente. Actúa como suplicante 802.1x del dispositivo simiente. Después de que el dispositivo no simiente se autentique en el ISE a través del dispositivo simiente, se le permite el acceso a la nube CTS. Después de una autenticación exitosa, el estado del puerto 802.1x en el switch 3750X-5 se cambia a autenticado, y se negocia el cifrado MACsec. El tráfico entre los switches se etiqueta con SGT y se cifra.
Esta lista resume el flujo de tráfico esperado:
- El simiente 3750X-5 se conecta al ISE y descarga el PAC, que se utiliza posteriormente para realizar una actualización de políticas y entorno.
- El no simiente 3750X-6 realiza la autenticación 802.1x con la función de suplicante para autenticar/autorizar y descargar el PAC del ISE.
- El 3750X-6 realiza una segunda sesión de protocolo de autenticación extensible 802.1x-autenticación flexible a través del protocolo seguro (EAP-FAST) para autenticarse con el túnel protegido basado en el PAC.
- El 3750X-5 descarga las políticas SGA para sí mismo y en nombre del 3750X-6.
- Se produce una sesión SAP entre los 3750X-5 y 3750X-6, se negocian los cifrados MACsec y se intercambia la política.
- El tráfico entre los switches se etiqueta y se cifra.
Configuración de switches simientes y no simientes
El dispositivo simiente (3750X-5) se configura para utilizar el ISE como servidor RADIUS para CTS:
aaa new-model
aaa authentication dot1x default group radius
aaa authorization network default group radius
aaa authorization network ise group radius
aaa accounting dot1x default start-stop group radius
cts authorization list ise
radius-server host 10.48.66.129 pac key cisco
radius-server host 10.48.66.129 auth-port 1812
radius-server vsa send accounting
radius-server vsa send authentication
La aplicación de lista de control de acceso basado en roles (RBACL) y lista de control de acceso basado en grupos de seguridad (SGACL) está habilitada (se utilizan más tarde):
cts role-based enforcement
cts role-based enforcement vlan-list 1-1005,1007-4094
El dispositivo no simiente (3750X-6) se configura solamente para autenticación, autorización y contabilidad (AAA) sin necesidad de autorización RADIUS o CTS:
aaa new-model
aaa authentication dot1x default group radius
aaa authorization network default group radius
aaa accounting dot1x default start-stop group radius
Antes de habilitar 802.1x en la interfaz, es necesario configurar el ISE.
Configuración de ISE
Complete estos pasos para configurar el ISE:
- Vaya a Administration > Network Resources > Network Devices y agregue ambos switches como Network Access Devices (NAD). En Advanced TrustSec Settings, configure una contraseña CTS para su uso posterior en la CLI del switch.
- Navegue hasta Policy > Policy Elements > Results > Security Group Access > Security Groups, y agregue las SGT adecuadas. Estas etiquetas se descargan cuando los switches solicitan una actualización del entorno.
- Vaya a Policy > Policy Elements > Results > Security Group Access > Security Group ACLs y configure una SGACL.
- Navegue hasta Policy > Security Group Access y defina una política con la matriz.
Aprovisionamiento de PAC para 3750X-5
PAC es necesario para la autenticación en el dominio CTS (como fase 1 para EAP-FAST), y también se utiliza para obtener datos de políticas y entorno de ISE. Sin el PAC correcto, no es posible obtener esos datos del ISE.
Después de proporcionar las credenciales correctas en el 3750X-5, descarga el PAC:
bsns-3750-5#cts credentials id 3750X password ciscocisco
bsns-3750-5#show cts pacs
AID: C40A15A339286CEAC28A50DBBAC59784
PAC-Info:
PAC-type = Cisco Trustsec
AID: C40A15A339286CEAC28A50DBBAC59784
I-ID: 3750X
A-ID-Info: Identity Services Engine
Credential Lifetime: 08:31:32 UTC Oct 5 2013
PAC-Opaque: 000200B00003000100040010C40A15A339286CEAC28A50DBBAC5978400060094
0003010076B969769CB5D45453FDCDEB92271C500000001351D15DD900093A8044DF74B2B71F
E667D7B908DB7AEEA32208B4E069FDB0A31161CE98ABD714C55CA0C4A83E4E16A6E8ACAC1D081
F235123600B91B09C9A909516D0A2B347E46D15178028ABFFD61244B3CD6F332435C867A968CE
A6B09BFA8C181E4399CE498A676543714A74B0C048A97C18684FF49BF0BB872405
Refresh timer is set for 2y25w
El PAC se descarga a través de EAP-FAST con el protocolo de autenticación por desafío mutuo (MSCHAPv2) de Microsoft, con las credenciales proporcionadas en CLI y las mismas credenciales configuradas en el ISE.
El PAC se utiliza para el entorno y la actualización de políticas. Para esos switches, use las solicitudes RADIUS con cisco av-pair cts-pac-opaque, que se deriva de la clave PAC y se puede descifrar en el ISE.
Aprovisionamiento PAC para la autenticación 3750X-6 y NDAC
Para que un nuevo dispositivo pueda conectarse al dominio CTS, es necesario habilitar 802.1x en los puertos correspondientes.
El protocolo SAP se utiliza para la administración de claves y la negociación de conjuntos de cifrado. El código de autenticación de mensajes Galois (GMAC) se utiliza para la autenticación y el modo Galois/Counter (GCM) para el cifrado.
En el switch simiente:
interface GigabitEthernet1/0/20
switchport trunk encapsulation dot1q
switchport mode trunk
cts dot1x
sap mode-list gcm-encrypt
En el switch no simiente:
interface GigabitEthernet1/0/1
switchport trunk encapsulation dot1q
switchport mode trunk
cts dot1x
sap mode-list gcm-encrypt
Esto sólo se admite en los puertos troncales (switch-switch MACsec). Para MACsec de host de switch, que utiliza el protocolo MACsec Key Agreement (MKA) en lugar de SAP, consulte Configuración del cifrado MACsec.
Inmediatamente después de habilitar 802.1x en los puertos, el switch no simiente actúa como suplicante del switch simiente, que es el autenticador.
Este proceso se denomina NDAC y su objetivo es conectar un nuevo dispositivo al dominio CTS. La autenticación es bidireccional; el nuevo dispositivo tiene credenciales verificadas en el ISE del servidor de autenticación. Después del aprovisionamiento de PAC, el dispositivo también está seguro de que se conecta al dominio CTS.
Se intercambian varios mensajes RADIUS:
La primera sesión del 3750X (switch simiente) se utiliza para el aprovisionamiento de PAC. EAP-FAST se utiliza sin PAC (se genera un túnel anónimo para la autenticación MSCHAPv2).
12131 EAP-FAST built anonymous tunnel for purpose of PAC provisioning
22037 Authentication Passed
11814 Inner EAP-MSCHAP authentication succeeded
12173 Successfully finished EAP-FAST CTS PAC provisioning/update
11003 Returned RADIUS Access-Reject
Se utiliza el nombre de usuario y la contraseña de MSCHAPv2 configurados mediante el comando cts credentials. Además, se devuelve un Rechazo de acceso RADIUS al final, porque una vez que PAC ya se ha aprovisionado, no se necesita más autenticación.
La segunda entrada en el registro se refiere a la autenticación 802.1x. EAP-FAST se utiliza con el PAC que se aprovisionó anteriormente.
12168 Received CTS PAC
12132 EAP-FAST built PAC-based tunnel for purpose of authentication
11814 Inner EAP-MSCHAP authentication succeeded
15016 Selected Authorization Profile - Permit Access
11002 Returned RADIUS Access-Accept
Esta vez, el túnel no es anónimo, sino protegido por PAC. De nuevo, se utilizan las mismas credenciales para la sesión MSCHAPv2. A continuación, se verifica con respecto a las reglas de autenticación y autorización en ISE, y se devuelve un RADIUS Access-Accept . Luego, el switch autenticador aplica los atributos devueltos y la sesión 802.1x para ese puerto se mueve a un estado autorizado.
¿Cómo es el proceso para las dos primeras sesiones 802.1x desde el switch simiente?
Estas son las depuraciones más importantes de la semilla. La semilla detecta que el puerto está activo e intenta determinar qué rol debe utilizarse para 802.1x - el suplicante o el autenticador:
debug cts all
debug dot1x all
debug radius verbose
debug radius authentication
Apr 9 11:28:35.347: CTS-ifc-ev: CTS process: received msg_id CTS_IFC_MSG_LINK_UP
Apr 9 11:28:35.347: @@@ cts_ifc GigabitEthernet1/0/20, INIT: ifc_init ->
ifc_authenticating
Apr 9 11:28:35.356: CTS-ifc-ev: Request to start dot1x Both PAE(s) for
GigabitEthernet1/0/20
Apr 9 11:28:35.356: dot1x-ev(Gi1/0/20): Created authenticator subblock
Apr 9 11:28:35.356: dot1x-ev(Gi1/0/20): Created supplicant subblock
Apr 9 11:28:35.364: dot1x-ev:dot1x_supp_start: Not starting default supplicant
on GigabitEthernet1/0/20
Apr 9 11:28:35.381: dot1x-sm:Posting SUPP_ABORT on Client=7C24F2C
Apr 9 11:28:35.397: %AUTHMGR-5-START: Starting 'dot1x' for client (10f3.11a7.e501) on
Interface Gi1/0/20 AuditSessionID C0A800010000054135A5E32
Por último, se utiliza la función de autenticador, porque el switch tiene acceso a ISE. En el 3750X-6, se elige la función de suplicante.
Detalles sobre la selección de funciones 802.1x
Esto es posible porque ambos switches con el servidor AAA marcado como ALIVE envían una identidad de solicitud de protocolo de autenticación extensible (EAP). El que recibe por primera vez la Respuesta de Identidad EAP se convierte en el autenticador y descarta las Solicitudes de Identidad subsiguientes.
Después de seleccionar el rol 802.1x (en este escenario, el 3750X-6 es el suplicante, porque aún no tiene acceso al servidor AAA), los siguientes paquetes implican el intercambio EAP-FAST para el aprovisionamiento PAC. El nombre de usuario CTS client se utiliza para el nombre de usuario de solicitud RADIUS y como la identidad EAP:
Apr 9 11:28:36.647: RADIUS: User-Name [1] 12 "CTS client"
Apr 9 11:28:35.481: RADIUS: EAP-Message [79] 17
Apr 9 11:28:35.481: RADIUS: 02 01 00 0F 01 43 54 53 20 63 6C 69 65 6E 74 [ CTS client]
Después de generar el túnel EAP-FAST anónimo, se produce una sesión MSCHAPv2 para el nombre de usuario 3750X6 (credenciales cts). No es posible verlo en el switch, porque es un túnel TLS (cifrado), pero los registros detallados en ISE para el aprovisionamiento de PAC lo prueban. Puede ver CTS Client para el nombre de usuario RADIUS y como la respuesta de identidad EAP. Sin embargo, para el método interno (MSCHAP), se utiliza el nombre de usuario 3750X6:
Se produce la segunda autenticación EAP-FAST. Esta vez, utiliza el PAC que se aprovisionó anteriormente. Una vez más, el cliente CTS se utiliza como nombre de usuario RADIUS e identidad externa, pero 3750X6 se utiliza para la identidad interna (MSCHAP). Autenticación correcta:
Sin embargo, esta vez, ISE devuelve varios atributos en el paquete de aceptación RADIUS:
Aquí, el switch autenticador cambia el puerto al estado autorizado:
bsns-3750-5#show authentication sessions int g1/0/20
Interface: GigabitEthernet1/0/20
MAC Address: 10f3.11a7.e501
IP Address: Unknown
User-Name: 3750X6
Status: Authz Success
Domain: DATA
Security Policy: Should Secure
Security Status: Unsecure
Oper host mode: multi-host
Oper control dir: both
Authorized By: Authentication Server
Vlan Policy: N/A
Session timeout: 86400s (local), Remaining: 81311s
Timeout action: Reauthenticate
Idle timeout: N/A
Common Session ID: C0A800010000054135A5E321
Acct Session ID: 0x0000068E
Handle: 0x09000542
Runnable methods list:
Method State
dot1x Authc Success
¿Cómo aprende el switch autenticador que el nombre de usuario es 3750X6? Para el nombre de usuario RADIUS y la identidad EAP externa, se utiliza cliente CTS, y la identidad interna se cifra y no es visible para el autenticador. El ISE aprende el nombre de usuario. El último paquete RADIUS (Access-Accept) contiene username=3750X6, mientras que todos los demás contenían nombre de usuario = cliente Cts. Esta es la razón por la que el switch solicitante reconoce el nombre de usuario real. Este comportamiento es compatible con RFC. De la sección 3.0 RFC3579:
The User-Name attribute within the Access- Accept packet need not be the same
as the User-Name attribute in the Access-Request.
En el último paquete de la sesión de autenticación 802.1x, el ISE devuelve un mensaje RADIUS Accept cisco-av-pair con el EAP-Key-Name:
Esto se utiliza como material clave para la negociación SAP.
Además, se pasa la SGT. Esto significa que el switch autenticador etiqueta el tráfico del suplicante con un valor predeterminado = 0. Puede configurar un valor específico en ISE para devolver cualquier otro valor. Esto sólo se aplica al tráfico sin etiquetas; el tráfico etiquetado no se reescribe porque, de forma predeterminada, el switch autenticador confía en el tráfico del suplicante autenticado (pero esto también se puede cambiar en el ISE).
Descarga de políticas SGA
Hay intercambios RADIUS adicionales (sin EAP) distintos de las dos primeras sesiones EAP-FAST 802.1x (la primera para el aprovisionamiento PAC y la segunda para la autenticación). Estos son de nuevo los registros de ISE:
El tercer registro (Peer Policy Download) indica un simple intercambio RADIUS: Solicitud RADIUS y aceptación RADIUS para el usuario 3760X6. Esto es necesario para descargar las políticas para el tráfico del suplicante. Los dos atributos más importantes son:
Debido a esto, el switch autenticador confía en el tráfico que es etiquetado SGT por el suplicante (cts:trust-device=true), y también etiqueta el tráfico no etiquetado con tag=0.
El cuarto registro indica el mismo intercambio RADIUS. Sin embargo, esta vez es para el usuario 3750X5 (autenticador). Esto se debe a que ambos pares deben tener una política para el otro. Es interesante observar que el solicitante todavía no conoce la dirección IP del servidor AAA. Esta es la razón por la que el switch autenticador descarga la política en nombre del solicitante. Esta información se transmite más tarde al solicitante (junto con la dirección IP de ISE) en la negociación SAP.
Negociación SAP
Inmediatamente después de que finaliza la sesión de autenticación 802.1x, se produce la negociación SAP. Esta negociación es necesaria para:
- Negociar los niveles de cifrado (con el comando sap mode-list gcm-encrypt) y los conjuntos de cifrado
- Obtener claves de sesión para el tráfico de datos
- Someterse al proceso de codificación
- Realice comprobaciones de seguridad adicionales y asegúrese de que los pasos anteriores están protegidos
SAP es un protocolo diseñado por Cisco Systems basado en una versión preliminar de 802.11i/D6.0. Para obtener más información, solicite acceso a la página Cisco TrustSec Security Association Protocol - Protocol support Cisco Trusted Security for the Cisco Nexus 7000.
SAP Exchange cumple con 802.1AE. Se produce un intercambio de claves de protocolo de autenticación extensible sobre LAN (EAPOL) entre el solicitante y el autenticador para negociar un conjunto de claves, intercambiar parámetros de seguridad y administrar claves. Desafortunadamente, Wireshark no tiene decodificador para todos los tipos EAP requeridos:
La finalización satisfactoria de estas tareas da como resultado el establecimiento de una asociación de seguridad (SA).
En el interruptor del suplicante:
bsns-3750-6#show cts interface g1/0/1
Global Dot1x feature is Enabled
Interface GigabitEthernet1/0/1:
CTS is enabled, mode: DOT1X
IFC state: OPEN
Authentication Status: SUCCEEDED
Peer identity: "3750X"
Peer's advertised capabilities: "sap"
802.1X role: Supplicant
Reauth period applied to link: Not applicable to Supplicant role
Authorization Status: SUCCEEDED
Peer SGT: 0:Unknown
Peer SGT assignment: Trusted
SAP Status: SUCCEEDED
Version: 2
Configured pairwise ciphers:
gcm-encrypt
Replay protection: enabled
Replay protection mode: STRICT
Selected cipher: gcm-encrypt
Propagate SGT: Enabled
Cache Info:
Cache applied to link : NONE
Statistics:
authc success: 12
authc reject: 1556
authc failure: 0
authc no response: 0
authc logoff: 0
sap success: 12
sap fail: 0
authz success: 12
authz fail: 0
port auth fail: 0
L3 IPM: disabled.
Dot1x Info for GigabitEthernet1/0/1
-----------------------------------
PAE = SUPPLICANT
StartPeriod = 30
AuthPeriod = 30
HeldPeriod = 60
MaxStart = 3
Credentials profile = CTS-ID-profile
EAP profile = CTS-EAP-profile
En el autenticador:
bsns-3750-5#show cts interface g1/0/20
Global Dot1x feature is Enabled
Interface GigabitEthernet1/0/20:
CTS is enabled, mode: DOT1X
IFC state: OPEN
Interface Active for 00:29:22.069
Authentication Status: SUCCEEDED
Peer identity: "3750X6"
Peer's advertised capabilities: "sap"
802.1X role: Authenticator
Reauth period configured: 86400 (default)
Reauth period per policy: 86400 (server configured)
Reauth period applied to link: 86400 (server configured)
Reauth starts in approx. 0:23:30:37 (dd:hr:mm:sec)
Peer MAC address is 10f3.11a7.e501
Dot1X is initialized
Authorization Status: ALL-POLICY SUCCEEDED
Peer SGT: 0:Unknown
Peer SGT assignment: Trusted
SAP Status: SUCCEEDED
Version: 2
Configured pairwise ciphers:
gcm-encrypt
{3, 0, 0, 0} checksum 2
Replay protection: enabled
Replay protection mode: STRICT
Selected cipher: gcm-encrypt
Propagate SGT: Enabled
Cache Info:
Cache applied to link : NONE
Data loaded from NVRAM: F
NV restoration pending: F
Cache file name : GigabitEthernet1_0_20_d
Cache valid : F
Cache is dirty : T
Peer ID : unknown
Peer mac : 0000.0000.0000
Dot1X role : unknown
PMK :
00000000 00000000 00000000 00000000
00000000 00000000 00000000 00000000
Statistics:
authc success: 12
authc reject: 1542
authc failure: 0
authc no response: 0
authc logoff: 2
sap success: 12
sap fail: 0
authz success: 13
authz fail: 0
port auth fail: 0
L3 IPM: disabled.
Dot1x Info for GigabitEthernet1/0/20
-----------------------------------
PAE = AUTHENTICATOR
QuietPeriod = 60
ServerTimeout = 0
SuppTimeout = 30
ReAuthMax = 2
MaxReq = 2
TxPeriod = 30
Aquí, los puertos utilizan el modo gcm-encrypt, lo que significa que el tráfico se autentica y se cifra, así como se etiqueta correctamente la SGT. Ninguno de los dispositivos utiliza ninguna política de autorización específica de dispositivos de red en el ISE, lo que significa que todo el tráfico iniciado desde el dispositivo utiliza la etiqueta predeterminada de 0. Además, ambos switches confían en las SGT recibidas del par (debido a los atributos RADIUS de la fase de descarga de la política de peer).
Actualización de políticas y entorno
Después de que ambos dispositivos estén conectados a la nube CTS, se inicia una actualización de políticas y entorno. La actualización del entorno es necesaria para obtener las SGT y los nombres, y se necesita una actualización de la política para descargar la SGACL definida en el ISE.
En esta etapa, el solicitante ya conoce la dirección IP del servidor AAA, por lo que puede hacerlo por sí mismo.
Refiérase a Ejemplo de Configuración TrustSec de los Switches Catalyst de la Serie 3750X y a la Guía de Troubleshooting para obtener detalles sobre el entorno y la actualización de las políticas.
El switch solicitante recuerda la dirección IP del servidor RADIUS, incluso cuando no hay ningún servidor RADIUS configurado y cuando el link CTS se desactiva (hacia el switch de autenticación). Sin embargo, es posible obligar al switch a olvidarlo:
bsns-3750-6#show run | i radius
aaa authentication dot1x default group radius
aaa authorization network default group radius
aaa authorization network ise group radius
aaa accounting dot1x default start-stop group radius
radius-server vsa send authentication
bsns-3750-6#show cts server-list
CTS Server Radius Load Balance = DISABLED
Server Group Deadtime = 20 secs (default)
Global Server Liveness Automated Test Deadtime = 20 secs
Global Server Liveness Automated Test Idle Time = 60 mins
Global Server Liveness Automated Test = ENABLED (default)
Preferred list, 1 server(s):
*Server: 10.48.66.129, port 1812, A-ID C40A15A339286CEAC28A50DBBAC59784
Status = ALIVE
auto-test = TRUE, keywrap-enable = FALSE, idle-time = 60 mins,
deadtime = 20 secs
Installed list: CTSServerList1-0001, 1 server(s):
*Server: 10.48.66.129, port 1812, A-ID C40A15A339286CEAC28A50DBBAC59784
Status = ALIVE
auto-test = TRUE, keywrap-enable = FALSE, idle-time = 60 mins,
deadtime = 20 secs
bsns-3750-6#show radius server-group all
Server group radius
Sharecount = 1 sg_unconfigured = FALSE
Type = standard Memlocks = 1
Server group private_sg-0
Server(10.48.66.129:1812,1646) Successful Transactions:
Authen: 8 Author: 16 Acct: 0
Server_auto_test_enabled: TRUE
Keywrap enabled: FALSE
bsns-3750-6#clear cts server 10.48.66.129
bsns-3750-6#show radius server-group all
Server group radius
Sharecount = 1 sg_unconfigured = FALSE
Type = standard Memlocks = 1
Server group private_sg-0
Para verificar el entorno y la política en el switch suplicante, ingrese estos comandos:
bsns-3750-6#show cts environment-data
CTS Environment Data
====================
Current state = COMPLETE
Last status = Successful
Local Device SGT:
SGT tag = 0-01:Unknown
Server List Info:
Security Group Name Table:
0-00:Unknown
2-00:VLAN10
3-00:VLAN20
4-00:VLAN100
Environment Data Lifetime = 86400 secs
Last update time = 03:23:51 UTC Thu Mar 31 2011
Env-data expires in 0:13:09:52 (dd:hr:mm:sec)
Env-data refreshes in 0:13:09:52 (dd:hr:mm:sec)
Cache data applied = NONE
State Machine is running
bsns-3750-6#show cts role-based permissions
¿Por qué no se muestra ninguna directiva? No se muestra ninguna política porque debe habilitar la aplicación de cts para aplicarlas:
bsns-3750-6(config)#cts role-based enforcement
bsns-3750-6(config)#cts role-based enforcement vlan-list all
bsns-3750-6#show cts role-based permissions
IPv4 Role-based permissions default:
Permit IP-00
IPv4 Role-based permissions from group 2:VLAN10 to group Unknown:
ICMP-20
¿Por qué el solicitante sólo tiene una política para agrupar Desconocido mientras que el autenticador tiene más?
bsns-3750-5#show cts role-based permissions
IPv4 Role-based permissions default:
Permit IP-00
IPv4 Role-based permissions from group 2:VLAN10 to group Unknown:
ICMP-20
IPv4 Role-based permissions from group 2:VLAN10 to group 3:VLAN20:
ICMP-20
Deny IP-00
Autenticación de puerto para clientes
El cliente MS Windows está conectado y autenticado en el puerto g1/0/1 del switch 3750-5:
bsns-3750-5#show authentication sessions int g1/0/1
Interface: GigabitEthernet1/0/1
MAC Address: 0050.5699.4ea1
IP Address: 192.168.2.200
User-Name: cisco
Status: Authz Success
Domain: DATA
Security Policy: Should Secure
Security Status: Unsecure
Oper host mode: multi-auth
Oper control dir: both
Authorized By: Authentication Server
Vlan Policy: 20
ACS ACL: xACSACLx-IP-PERMIT_ALL_TRAFFIC-51134bb2
SGT: 0003-0
Session timeout: N/A
Idle timeout: N/A
Common Session ID: C0A80001000001BD336EC4D6
Acct Session ID: 0x000002F9
Handle: 0xF80001BE
Runnable methods list:
Method State
dot1x Authc Success
mab Not run
Aquí, el switch 3750-5 sabe que el tráfico de ese host debe etiquetarse con SGT=3 cuando se envía a la nube CTS.
Etiquetado de tráfico con SGT
¿Cómo rastrear y verificar el tráfico?
Esto es difícil porque:
- La captura de paquetes integrada sólo se admite para el tráfico IP (y se trata de una trama Ethernet modificada con SGT y carga útil MACsec).
- Puerto del analizador de puertos conmutados (SPAN) con la palabra clave Replication: esto podría funcionar, pero el problema es que cualquier PC con Wireshark conectado al puerto de destino de una sesión de supervisión descarta las tramas debido a la falta de compatibilidad con 802.1ae, que puede ocurrir en el nivel de hardware.
- El puerto SPAN sin la palabra clave Replication elimina el encabezado cts antes de que se instale en un puerto de destino.
Aplicación de políticas con SGACL
La aplicación de políticas en la nube CTS siempre se realiza en el puerto de destino. Esto se debe a que sólo el último dispositivo conoce la SGT de destino del dispositivo terminal que está conectado directamente a ese switch. El paquete solamente transporta el SGT de origen. Se requiere la SGT de origen y de destino para tomar una decisión.
Esta es la razón por la que los dispositivos no necesitan descargar todas las políticas de ISE. En su lugar, solo necesitan la parte de la política relacionada con la SGT para la que el dispositivo tiene dispositivos conectados directamente.
Este es el 3750-6, que es el switch suplicante:
bsns-3750-6#show cts role-based permissions
IPv4 Role-based permissions default:
Permit IP-00
IPv4 Role-based permissions from group 2:VLAN10 to group Unknown:
ICMP-20
Aquí hay dos políticas. El primero es el valor predeterminado para el tráfico sin etiquetas (de entrada/de). El segundo es de SGT=2 a la SGT sin etiqueta, que es 0. Esta política existe porque el propio dispositivo utiliza la política SGA del ISE y pertenece a SGT=0. Además, SGT=0 es una etiqueta predeterminada. Por lo tanto, debe descargar todas las políticas que tienen las reglas para el tráfico hacia/desde SGT=0. Si observa la matriz, verá sólo una de estas políticas: de 2 a 0.
Este es el 3750-5, que es el switch de autenticación:
bsns-3750-5#show cts role-based permissions
IPv4 Role-based permissions default:
Permit IP-00
IPv4 Role-based permissions from group 2:VLAN10 to group Unknown:
ICMP-20
IPv4 Role-based permissions from group 2:VLAN10 to group 3:VLAN20:
ICMP-20
Deny IP-00
Aquí hay una política más: de 2 a 3. Esto se debe a que el cliente 802.1x (MS Windows) está conectado a g1/0/1 y etiquetado con SGT=3. Esta es la razón por la que debe descargar todas las políticas a SGT=3.
Intente hacer ping desde 3750X-6 (SGT=0) a MS Windows XP (SGT=3). El 3750X-5 es el dispositivo de aplicación.
Antes de esto, debe configurar una política en el ISE para el tráfico de SGT=0 a SGT=3. Este ejemplo creó un registro de protocolo de mensajes de control de Internet (ICMP) SGACL con sólo la línea, permit icmp log y lo utilizó en la matriz para el tráfico de SGT=0 a SGT=3:
A continuación se muestra una actualización de la política en el switch de aplicación y una verificación de la nueva política:
bsns-3750-5#cts refresh policy
Policy refresh in progress
bsns-3750-5#show cts role-based permissions
IPv4 Role-based permissions default:
Permit IP-00
IPv4 Role-based permissions from group 2:VLAN10 to group Unknown:
ICMP-20
IPv4 Role-based permissions from group Unknown to group 3:VLAN20:
ICMPlog-10
Deny IP-00
IPv4 Role-based permissions from group 2:VLAN10 to group 3:VLAN20:
ICMP-20
Deny IP-00
Para verificar que la Lista de control de acceso (ACL) se descargue de ISE, introduzca este comando:
bsns-3750-5#show ip access-lists ICMPlog-10
Role-based IP access list ICMPlog-10 (downloaded)
10 permit icmp log
Para verificar que se aplica la ACL (soporte de hardware), ingrese este comando:
bsns-3750-5#show cts rbacl | b ICMPlog-10
name = ICMPlog-10
IP protocol version = IPV4
refcnt = 2
flag = 0x41000000
POLICY_PROGRAM_SUCCESS
POLICY_RBACL_IPV4
stale = FALSE
ref_q:
acl_infop(74009FC), name(ICMPlog-10)
sessions installed:
session hld(460000F8)
RBACL ACEs:
Num ACEs: 1
permit icmp log
Estos son los contadores anteriores a ICMP:
bsns-3750-5#show cts role-based counters
Role-based IPv4 counters
# '-' in hardware counters field indicates sharing among cells with identical
policies
From To SW-Denied HW-Denied SW-Permitted HW-Permitted
2 0 0 0 4099 224
* * 0 0 321810 340989
0 3 0 0 0 0
2 3 0 0 0 0
Aquí hay un ping de SGT=0 (switch 3750-6) a MS Windows XP (SGT=3) y los contadores:
bsns-3750-6#ping 192.168.2.200
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 192.168.2.200, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 1/1/1 ms
bsns-3750-5#show cts role-based counters
Role-based IPv4 counters
# '-' in hardware counters field indicates sharing among cells with identical
policies
From To SW-Denied HW-Denied SW-Permitted HW-Permitted
2 0 0 0 4099 224
* * 0 0 322074 341126
0 3 0 0 0 5
2 3 0 0 0 0
Estos son los contadores de ACL:
bsns-3750-5#show ip access-lists ICMPlog-10
Role-based IP access list ICMPlog-10 (downloaded)
10 permit icmp log (5 matches)
Verificación
Actualmente, no hay un procedimiento de verificación disponible para esta configuración.
Troubleshoot
Actualmente, no hay información específica de troubleshooting disponible para esta configuración.
Información Relacionada
Historial de revisiones
| Revisión | Fecha de publicación | Comentarios |
|---|---|---|
1.0 |
09-Oct-2013 |
Versión inicial |
Comentarios