Guest

Services réseau basé sur l’identité

Le nuage de TrustSec avec le 802.1x MACsec sur la gamme du Catalyst 3750X commutent l'exemple de configuration

Contenu d'article de Techzone

ID de document : 116498

Mis à jour : Oct. 09, 2013

Contribué par Michal Garcarz, ingénieur TAC Cisco.

Introduction

Cet article décrit l'étape nécessaire afin de configurer un nuage du Cisco TrustSec (CTS) avec le chiffrement de voie entre deux Commutateurs de gamme du Catalyst 3750X (3750X).

Cet article explique le procédé de cryptage de degré de sécurité de Media Access Control de commutateur à commutateur (MACsec) qui utilise l'association de sécurité Protocol (SAP). Ce processus utilise le mode de 802.1x d'IEEE au lieu du mode manuel.

Voici une liste des étapes impliquées :

  • Ravitaillement de créance de Protected Access (PAC) pour des périphériques de graine et de non-graine
  • Authentification du contrôle d'admission de périphérique de réseau (NDAC) et négociation de MACsec avec SAP pour la gestion des clés
  • L'environnement et la stratégie régénèrent
  • Authentification de port pour des clients
  • Le trafic étiquetant avec la balise de groupe de sécurité (SGT)
  • Application de stratégie avec l'ACL de groupe de sécurité (SGACL)

Conditions préalables

Conditions requises

Cisco vous recommande de prendre connaissance des rubriques suivantes :

  • Connaissance de base des composants CTS
  • Connaissance de base de configuration CLI des Commutateurs de Catalyst
  • Expérience avec la configuration du Cisco Identity Services Engine (ISE)

Composants utilisés

Les informations contenues dans ce document sont basées sur les versions de matériel et de logiciel suivantes :

  • Windows 7 et MS Windows XP de Microsoft (MS)
  • logiciel 3750X, versions 15.0 et ultérieures
  • Logiciel ISE, versions 1.1.4 et ultérieures

Les informations contenues dans ce document ont été créées à partir des périphériques d'un environnement de laboratoire spécifique. Tous les périphériques utilisés dans ce document ont démarré avec une configuration effacée (par défaut). Si votre réseau est opérationnel, assurez-vous que vous comprenez l'effet potentiel de toute commande.

Configurez

Diagramme du réseau

Dans ce diagramme de topologie du réseau, le commutateur 3750X-5 est le périphérique "seed" qui connaît l'adresse IP de l'ISE, et il télécharge automatiquement le PAC qui est utilisé pour l'authentification ultérieure dans le nuage CTS. Le périphérique "seed" agit en tant qu'authentificateur de 802.1x pour des périphériques de non-graine. Le commutateur de gamme de Cisco Catalyst 3750X-6 (3750X-6) est le périphérique de non-graine. Il agit en tant que suppliant de 802.1x au périphérique "seed". Après que le périphérique de non-graine authentifie à l'ISE par le périphérique "seed", on lui permet l'accès au nuage CTS. Après une authentification réussie, l'état de port de 802.1x sur le commutateur 3750X-5 est changé à authentifié, et le cryptage de MACsec est négocié. Le trafic entre les Commutateurs est alors étiqueté avec SGT et chiffré.

Cette liste récapitule la circulation prévue :

  • La graine 3750X-5 se connecte à l'ISE et télécharge le PAC, qui plus tard est utilisé pour un environnement et la stratégie régénèrent.
  • La non-graine 3750X-6 exécute l'authentification de 802.1x avec le rôle de suppliant afin d'authentifier/autorise et télécharge le PAC de l'ISE.
  • Le 3750X-6 exécute une authentification Protocol-flexible de la deuxième authentification extensible de 802.1x par l'intermédiaire de la session de protocole sécurisé (EAP-FAST) afin d'authentifier avec le tunnel protégé basé sur le PAC.
  • Le 3750X-5 télécharge des stratégies SGA pour lui-même et au nom de 3750X-6.
  • Une session de SAP se produit entre le 3750X-5 et le 3750X-6, des chiffrements de MACsec sont négociées, et la stratégie est permutée.
  • Le trafic entre les Commutateurs est étiqueté et chiffré.

Configurez les Commutateurs de graine et de Non-graine

Le périphérique "seed" (3750X-5) est configuré afin d'utiliser l'ISE en tant que serveur de RAYON pour CTS :

aaa new-model
aaa authentication dot1x default group radius
aaa authorization network default group radius
aaa authorization network ise group radius
aaa accounting dot1x default start-stop group radius

cts authorization list ise

radius-server host 10.48.66.129 pac key cisco
radius-server host 10.48.66.129 auth-port 1812
radius-server vsa send accounting
radius-server vsa send authentication

La liste de contrôle d'accès basée sur rôle (RBACL) et l'application de la liste de contrôle d'accès basée par groupe de sécurité (SGACL) sont activées (elles sont utilisées plus tard) :

cts role-based enforcement
cts role-based enforcement vlan-list 1-1005,1007-4094

Le périphérique de non-graine (3750X-6) est configuré seulement pour l'Authentification, autorisation et comptabilité (AAA) sans besoin d'autorisation de RAYON ou CTS :

aaa new-model
aaa authentication dot1x default group radius
aaa authorization network default group radius
aaa accounting dot1x default start-stop group radius

Avant que vous activiez le 802.1x sur l'interface, il est nécessaire de configurer l'ISE.

Configurez l'ISE

Terminez-vous ces étapes afin de configurer l'ISE :

  1. Naviguez vers la gestion > les ressources de réseau > les périphériques de réseau, et ajoutez les deux Commutateurs comme périphériques d'accès au réseau (NADs). Sous les configurations avancées de TrustSec, configurez un mot de passe CTS pour une utilisation ultérieure sur le commutateur CLI.



  2. Naviguez vers la stratégie > les éléments > les résultats > le groupe de sécurité Access > groupes de sécurité de stratégie, et ajoutez le SGTs approprié. Ces balises sont téléchargées quand les Commutateurs demandent un environnement régénèrent.



  3. Naviguez vers la stratégie > les éléments > les résultats > le groupe de sécurité Access > groupe de sécurité ACLs de stratégie, et configurez un SGACL.



  4. Naviguez vers la stratégie > le groupe de sécurité Access, et définissez une stratégie avec la matrice.



Remarque: Vous devez configurer la stratégie d'autorisation pour le suppliant de MS Windows, de sorte qu'elle reçoive la balise correcte. Référez-vous à l'ASA et à l'exemple de configuration de TrustSec de commutateur de gamme du Catalyst 3750X et dépannez le guide pour une configuration détaillée pour ceci.

Ravitaillement PAC pour le 3750X-5

Le PAC est nécessaire pour l'authentification dans le domaine CTS (comme phase1 pour l'EAP-FAST), et il est également utilisé afin d'obtenir des données d'environnement et de stratégie de l'ISE. Sans PAC correct, il n'est pas possible d'obtenir ces données de l'ISE.


Après que vous fournissiez les qualifications correctes sur le 3750X-5, il télécharge le PAC :

bsns-3750-5#cts credentials id 3750X password ciscocisco
bsns-3750-5#show cts pacs
  AID: C40A15A339286CEAC28A50DBBAC59784
  PAC-Info:
    PAC-type = Cisco Trustsec
    AID: C40A15A339286CEAC28A50DBBAC59784
    I-ID: 3750X
    A-ID-Info: Identity Services Engine
    Credential Lifetime: 08:31:32 UTC Oct 5 2013
  PAC-Opaque: 000200B00003000100040010C40A15A339286CEAC28A50DBBAC5978400060094
0003010076B969769CB5D45453FDCDEB92271C500000001351D15DD900093A8044DF74B2B71F
E667D7B908DB7AEEA32208B4E069FDB0A31161CE98ABD714C55CA0C4A83E4E16A6E8ACAC1D081
F235123600B91B09C9A909516D0A2B347E46D15178028ABFFD61244B3CD6F332435C867A968CE
A6B09BFA8C181E4399CE498A676543714A74B0C048A97C18684FF49BF0BB872405
  Refresh timer is set for 2y25w

Le PAC est téléchargé par l'intermédiaire de l'EAP-FAST avec l'authentification Protocol à échanges confirmés (MSCHAPv2) de Microsoft, avec les qualifications fournies dans le CLI et les mêmes qualifications configurées sur l'ISE.

Le PAC est utilisé pour l'environnement et la stratégie régénèrent. Pour ces Commutateurs, demandes RADIUS d'utilisation avec la poids du commerce-paire de Cisco cts-pac-opaque, qui est dérivée de la clé PAC et peut être déchiffrée sur l'ISE.

Ravitaillement PAC pour l'authentification 3750X-6 et NDAC

Pour qu'un nouveau périphérique puissiez se connecte au domaine CTS, il est nécessaire pour activer le 802.1x sur les ports correspondants.

Le protocole de SAP est utilisé pour la négociation de suite de gestion des clés et de chiffrement. Le code d'authentification de message de Galois (GMAC) est utilisé pour l'authentification et le Galois/mode de compteur (GCM) pour le cryptage.

Sur le commutateur de graine :

interface GigabitEthernet1/0/20
 switchport trunk encapsulation dot1q
 switchport mode trunk
 cts dot1x  
sap mode-list gcm-encrypt

Sur le commutateur de non-graine :

interface GigabitEthernet1/0/1
 switchport trunk encapsulation dot1q
 switchport mode trunk
 cts dot1x
  sap mode-list gcm-encrypt

Ceci est pris en charge seulement sur des ports de joncteur réseau (commutateur-commutateur MACsec). Pour le commutateur-hôte MACsec, qui utilise le protocole principal à la place SAP de l'accord de MACsec (MKA), référez-vous au cryptage de Configurig MACsec.

Juste après que vous activez le 802.1x sur des ports, le commutateur de non-graine agit en tant que suppliant au commutateur de graine, qui est l'authentificateur.

Ce processus s'appelle le NDAC, et son but est de connecter un nouveau périphérique au domaine CTS. L'authentification est bidirectionnelle ; le nouveau périphérique a les qualifications qui sont vérifiées sur le serveur ISE d'authentification. Après ravitaillement PAC, le périphérique est également sûr qu'il se connecte au domaine CTS.

Remarque: Le PAC est utilisé afin de construire un tunnel de Transport Layer Security (TLS) pour l'EAP-FAST. Le 3750X-6 fait confiance les qualifications PAC qui sont fournies par le serveur semblable à la manière un client fait confiance que le certificat a prévu par le serveur le TLS percent un tunnel pour la méthode d'EAP-TLS.

De plusieurs messages de RAYON sont permutés :

La première session du 3750X (commutateur de graine) est utilisée pour le ravitaillement PAC. L'EAP-FAST est utilisé sans PAC (un tunnel anonyme pour l'authentification MSCHAPv2 est construit).

12131  EAP-FAST built anonymous tunnel for purpose of PAC provisioning
22037  Authentication Passed
11814  Inner EAP-MSCHAP authentication succeeded
12173  Successfully finished EAP-FAST CTS PAC provisioning/update
11003  Returned RADIUS Access-Reject

Le nom d'utilisateur et mot de passe MSCHAPv2 configuré par l'intermédiaire de la commande de qualifications de cts est utilisé. En outre, une Access-anomalie de RAYON est retournée à l'extrémité, parce qu'après que le PAC provisioned déjà, aucune autre authentification n'est nécessaire.

La deuxième entrée dans le log se rapporte à l'authentification de 802.1x. L'EAP-FAST est utilisé avec le PAC qui provisioned plus tôt.

12168  Received CTS PAC
12132  EAP-FAST built PAC-based tunnel for purpose of authentication
11814  Inner EAP-MSCHAP authentication succeeded
15016  Selected Authorization Profile - Permit Access
11002  Returned RADIUS Access-Accept

Cette fois, le tunnel n'est pas anonyme, mais protégé par le PAC. De nouveau, les mêmes qualifications pour la session MSCHAPv2 sont utilisées. Puis, il est vérifié contre les règles d'authentification et d'autorisation sur l'ISE, et un RAYON Access-Recevoir est retourné. Puis, le commutateur d'authentificateur s'applique les attributs retournés, et la session de 802.1x pour des mouvements de ce port à un état autorisé.

Queest-ce que le processus pour les deux premières sessions de 802.1x ressemble à du commutateur de graine ?

Voici le plus important met au point de la graine. La graine la détecte que le port est, et des essais pour déterminer quel rôle devrait être utilisé pour le 802.1x - le suppliant ou l'authentificateur :

debug cts all
debug dot1x all
debug radius verbose
debug radius authentication

Apr 9 11:28:35.347: CTS-ifc-ev: CTS process: received msg_id CTS_IFC_MSG_LINK_UP
Apr 9 11:28:35.347: @@@ cts_ifc GigabitEthernet1/0/20, INIT: ifc_init ->
ifc_authenticating
Apr 9 11:28:35.356: CTS-ifc-ev: Request to start dot1x Both PAE(s) for
GigabitEthernet1/0/20
Apr 9 11:28:35.356: dot1x-ev(Gi1/0/20): Created authenticator subblock
Apr 9 11:28:35.356: dot1x-ev(Gi1/0/20): Created supplicant subblock

Apr 9 11:28:35.364: dot1x-ev:dot1x_supp_start: Not starting default supplicant
on GigabitEthernet1/0/20
Apr 9 11:28:35.381: dot1x-sm:Posting SUPP_ABORT on Client=7C24F2C

Apr 9 11:28:35.397: %AUTHMGR-5-START: Starting 'dot1x' for client (10f3.11a7.e501) on
Interface Gi1/0/20 AuditSessionID C0A800010000054135A5E32

En conclusion, le rôle d'authentificateur est utilisé, parce que le commutateur a accès à l'ISE. Sur le 3750X-6, le rôle de suppliant est choisi.

Détails sur la sélection de rôle de 802.1x

Remarque: Après que le commutateur de suppliant obtienne le PAC et soit 802.1x-authenticated, il télécharge les données d'environnement (décrites plus tard), et apprend l'adresse IP du serveur d'AAA. Dans cet exemple, les deux Commutateurs ont une connexion dédiée (de circuit principal) pour l'ISE. Plus tard, les rôles peuvent être différents ; le premier commutateur qui reçoit une réponse du serveur d'AAA devient l'authentificateur, et le second va bien au suppliant.

C'est possible parce que les deux Commutateurs avec le serveur d'AAA marqué en tant qu'ACTIF envoient une identité de demande de Protocole EAP (Extensible Authentication Protocol). Celui qui reçoit d'abord la réponse d'identité d'EAP devient l'authentificateur, et des demandes ultérieures d'identité de baisses.

Après que le rôle de 802.1x soit sélectionné (dans ce scénario, le 3750X-6 est le suppliant, parce qu'il n'a aucun accès au serveur d'AAA pourtant), les paquets suivants comportent l'échange d'EAP-FAST pour le ravitaillement PAC. Le client du nom d'utilisateur CTS est utilisé pour le nom d'utilisateur de demande RADIUS et comme identité d'EAP :

Apr  9 11:28:36.647: RADIUS:  User-Name           [1]   12  "CTS client"
Apr  9 11:28:35.481: RADIUS:  EAP-Message         [79]  17  
Apr  9 11:28:35.481: RADIUS:   02 01 00 0F 01 43 54 53 20 63 6C 69 65 6E 74        [ CTS client]

Après que le tunnel d'EAP-FAST d'anonymus soit construit, une session MSCHAPv2 se produit pour le nom d'utilisateur 3750X6 (qualifications de cts). Il n'est pas possible de voir cela sur le commutateur, parce qu'il est TLS percent un tunnel (chiffré), mais détaillé ouvre une session l'ISE pour le ravitaillement PAC le prouve. Vous pouvez voir le client CTS pour le nom d'utilisateur RADIUS et comme réponse d'identité d'EAP. Cependant, pour la méthode intérieure (MSCHAP), le nom d'utilisateur 3750X6 est utilisé :

La deuxième authentification d'EAP-FAST se produit. Cette fois, il utilise le PAC qui provisioned plus tôt. De nouveau, le client CTS est utilisé comme nom d'utilisateur RADIUS et identité externe, mais 3750X6 est utilisé pour l'identité intérieure (MSCHAP). L'authentification réussit :

Cependant, cette fois, l'ISE renvoie plusieurs attributs dans le RAYON reçoit le paquet :

Ici, le commutateur d'authentificateur change le port à l'état autorisé :

bsns-3750-5#show authentication sessions int g1/0/20
            Interface:  GigabitEthernet1/0/20
          MAC Address:  10f3.11a7.e501
           IP Address:  Unknown
            User-Name:  3750X6
               Status:  Authz Success
               Domain:  DATA
      Security Policy:  Should Secure
      Security Status:  Unsecure
       Oper host mode:  multi-host
     Oper control dir:  both
        Authorized By:  Authentication Server
          Vlan Policy:  N/A
      Session timeout:  86400s (local), Remaining: 81311s
       Timeout action:  Reauthenticate
         Idle timeout:  N/A
    Common Session ID:  C0A800010000054135A5E321
      Acct Session ID:  0x0000068E
               Handle:  0x09000542

Runnable methods list:
       Method   State
       dot1x    Authc Success

Comment le commutateur d'authentificateur apprend-il que l'username est 3750X6 ? Pour le nom d'utilisateur RADIUS et l'identité externe d'EAP, le client CTS est utilisé, et l'identité intérieure est chiffrée et non visible pour l'authentificateur. Le nom d'utilisateur est appris par l'ISE. Le dernier paquet RADIUS (Access-recevez) contient username=3750X6, alors que tous les autres contenaient le nom d'utilisateur = le client de Cts. C'est pourquoi le commutateur de suppliant identifie le vrai nom d'utilisateur. Ce comportement est RFC-conforme. RFC3579 de la section 3.0 :

The User-Name attribute within the Access- Accept packet need not be the same
as the User-Name attribute in the Access-Request.

Dans le dernier paquet de la session d'authentification de 802.1x, l'ISE renvoie un RAYON reçoit des Cisco-poids du commerce-paires de message avec l'Eap-Clé-nom :

Ceci est utilisé comme matériel de base pour la négociation de SAP.

En outre, le SGT est passé. Ceci signifie que les balises de commutateur d'authentificateur trafiquent du suppliant avec une valeur par défaut = 0. Vous pouvez configurer une valeur spécifique sur l'ISE pour renvoyer n'importe quelle autre valeur. Ceci s'applique seulement pour le trafic non-marqué ; le trafic étiqueté n'est pas réécrit parce que, par défaut, le commutateur d'authentificateur fait confiance au trafic du suppliant authentifié (mais de ceci peut également être changé sur l'ISE).

Téléchargement de stratégie SGA

Il y a des échanges supplémentaires de RAYON (sans EAP) autre que les deux premières sessions d'EAP-FAST de 802.1x (la première pour le ravitaillement PAC, et le deuxième pour l'authentification). Voici les logs ISE de nouveau :

Le troisième log (téléchargement de stratégie de pair) indique un échange simple de RAYON : La demande RADIUS et le RAYON reçoivent pour l'utilisateur 3760X6. C'est nécessaire afin de télécharger des stratégies pour le trafic du suppliant. Les deux attributs les plus importants sont :

Pour cette raison, les confiances de commutateur d'authentificateur trafiquent qui SGT-est étiqueté par le suppliant (cts : le trusted-device=true), et étiquette également le trafic non-marqué avec tag=0.

Le quatrième log indique le même échange de RAYON. Cependant, cette fois, il est pour l'utilisateur 3750X5 (authentificateur). C'est parce que les deux pairs doivent avoir une stratégie l'un pour l'autre. Il est intéressant de noter que le suppliant ne connaît toujours pas l'adresse IP du serveur d'AAA. C'est pourquoi le commutateur d'authentificateur télécharge la stratégie au nom du suppliant. Ces informations passent plus tard au suppliant (avec l'adresse IP ISE) dans la négociation de SAP.

Négociation de SAP

Juste après que la session d'authentification de 802.1x termine, la négociation de SAP se produit. Cette négociation est exigée :

  • Négociez les niveaux de cryptage (avec la mode-liste de sève gcm-chiffrez la commande) et chiffrez les suites
  • Dérivez les clés de session pour le trafic de données
  • Subissez le processus de nouvelle saisie
  • Exécutez les contrôles de Sécurité supplémentaires et assurez-vous que les étapes précédentes sont sécurisées

SAP est protocole conçu par Cisco Systems a basé sur une version provisoire de 802.11i/D6.0. Pour des détails, accès de demande sur l'association de sécurité Protocol de Cisco TrustSec - le protocole prenant en charge Cisco a fait confiance à la Sécurité pour la page de Cisco Nexus 7000.

L'échange de SAP est 802.1AE-compliant. Extensible Authentication Protocol au-dessus d'échange de clé du RÉSEAU LOCAL (EAPOL) se produit entre le suppliant et l'authentificateur afin de négocier une suite de chiffrement, permuter des paramètres de Sécurité, et gérer des clés. Malheureusement, Wireshark n'a pas le décodeur pour tous les types exigés d'EAP :

La réussite de ces derniers charge des résultats dans la création d'une association de sécurité (SA).

Sur le commutateur de suppliant :

bsns-3750-6#show cts interface g1/0/1
Global Dot1x feature is Enabled
Interface GigabitEthernet1/0/1:
    CTS is enabled, mode:    DOT1X
    IFC state:               OPEN
    Authentication Status:   SUCCEEDED
        Peer identity:       "3750X"
        Peer's advertised capabilities: "sap"
        802.1X role:         Supplicant
        Reauth period applied to link:  Not applicable to Supplicant role
    Authorization Status:    SUCCEEDED
        Peer SGT:            0:Unknown
        Peer SGT assignment: Trusted
    SAP Status:              SUCCEEDED
        Version:             2
        Configured pairwise ciphers:
            gcm-encrypt

        Replay protection:      enabled
        Replay protection mode: STRICT

        Selected cipher:        gcm-encrypt

    Propagate SGT:           Enabled
    Cache Info:
        Cache applied to link : NONE

    Statistics:
        authc success:              12
        authc reject:               1556
        authc failure:              0
        authc no response:          0
        authc logoff:               0
        sap success:                12
        sap fail:                   0
        authz success:              12
        authz fail:                 0
        port auth fail:             0

    L3 IPM:   disabled.

Dot1x Info for GigabitEthernet1/0/1
-----------------------------------
PAE                       = SUPPLICANT
StartPeriod               = 30
AuthPeriod                = 30
HeldPeriod                = 60
MaxStart                  = 3
Credentials profile       = CTS-ID-profile
EAP profile               = CTS-EAP-profile

Sur l'authentificateur :

bsns-3750-5#show cts interface g1/0/20
Global Dot1x feature is Enabled
Interface GigabitEthernet1/0/20:
    CTS is enabled, mode:    DOT1X
    IFC state:               OPEN
    Interface Active for 00:29:22.069
    Authentication Status:   SUCCEEDED
        Peer identity:       "3750X6"
        Peer's advertised capabilities: "sap"
        802.1X role:         Authenticator
        Reauth period configured:       86400 (default)
        Reauth period per policy:       86400 (server configured)
        Reauth period applied to link:  86400 (server configured)
        Reauth starts in approx. 0:23:30:37 (dd:hr:mm:sec)
        Peer MAC address is 10f3.11a7.e501
        Dot1X is initialized
    Authorization Status:    ALL-POLICY SUCCEEDED
        Peer SGT:            0:Unknown
        Peer SGT assignment: Trusted
    SAP Status:              SUCCEEDED
        Version:             2
        Configured pairwise ciphers:
            gcm-encrypt
            {3, 0, 0, 0} checksum 2

        Replay protection:      enabled
        Replay protection mode: STRICT

        Selected cipher:        gcm-encrypt

    Propagate SGT:           Enabled
    Cache Info:
        Cache applied to link : NONE
        Data loaded from NVRAM: F
        NV restoration pending: F
        Cache file name       : GigabitEthernet1_0_20_d
        Cache valid           : F
        Cache is dirty        : T
        Peer ID               : unknown
        Peer mac              : 0000.0000.0000
        Dot1X role            : unknown
        PMK                   :
             00000000 00000000 00000000 00000000
             00000000 00000000 00000000 00000000

    Statistics:
        authc success:              12
        authc reject:               1542
        authc failure:              0
        authc no response:          0
        authc logoff:               2
        sap success:                12
        sap fail:                   0
        authz success:              13
        authz fail:                 0
        port auth fail:             0

    L3 IPM:   disabled.

Dot1x Info for GigabitEthernet1/0/20
-----------------------------------
PAE                       = AUTHENTICATOR
QuietPeriod               = 60
ServerTimeout             = 0
SuppTimeout               = 30
ReAuthMax                 = 2
MaxReq                    = 2
TxPeriod                  = 30

Ici, les ports utilisent le mode gcm-chiffrent, ainsi il signifie que le trafic est authentifié et chiffré, aussi bien que correctement SGT-étiqueté. Ni l'un ni l'autre de périphérique n'utilise n'importe quelle stratégie spécifique d'autorisation de périphérique de réseau sur l'ISE, ainsi il signifie que tout le trafic initié du périphérique utilise la balise par défaut de 0. Également confiance SGTs de les deux Commutateurs reçu du pair (en raison des attributs RADIUS de la phase de téléchargement de stratégie de pair).

L'environnement et la stratégie régénèrent

Après que les deux périphériques soient connectés au nuage CTS, un environnement et une stratégie régénèrent est initié. L'environnement régénèrent est nécessaire afin d'obtenir le SGTs et les noms, et une stratégie régénèrent est nécessaire afin de télécharger le SGACL défini sur l'ISE.

À ce stade, le suppliant connaît déjà l'adresse IP du serveur d'AAA, ainsi elle peut la faire pour elle-même.

Référez-vous à l'ASA et à l'exemple de configuration de TrustSec de commutateur de gamme du Catalyst 3750X et dépannez le guide pour des informations sur l'environnement et la stratégie régénèrent.

Le commutateur de suppliant se souvient l'adresse IP du serveur de RAYON, même lorsqu'il n'y a aucun serveur de RAYON configuré et quand le lien CTS descend (vers le commutateur d'authentificateur). Cependant, il est possible de forcer le commutateur à l'oublier :

bsns-3750-6#show run | i radius
aaa authentication dot1x default group radius
aaa authorization network default group radius
aaa authorization network ise group radius
aaa accounting dot1x default start-stop group radius
radius-server vsa send authentication

bsns-3750-6#show cts server-list
CTS Server Radius Load Balance = DISABLED
Server Group Deadtime = 20 secs (default)
Global Server Liveness Automated Test Deadtime = 20 secs
Global Server Liveness Automated Test Idle Time = 60 mins
Global Server Liveness Automated Test = ENABLED (default)

Preferred list, 1 server(s):
 *Server: 10.48.66.129, port 1812, A-ID C40A15A339286CEAC28A50DBBAC59784
          Status = ALIVE
          auto-test = TRUE, keywrap-enable = FALSE, idle-time = 60 mins,
deadtime = 20 secs
Installed list: CTSServerList1-0001, 1 server(s):
 *Server: 10.48.66.129, port 1812, A-ID C40A15A339286CEAC28A50DBBAC59784
          Status = ALIVE
          auto-test = TRUE, keywrap-enable = FALSE, idle-time = 60 mins,
deadtime = 20 secs

bsns-3750-6#show radius server-group all

Server group radius
    Sharecount = 1  sg_unconfigured = FALSE
    Type = standard  Memlocks = 1
Server group  private_sg-0
    Server(10.48.66.129:1812,1646) Successful Transactions:
    Authen: 8   Author: 16      Acct: 0
    Server_auto_test_enabled: TRUE
    Keywrap enabled: FALSE

bsns-3750-6#clear cts server 10.48.66.129

bsns-3750-6#show radius server-group all
Server group radius
    Sharecount = 1  sg_unconfigured = FALSE
    Type = standard  Memlocks = 1
Server group  private_sg-0

Afin de vérifier l'environnement et la stratégie sur le suppliant commutez, sélectionnez ces commandes :

bsns-3750-6#show cts environment-data 
CTS Environment Data
====================
Current state = COMPLETE
Last status = Successful
Local Device SGT:
  SGT tag = 0-01:Unknown
Server List Info:
Security Group Name Table:
    0-00:Unknown
    2-00:VLAN10
    3-00:VLAN20
    4-00:VLAN100
Environment Data Lifetime = 86400 secs
Last update time = 03:23:51 UTC Thu Mar 31 2011
Env-data expires in   0:13:09:52 (dd:hr:mm:sec)
Env-data refreshes in 0:13:09:52 (dd:hr:mm:sec)
Cache data applied           = NONE
State Machine is running

bsns-3750-6#show cts role-based permissions

Pourquoi stratégie n'affiche-t-elle pas ? Aucun affichage de stratégies, parce que vous devez permettre à l'application de cts afin de les appliquer :

bsns-3750-6(config)#cts role-based enforcement 
bsns-3750-6(config)#cts role-based enforcement vlan-list all
bsns-3750-6#show cts role-based permissions
IPv4 Role-based permissions default:
        Permit IP-00
IPv4 Role-based permissions from group 2:VLAN10 to group Unknown:
        ICMP-20

Pourquoi le suppliant a-t-il seulement une stratégie pour grouper l'inconnu tandis que l'authentificateur a plus ?

bsns-3750-5#show cts role-based permissions 
IPv4 Role-based permissions default:
        Permit IP-00
IPv4 Role-based permissions from group 2:VLAN10 to group Unknown:
        ICMP-20
IPv4 Role-based permissions from group 2:VLAN10 to group 3:VLAN20:
        ICMP-20
        Deny IP-00

Authentification de port pour des clients

Le client de MS Windows est connecté et authentifié au port g1/0/1 du commutateur 3750-5 :

bsns-3750-5#show authentication sessions int g1/0/1
        Interface:  GigabitEthernet1/0/1
          MAC Address:  0050.5699.4ea1
           IP Address:  192.168.2.200
            User-Name:  cisco
               Status:  Authz Success
               Domain:  DATA
      Security Policy:  Should Secure
      Security Status:  Unsecure
       Oper host mode:  multi-auth
     Oper control dir:  both
        Authorized By:  Authentication Server
          Vlan Policy:  20
              ACS ACL:  xACSACLx-IP-PERMIT_ALL_TRAFFIC-51134bb2
                  SGT:  0003-0
      Session timeout:  N/A
         Idle timeout:  N/A
    Common Session ID:  C0A80001000001BD336EC4D6
      Acct Session ID:  0x000002F9
               Handle:  0xF80001BE

          
Runnable methods list:
       Method   State
       dot1x    Authc Success
       mab      Not run

Ici, le commutateur 3750-5 sait que le trafic de cet hôte devrait être étiqueté avec SGT=3 une fois envoyé au nuage CTS.

Le trafic étiquetant avec le SGT

Comment est-ce que reniflez et vérifiez trafiquez-vous ?

C'est difficile parce que :

  • Encastrée la capture de paquet est est prise en charge seulement pour le trafic IP (et ceci une trame Ethernet modifiée avec la charge utile de SGTs et de MACsec).
  • Port de Fonction Switched Port Analyzer (SPAN) avec le mot clé de réplication - ceci pourrait fonctionner, mais le problème est que n'importe quel PC avec Wireshark s'est connecté à la destination port d'une session de surveillance relâche les trames en raison du manque de support de 802.1ae, qui peut se produire au niveau matériel.
  • Le port SPAN sans mot clé de réplication retire l'en-tête de cts avant qu'il mette en fonction une destination port.

Application de stratégie avec le SGACL

L'application de stratégie dans le nuage CTS est toujours faite à la destination port. C'est parce que seulement le dernier périphérique connaît la destination SGT du périphérique d'extrémité qui est connecté directement à ce commutateur. Le paquet porte seulement le sergent de source. La source et la destination SGT sont exigées afin de prendre une décision.

C'est pourquoi les périphériques n'ont pas besoin de télécharger toutes les stratégies de l'ISE. Au lieu de cela, ils ont besoin seulement de la partie de la stratégie qui est liée au SGT pour lequel le périphérique direct-a connecté des périphériques.

Voici le 3750-6, qui est le commutateur de suppliant :

bsns-3750-6#show cts role-based permissions 
IPv4 Role-based permissions default:
        Permit IP-00
IPv4 Role-based permissions from group 2:VLAN10 to group Unknown:
        ICMP-20

Il y a deux stratégies ici. Le premier est le par défaut pour le trafic non-marqué (à/de). Le deuxième est de SGT=2 au SGT non-marqué, qui est 0. Cette stratégie existe parce que le périphérique lui-même utilise la stratégie SGA de l'ISE, et appartient à SGT=0. En outre, SGT=0 est une balise par défaut. Par conséquent, vous devez télécharger toutes les stratégies qui ont les règles pour le trafic à/de SGT=0. Si vous regardez la matrice, vous voyez seulement une telle stratégie : de 2 à 0.

Voici le 3750-5, qui est le commutateur d'authentificateur :

bsns-3750-5#show cts role-based permissions 
IPv4 Role-based permissions default:
        Permit IP-00
IPv4 Role-based permissions from group 2:VLAN10 to group Unknown:
        ICMP-20
IPv4 Role-based permissions from group 2:VLAN10 to group 3:VLAN20:
        ICMP-20
        Deny IP-00

Il y a une plus de stratégie ici : de 2 à 3. C'est parce que le client de 802.1x (MS Windows) est connecté à g1/0/1 et étiqueté avec SGT=3. C'est pourquoi vous devez télécharger toutes les stratégies à SGT=3.

Essayez de cingler de 3750X-6 (SGT=0) au MS Windows XP (SGT=3). Le 3750X-5 est le périphérique de exécution.

Avant ceci, vous devez configurer une stratégie sur l'ISE pour le trafic de SGT=0 à SGT=3. Cet exemple a créé un log de Protocole ICMP (Internet Control Message Protocol) SGACL avec seulement la ligne, log d'ICMP d'autorisation, et utilisé lui dans la matrice pour le trafic de SGT=0 à SGT=3 :

Voici une régénération de la stratégie sur le commutateur de exécution, et une vérification de la nouvelle stratégie :

bsns-3750-5#cts refresh policy              
Policy refresh in progress

bsns-3750-5#show cts role-based permissions
IPv4 Role-based permissions default:
        Permit IP-00
IPv4 Role-based permissions from group 2:VLAN10 to group Unknown:
        ICMP-20
IPv4 Role-based permissions from group Unknown to group 3:VLAN20:
        ICMPlog-10
        Deny IP-00
IPv4 Role-based permissions from group 2:VLAN10 to group 3:VLAN20:
        ICMP-20
        Deny IP-00

Afin de vérifier que la liste de contrôle d'accès (ACL) est téléchargée de l'ISE, sélectionnez cette commande :

bsns-3750-5#show ip access-lists ICMPlog-10
Role-based IP access list ICMPlog-10 (downloaded)
    10 permit icmp log

Afin de vérifier que l'ACL est appliqué (support matériel), sélectionnez cette commande :

bsns-3750-5#show cts rbacl | b ICMPlog-10
  name   = ICMPlog-10
  IP protocol version = IPV4
  refcnt = 2
  flag   = 0x41000000
    POLICY_PROGRAM_SUCCESS
    POLICY_RBACL_IPV4
  stale  = FALSE
  ref_q:
    acl_infop(74009FC), name(ICMPlog-10)
  sessions installed:
    session hld(460000F8)
  RBACL ACEs:
  Num ACEs: 1
    permit icmp log

Voici les compteurs avant ICMP :

bsns-3750-5#show cts role-based counters 
Role-based IPv4 counters
# '-' in hardware counters field indicates sharing among cells with identical
policies
From    To      SW-Denied       HW-Denied       SW-Permitted    HW-Permitted   

2       0       0               0               4099            224            

*       *       0               0               321810          340989         

0       3       0               0               0               0              

2       3       0               0               0               0

Voici un ping de SGT=0 (commutateur 3750-6) au MS Windows XP (SGT=3) et aux compteurs :

bsns-3750-6#ping 192.168.2.200
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 192.168.2.200, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 1/1/1 ms

bsns-3750-5#show cts role-based counters
Role-based IPv4 counters
# '-' in hardware counters field indicates sharing among cells with identical
policies
From    To      SW-Denied       HW-Denied       SW-Permitted    HW-Permitted   

2       0       0               0               4099            224            

*       *       0               0               322074          341126         

0       3       0               0               0               5              

2       3       0               0               0               0  

Voici les compteurs d'ACL :

bsns-3750-5#show ip access-lists ICMPlog-10
Role-based IP access list ICMPlog-10 (downloaded)
    10 permit icmp log (5 matches)

Vérifiez

Aucune procédure de vérification n'est disponible pour cette configuration.

Dépannez

Il n'existe actuellement aucune information de dépannage spécifique pour cette configuration.

Informations connexes

Mis à jour : Oct. 09, 2013
ID de document : 116498