Avez-vous un compte?

  •   Contenu personnalisé
  •   Vos produits et votre soutien technique

Vous voulez un compte?

Créer un compte

Comment configurer le Cisco TrustSec (SGTs) utilisant Cisco ISE (étiquetage d'en ligne)

Options de téléchargement

  • PDF     (3.7 MB)
    Consulter à l'aide d'Adobe Reader sur un grand nombre d’appareils
  • ePub     (3.2 MB)
    Consulter à l’aide de différentes applications sur iPhone, iPad, Android ou Windows Phone
  • Mobi (Kindle)     (3.1 MB)
    Consulter sur un appareil Kindle ou à l’aide d’une application Kindle sur plusieurs appareils
Mis à jour:6 septembre 2018
ID du document:213616
À propos des traductions

À propos de cette traduction

Cisco a traduit ce document en traduction automatisée vérifiée par une personne dans le cadre d’un service mondial permettant à nos utilisateurs d’obtenir le contenu d’assistance dans leur propre langue. Il convient cependant de noter que même la meilleure traduction automatisée ne sera pas aussi précise que celle fournie par un traducteur professionnel.

Contenu

    Introduction

    Ce document décrit comment configurer et vérifier la caractéristique de Cisco TrustSec sur un commutateur Cisco Catalyst et un contrôleur Sans fil de réseau local de Cisco à l'aide du Logiciel Cisco Identity Services Engine

    Conditions préalables

    Cisco vous recommande de prendre connaissance des rubriques suivantes :

    • Connaissance de base des composants du Cisco TrustSec (CTS)
    • Connaissance de base de configuration CLI des Commutateurs de Catalyst
    • Connaissance de base de configuration GUI des contrôleurs LAN de radio de Cisco
    • Expérience avec la configuration du Cisco Identity Services Engine (ISE)

    Exigences

    Vous devez avoir Cisco ISE déployé dans votre réseau, et les utilisateurs finaux doivent authentifier à Cisco ISE par l'intermédiaire du 802.1x (ou de toute autre méthode) quand ils se connectent à la radio ou ont câblé. Cisco ISE assignera à leur trafic une balise de groupe de sécurité (SGT) une fois qu'ils authentifient à votre réseau Sans fil.

    Dans notre exemple ci-dessous, des utilisateurs finaux sont réorientés à Cisco ISE BYOD portail et provisioned un certificat ainsi ils peuvent sécurisé accéder au réseau Sans fil par l'intermédiaire de l'EAP-TLS une fois qu'ils se terminent les étapes de portail BYOD.

    Composants utilisés

    Les informations contenues dans ce document sont basées sur les versions de matériel et de logiciel suivantes :

    • Logiciel Cisco Identity Services Engine exécutant 2.4
    • Commutateur de Cisco Catalyst 3850 exécutant 3.7.5E
    • Cisco WLC exécutant 8.5.120.0
    • Point d'accès sans fil de Cisco Aironet en mode local

    Avant de déployer le Cisco TrustSec, vérifiez votre commutateur Cisco Catalyst et/ou les modèles + la version de logiciel de Cisco WLC+AP a le soutien de :

    • TrustSec/groupe de sécurité de balises
    • Étiquetage d'en ligne (sinon, vous pouvez utiliser SXP au lieu de l'étiquetage d'en ligne)
    • Charge statique IP--SGT aux mappages (si nécessaire)
    • Charge statique Sous-réseau--SGT aux mappages (si nécessaire)
    • Charge statique VLAN--SGT aux mappages (si nécessaire)

    Configurer

    Diagramme du réseau

    Dans notre exemple, le WLC étiquette les paquets comme SGT 15 si d'un consultant + d'un SGT 7 si d'un employé

    Le commutateur refusera paquets s'ils sont de SGT 15 à SGT 8 (les consultants ne peuvent pas des serveurs d'accès étiquetés comme SGT 8)

    Le commutateur permettra paquets s'ils sont de SGT 7 à SGT 8 (l'employé peut des serveurs d'accès étiquetés comme SGT 8)

    But
    Permis n'importe qui accéder à GuestSSID
    Permettez l'accès EmployeeSSID de consultants mais avec l'accès restreint
    Permettez l'accès EmployeeSSID des employés avec l'accès complet

      

    Périphérique Adresse IP VLAN
    ISE 10.201.214.230 463
    Catalyst Switch 10.201.235.102 1115
    WLC 10.201.214.229 463
    Point d'accès 10.201.214.138 455
    Nom Nom d'utilisateur Groupe d'AD SG SGT
    Jason Smith jsmith Consultants BYODconsultants 15
    Sortie Smith ssmith Employés BYODemployees 7
    S/O S/O S/O TrustSec_Devices 2

    Configurations

    Configurez TrustSec sur ISE

    Configurez Cisco ISE en tant que serveur d'AAA de TrustSec

    Configurez et vérifiez le commutateur est ajouté comme périphérique de RADIUS à Cisco ISE

    Configurez et vérifiez WLC est ajouté comme périphérique de TrustSec à Cisco ISE

    Entrez dans vos qualifications de procédure de connexion pour le SSH. Ceci permet à Cisco ISE de déployer la charge statique IP--SGT aux mappages vers le commutateur
    Vous créerez ces derniers dans le GUI de Web de Cisco ISE sous des centres de travail >> TrustSec >> des composants >> des mappages statiques IP SGT dans une étape ci-dessous

    Conseil : Si vous n'avez pas encore configuré le SSH sur votre commutateur de Catalyst, vous pouvez suivre le guide ci-dessous.
    Comment configurer le Protocole Secure Shell (SSH) sur le commutateur de Catalyst

    Conseil : Si vous ne voulez pas permettre à Cisco ISE d'accéder à votre commutateur de Catalyst au-dessus de SSH, vous pouvez créer la charge statique IP--SGT aux mappages sur le commutateur de Catalyst utilisant le CLI à la place (affiché dans une étape ci-dessous).

    (Facultatif) vérifiez les configurations par défaut de TrustSec pour s'assurer qu'elles sont acceptables

    Créez les balises de groupe de sécurité pour des utilisateurs de sans fil

    Créez le groupe de sécurité pour BYODconsultants - SGT 15
    Créez le groupe de sécurité pour BYODemployees - SGT 7

    Créez la charge statique IP--SGT au mappage pour le web server restreint

    (faites ceci pour tous les autres adresses IP ou sous-réseaux dans votre réseau qui n'authentifient pas à Cisco ISE par l'intermédiaire du MAB, 802.1x, profilant, etc.)

    Créez le profil d'authentification de certificat

    Créez l'ordre de source d'identité utilisant le profil d'authentification de certificat d'en haut

     Assignez à des utilisateurs de sans fil (des employés et des consultants) un SGT approprié
    Nom Nom d'utilisateur Groupe d'AD SG SGT
    Jason Smith jsmith Consultants BYODconsultants 15
    Sortie Smith ssmith Employés BYODemployees 7
    S/O S/O S/O TrustSec_Devices 2

    Assignez SGTs aux périphériques réels eux-mêmes (commutateur et WLC)

    Définissez SGACLs pour spécifier la stratégie de sortie

    Permettez aux consultants pour accéder à n'importe où externe mais pour limiter interne

    Permettez aux employés pour accéder à n'importe où externe et n'importe où interne

    (Facultatif) permettez l'autre accès de périphériques aux services de base

    Réorientez tous les utilisateurs finaux à Cisco ISE (pour la redirection portaile BYOD) - n'incluent pas des DN, le DHCP, le ping ou le trafic de WebAuth car ceux ne devraient pas aller à Cisco ISE

    Imposez votre ACLs sur la matrice de stratégie de TrustSec à Cisco ISE

    Permettez aux consultants pour accéder à n'importe où externe mais pour limiter des web server internes tels que https://10.201.214.132

    Permettez aux employés pour accéder à n'importe où externe et pour permettre des web server internes

    Permettez le trafic d'administration (SSH, HTTPS, CAPWAP) à/de vos périphériques sur le commutateur de réseau (et le WLC) ainsi vous ne perdez pas l'accès de SSH ou HTTPS une fois que vous déployez le Cisco TrustSec

    L'enable Cisco ISE « permettent plusieurs SGACLs »

    Cliquez sur le « pousser » dans l'angle supérieur droit de Cisco ISE d'abaisser votre configuration à vos périphériques. Vous devrez faire ceci de nouveau plus tard aussi bien.

    Configurez TrustSec sur le commutateur de Catalyst

    Configurez le commutateur pour utiliser le Cisco TrustSec pour l'AAA sur le commutateur de Catalyst

    Conseil : Ce document suppose que vos utilisateurs de sans fil déjà font avec succès BYOD par l'intermédiaire de Cisco ISE avant de configurer tout ci-dessous. Les commandes ci-dessous dans le gris ci-dessous ont été déjà configurées avant ceci (pour que la radio BYOD fonctionne par l'intermédiaire d'ISE)

    CatalystSwitch(config)#aaa new-model
    CatalystSwitch(config)#aaa server radius policy-device
    CatalystSwitch(config)#ip device tracking

    CatalystSwitch(config)#radius server CISCOISE
    CatalystSwitch(config-radius-server)#address ipv4 10.201.214.230 auth-port 1812 acct-port 1813

    CatalystSwitch(config)#aaa group server radius AAASERVER
    CatalystSwitch(config-sg-radius)#server name CISCOISE

    CatalystSwitch(config)#aaa authentication dot1x default group radius
    CatalystSwitch(config)#cts authorization list SGLIST
    CatalystSwitch(config)#aaa authorization network SGLIST group radius
    CatalystSwitch(config)#aaa authorization network default group AAASERVER
    CatalystSwitch(config)#aaa authorization auth-proxy default group AAASERVER
    CatalystSwitch(config)#aaa accounting dot1x default start-stop group AAASERVER

    CatalystSwitch(config)#aaa server radius policy-device

    CatalystSwitch(config)#aaa server radius dynamic-author
    CatalystSwitch(config-locsvr-da-radius)#client 10.201.214.230 server-key Admin123

    Remarque: Ce qui précède principal pac doit être identique que RADIUS a partagé le secret que vous avez spécifié sous des « périphériques de gestion >> de réseau >> ajoutez la section de configurations de périphérique >> d'authentification de RADIUS »

    CatalystSwitch(config)#radius-server attribute 6 on-for-login-auth
    CatalystSwitch(config)#radius-server attribute 6 support-multiple
    CatalystSwitch(config)#radius-server attribute 8 include-in-access-req
    CatalystSwitch(config)#radius-server attribute 25 access-request include
    CatalystSwitch(config)#radius-server vsa send authentication
    CatalystSwitch(config)#radius-server vsa send accounting
    CatalystSwitch(config)#dot1x system-auth-control
     Configurez la clé PAC sous le serveur de RADIUS pour authentifier le commutateur à Cisco ISE
    CatalystSwitch(config)#radius server CISCOISE
    CatalystSwitch(config-radius-server)#address ipv4 10.201.214.230 auth-port 1812 acct-port 1813
    CatalystSwitch(config-radius-server)#pac key Admin123

    Remarque: Ce qui précède principal pac doit être identique que RADIUS a partagé le secret que vous avez spécifié sous des « périphériques de gestion >> de réseau >> ajoutez la section de configurations de périphérique >> d'authentification de RADIUS » à Cisco ISE (dans le tir d'écran ci-dessus)

    Configurez les qualifications CTS pour authentifier le commutateur à Cisco ISE
    CatalystSwitch#cts credentials id CatalystSwitch password Admin123

    Remarque: Les qualifications de cts ci-dessus doivent être identiques que l'ID de périphérique + le mot de passe que vous avez spécifié sous des « périphériques de gestion >> de réseau >> ajoutent le périphérique >> section avancée de configurations de TrustSec » à Cisco ISE (dans le tir d'écran ci-dessus)

    Puis, régénérez votre PAC ainsi il atteint à Cisco ISE de nouveau :

    CatalystSwitch(config)#radius server CISCOISE
    CatalystSwitch(config-radius-server)#exit
     Request successfully sent to PAC Provisioning driver.
    Enable CTS globalement sur le commutateur de Catalyst
    CatalystSwitch(config)#cts role-based enforcement
    CatalystSwitch(config)#cts role-based enforcement vlan-list 1115 (choose the vlan that your end user devices are on only)
    Facultatif : Faites une charge statique IP--SGT au mappage pour les serveurs Web restreints

    Que le serveur Web restreint n'est pas livré par ISE pour l'authentification jamais, ainsi nous doit l'étiqueter manuellement utilisant le GUI du commutateur CLI ou du Web ISE c.-à-d. qu'il est juste un de beaucoup de web server nous avons à notre société

    CatalystSwitch(config)#cts role-based sgt-map 10.201.214.132 sgt 8
    Vérifiez TrustSec sur le commutateur de Catalyst
    CatalystSwitch#show cts pac
     AID: EF2E1222E67EB4630A8B22D1FF0216C1
     PAC-Info:
     PAC-type = Cisco Trustsec
     AID: EF2E1222E67EB4630A8B22D1FF0216C1
     I-ID: CatalystSwitch
     A-ID-Info: Identity Services Engine
     Credential Lifetime: 23:43:14 UTC Nov 24 2018
     PAC-Opaque: 000200B80003000100040010EF2E1222E67EB4630A8B22D1FF0216C10006009C0003010025D40D409A0DDAF352A3F1A9884AC3F6000000135B7B521C00093A801FDEE189F60E30C0A161D16267E8C01B7EBE13EAEAFE31D6CF105961F877CD87DFB13D8ED5EBFFB5234FD78E01ECF034431C1AA4B25F3629E7037F386106110A1C450A57FFF49E3BB8973164B2710FB514697AD916BBF7052983B2DCA1951B936243E7D2A2D873C9D263F34C9F5F9E7E38249FD749125B5DD02962C2
     Refresh timer is set for 12w5d
    CatalystSwitch#cts refresh environment-data
    Environment data download in progress
    CatalystSwitch#show cts environment-data
    CTS Environment Data
    ====================
    Current state = COMPLETE
    Last status = Successful
    Local Device SGT:
     SGT tag = 2-02:TrustSec_Devices
    Server List Info:
    Installed list: CTSServerList1-0001, 1 server(s):
     *Server: 10.201.214.230, port 1812, A-ID EF2E1222E67EB4630A8B22D1FF0216C1
     Status = ALIVE flag(0x11)
     auto-test = TRUE, keywrap-enable = FALSE, idle-time = 60 mins, deadtime = 20 secs
    Multicast Group SGT Table:
    Security Group Name Table:
     0001-31 :
     0-00:Unknown
     2-00:TrustSec_Devices
     3-00:Network_Services
     4-00:Employees
     5-00:Contractors
     6-00:Guests
     7-00:BYODemployees
     8-00:EmployeeServer
     15-00:BYODconsultants
     255-00:Quarantined_Systems
    Transport type = CTS_TRANSPORT_IP_UDP
    Environment Data Lifetime = 86400 secs
    Last update time = 16:04:29 UTC Sat Aug 25 2018
    Env-data expires in 0:23:57:01 (dd:hr:mm:sec)
    Env-data refreshes in 0:23:57:01 (dd:hr:mm:sec)
    Cache data applied = NONE
    State Machine is running
    CatalystSwitch#show cts role-based sgt-map all
    Active IPv4-SGT Bindings Information

    IP Address SGT Source
    ============================================
    10.201.214.132 8 CLI
    10.201.235.102 2 INTERNAL

    IP-SGT Active Bindings Summary
    ============================================
    Total number of CLI bindings = 1
    Total number of INTERNAL bindings = 1
    Total number of active bindings = 2

    Configurez TrustSec sur WLC

    Configurez et vérifiez WLC est ajouté comme périphérique de RADIUS à Cisco ISE

    Configurez et vérifiez WLC est ajouté comme périphérique de TrustSec à Cisco ISE

    Cette étape permet à Cisco ISE de déployer la charge statique IP--SGT aux mappages vers le WLC. Vous avez créé ces mappages dans le GUI de Web de Cisco ISE sous des centres de travail >> TrustSec >> des composants >> des mappages statiques IP SGT dans une étape précédente

    Remarque: Nous utiliserons ces id et mot de passe de périphérique dans une étape ci-dessous sous la Sécurité >> le TrustSec >> le général dans le Web UI WLC

    Ravitaillement PAC d'enable sur WLC

    Enable TrustSec sur WLC

    Remarque: L'id + le mot de passe de périphérique CTS ci-dessus doivent être identique que l'id + le mot de passe de périphérique que vous avez spécifié sous des « périphériques de gestion >> de réseau >> ajoutent le périphérique >> section avancée de configurations de TrustSec » à Cisco ISE

    Vérifiez le PAC provisioned sur WLC

    Vous verrez que le WLC a le PAC provisioned avec succès après avoir cliqué sur pour régénérer des données d'environnement (vous ferez ceci dans l'étape ci-dessous)

    Données d'environnement du téléchargement CTS de Cisco ISE à WLC

    Après avoir cliqué sur régénérez les données ENV que votre WLC téléchargera votre SGTs

    Téléchargements et application de l'enable SGACL sur le trafic

    Assignez WLC et Point d'accès le SGT de 2 (TrustSec_Devices)

    Donnez au WLC+WLAN un SGT de 2 (TrustSec_Devices) pour permettre le trafic (SSH, HTTPS, CAPWAP) à/de le notre WLC + AP par le commutateur

    Étiquetage intégré d'enable sur WLC

    Sous la radio >> les Points d'accès >> la configuration globale >> faites descendre l'écran - cliquez sur le « config de TrustSec » :

    Étiquetage intégré d'enable sur le commutateur de Catalyst

    CatalystSwitch(config)#interface TenGigabitEthernet1/0/48
    CatalystSwitch(config-if)#description goestoWLC
    CatalystSwitch(config-if)#switchport trunk native vlan 15
    CatalystSwitch(config-if)#switchport trunk allowed vlan 15,455,463,1115
    CatalystSwitch(config-if)#switchport mode trunk
    CatalystSwitch(config-if)#cts role-based enforcement
    CatalystSwitch(config-if)#cts manual
    CatalystSwitch(config-if-cts-manual)#policy static sgt 2 trusted

    Vérifiez

    Matériel de compteurs d'acl de plate-forme de CatalystSwitch#show | inc. SGACL
    Baisse de l'ipv4 SGACL de sortie (454) : 10 trames
    Baisse de l'IPv6 SGACL de sortie (455) : trames 0
    Baisse de cellules de l'ipv4 SGACL de sortie (456) : trames 0
    Baisse de cellules de l'IPv6 SGACL de sortie (457) : trames 0

    Conseil : Si vous utilisez un Cisco ASR, un Nexus, ou un Cisco ASA à la place, la documentation ci-dessous peut aider à vérifier vos taggings SGT sont imposées :
    https://community.cisco.com/t5/security-documents/trustsec-troubleshooting-guide/ta-p/3647576

    Authentifiez à la radio utilisant le mot de passe Admin123 de jsmith de nom d'utilisateur - vous frapperez l'ACL de refuser dans le commutateur :

    TAC Authored

    Contribution d’experts de Cisco

    • Corbin Hadley

    Ce document vous est-il utile?

    FeedbackCommentaires

    Contacter Cisco

    Discussions connexes de communautés de Cisco

    Ce document s’applique à ces produits

    Suivez-nous
    Salle de presseÉvénementsBloguesCommunauté
    À propos de nous
    Communiquer Avec Nous
    Travailler Avec Nous