Implementación UCS con la autenticación MAB/802.1x en el Switches

Introducción

Este documento describe cómo implementar la serie C UCS con la autenticación MAB/802.1x en los switches Cisco.

Antecedente

Una de las técnicas del control de acceso que Cisco proporciona es puente de la autenticación de MAC (MAB). El MAB utiliza el MAC address de un dispositivo para determinar qué clase de acceso a la red a proporcionar.

En una red que incluya ambos dispositivos que soporte y los dispositivos que no soportan el IEEE 802.1X, el MAB se puede desplegar como retraso, o complementario, mecanismo al IEEE 802.1X. Si la red no tiene ninguna dispositivos de IEEE 802.1X-capable, el MAB se puede desplegar como mecanismo de autenticación independiente.

Problema

Topología

UCS (C220)mgnt interface —— gig 1/0/1[3750-X]  ——— ISE (configured for MAB)

Esto sucede con diverso UCS y en diverso Switches. Lo mismo se observa en el 4500 Switch.

Dispositivos UCS (UCS-C210-M2: el problema observado) no trabaja con el MAB con la acceso-sesión cerrada o ningún comando authentication open.

Escenario de trabajo

La interfaz de administración UCS está conectada en el switchport. Ésta es la configuración (trabajo):

interface GigabitEthernet1/0/1
description DVR-UCS-dot1x-issue
switchport access vlan 300
switchport mode access
switchport voice vlan 400
ip arp inspection trust
ipv6 nd raguard
dot1x timeout quiet-period 300
dot1x timeout tx-period 5
dot1x timeout supp-timeout 5
dot1x timeout ratelimit-period 300
no mdix auto
source template ENT-TEMPLATE
spanning-tree portfast
spanning-tree guard root
end

3750# show access-sess int g1/0/1 details

Interface: GigabitEthernet1/0/1
IIF-ID: 0x102AEC0000003D7
MAC Address: 30f7.0d08.7ace
IPv6 Address: Unknown
IPv4 Address: 10.141.49.205
User-Name: 30-F7-0D-08-7A-CE
Status: Authorized
Domain: DATA
Oper host mode: multi-auth
Oper control dir: both
Session timeout: 65535s (local), Remaining: 11282s
Timeout action: Reauthenticate
Common Session ID: 0A8D31C7000017BD723AF6C2
Acct Session ID: 0x0000287D
Handle: 0x980002D5
Current Policy: ENT-IDENTITY-POL
Server Policies:
ACS ACL: xACSACLx-IP-PERMIT_ALL_TRAFFIC-51134bb2
SGT Value: 12
Method status list:
Method State
dot1x Stopped
mab Authc Success
 

Escenario festivo

Sin embargo, con la acceso-sesión cerrada, usted no puede hacerla ping y no puede ver la información de la acceso-sesión.

3750(config)#int g1/0/1
3750(config-if)#access-session closed
3750(config-if)#shutdown
3750(config-if)#no shutdown

May 11 16:33:14.311 JST: %LINK-3-UPDOWN: Interface GigabitEthernet1/0/1, changed state to down
May 11 16:33:15.312 JST: %LINEPROTO-5-UPDOWN: Line protocol on Interface GigabitEthernet1/0/1, changed state to down
May 11 16:33:17.891 JST: %LINK-3-UPDOWN: Interface GigabitEthernet1/0/1, changed state to up
May 11 16:33:18.891 JST: %LINEPROTO-5-UPDOWN: Line protocol on Interface GigabitEthernet1/0/1, changed state to up


Sending 5, 100-byte ICMP Echos to 10.141.49.205, timeout is 2 seconds:
.....
Success rate is 0 percent (0/5)
3750#do sh access-sess int g1/0/1 details
No sessions match supplied criteria.

Solución

El debug (comando all MAB del debug) muestra la entrada MAC del UCS no aprendida en el Switch, que se requiere autenticar con la parte.

3750  (config)#  interface GigabitEthernet1/0/37
3750(config-if)#access-session control-direction in

Ingrese la control-dirección de la acceso-sesión en el comando (previamente la control-dirección de la autenticación en el comando) para permitir al Switch para enviar el tráfico en la salida al host, pero no la otra manera alrededor. El comando se utiliza generalmente en los clientes tales como impresoras/dispositivos que no envíen continuamente el tráfico como manera de iniciar la comunicación (también usada para la estela en el Lan). Esencialmente un paquete se envía del Switch y el cliente responde. La respuesta contendrá la dirección MAC que entonces se utiliza para el MAB. En la configuración ya establecida, la dirección MAC del cliente no era recibida.