Dans le cadre de la documentation associée à ce produit, nous nous efforçons d’utiliser un langage exempt de préjugés. Dans cet ensemble de documents, le langage exempt de discrimination renvoie à une langue qui exclut la discrimination en fonction de l’âge, des handicaps, du genre, de l’appartenance raciale de l’identité ethnique, de l’orientation sexuelle, de la situation socio-économique et de l’intersectionnalité. Des exceptions peuvent s’appliquer dans les documents si le langage est codé en dur dans les interfaces utilisateurs du produit logiciel, si le langage utilisé est basé sur la documentation RFP ou si le langage utilisé provient d’un produit tiers référencé. Découvrez comment Cisco utilise le langage inclusif.
Cisco a traduit ce document en traduction automatisée vérifiée par une personne dans le cadre d’un service mondial permettant à nos utilisateurs d’obtenir le contenu d’assistance dans leur propre langue. Il convient cependant de noter que même la meilleure traduction automatisée ne sera pas aussi précise que celle fournie par un traducteur professionnel.
Ce document décrit la configuration et le dépannage de RADIUS au-dessus du protocole de Transport Layer Security de datagramme (DTLS). DTLS fournit des services de cryptage pour RADIUS, qui est transporté au-dessus d'un tunnel sécurisé.
Cisco vous recommande de prendre connaissance des rubriques suivantes :
Les informations contenues dans ce document sont basées sur les versions de matériel et de logiciel suivantes :
Les informations contenues dans ce document ont été créées à partir des périphériques d'un environnement de laboratoire spécifique. Tous les périphériques utilisés dans ce document ont démarré avec une configuration effacée (par défaut). Si votre réseau est opérationnel, assurez-vous que vous comprenez l'effet potentiel de toute commande.
Naviguez vers la gestion > les ressources de réseau > les périphériques de réseau. Cliquez sur Add et fournissez au moins les champs obligatoires :
Les configurations choisies d'authentification de RADIUS de case à cocher et sous des configurations de RADIUS DTLS sélectionnent la case à cocher DTLS exigée. Ceci permet la transmission de RADIUS avec l'authentificateur seulement par l'intermédiaire de DTLS sécurisent le tunnel. Notez que la zone de texte secrète partagée est grisée. Cette valeur en cas de RADIUS DTLS est réparée et la même chaîne est configurée du côté d'authentificateur.
Vous pouvez configurer le port qui est utilisé pour le délai d'attente de transmission et d'inactif DTLS chez la gestion > le système > les configurations > les protocoles > le RADIUS > le RADIUS DTLS.
Notez que le port DTLS est différent des ports de RADIUS. Par défaut, RADIUS utilise les paires 1645, 1646 et 1812, 1813. Par défaut DTLS port 2083 pour l'authentification, l'autorisation, la comptabilité et CoA usages. Le délai d'attente de veille spécifie combien de temps ISE et authentificateur mettent à jour le tunnel sans n'importe quelle transmission réelle allant par elle. Ce délai d'attente est mesuré en secondes et s'étend de 60 à 600 secondes.
Afin d'établir le tunnel entre ISE et authentificateur, les deux entités doivent permuter et vérifier des Certificats. L'authentificateur doit faire confiance au certificat ISE RADIUS DTLS, ainsi il signifie que son émetteur doit être présent dans la mémoire de la confiance de l'authentificateur. Afin d'exporter le signataire du certificat ISE, naviguez vers la gestion > le système > les Certificats, suivant les indications de l'image :
Localisez le certificat avec le rôle de RADIUS DTLS assigné et vérifiez émis par le champ pour ce certificat. C'est le nom commun du certificat qui doit être exporté de la mémoire de confiance ISE. Afin de faire cela, naviguez vers la gestion > le système > les Certificats de CertificatesTrusted. La case à cocher choisie à côté du certificat approprié et le clic exportent.
Afin de configurer le point de confiance, ouvrez une session au commutateur et exécutez les commandes :
configure terminal crypto pki trustpoint isetp enrollment terminal revocation-check none exit
Certificat d'importation avec l'isetp de crypto pki authenticate de commande. Une fois incité à recevoir le certificat, tapez oui.
Switch3650(config)#crypto pki authenticate isetp Enter the base 64 encoded CA certificate. End with a blank line or the word "quit" on a line by itself -----BEGIN CERTIFICATE----- MIIDWTCCAkGgAwIBAgIQL9s4RrhtWLpJjBYB5v0dtTANBgkqhkiG9w0BAQUFADA/ MRMwEQYKCZImiZPyLGQBGRYDY29tMRcwFQYKCZImiZPyLGQBGRYHZXhhbXBsZTEP MA0GA1UEAxMGTEFCIENBMB4XDTE1MDIxMjA3MzgxM1oXDTI1MDIxMjA3NDgxMlow PzETMBEGCgmSJomT8ixkARkWA2NvbTEXMBUGCgmSJomT8ixkARkWB2V4YW1wbGUx DzANBgNVBAMTBkxBQiBDQTCCASIwDQYJKoZIhvcNAQEBBQADggEPADCCAQoCggEB AMDSfJwvbJLHHJf4vDTalGjKrDI73c/y269IMZV48xpCruNhglcU8CW/T9Ysj6xk Oogtx2vpG4XJt7KebDZ/ac1Ymjg7sPBPcnyDZCd2a1b39XakD2puE8lVi4RVkjBH pss2fTWeuor9dzgb/kWb0YqIsgw1sRKQ2Veh1IXmuhX+wDqELHPIzgXn/DOBF0qN vWlevrAlmBTxC04t1aPwyRk6b6ptjMeaIv2nqy8tOrldMVYKsPDj8aOrFEQ2d/wg HDvd6C6LKRBpmAvtrqyDtinEl/CRaEFH7dZpvUSJBNuh7st3JIG8gVFstweoMmTE zxUONQw8QrZmXDGTKgqvisECAwEAAaNRME8wCwYDVR0PBAQDAgGGMA8GA1UdEwEB /wQFMAMBAf8wHQYDVR0OBBYEFO0TzYQ4kQ3fN6x6JzCit3/l0qoHMBAGCSsGAQQB gjcVAQQDAgEAMA0GCSqGSIb3DQEBBQUAA4IBAQAWbWGBeqE2u6IGdKEPhv+t/rVi xhn7KrEyWxLkWaLsbU2ixsfTeJDCM8pxQItsj6B0Ey6A05c3YNcvW1iNpupGgc7v 9lMt4/TB6aRLVLijBPB9/p2/3SJadCe/YBaOn/vpmfBPPhxUQVPiBM9fy/Al+zsh t66bcO3WcD8ZaKaER0oT8Pt/4GHZA0Unx+UxpcNuRRz4COArINXE0ULRfBxpIkkF pWNjH0rlV55edOga0/r60Cg1/J9VAHh3qK2/3zXJE53N+A0h9whpG4LYgIFLB9ep ZDim7KGsf+P3zk7SsKioGB4kqidHnm34XjlkWFnrCMQH4HC1oEymakV3Kq24 -----END CERTIFICATE----- Certificate has the following attributes: Fingerprint MD5: B33EAD49 87F18924 590616B9 C8880D9D Fingerprint SHA1: FD729A3B B533726F F8450358 A2F7EB27 EC8A1178 % Do you accept this certificate? [yes/no]: yes Trustpoint CA certificate accepted. % Certificate successfully imported
Sélectionnez le point de confiance et le certificat à utiliser pour DTLS sur le commutateur et exportez-le :
Switch3650(config)#crypto pki export TP-self-signed-721943660 pem terminal % Self-signed CA certificate: -----BEGIN CERTIFICATE----- MIICKTCCAZKgAwIBAgIBATANBgkqhkiG9w0BAQUFADAwMS4wLAYDVQQDEyVJT1Mt U2VsZi1TaWduZWQtQ2VydGlmaWNhdGUtNzIxOTQzNjYwMB4XDTE2MDQyNzExNDYw NloXDTIwMDEwMTAwMDAwMFowMDEuMCwGA1UEAxMlSU9TLVNlbGYtU2lnbmVkLUNl cnRpZmljYXRlLTcyMTk0MzY2MDCBnzANBgkqhkiG9w0BAQEFAAOBjQAwgYkCgYEA xRybTGD526rPYuD2puMJu8ANcDqQnwunIERgvIWoLwBovuAu7WcRmzw1IDTDryOH PXt1n5GcQSAOgn+9QdvKl1Z43ZkRWK5E7EGmjM/aL1287mg4/NlrWr4KMSwDQBJI noJ52CABXUoApuiiJ8Ya4gOYeP0TmsZtxP1N+s+wqjMCAwEAAaNTMFEwDwYDVR0T AQH/BAUwAwEB/zAfBgNVHSMEGDAWgBSEOKlAPAHBPedwichXL+qUM+1riTAdBgNV HQ4EFgQUhDipQDwBwT3ncInIVy/qlDPta4kwDQYJKoZIhvcNAQEFBQADgYEAlBNN wKSS8yBuOH0/jUV7sy3Y9/oV7Z9bW8WFV9QiTQ1lZelvWMTbewozwX2LJvxobGcj Pi+n99RIH8dBhWwoYl9GTN2LVI22GIPX12jNLqps+Mq/u2qxVm0964Sajs5OlKjQ 69XFfCVot1NA6z2eEP/69oL9x0uaJDZa+6ileh0= -----END CERTIFICATE-----
Afin de répertorier tous les points de confiance configurés, exécutez le show crypto pki trustpoints de commande. Une fois le certificat est imprimé pour le consoler, copier sur un fichier et une sauvegarde sur votre PC.
Sur ISE, naviguez vers la gestion > les Certificats > les Certificats de confiance et cliquez sur l'importation.
Maintenant le clic parcourent et sélectionnent le certificat du commutateur. Fournissez (sur option) le nom amical et sélectionnez les cases à cocher font confiance pour l'authentification dans ISE et font confiance pour l'authentification client et le Syslog. Cliquez sur Submit alors, suivant les indications de l'image :
Ajoutez la configuration RADIUS sur le commutateur. Afin de configurer le commutateur pour communiquer avec ISE au-dessus de DTLS, l'utilisation commande :
radius server ISE22 address ipv4 10.48.23.86 key radius/dtls dtls port 2083 dtls trustpoint client TP-self-signed-721943660 dtls trustpoint server isetp
Le reste de la configuration spécifique d'AAA dépend de vos conditions requises et conception. Traitez cette configuration comme exemple :
aaa group server radius ISE server name ISE22 radius-server attribute 6 on-for-login-auth radius-server attribute 8 include-in-access-req radius-server attribute 25 access-request include aaa authentication dot1x default group ISE aaa authorization network default group ISE
Configurez les stratégies d'authentification et d'autorisation sur ISE. Cette étape dépend de votre conception et conditions requises aussi bien.
Afin de vérifier que les utilisateurs peuvent authentifier, utiliser la commande d'AAA de test sur le commutateur :
Switch3650#test aaa group ISE alice Krakow123 new-code User successfully authenticated USER ATTRIBUTES username 0 "alice" Switch3650#
Vous devriez voir l'utilisateur de message avec succès authentifié. Naviguez vers des exécutions ISE > RADIUS > LiveLog et des détails choisis pour le log approprié (cliquez sur en fonction la loupe) :
Du côté droit de l'état, il y a une liste d'étapes. Vérifiez que la première étape dans la liste est paquet RADIUS est chiffrée.
Supplémentaire, vous pouvez commencer la capture de paquet sur ISE et exécuter la commande d'AAA de test une fois de plus. Afin de commencer la capture, naviguez vers des exécutions > dépannent > des outils de diagnostic > les outils généraux > le vidage mémoire de TCP. Noeud choisi de service de stratégie utilisé pour l'authentification et le début de clic :
Quand l'authentification est de finition, cliquez sur l'arrêt et le téléchargez. Quand vous ouvrez la capture de paquet, vous devriez pouvoir voir le trafic chiffré avec DTLS :
Les paquets #813 - #822 font partie de prise de contact DTLS. Quand la prise de contact est avec succès négociée, des données des applications sont transférées. Notez que le nombre de paquets peut varier et dépend par exemple de la méthode d'authentification utilisée (PAP, EAP-PEAP, EAP-TLS, etc.). Le contenu de chaque paquet est chiffré :
Quand toutes les données sont transmises, le tunnel n'est pas démoli immédiatement. IdleTimeout a configuré sur ISE détermine combien de temps le tunnel peut être établi sans transmission allant par lui. Si le temporisateur expire et la nouvelle Access-demande doit être envoyée à ISE, la prise de contact DTLS est exécutée et le tunnel est reconstruit.
Notez que le port du par défaut DTLS est 2083. Les ports par défaut de RADIUS sont 1645,1646 et 1812,1813. Assurez-vous que le Pare-feu ne bloque pas le trafic UDP/2083.
Dans le rapport détaillé sur ISE vous pouvez voir que la prise de contact DTLS a manqué :
Le possible raison est que le commutateur ou l'ISE fait pas certificat de confiance envoyé pendant la prise de contact. Vérifiez la configuration de certificat. Vérifiez que le certificat approprié est assigné au rôle de RADIUS DTLS sur ISE et aux points de confiance sur le commutateur.