Configuración de IBNS 2.0 para escenarios de un solo host y de varios dominios

Opciones de descarga

  • PDF     (158.8 KB)
    Visualice con Adobe Reader en una variedad de dispositivos
  • ePub     (124.4 KB)
    Visualice en diferentes aplicaciones en iPhone, iPad, Android, Sony Reader o Windows Phone
  • Mobi (Kindle)     (96.1 KB)
    Visualice en dispositivo Kindle o aplicación Kindle en múltiples dispositivos
Actualizado:25 de marzo de 2017
ID del documento:207193

Lenguaje no discriminatorio

El conjunto de documentos para este producto aspira al uso de un lenguaje no discriminatorio. A los fines de esta documentación, "no discriminatorio" se refiere al lenguaje que no implica discriminación por motivos de edad, discapacidad, género, identidad de raza, identidad étnica, orientación sexual, nivel socioeconómico e interseccionalidad. Puede haber excepciones en la documentación debido al lenguaje que se encuentra ya en las interfaces de usuario del software del producto, el lenguaje utilizado en función de la documentación de la RFP o el lenguaje utilizado por un producto de terceros al que se hace referencia. Obtenga más información sobre cómo Cisco utiliza el lenguaje inclusivo.

Acerca de esta traducción

Cisco ha traducido este documento combinando la traducción automática y los recursos humanos a fin de ofrecer a nuestros usuarios en todo el mundo contenido en su propio idioma. Tenga en cuenta que incluso la mejor traducción automática podría no ser tan precisa como la proporcionada por un traductor profesional. Cisco Systems, Inc. no asume ninguna responsabilidad por la precisión de estas traducciones y recomienda remitirse siempre al documento original escrito en inglés (insertar vínculo URL).

Introducción

Este documento describe cómo configurar Identity Based Networking Services 2.0 (IBNS) para escenarios de un solo host y de varios dominios.

Prerequisites

Requirements

Cisco recomienda que tenga conocimiento sobre estos temas:

  • Protocolo de autenticación extensible sobre red de área local (EAPoL)
  • protocolo Radius
  • Cisco Identity Services Engine versión 2.0

Componentes Utilizados

La información que contiene este documento se basa en las siguientes versiones de software y hardware.

  • Cisco Identity Service Engine versión 2.0, revisión 2
  • Terminal con sistema operativo Windows 7
  • Switch Cisco 3750X con IOS 15.2(4)E1
  • Switch Cisco 3850 con 03.02.03.SE
  • Cisco IP Phone 9971

La información de este documento se crea a partir de los dispositivos en un entorno de laboratorio específico. All of the devices used in this document started with a cleared (default) configuration. If your network is live, make sure that you understand the potential impact of any command.

Configurar

Teoría de la configuración

Para habilitar IBNS 2.0, debe ejecutar el comando en modo de privilegio en su switch de Cisco:

#authentication display new-style

Configure switchport para IBNS 2.0 con los comandos como se muestra:

 access-session host-mode {single-host | multi-domain | multi-auth}
 access-session port-control auto
 dot1x pae authenticator
 {mab}
 service-policy type control subscriber TEST

Estos comandos habilitan la autenticación dot1x y, opcionalmente, la derivación de autenticación MAC (MAB) en la interfaz. Cuando sigue la nueva sintaxis, utiliza comandos que comienzan con access-session. El propósito de estos comandos es el mismo que para los comandos que utilizan sintaxis antigua (comenzando con la palabra clave authentication). Aplique service-policy para especificar policy-map que se debe utilizar para la interfaz.

El policy-map mencionado anteriormente define el comportamiento del switch (autenticador) durante la autenticación. Por ejemplo, puede especificar lo que debe ocurrir en caso de falla de autenticación. Para cada evento puede configurar varias acciones basándose en el tipo de evento coincidente en class-map configurado debajo de él. Por ejemplo, observe la lista como se muestra (policy-map TEST4). Si falla el terminal dot1x que está conectado a la interfaz donde se aplica esta política, se ejecuta la acción definida en DOT1X_FAILED. Si desea especificar el mismo comportamiento para las clases como MAB_FAILED y DOT1X_FAILED, puede utilizar la clase predeterminada - class-map siempre. 

policy-map type control subscriber TEST4
(...)
 event authentication-failure match-first
  10 class DOT1X_FAILED do-until-failure
   10 terminate dot1x
(...)
  40 class always do-until-failure
   10 terminate mab
   20 terminate dot1x
   30 authentication-restart 60
(...)

Policy-map utilizado para IBNS 2.0 siempre debe tener suscriptor de control de tipo.

Puede ver la lista de eventos disponibles de esta manera:

Switch(config-event-control-policymap)#event ?
  aaa-available                 aaa-available event
  absolute-timeout              absolute timeout event
  agent-found                   agent found event
  authentication-failure        authentication failure event
  authentication-success        authentication success event
  authorization-failure         authorization failure event
  inactivity-timeout            inactivity timeout event
  session-started               session started event
  tag-added                     tag to apply event
  tag-removed                   tag to remove event
  template-activated            template activated event
  template-activation-failed    template activation failed event
  template-deactivated          template deactivated event
  template-deactivation-failed  template deactivation failed event
  timer-expiry                  timer-expiry event
  violation                     session violation event

En la configuración de eventos, tiene la posibilidad de definir cómo deben evaluarse las clases:

Switch(config-event-control-policymap)#event authentication-failure ?
  match-all    Evaluate all the classes
  match-first  Evaluate the first class

Puede definir una opción similar para class-maps, aunque aquí especifique cómo se deben ejecutar las acciones en caso de que su clase coincida:

Switch(config-class-control-policymap)#10 class always ?
  do-all            Execute all the actions
  do-until-failure  Execute actions until one of them fails
  do-until-success  Execute actions until one of them is successful

La última parte (opcional) de la configuración en el nuevo estilo de dot1x es class-map.También debe escribir suscriptor de control y se utiliza para hacer coincidir el comportamiento o el tráfico específicos. Configure los requisitos para la evaluación de condiciones class-map. Puede especificar que todas las condiciones deben coincidir o que cualquier condición debe coincidir o que ninguna de ellas debe coincidir.

Switch(config)#class-map type control subscriber ?
  match-all   TRUE if everything matches in the class-map
  match-any   TRUE if anything matches in the class-map
  match-none  TRUE if nothing matches in the class-map

Este es un ejemplo de class-map utilizado para la coincidencia de la falla de autenticación dot1x:

class-map type control subscriber match-all DOT1X_FAILED
 match method dot1x
 match result-type method dot1x authoritative

En algunos escenarios, en su mayoría cuando se utiliza una plantilla de servicio, debe agregar la configuración para la CoA (Cambio de autorización):

aaa server radius dynamic-author
 client 10.48.17.232 server-key cisco

Escenario para host único

Diagrama de la red

Configuraciones

Configuración básica 802.1X necesaria para el escenario de un solo host probado en Catalyst 3750X con IOS 15.2(4)E1. Situación probada con Windows Native Supplicant y Cisco AnyConnect.

aaa new-model
!
aaa group server radius tests
 server name RAD-1
!
aaa authentication dot1x default group tests
aaa authorization network default group tests
!
dot1x system-auth-control
!
policy-map type control subscriber TEST
 event session-started match-all
  10 class always do-until-failure
   10 authenticate using dot1x priority 10
!
interface GigabitEthernet1/0/21
 switchport access vlan 613
 switchport mode access
 access-session host-mode single-host
 access-session port-control auto
 dot1x pae authenticator
 service-policy type control subscriber TEST
!
radius server RAD-1
 address ipv4 10.48.17.232 auth-port 1812 acct-port 1813
 key cisco

Situación para varios dominios

Diagrama de la red

Configuraciones

El escenario de varios dominios se probó en Catalyst 3850 con IOS 03.02.03.SE debido a los requisitos de PoE (alimentación a través de Ethernet) para el teléfono IP (Cisco IP Phone 9971). 

aaa new-model
!
aaa group server radius tests
 server name RAD-1
!
aaa authentication dot1x default group tests
aaa authorization network default group tests
!
aaa server radius dynamic-author
 client 10.48.17.232 server-key cisco
!
dot1x system-auth-control
!
class-map type control subscriber match-all DOT1X
 match method dot1x
!
class-map type control subscriber match-all DOT1X_FAILED
 match method dot1x
 match result-type method dot1x authoritative
!
class-map type control subscriber match-all DOT1X_NO_RESP
 match method dot1x
 match result-type method dot1x agent-not-found
!
class-map type control subscriber match-all MAB
 match method mab
!
class-map type control subscriber match-all MAB_FAILED
 match method mab
 match result-type method mab authoritative
!
policy-map type control subscriber TEST4
 event session-started match-all
  10 class always do-until-failure
   10 authenticate using dot1x priority 10
   20 authenticate using mab priority 20
 event authentication-failure match-first
  10 class DOT1X_FAILED do-until-failure
   10 terminate dot1x
  20 class MAB_FAILED do-until-failure
   10 terminate mab
   20 authenticate using dot1x priority 10
  30 class DOT1X_NO_RESP do-until-failure
   10 terminate dot1x
   20 authentication-restart 60
  40 class always do-until-failure
   10 terminate mab
   20 terminate dot1x
   30 authentication-restart 60
 event agent-found match-all
  10 class always do-until-failure
   10 terminate mab
   20 authenticate using dot1x priority 10
 event authentication-success match-all
  10 class always do-until-failure
   10 activate service-template DEFAULT_LINKSEC_POLICY_SHOULD_SECURE
!
interface GigabitEthernet1/0/1
 switchport access vlan 613
 switchport mode access
 switchport voice vlan 612
 access-session host-mode multi-domain
 access-session port-control auto
 mab
 dot1x pae authenticator
 spanning-tree portfast
 service-policy type control subscriber TEST4
!
radius-server attribute 6 on-for-login-auth
radius-server attribute 8 include-in-access-req
radius-server attribute 25 access-request include
radius-server vsa send cisco-nas-port
!
radius server RAD-1
 address ipv4 10.48.17.232 auth-port 1812 acct-port 1813
 key cisco

Verificación

Utilize esta sección para confirmar que su configuración funcione correctamente.

Para fines de verificación, utilice estos comandos para enumerar las sesiones de todos los puertos de switch:

show access-session

 También puede ver información detallada sobre las sesiones desde un solo switchport:

show access-session interface [Gi 1/0/1] {detail}

Troubleshoot

En esta sección se brinda información que puede utilizar para resolver problemas en su configuración.

Para resolver problemas relacionados con 802.1X, puede habilitar las depuraciones de la misma manera que para la sintaxis de estilo antiguo 802.1X:

debug mab all
debug dot1x all
debug pre all*

 * opcionalmente para debug pre puede utilizar solamente el evento y/o regla para limitar el resultado a la información relevante de IBNS 2.0.

TAC Authored

Con la colaboración de ingenieros de Cisco

  • Adam Kotwica
    Ingeniero del TAC de Cisco

¿Resultó útil este documento?

FeedbackComentarios

Contacte a Cisco

Este documento se aplica a estos productos