Comment configurer le Cisco TrustSec (SGTs) utilisant Cisco ISE (étiquetage d'en ligne)
Contenu
Contenu
Introduction
Ce document décrit comment configurer et vérifier la caractéristique de Cisco TrustSec sur un commutateur Cisco Catalyst et un contrôleur Sans fil de réseau local de Cisco à l'aide du Logiciel Cisco Identity Services Engine
Conditions préalables
Cisco vous recommande de prendre connaissance des rubriques suivantes :
- Connaissance de base des composants du Cisco TrustSec (CTS)
- Connaissance de base de configuration CLI des Commutateurs de Catalyst
- Connaissance de base de configuration GUI des contrôleurs LAN de radio de Cisco
- Expérience avec la configuration du Cisco Identity Services Engine (ISE)
Exigences
Vous devez avoir Cisco ISE déployé dans votre réseau, et les utilisateurs finaux doivent authentifier à Cisco ISE par l'intermédiaire du 802.1x (ou de toute autre méthode) quand ils se connectent à la radio ou ont câblé. Cisco ISE assignera à leur trafic une balise de groupe de sécurité (SGT) une fois qu'ils authentifient à votre réseau Sans fil.
Dans notre exemple ci-dessous, des utilisateurs finaux sont réorientés à Cisco ISE BYOD portail et provisioned un certificat ainsi ils peuvent sécurisé accéder au réseau Sans fil par l'intermédiaire de l'EAP-TLS une fois qu'ils se terminent les étapes de portail BYOD.
Composants utilisés
Les informations contenues dans ce document sont basées sur les versions de matériel et de logiciel suivantes :
- Logiciel Cisco Identity Services Engine exécutant 2.4
- Commutateur de Cisco Catalyst 3850 exécutant 3.7.5E
- Cisco WLC exécutant 8.5.120.0
- Point d'accès sans fil de Cisco Aironet en mode local
Avant de déployer le Cisco TrustSec, vérifiez votre commutateur Cisco Catalyst et/ou les modèles + la version de logiciel de Cisco WLC+AP a le soutien de :
- TrustSec/groupe de sécurité de balises
- Étiquetage d'en ligne (sinon, vous pouvez utiliser SXP au lieu de l'étiquetage d'en ligne)
- Charge statique IP--SGT aux mappages (si nécessaire)
- Charge statique Sous-réseau--SGT aux mappages (si nécessaire)
- Charge statique VLAN--SGT aux mappages (si nécessaire)
Configurer
Diagramme du réseau
Dans notre exemple, le WLC étiquette les paquets comme SGT 15 si d'un consultant + d'un SGT 7 si d'un employé
Le commutateur refusera paquets s'ils sont de SGT 15 à SGT 8 (les consultants ne peuvent pas des serveurs d'accès étiquetés comme SGT 8)
Le commutateur permettra paquets s'ils sont de SGT 7 à SGT 8 (l'employé peut des serveurs d'accès étiquetés comme SGT 8)
But
Permis n'importe qui accéder à GuestSSID
Permettez l'accès EmployeeSSID de consultants mais avec l'accès restreint
Permettez l'accès EmployeeSSID des employés avec l'accès complet
| Périphérique | Adresse IP | VLAN |
| ISE | 10.201.214.230 | 463 |
| Catalyst Switch | 10.201.235.102 | 1115 |
| WLC | 10.201.214.229 | 463 |
| Point d'accès | 10.201.214.138 | 455 |
| Nom | Nom d'utilisateur | Groupe d'AD | SG | SGT |
| Jason Smith | jsmith | Consultants | BYODconsultants | 15 |
| Sortie Smith | ssmith | Employés | BYODemployees | 7 |
| S/O | S/O | S/O | TrustSec_Devices | 2 |
Configurations
Configurez TrustSec sur ISE
Configurez Cisco ISE en tant que serveur d'AAA de TrustSec
Configurez et vérifiez le commutateur est ajouté comme périphérique de RADIUS à Cisco ISE
Configurez et vérifiez WLC est ajouté comme périphérique de TrustSec à Cisco ISE
Entrez dans vos qualifications de procédure de connexion pour le SSH. Ceci permet à Cisco ISE de déployer la charge statique IP--SGT aux mappages vers le commutateur
Vous créerez ces derniers dans le GUI de Web de Cisco ISE sous des centres de travail >> TrustSec >> des composants >> des mappages statiques IP SGT dans une étape ci-dessous
Conseil : Si vous n'avez pas encore configuré le SSH sur votre commutateur de Catalyst, vous pouvez suivre le guide ci-dessous.
Comment configurer le Protocole Secure Shell (SSH) sur le commutateur de Catalyst
Conseil : Si vous ne voulez pas permettre à Cisco ISE d'accéder à votre commutateur de Catalyst au-dessus de SSH, vous pouvez créer la charge statique IP--SGT aux mappages sur le commutateur de Catalyst utilisant le CLI à la place (affiché dans une étape ci-dessous).
(Facultatif) vérifiez les configurations par défaut de TrustSec pour s'assurer qu'elles sont acceptables
Créez les balises de groupe de sécurité pour des utilisateurs de sans fil
Créez le groupe de sécurité pour BYODconsultants - SGT 15
Créez le groupe de sécurité pour BYODemployees - SGT 7
Créez la charge statique IP--SGT au mappage pour le web server restreint
(faites ceci pour tous les autres adresses IP ou sous-réseaux dans votre réseau qui n'authentifient pas à Cisco ISE par l'intermédiaire du MAB, 802.1x, profilant, etc.)
Créez le profil d'authentification de certificat
Créez l'ordre de source d'identité utilisant le profil d'authentification de certificat d'en haut
Assignez à des utilisateurs de sans fil (des employés et des consultants) un SGT approprié
| Nom | Nom d'utilisateur | Groupe d'AD | SG | SGT |
| Jason Smith | jsmith | Consultants | BYODconsultants | 15 |
| Sortie Smith | ssmith | Employés | BYODemployees | 7 |
| S/O | S/O | S/O | TrustSec_Devices | 2 |
Assignez SGTs aux périphériques réels eux-mêmes (commutateur et WLC)
Définissez SGACLs pour spécifier la stratégie de sortie
Permettez aux consultants pour accéder à n'importe où externe mais pour limiter interne
Permettez aux employés pour accéder à n'importe où externe et n'importe où interne
(Facultatif) permettez l'autre accès de périphériques aux services de base
Réorientez tous les utilisateurs finaux à Cisco ISE (pour la redirection portaile BYOD) - n'incluent pas des DN, le DHCP, le ping ou le trafic de WebAuth car ceux ne devraient pas aller à Cisco ISE
Imposez votre ACLs sur la matrice de stratégie de TrustSec à Cisco ISE
Permettez aux consultants pour accéder à n'importe où externe mais pour limiter des web server internes tels que https://10.201.214.132
Permettez aux employés pour accéder à n'importe où externe et pour permettre des web server internes
Permettez le trafic d'administration (SSH, HTTPS, CAPWAP) à/de vos périphériques sur le commutateur de réseau (et le WLC) ainsi vous ne perdez pas l'accès de SSH ou HTTPS une fois que vous déployez le Cisco TrustSec
L'enable Cisco ISE « permettent plusieurs SGACLs »
Cliquez sur le « pousser » dans l'angle supérieur droit de Cisco ISE d'abaisser votre configuration à vos périphériques. Vous devrez faire ceci de nouveau plus tard aussi bien.
Configurez TrustSec sur le commutateur de Catalyst
Configurez le commutateur pour utiliser le Cisco TrustSec pour l'AAA sur le commutateur de Catalyst
Conseil : Ce document suppose que vos utilisateurs de sans fil déjà font avec succès BYOD par l'intermédiaire de Cisco ISE avant de configurer tout ci-dessous. Les commandes ci-dessous dans le gris ci-dessous ont été déjà configurées avant ceci (pour que la radio BYOD fonctionne par l'intermédiaire d'ISE)
CatalystSwitch(config)#aaa new-model
CatalystSwitch(config)#aaa server radius policy-device
CatalystSwitch(config)#ip device tracking
CatalystSwitch(config)#radius server CISCOISE
CatalystSwitch(config-radius-server)#address ipv4 10.201.214.230 auth-port 1812 acct-port 1813
CatalystSwitch(config)#aaa group server radius AAASERVER
CatalystSwitch(config-sg-radius)#server name CISCOISE
CatalystSwitch(config)#aaa authentication dot1x default group radius
CatalystSwitch(config)#cts authorization list SGLIST
CatalystSwitch(config)#aaa authorization network SGLIST group radius
CatalystSwitch(config)#aaa authorization network default group AAASERVER
CatalystSwitch(config)#aaa authorization auth-proxy default group AAASERVER
CatalystSwitch(config)#aaa accounting dot1x default start-stop group AAASERVER
CatalystSwitch(config)#aaa server radius policy-device
CatalystSwitch(config)#aaa server radius dynamic-author
CatalystSwitch(config-locsvr-da-radius)#client 10.201.214.230 server-key Admin123
Remarque: Ce qui précède principal pac doit être identique que RADIUS a partagé le secret que vous avez spécifié sous des « périphériques de gestion >> de réseau >> ajoutez la section de configurations de périphérique >> d'authentification de RADIUS »
CatalystSwitch(config)#radius-server attribute 6 on-for-login-auth
CatalystSwitch(config)#radius-server attribute 6 support-multiple
CatalystSwitch(config)#radius-server attribute 8 include-in-access-req
CatalystSwitch(config)#radius-server attribute 25 access-request include
CatalystSwitch(config)#radius-server vsa send authentication
CatalystSwitch(config)#radius-server vsa send accounting
CatalystSwitch(config)#dot1x system-auth-control
Configurez la clé PAC sous le serveur de RADIUS pour authentifier le commutateur à Cisco ISE
CatalystSwitch(config)#radius server CISCOISE
CatalystSwitch(config-radius-server)#address ipv4 10.201.214.230 auth-port 1812 acct-port 1813
CatalystSwitch(config-radius-server)#pac key Admin123
Remarque: Ce qui précède principal pac doit être identique que RADIUS a partagé le secret que vous avez spécifié sous des « périphériques de gestion >> de réseau >> ajoutez la section de configurations de périphérique >> d'authentification de RADIUS » à Cisco ISE (dans le tir d'écran ci-dessus)
Configurez les qualifications CTS pour authentifier le commutateur à Cisco ISE
CatalystSwitch#cts credentials id CatalystSwitch password Admin123
Remarque: Les qualifications de cts ci-dessus doivent être identiques que l'ID de périphérique + le mot de passe que vous avez spécifié sous des « périphériques de gestion >> de réseau >> ajoutent le périphérique >> section avancée de configurations de TrustSec » à Cisco ISE (dans le tir d'écran ci-dessus)
Puis, régénérez votre PAC ainsi il atteint à Cisco ISE de nouveau :
CatalystSwitch(config)#radius server CISCOISE
CatalystSwitch(config-radius-server)#exit
Request successfully sent to PAC Provisioning driver.
Enable CTS globalement sur le commutateur de Catalyst
CatalystSwitch(config)#cts role-based enforcement
CatalystSwitch(config)#cts role-based enforcement vlan-list 1115 (choose the vlan that your end user devices are on only)
Facultatif : Faites une charge statique IP--SGT au mappage pour les serveurs Web restreints
Que le serveur Web restreint n'est pas livré par ISE pour l'authentification jamais, ainsi nous doit l'étiqueter manuellement utilisant le GUI du commutateur CLI ou du Web ISE c.-à-d. qu'il est juste un de beaucoup de web server nous avons à notre société
CatalystSwitch(config)#cts role-based sgt-map 10.201.214.132 sgt 8
Vérifiez TrustSec sur le commutateur de Catalyst
CatalystSwitch#show cts pac
AID: EF2E1222E67EB4630A8B22D1FF0216C1
PAC-Info:
PAC-type = Cisco Trustsec
AID: EF2E1222E67EB4630A8B22D1FF0216C1
I-ID: CatalystSwitch
A-ID-Info: Identity Services Engine
Credential Lifetime: 23:43:14 UTC Nov 24 2018
PAC-Opaque: 000200B80003000100040010EF2E1222E67EB4630A8B22D1FF0216C10006009C0003010025D40D409A0DDAF352A3F1A9884AC3F6000000135B7B521C00093A801FDEE189F60E30C0A161D16267E8C01B7EBE13EAEAFE31D6CF105961F877CD87DFB13D8ED5EBFFB5234FD78E01ECF034431C1AA4B25F3629E7037F386106110A1C450A57FFF49E3BB8973164B2710FB514697AD916BBF7052983B2DCA1951B936243E7D2A2D873C9D263F34C9F5F9E7E38249FD749125B5DD02962C2
Refresh timer is set for 12w5d
CatalystSwitch#cts refresh environment-data
Environment data download in progress
CatalystSwitch#show cts environment-data
CTS Environment Data
====================
Current state = COMPLETE
Last status = Successful
Local Device SGT:
SGT tag = 2-02:TrustSec_Devices
Server List Info:
Installed list: CTSServerList1-0001, 1 server(s):
*Server: 10.201.214.230, port 1812, A-ID EF2E1222E67EB4630A8B22D1FF0216C1
Status = ALIVE flag(0x11)
auto-test = TRUE, keywrap-enable = FALSE, idle-time = 60 mins, deadtime = 20 secs
Multicast Group SGT Table:
Security Group Name Table:
0001-31 :
0-00:Unknown
2-00:TrustSec_Devices
3-00:Network_Services
4-00:Employees
5-00:Contractors
6-00:Guests
7-00:BYODemployees
8-00:EmployeeServer
15-00:BYODconsultants
255-00:Quarantined_Systems
Transport type = CTS_TRANSPORT_IP_UDP
Environment Data Lifetime = 86400 secs
Last update time = 16:04:29 UTC Sat Aug 25 2018
Env-data expires in 0:23:57:01 (dd:hr:mm:sec)
Env-data refreshes in 0:23:57:01 (dd:hr:mm:sec)
Cache data applied = NONE
State Machine is running
CatalystSwitch#show cts role-based sgt-map all
Active IPv4-SGT Bindings Information
IP Address SGT Source
============================================
10.201.214.132 8 CLI
10.201.235.102 2 INTERNAL
IP-SGT Active Bindings Summary
============================================
Total number of CLI bindings = 1
Total number of INTERNAL bindings = 1
Total number of active bindings = 2
Configurez TrustSec sur WLC
Configurez et vérifiez WLC est ajouté comme périphérique de RADIUS à Cisco ISE
Configurez et vérifiez WLC est ajouté comme périphérique de TrustSec à Cisco ISE
Cette étape permet à Cisco ISE de déployer la charge statique IP--SGT aux mappages vers le WLC. Vous avez créé ces mappages dans le GUI de Web de Cisco ISE sous des centres de travail >> TrustSec >> des composants >> des mappages statiques IP SGT dans une étape précédente
Remarque: Nous utiliserons ces id et mot de passe de périphérique dans une étape ci-dessous sous la Sécurité >> le TrustSec >> le général dans le Web UI WLC
Ravitaillement PAC d'enable sur WLC
Enable TrustSec sur WLC
Remarque: L'id + le mot de passe de périphérique CTS ci-dessus doivent être identique que l'id + le mot de passe de périphérique que vous avez spécifié sous des « périphériques de gestion >> de réseau >> ajoutent le périphérique >> section avancée de configurations de TrustSec » à Cisco ISE
Vérifiez le PAC provisioned sur WLC
Vous verrez que le WLC a le PAC provisioned avec succès après avoir cliqué sur pour régénérer des données d'environnement (vous ferez ceci dans l'étape ci-dessous)
Données d'environnement du téléchargement CTS de Cisco ISE à WLC
Après avoir cliqué sur régénérez les données ENV que votre WLC téléchargera votre SGTs
Téléchargements et application de l'enable SGACL sur le trafic
Assignez WLC et Point d'accès le SGT de 2 (TrustSec_Devices)
Donnez au WLC+WLAN un SGT de 2 (TrustSec_Devices) pour permettre le trafic (SSH, HTTPS, CAPWAP) à/de le notre WLC + AP par le commutateur
Étiquetage intégré d'enable sur WLC
Sous la radio >> les Points d'accès >> la configuration globale >> faites descendre l'écran - cliquez sur le « config de TrustSec » :
Étiquetage intégré d'enable sur le commutateur de Catalyst
CatalystSwitch(config)#interface TenGigabitEthernet1/0/48
CatalystSwitch(config-if)#description goestoWLC
CatalystSwitch(config-if)#switchport trunk native vlan 15
CatalystSwitch(config-if)#switchport trunk allowed vlan 15,455,463,1115
CatalystSwitch(config-if)#switchport mode trunk
CatalystSwitch(config-if)#cts role-based enforcement
CatalystSwitch(config-if)#cts manual
CatalystSwitch(config-if-cts-manual)#policy static sgt 2 trusted
Vérifiez
Matériel de compteurs d'acl de plate-forme de CatalystSwitch#show | inc. SGACL
Baisse de l'ipv4 SGACL de sortie (454) : 10 trames
Baisse de l'IPv6 SGACL de sortie (455) : trames 0
Baisse de cellules de l'ipv4 SGACL de sortie (456) : trames 0
Baisse de cellules de l'IPv6 SGACL de sortie (457) : trames 0
Conseil : Si vous utilisez un Cisco ASR, un Nexus, ou un Cisco ASA à la place, la documentation ci-dessous peut aider à vérifier vos taggings SGT sont imposées :
https://community.cisco.com/t5/security-documents/trustsec-troubleshooting-guide/ta-p/3647576
Authentifiez à la radio utilisant le mot de passe Admin123 de jsmith de nom d'utilisateur - vous frapperez l'ACL de refuser dans le commutateur :
CommentairesContacter Cisco
- Ouvrir un dossier d’assistance
- (Un contrat de service de Cisco est requis)