El conjunto de documentos para este producto aspira al uso de un lenguaje no discriminatorio. A los fines de esta documentación, "no discriminatorio" se refiere al lenguaje que no implica discriminación por motivos de edad, discapacidad, género, identidad de raza, identidad étnica, orientación sexual, nivel socioeconómico e interseccionalidad. Puede haber excepciones en la documentación debido al lenguaje que se encuentra ya en las interfaces de usuario del software del producto, el lenguaje utilizado en función de la documentación de la RFP o el lenguaje utilizado por un producto de terceros al que se hace referencia. Obtenga más información sobre cómo Cisco utiliza el lenguaje inclusivo.
Cisco ha traducido este documento combinando la traducción automática y los recursos humanos a fin de ofrecer a nuestros usuarios en todo el mundo contenido en su propio idioma. Tenga en cuenta que incluso la mejor traducción automática podría no ser tan precisa como la proporcionada por un traductor profesional. Cisco Systems, Inc. no asume ninguna responsabilidad por la precisión de estas traducciones y recomienda remitirse siempre al documento original escrito en inglés (insertar vínculo URL).
Este documento describe cómo configurar Identity Based Networking Services 2.0 (IBNS) para escenarios de un solo host y de varios dominios.
Cisco recomienda que tenga conocimiento sobre estos temas:
La información que contiene este documento se basa en las siguientes versiones de software y hardware.
La información de este documento se crea a partir de los dispositivos en un entorno de laboratorio específico. All of the devices used in this document started with a cleared (default) configuration. If your network is live, make sure that you understand the potential impact of any command.
Para habilitar IBNS 2.0, debe ejecutar el comando en modo de privilegio en su switch de Cisco:
#authentication display new-style
Configure switchport para IBNS 2.0 con los comandos como se muestra:
access-session host-mode {single-host | multi-domain | multi-auth} access-session port-control auto dot1x pae authenticator
{mab} service-policy type control subscriber TEST
Estos comandos habilitan la autenticación dot1x y, opcionalmente, la derivación de autenticación MAC (MAB) en la interfaz. Cuando sigue la nueva sintaxis, utiliza comandos que comienzan con access-session. El propósito de estos comandos es el mismo que para los comandos que utilizan sintaxis antigua (comenzando con la palabra clave authentication). Aplique service-policy para especificar policy-map que se debe utilizar para la interfaz.
El policy-map mencionado anteriormente define el comportamiento del switch (autenticador) durante la autenticación. Por ejemplo, puede especificar lo que debe ocurrir en caso de falla de autenticación. Para cada evento puede configurar varias acciones basándose en el tipo de evento coincidente en class-map configurado debajo de él. Por ejemplo, observe la lista como se muestra (policy-map TEST4). Si falla el terminal dot1x que está conectado a la interfaz donde se aplica esta política, se ejecuta la acción definida en DOT1X_FAILED. Si desea especificar el mismo comportamiento para las clases como MAB_FAILED y DOT1X_FAILED, puede utilizar la clase predeterminada - class-map siempre.
policy-map type control subscriber TEST4 (...) event authentication-failure match-first 10 class DOT1X_FAILED do-until-failure 10 terminate dot1x (...) 40 class always do-until-failure 10 terminate mab 20 terminate dot1x 30 authentication-restart 60 (...)
Policy-map utilizado para IBNS 2.0 siempre debe tener suscriptor de control de tipo.
Puede ver la lista de eventos disponibles de esta manera:
Switch(config-event-control-policymap)#event ? aaa-available aaa-available event absolute-timeout absolute timeout event agent-found agent found event authentication-failure authentication failure event authentication-success authentication success event authorization-failure authorization failure event inactivity-timeout inactivity timeout event session-started session started event tag-added tag to apply event tag-removed tag to remove event template-activated template activated event template-activation-failed template activation failed event template-deactivated template deactivated event template-deactivation-failed template deactivation failed event timer-expiry timer-expiry event violation session violation event
En la configuración de eventos, tiene la posibilidad de definir cómo deben evaluarse las clases:
Switch(config-event-control-policymap)#event authentication-failure ? match-all Evaluate all the classes match-first Evaluate the first class
Puede definir una opción similar para class-maps, aunque aquí especifique cómo se deben ejecutar las acciones en caso de que su clase coincida:
Switch(config-class-control-policymap)#10 class always ? do-all Execute all the actions do-until-failure Execute actions until one of them fails do-until-success Execute actions until one of them is successful
La última parte (opcional) de la configuración en el nuevo estilo de dot1x es class-map.También debe escribir suscriptor de control y se utiliza para hacer coincidir el comportamiento o el tráfico específicos. Configure los requisitos para la evaluación de condiciones class-map. Puede especificar que todas las condiciones deben coincidir o que cualquier condición debe coincidir o que ninguna de ellas debe coincidir.
Switch(config)#class-map type control subscriber ? match-all TRUE if everything matches in the class-map match-any TRUE if anything matches in the class-map match-none TRUE if nothing matches in the class-map
Este es un ejemplo de class-map utilizado para la coincidencia de la falla de autenticación dot1x:
class-map type control subscriber match-all DOT1X_FAILED match method dot1x match result-type method dot1x authoritative
En algunos escenarios, en su mayoría cuando se utiliza una plantilla de servicio, debe agregar la configuración para la CoA (Cambio de autorización):
aaa server radius dynamic-author client 10.48.17.232 server-key cisco
Configuración básica 802.1X necesaria para el escenario de un solo host probado en Catalyst 3750X con IOS 15.2(4)E1. Situación probada con Windows Native Supplicant y Cisco AnyConnect.
aaa new-model ! aaa group server radius tests server name RAD-1 ! aaa authentication dot1x default group tests aaa authorization network default group tests ! dot1x system-auth-control ! policy-map type control subscriber TEST event session-started match-all 10 class always do-until-failure 10 authenticate using dot1x priority 10 ! interface GigabitEthernet1/0/21 switchport access vlan 613 switchport mode access access-session host-mode single-host access-session port-control auto dot1x pae authenticator service-policy type control subscriber TEST ! radius server RAD-1 address ipv4 10.48.17.232 auth-port 1812 acct-port 1813 key cisco
El escenario de varios dominios se probó en Catalyst 3850 con IOS 03.02.03.SE debido a los requisitos de PoE (alimentación a través de Ethernet) para el teléfono IP (Cisco IP Phone 9971).
aaa new-model ! aaa group server radius tests server name RAD-1 ! aaa authentication dot1x default group tests aaa authorization network default group tests ! aaa server radius dynamic-author client 10.48.17.232 server-key cisco ! dot1x system-auth-control ! class-map type control subscriber match-all DOT1X match method dot1x ! class-map type control subscriber match-all DOT1X_FAILED match method dot1x match result-type method dot1x authoritative ! class-map type control subscriber match-all DOT1X_NO_RESP match method dot1x match result-type method dot1x agent-not-found ! class-map type control subscriber match-all MAB match method mab ! class-map type control subscriber match-all MAB_FAILED match method mab match result-type method mab authoritative ! policy-map type control subscriber TEST4 event session-started match-all 10 class always do-until-failure 10 authenticate using dot1x priority 10 20 authenticate using mab priority 20 event authentication-failure match-first 10 class DOT1X_FAILED do-until-failure 10 terminate dot1x 20 class MAB_FAILED do-until-failure 10 terminate mab 20 authenticate using dot1x priority 10 30 class DOT1X_NO_RESP do-until-failure 10 terminate dot1x 20 authentication-restart 60 40 class always do-until-failure 10 terminate mab 20 terminate dot1x 30 authentication-restart 60 event agent-found match-all 10 class always do-until-failure 10 terminate mab 20 authenticate using dot1x priority 10 event authentication-success match-all 10 class always do-until-failure 10 activate service-template DEFAULT_LINKSEC_POLICY_SHOULD_SECURE ! interface GigabitEthernet1/0/1 switchport access vlan 613 switchport mode access switchport voice vlan 612 access-session host-mode multi-domain access-session port-control auto mab dot1x pae authenticator spanning-tree portfast service-policy type control subscriber TEST4 ! radius-server attribute 6 on-for-login-auth radius-server attribute 8 include-in-access-req radius-server attribute 25 access-request include radius-server vsa send cisco-nas-port ! radius server RAD-1 address ipv4 10.48.17.232 auth-port 1812 acct-port 1813 key cisco
Utilize esta sección para confirmar que su configuración funcione correctamente.
Para fines de verificación, utilice estos comandos para enumerar las sesiones de todos los puertos de switch:
show access-session
También puede ver información detallada sobre las sesiones desde un solo switchport:
show access-session interface [Gi 1/0/1] {detail}
En esta sección se brinda información que puede utilizar para resolver problemas en su configuración.
Para resolver problemas relacionados con 802.1X, puede habilitar las depuraciones de la misma manera que para la sintaxis de estilo antiguo 802.1X:
debug mab all
debug dot1x all
debug pre all*
* opcionalmente para debug pre puede utilizar solamente el evento y/o regla para limitar el resultado a la información relevante de IBNS 2.0.