Dans le cadre de la documentation associée à ce produit, nous nous efforçons d’utiliser un langage exempt de préjugés. Dans cet ensemble de documents, le langage exempt de discrimination renvoie à une langue qui exclut la discrimination en fonction de l’âge, des handicaps, du genre, de l’appartenance raciale de l’identité ethnique, de l’orientation sexuelle, de la situation socio-économique et de l’intersectionnalité. Des exceptions peuvent s’appliquer dans les documents si le langage est codé en dur dans les interfaces utilisateurs du produit logiciel, si le langage utilisé est basé sur la documentation RFP ou si le langage utilisé provient d’un produit tiers référencé. Découvrez comment Cisco utilise le langage inclusif.
Cisco a traduit ce document en traduction automatisée vérifiée par une personne dans le cadre d’un service mondial permettant à nos utilisateurs d’obtenir le contenu d’assistance dans leur propre langue. Il convient cependant de noter que même la meilleure traduction automatisée ne sera pas aussi précise que celle fournie par un traducteur professionnel.
Ce document décrit comment configurer et vérifier TrustSec sur un commutateur Catalyst et un contrôleur de réseau local sans fil avec Identity Services Engine.
Cisco vous recommande de prendre connaissance des rubriques suivantes :
Cisco ISE doit être déployé sur votre réseau et les utilisateurs finaux doivent s'authentifier auprès de Cisco ISE avec 802.1x (ou une autre méthode) lorsqu'ils se connectent à un réseau sans fil ou filaire. Cisco ISE attribue une balise de groupe de sécurité (SGT) à leur trafic une fois qu'ils se sont authentifiés sur votre réseau sans fil.
Dans notre exemple, les utilisateurs finaux sont redirigés vers le portail Cisco ISE Bring Your Own Device (BYOD) et reçoivent un certificat leur permettant d'accéder en toute sécurité au réseau sans fil avec le protocole EAP-TLS (Extensible Authentication Protocol-Transport Layer Security) une fois qu'ils ont terminé les étapes du portail BYOD.
Les informations contenues dans ce document sont basées sur les versions de matériel et de logiciel suivantes :
Avant le déploiement de Cisco TrustSec, vérifiez que votre commutateur Cisco Catalyst et/ou les modèles Cisco WLC+AP + version logicielle prennent en charge les éléments suivants :
The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. Si votre réseau est en ligne, assurez-vous de bien comprendre l’incidence possible des commandes.
Dans notre exemple, le WLC marque les paquets comme SGT 15 s'ils proviennent d'un consultant, et + SGT 7 s'ils proviennent d'un employé.
Le commutateur refuse ces paquets s'ils sont de SGT 15 à SGT 8 (les consultants ne peuvent pas accéder aux serveurs étiquetés SGT 8).
Le commutateur autorise ces paquets s'ils sont de SGT 7 à SGT 8 (les employés peuvent accéder aux serveurs étiquetés SGT 8).
Permettre à quiconque d'accéder à GuestSSID.
Autoriser les consultants à accéder au SSID Employé, mais avec un accès restreint.
Autoriser les employés à accéder à EmployeeSSID avec un accès complet.
Périphérique | Adresse IP | VLAN |
ISE | 10.201.214.230 | 463 |
Catalyst Switch | 10.201.235.102 | 1115 |
WLC | 10.201.214.229 | 463 |
Point d'accès | 10.201.214.138 | 455 |
Nom | Nom d’utilisateur | Groupe AD | SG | SGT |
Jason Smith | maréchal-ferrant | Consultants | consultants pour le BYOD | 15 |
Sally Smith | maréchal-ferrant | Employés | Employés BYOD | 7 |
S/O | S/O | S/O | Périphériques_TrustSec | 2 |
Entrez vos informations de connexion pour SSH. Cela permet à Cisco ISE de déployer les mappages statiques IP vers SGT sur le commutateur.
Vous pouvez les créer dans l'interface utilisateur graphique Web de Cisco ISE sous Work Centers >> TrustSec >> Components >> IP SGT Static Mappings
comme indiqué ici :
Conseil : Si vous n'avez pas encore configuré SSH sur votre commutateur Catalyst, vous pouvez utiliser ce guide : Comment configurer Secure Shell (SSH) sur le commutateur Catalyst.
Conseil : si vous ne souhaitez pas autoriser Cisco ISE à accéder à votre commutateur Catalyst via SSH, vous pouvez créer des mappages IP-vers-SGT statiques sur le commutateur Catalyst à l'aide de l'interface de ligne de commande (CLI) (voir l'étape ci-dessous).
Créer un groupe de sécurité pour les consultants BYOD - SGT 15
Créer un groupe de sécurité pour les employés BYOD - SGT 7
(Effectuez cette opération pour toutes les autres adresses IP ou sous-réseaux de votre réseau qui ne s'authentifient pas auprès de Cisco ISE avec MAC Authentication Bypass (MAB), 802.1x, profils, etc.)
Nom | Nom d’utilisateur | Groupe AD | SG | SGT |
Jason Smith | maréchal-ferrant | Consultants | consultants pour le BYOD | 15 |
Sally Smith | maréchal-ferrant | Employés | Employés BYOD | 7 |
S/O | S/O | S/O | Périphériques_TrustSec | 2 |
Autoriser les consultants à accéder à tout emplacement externe, mais restreindre les accès internes :
Permettre aux employés d'accéder à n'importe quel emplacement externe et interne :
(Facultatif) Autorisez d'autres périphériques à accéder aux services de base :
Rediriger tous les utilisateurs finaux vers Cisco ISE (pour la redirection du portail BYOD). N'incluez pas le trafic DNS, DHCP, ping ou WebAuth, car ils ne peuvent pas accéder à Cisco ISE :
Autoriser les consultants à accéder à n'importe quel emplacement externe, mais restreindre les serveurs Web internes, tels que https://10.201.214.132
Autoriser les employés à accéder à tout emplacement externe et autoriser les serveurs Web internes :
Autorisez le trafic de gestion (SSH, HTTPS et CAPWAP) vers/depuis vos périphériques sur le réseau (commutateur et WLC) afin de ne pas perdre l'accès SSH ou HTTPS une fois que vous avez déployé Cisco TrustSec :
Permettre à Cisco ISE Allow Multiple SGACLs
:
Cliquer Push
, dans l'angle supérieur droit de Cisco ISE, pour transférer votre configuration vers vos périphériques. Vous devez le faire à nouveau plus tard également :
Conseil : ce document suppose que vos utilisateurs sans fil ont déjà réussi le BYOD par Cisco ISE avant la configuration présentée ici.
Les commandes indiquées en gras ont déjà été configurées avant cela (afin que BYOD Wireless fonctionne avec ISE)
CatalystSwitch(config)#aaa new-model
CatalystSwitch(config)#aaa server radius policy-device
CatalystSwitch(config)#ip device tracking
CatalystSwitch(config)#radius server CISCOISE
CatalystSwitch(config-radius-server)#address ipv4 10.201.214.230 auth-port 1812 acct-port 1813
CatalystSwitch(config)#aaa group server radius AAASERVER
CatalystSwitch(config-sg-radius)#server name CISCOISE
CatalystSwitch(config)#aaa authentication dot1x default group radius
CatalystSwitch(config)#cts authorization list SGLIST
CatalystSwitch(config)#aaa authorization network SGLIST group radius
CatalystSwitch(config)#aaa authorization network default group AAASERVER
CatalystSwitch(config)#aaa authorization auth-proxy default group AAASERVER
CatalystSwitch(config)#aaa accounting dot1x default start-stop group AAASERVER
CatalystSwitch(config)#aaa server radius policy-device
CatalystSwitch(config)#aaa server radius dynamic-author
CatalystSwitch(config-locsvr-da-radius)#client 10.201.214.230 server-key Admin123
Remarque : la clé PAC doit être identique à la clé secrète partagée RADIUS que vous avez spécifiée dans la Administration >> Network Devices >> Add Device >> RADIUS Authentication Settings
de l'Aide.
CatalystSwitch(config)#radius-server attribute 6 on-for-login-auth
CatalystSwitch(config)#radius-server attribute 6 support-multiple
CatalystSwitch(config)#radius-server attribute 8 include-in-access-req
CatalystSwitch(config)#radius-server attribute 25 access-request include
CatalystSwitch(config)#radius-server vsa send authentication
CatalystSwitch(config)#radius-server vsa send accounting
CatalystSwitch(config)#dot1x system-auth-control
CatalystSwitch(config)#radius server CISCOISE
CatalystSwitch(config-radius-server)#address ipv4 10.201.214.230 auth-port 1812 acct-port 1813
CatalystSwitch(config-radius-server)#pac key Admin123
Remarque : la clé PAC doit être identique à la clé secrète partagée RADIUS que vous avez spécifiée sous la Administration >> Network Devices >> Add Device >> RADIUS Authentication Settings
dans Cisco ISE (comme illustré dans la capture d'écran).
CatalystSwitch#cts credentials id CatalystSwitch password Admin123
Remarque : les informations d'identification CTS doivent être identiques à l'ID de périphérique + mot de passe que vous avez spécifié dans 'Les informations d'identification CTS doivent être identiques à l'ID de périphérique + mot de passe que vous avez spécifié dans le Administration >> Network Devices >> Add Device >> Advanced TrustSec Settings
dans Cisco ISE (illustré dans la capture d'écran).
Ensuite, actualisez votre PAC afin qu'il atteigne à nouveau Cisco ISE :
CatalystSwitch(config)#radius server CISCOISE
CatalystSwitch(config-radius-server)#exit
Request successfully sent to PAC Provisioning driver.
CatalystSwitch(config)#cts role-based enforcement
CatalystSwitch(config)#cts role-based enforcement vlan-list 1115 (choose the vlan that your end user devices are on only)
Ce serveur Web restreint ne passe jamais par ISE pour l'authentification. Nous devons donc l'étiqueter manuellement avec l'interface de ligne de commande du commutateur ou l'interface utilisateur graphique Web ISE, c'est-à-dire qu'il ne s'agit que d'un des nombreux serveurs Web de Cisco.
CatalystSwitch(config)#cts role-based sgt-map 10.201.214.132 sgt 8
CatalystSwitch#show cts pac
AID: EF2E1222E67EB4630A8B22D1FF0216C1
PAC-Info:
PAC-type = Cisco Trustsec
AID: EF2E1222E67EB4630A8B22D1FF0216C1
I-ID: CatalystSwitch
A-ID-Info: Identity Services Engine
Credential Lifetime: 23:43:14 UTC Nov 24 2018
PAC-Opaque: 000200B80003000100040010EF2E1222E67EB4630A8B22D1FF0216C10006009C0003010025D40D409A0DDAF352A3F1A9884AC3F6000000135B7B521C00093A801FDEE189F60E30C0A161D16267E8C01B7EBE13EAEAFE31D6CF105961F877CD87DFB13D8ED5EBFFB5234FD78E01ECF034431C1AA4B25F3629E7037F386106110A1C450A57FFF49E3BB8973164B2710FB514697AD916BBF7052983B2DCA1951B936243E7D2A2D873C9D263F34C9F5F9E7E38249FD749125B5DD02962C2
Refresh timer is set for 12w5d
CatalystSwitch#cts refresh environment-data
Environment data download in progress
CatalystSwitch#show cts environment-data
CTS Environment Data
====================
Current state = COMPLETE
Last status = Successful
Local Device SGT:
SGT tag = 2-02:TrustSec_Devices
Server List Info:
Installed list: CTSServerList1-0001, 1 server(s):
*Server: 10.201.214.230, port 1812, A-ID EF2E1222E67EB4630A8B22D1FF0216C1
Status = ALIVE flag(0x11)
auto-test = TRUE, keywrap-enable = FALSE, idle-time = 60 mins, deadtime = 20 secs
Multicast Group SGT Table:
Security Group Name Table:
0001-31 :
0-00:Unknown
2-00:TrustSec_Devices
3-00:Network_Services
4-00:Employees
5-00:Contractors
6-00:Guests
7-00:BYODemployees
8-00:EmployeeServer
15-00:BYODconsultants
255-00:Quarantined_Systems
Transport type = CTS_TRANSPORT_IP_UDP
Environment Data Lifetime = 86400 secs
Last update time = 16:04:29 UTC Sat Aug 25 2018
Env-data expires in 0:23:57:01 (dd:hr:mm:sec)
Env-data refreshes in 0:23:57:01 (dd:hr:mm:sec)
Cache data applied = NONE
State Machine is running
CatalystSwitch#show cts role-based sgt-map all
Active IPv4-SGT Bindings Information
IP Address SGT Source
============================================
10.201.214.132 8 CLI
10.201.235.102 2 INTERNAL
IP-SGT Active Bindings Summary
============================================
Total number of CLI bindings = 1
Total number of INTERNAL bindings = 1
Total number of active bindings = 2
Cette étape permet à Cisco ISE de déployer des mappages IP-vers-SGT statiques sur le WLC. Vous avez créé ces mappages dans l'interface utilisateur graphique Web de Cisco ISE dans Work Centers >> TrustSec >> Components >> IP SGT Static Mappings à l'étape précédente.
Remarque : nous utilisons cette Device ld
et Password
dans une étape ultérieure, dans Security >> TrustSec >> General
dans l'interface utilisateur Web du WLC.
Remarque : le CTS Device Id
et Password
doit être identique à la Device Id
et Password
que vous avez spécifié dans Administration >> Network Devices >> Add Device >> Advanced TrustSec Settings
dans Cisco ISE.
Vous voyez le WLC a le PAC provisionné avec succès après avoir cliqué sur Refresh Env Data
(vous effectuez cette opération dans cette étape) :
Après avoir cliqué sur Refresh Env Data
, votre WLC télécharge vos SGT.
Attribuez au WLC+WLAN un SGT de 2 (TrustSec_Devices) pour autoriser le trafic (SSH, HTTPS et CAPWAP) vers/depuis le WLC+AP via le commutateur.
Sous Wireless >> Access Points >> Global Configuration >>
faites défiler vers le bas et sélectionnez TrustSec Config
.
CatalystSwitch(config)#interface TenGigabitEthernet1/0/48
CatalystSwitch(config-if)#description goestoWLC
CatalystSwitch(config-if)#switchport trunk native vlan 15
CatalystSwitch(config-if)#switchport trunk allowed vlan 15,455,463,1115
CatalystSwitch(config-if)#switchport mode trunk
CatalystSwitch(config-if)#cts role-based enforcement
CatalystSwitch(config-if)#cts manual
CatalystSwitch(config-if-cts-manual)#policy static sgt 2 trusted
CatalystSwitch#show platform compteurs d'acl matériel | SGACL inc
Sortie IPv4 SGACL Drop (454) : 10 trames
Sortie SGACL IPv6 Drop (455) : 0 trame
Perte de cellule SGACL IPv4 en sortie (456) : 0 trame
Perte de cellule SGACL IPv6 en sortie (457) : 0 trame
Conseil : si vous utilisez plutôt Cisco ASR, Nexus ou Cisco ASA, le document répertorié ici peut vous aider à vérifier que vos balises SGT sont appliquées : Guide de dépannage TrustSec.
Authentifiez-vous sur le réseau sans fil avec le nom d'utilisateur jsmith password Admin123 - vous rencontrez la liste de contrôle d'accès deny dans le commutateur :
Révision | Date de publication | Commentaires |
---|---|---|
2.0 |
22-Nov-2022 |
Révisé pour se conformer aux normes de publication actuelles de Cisco.com. |
1.0 |
31-Aug-2018 |
Première publication |