Avez-vous un compte?
Ce document fournit un exemple de configuration afin de configurer Beacon et Cisco Secure Access Control System (ACS) 5.x et versions ultérieures pour permettre aux périphériques Cisco configurés pour le contournement d'authentification MAC (MAB) d'authentifier efficacement et efficacement les périphériques non compatibles 802.1X dans le réseau authentifié.
Cisco a mis en oeuvre une fonctionnalité appelée MAB sur ses commutateurs, ainsi que la prise en charge requise dans ACS, afin de prendre en charge les points d'extrémité dans les réseaux compatibles 802.1X qui ne peuvent pas s'authentifier via 802.1X. Cette fonctionnalité garantit que les terminaux qui tentent de se connecter au réseau 802.1X et qui ne sont pas équipés de la fonctionnalité 802.1X, par exemple, ne disposent pas d'un demandeur 802.1X fonctionnel, peuvent être authentifiés avant l'admission, et que la politique d'utilisation de base du réseau est appliquée tout au long de leur connexion.
La fonction MAB permet au réseau d'être configuré pour autoriser les périphériques identifiés à utiliser leur adresse MAC comme informations d'identification principales lorsque le périphérique ne participe pas au protocole 802.1X. Pour que MAB soit déployé et utilisé efficacement, l'environnement doit disposer d'un moyen d'identifier les périphériques de l'environnement qui ne sont pas capables d'authentification 802.1X, et de tenir à jour une base de données de ces périphériques au fil du temps, au fur et à mesure des déplacements, des ajouts et des modifications. Cette liste doit être renseignée et mise à jour manuellement dans le serveur d'authentification (ACS) ou par d'autres moyens afin de s'assurer que les périphériques qui s'authentifient sur MAC sont terminés et valides à tout moment.
Le profileur de point de terminaison de balise peut automatiser le processus d'identification des points de terminaison non authentifiants, ceux qui n'ont pas de supplicants 802.1X, et le maintien de la validité de ces points de terminaison dans des réseaux de différentes tailles sur la fonctionnalité de profilage de point de terminaison et de surveillance du comportement. Grâce à une interface LDAP standard, le système Beacon peut servir de base de données externe ou de répertoire des points d'extrémité à authentifier via MAB. Lorsqu'une demande MAB est reçue de l'infrastructure de périphérie, ACS peut interroger le système Beacon afin de déterminer si un point de terminaison donné doit être admis au réseau en fonction des informations les plus récentes sur le point de terminaison connu par Beacon. Cela évite la nécessité d'une configuration manuelle.
Pour une configuration similaire utilisant des versions antérieures à ACS 5.x, référez-vous à NAC : Exemple de configuration de l'intégration LDAP avec ACS.
Aucune spécification déterminée n'est requise pour ce document.
Les informations contenues dans ce document sont basées sur les versions de matériel et de logiciel suivantes :
Commutateur Cisco 3750 qui exécute le logiciel Cisco IOS® Version 12.2(25)SEE2
Cisco Secure ACS 5.x et versions ultérieures
Les informations contenues dans ce document ont été créées à partir des périphériques d'un environnement de laboratoire spécifique. All of the devices used in this document started with a cleared (default) configuration. If your network is live, make sure that you understand the potential impact of any command.
Pour plus d'informations sur les conventions utilisées dans ce document, reportez-vous à Conventions relatives aux conseils techniques Cisco.
Le MAB est une fonctionnalité essentielle pour la prise en charge dynamique de périphériques tels que les imprimantes, les téléphones IP, les télécopieurs et autres périphériques non compatibles 802.1X dans l'environnement après le déploiement de la norme 802.1X. Sans fonction MAB, les ports d'accès réseau qui fournissent la connectivité aux points d'extrémité non compatibles 802.1X doivent être provisionnés de manière statique afin de ne pas tenter l'authentification 802.1X ou par l'utilisation d'autres fonctionnalités qui offrent des options de stratégie très limitées. Pour des raisons évidentes, cela n'est pas évolutif dans les environnements de grandes entreprises. Avec la fonction MAB activée conjointement à la norme 802.1X sur tous les ports d'accès, les terminaux non compatibles 802.1X connus peuvent être déplacés n'importe où dans l'environnement et se connecter au réseau de manière fiable (et sécurisée). Comme les périphériques admis au réseau sont en cours d'authentification, différentes stratégies peuvent être appliquées à différents périphériques.
En outre, les terminaux non compatibles 802.1X qui ne sont pas connus dans l'environnement, tels que les ordinateurs portables appartenant à des visiteurs ou à des sous-traitants, peuvent bénéficier d'un accès limité au réseau via le MAB si nécessaire.
Comme le nom l'indique, le contournement de l'authentification MAC utilise l'adresse MAC du point de terminaison comme informations d'identification principales. Lorsque MAB est activé sur un port d'accès, si un point d'extrémité se connecte et ne répond pas au défi d'authentification 802.1X, le port repasse en mode MAB. Le commutateur qui tente le MAB d'un point d'extrémité envoie une requête RADIUS standard à ACS avec l'adresse MAC de la station. Il tente de se connecter au réseau et demande l'authentification du point de terminaison à ACS avant l'admission du point de terminaison au réseau.
Ce diagramme illustre comment le MAB est utilisé en conjonction avec l'authentification 802.1X sur l'infrastructure de périphérie Cisco lorsque de nouveaux terminaux tentent de se connecter au réseau.
Ce document utilise ce workflow Organigramme :
Figure 1 : Flux d'authentification
L'ACS peut être configuré pour utiliser sa propre base de données interne ou un serveur LDAP externe afin d'authentifier les requêtes d'utilisateur d'adresse MAC. Le système Beacon Endpoint Profiler est entièrement compatible LDAP par défaut et peut être utilisé par ACS afin d'authentifier les demandes d'adresse MAC par le biais de la fonctionnalité LDAP standard. Étant donné que Beacon automatise à la fois la découverte et le profilage de tous les points d'extrémité du réseau, ACS peut interroger Beacon via LDAP afin de déterminer si l'adresse MAC doit être admise au réseau et quel groupe le point d'extrémité doit être mappé. Cela automatise et améliore considérablement la fonction MAB, en particulier dans les environnements de grandes entreprises.
Grâce à la fonctionnalité de surveillance comportementale fournie par Beacon, les périphériques qui se comportent de manière incohérente avec les profils activés pour MAB sont transférés à partir de 4 profils LDAP et échouent par la suite la prochaine tentative régulière de réauthentification.
La configuration du système Beacon pour l'intégration à ACS aux fins de la prise en charge MAB est simple car la fonctionnalité LDAP est activée par défaut. La tâche principale de configuration consiste à identifier les profils qui contiennent des points de terminaison qui doivent être authentifiés via MAB dans l'environnement, puis à activer ces profils pour LDAP. En règle générale, les profils de balise, qui contiennent des périphériques appartenant à l'organisation, doivent disposer d'un accès réseau lorsqu'ils sont vus sur un port mais qu'ils sont connus pour ne pas pouvoir s'authentifier via 802.1X. En règle générale, il s'agit de profils qui contiennent des imprimantes, des téléphones IP ou des onduleurs gérables comme exemples courants.
Si les imprimantes profilées par la balise ont été placées dans un profil nommé Imprimantes et téléphones IP dans un profil nommé Téléphones IP, par exemple, ces profils doivent être activés pour LDAP de sorte que les points de terminaison placés dans ces profils aboutissent à une authentification réussie en tant que téléphone IP et imprimantes connus dans l'environnement via MAB. Si vous activez un profil pour LDAP, vous devez sélectionner la case d'option LDAP dans la configuration du profil de point de terminaison, comme indiqué dans cet exemple :
Figure 2 : Activer un profil pour LDAP
Lorsque ACS proxie l'authentification MAC à Beacon via LDAP, la requête se compose de deux sous-requêtes. Ces deux éléments doivent renvoyer un résultat non nul valide. La première requête à Beacon est de savoir si l'adresse MAC est connue ou non par Beacon, par exemple, si elle a été découverte et ajoutée à la base de données Beacon. Si le point de terminaison n'a pas encore été découvert par la balise, le point de terminaison est considéré comme inconnu.
La deuxième requête n'est pas nécessaire dans le cas de points de terminaison que Beacon n'a pas détectés et ne se trouve pas dans sa base de données. Si le point de terminaison a été découvert et se trouve dans la base de données Beacon, la requête suivante consiste à déterminer le profil actuel du point de terminaison. Si un point de terminaison n'a pas encore été profilé ou se trouve actuellement dans un profil qui n'est pas activé pour LDAP, le résultat inconnu est retourné à ACS et l'authentification du point de terminaison par balise échoue. Cela dépend de la configuration de l'ACS, qui peut entraîner un refus total d'accès au réseau pour le périphérique ou une politique appropriée pour les périphériques inconnus ou invités.
Ce n'est que dans le cas où l'adresse MAC est un point de terminaison que Beacon a découvert et placé dans un profil compatible LDAP que la réponse est que le point de terminaison est connu et que Profile by Beacon est renvoyé à ACS. Plus important encore, pour ces terminaux, la balise fournit le nom de profil actuel. Cela permet à ACS de mapper les points de terminaison connus aux groupes Cisco SecureAccess. Cela permet une détermination granulaire de la stratégie, aussi granulaire qu'une stratégie distincte pour chaque profil LDAP de balise, si nécessaire.
La configuration d'ACS pour MAB et l'utilisation de Beacon en tant que base de données utilisateur externe nécessitent trois étapes distinctes. L'ordre illustré dans ce document suit un flux de travail efficace lorsqu'il exécute la configuration MAB dans son intégralité, et peut varier pour les systèmes qui ont fonctionné avec d'autres modes d'authentification déjà configurés.
Lorsque vous tentez MAB pour un point de terminaison particulier qui tente de se connecter au réseau, ACS interroge Beacon sur LDAP afin de déterminer si Beacon a détecté l'adresse MAC et quel Profile Beacon a actuellement placé l'adresse MAC dans comme décrit précédemment dans le document.
Dans ce document, deux profils distincts sont créés :
BeaconKnownDevices : pour les points de terminaison détectés et profilés par la balise
BeaconUnknownDevices : pour les périphériques qui ne sont pas actuellement connus par Beacon
Soit Beacon n'a pas trouvé l'adresse MAC, soit il ne l'a pas encore profilée dans un profil compatible LDAP. Le profil BeaconKnownDevices place les points de terminaison dans VLAN 10 et le profil BeaconUnkownDevices place les points de terminaison dans VLAN 7.
Plus loin dans ce document, une connexion LDAP au Beacon Endpoint Profiler d'ACS est créée et des groupes sont choisis à partir du Beacon Endpoint Profiler en fonction desquels les points de terminaison seront considérés comme des périphériques BeaconKnown et se verront attribuer le profil BeaconKnownDevices (qui les placera dans VLAN 10). Tous les périphériques inconnus que Beacon n'a pas découvert l'adresse MAC ou ne l'a pas encore profilée dans un profil compatible LDAP se verront attribuer le profil BeaconUnkownDevices (qui les placera dans VLAN 7).
Complétez ces étapes afin de créer un profil d'autorisation :
Choisissez Eléments de stratégie > Autorisation et autorisations > Accès réseau > Profils d'autorisation et cliquez sur Créer pour créer un nouveau profil d'autorisation.
Indiquez le nom du nouveau profil d'autorisation.
Dans l'onglet Common Tasks, définissez le VLAN sur Static avec la valeur comme 10. Puis, cliquez sur Submit.
Choisissez Eléments de stratégie > Autorisation et autorisations > Accès réseau > Profils d'autorisation et cliquez sur Créer pour créer un nouveau profil d'autorisation.
Indiquez le nom du nouveau profil d'autorisation.
Dans l'onglet Common Tasks, définissez le VLAN sur Static avec la Valeur comme 7. Puis, cliquez sur Submit.
Suivez les étapes ci-dessous afin de créer une connexion de base de données LDAP :
Choisissez Utilisateurs et magasins d'identités > Magasins d'identités externes > LDAP et cliquez sur Créer pour créer une nouvelle connexion à la base de données LDAP.
Indiquez un nom pour la nouvelle connexion à la base de données LDAP et cliquez sur Suivant.
Dans l'onglet Connexion au serveur, saisissez le nom d'hôte/l'adresse IP du serveur LDAP BEACON, le port, le nom de domaine Admin et le mot de passe (GBSbeacon dans cet exemple). Cliquez ensuite sur Next.
Dans l'onglet Organisation du répertoire, saisissez les informations requises. Cliquez ensuite sur Finish.
Cliquez sur la nouvelle connexion LDAP (balise dans cet exemple).
Sélectionnez l'onglet Groupes de répertoires et cliquez sur Sélectionner. connexion.
Sélectionnez tous les groupes dans l'écran suivant que vous voulez mapper à BeaconKnownDevices.
Dans cet exemple, ces groupes, à savoir lab_portable, 3com_gear et apple_users, sont choisis. Puis, cliquez sur Submit.
Complétez ces étapes afin de configurer les services d'accès :
Choisissez Access Policies > Access Services et cliquez sur Create pour créer un nouveau service Access.
Dans l'onglet Général, indiquez le Nom du nouveau service, puis cliquez sur Sélectionner en regard de Modèle de service.
Choisissez Network Access - MAC Authentication Bypass et cliquez sur OK.
Cliquez sur Next (Suivant).
Cliquez sur Finish.
Cliquez sur Yes.
Cliquez sur Personnaliser.
Déplacez UseCase de Available à Selected et cliquez sur OK.
Cliquez sur Créer pour créer une règle de sélection de service.
Sélectionnez Protocole et utilisez Radius comme valeur. De même, sélectionnez UseCase et utilisez Host Lookup comme valeur. Choisissez Beacon-Auth comme service et cliquez sur OK.
Déplacer la règle nouvellement créée vers le haut.
Cliquez sur Enregistrer les modifications.
Choisissez Access Policies > Access Services > Beacon-Auth > Identity et cliquez sur Select en regard de Identity Source.
Choisissez Beacon et cliquez sur OK.
Cliquez sur Enregistrer les modifications.
Choisissez Access Policies > Access Services > Beacon-Auth > Authorization et cliquez sur Customize.
Déplacer la balise :ExternalGroups de Disponible à Sélectionné et cliquez sur OK.
Cliquez sur Créer pour créer une règle.
Choisissez 3com_users, apple_users et lab_portable comme conditions et le résultat du profil d'autorisation BeaconKnownDevices comme résultat. Cliquez ensuite sur OK.
Cliquez sur Valeur par défaut.
Choisissez 3com_users, apple_users et lab_portable comme conditions et le profil d'autorisation BeaconUnKnownDevices comme résultat. Cliquez ensuite sur OK.
Cliquez sur Enregistrer les modifications.
La procédure est terminée.
Cette configuration de commutateur fournit un exemple de configuration pour l'authentification 802.1X avec MAB activé et la réaffectation dynamique de VLAN requise afin d'appliquer les attributs RADIUS retournés par ACS.
Commutateur |
---|
switch#show running-config ! version 12.2 no service pad service timestamps debug uptime service timestamps log datetime service password-encryption service sequence-numbers ! ! aaa new-model aaa authentication login default line aaa authentication enable default enable aaa authentication dot1x default group radius aaa authorization network default group radius aaa accounting dot1x default start-stop group radius ! aaa session-id common switch 1 provision ws-c3750g-24ts ip subnet-zero ip routing no ip domain-lookup ! ! ! ! ! ! dot1x system-auth-control no file verify auto spanning-tree mode pvst spanning-tree extend system-id ! vlan internal allocation policy ascending ! ! interface Port-channel1 switchport trunk encapsulation dot1q switchport trunk allowed vlan 5,7,9,10 ! interface Port-channel2 description LAG/trunk to einstein switchport trunk encapsulation dot1q switchport trunk allowed vlan 5,9,10 switchport mode trunk ! interface Port-channel3 description "LAG to Edison" switchport access vlan 5 switchport trunk encapsulation dot1q switchport trunk allowed vlan 5,9,11 switchport mode trunk ! interface GigabitEthernet1/0/1 switchport trunk encapsulation dot1q switchport trunk allowed vlan 5,7,9,10 channel-group 1 mode passive ! interface GigabitEthernet1/0/2 switchport trunk encapsulation dot1q switchport trunk allowed vlan 5,7,9,10 channel-group 1 mode passive ! interface GigabitEthernet1/0/3 switchport trunk encapsulation dot1q switchport trunk allowed vlan 5,7,9,10 channel-group 1 mode passive ! interface GigabitEthernet1/0/4 switchport access vlan 7 switchport mode access ! interface GigabitEthernet1/0/5 switchport access vlan 5 switchport mode access spanning-tree portfast ! interface GigabitEthernet1/0/6 switchport trunk encapsulation dot1q switchport trunk allowed vlan 5,7,9 switchport mode trunk switchport nonegotiate ! interface GigabitEthernet1/0/7 switchport trunk encapsulation dot1q switchport trunk allowed vlan 5,9,10 switchport mode trunk channel-group 2 mode active ! interface GigabitEthernet1/0/8 switchport trunk encapsulation dot1q switchport trunk allowed vlan 5,9,10 switchport mode trunk channel-group 2 mode active ! interface GigabitEthernet1/0/9 switchport access vlan 5 switchport mode access spanning-tree portfast ! interface GigabitEthernet1/0/10 switchport access vlan 5 switchport mode access spanning-tree portfast ! interface GigabitEthernet1/0/11 switchport access vlan 5 switchport mode access spanning-tree portfast ! interface GigabitEthernet1/0/12 switchport access vlan 5 switchport mode access spanning-tree portfast ! interface GigabitEthernet1/0/13 switchport access vlan 5 switchport mode access spanning-tree portfast ! interface GigabitEthernet1/0/14 switchport access vlan 5 switchport mode access spanning-tree portfast ! interface GigabitEthernet1/0/15 switchport access vlan 5 switchport mode access spanning-tree portfast ! interface GigabitEthernet1/0/16 switchport access vlan 5 switchport mode access spanning-tree portfast ! interface GigabitEthernet1/0/17 switchport access vlan 5 switchport trunk encapsulation dot1q switchport trunk allowed vlan 5,9,11 switchport mode trunk channel-group 3 mode active spanning-tree portfast ! interface GigabitEthernet1/0/18 switchport access vlan 5 switchport trunk encapsulation dot1q switchport trunk allowed vlan 5,9,11 switchport mode trunk channel-group 3 mode active spanning-tree portfast ! interface GigabitEthernet1/0/19 switchport mode access dot1x mac-auth-bypass dot1x pae authenticator dot1x port-control auto dot1x timeout quiet-period 10 dot1x timeout reauth-period 60 dot1x timeout tx-period 10 dot1x timeout supp-timeout 10 dot1x max-req 1 dot1x reauthentication dot1x auth-fail max-attempts 1 spanning-tree portfast ! interface GigabitEthernet1/0/20 switchport mode access dot1x mac-auth-bypass dot1x pae authenticator dot1x port-control auto dot1x timeout quiet-period 10 dot1x timeout reauth-period 60 dot1x timeout tx-period 10 dot1x timeout supp-timeout 10 dot1x max-req 1 dot1x reauthentication dot1x auth-fail max-attempts 1 spanning-tree portfast ! interface GigabitEthernet1/0/21 switchport access vlan 10 switchport mode access spanning-tree portfast ! interface GigabitEthernet1/0/22 switchport access vlan 10 switchport mode access spanning-tree portfast ! interface GigabitEthernet1/0/23 switchport access vlan 10 spanning-tree portfast ! interface GigabitEthernet1/0/24 switchport access vlan 10 spanning-tree portfast ! interface GigabitEthernet1/0/25 ! interface GigabitEthernet1/0/26 ! interface GigabitEthernet1/0/27 ! interface GigabitEthernet1/0/28 ! interface Vlan1 no ip address shutdown ! interface Vlan5 ip address 10.1.1.10 255.255.255.0 ! interface Vlan9 ip address 10.9.0.1 255.255.0.0 ! interface Vlan10 ip address 10.10.0.1 255.255.0.0 ip helper-address 10.1.1.1 ip helper-address 10.10.0.204 ! interface Vlan11 ip address 10.11.0.1 255.255.0.0 ip helper-address 10.1.1.1 ip helper-address 10.10.0.204 ! ip default-gateway 10.1.1.1 ip classless ip route 0.0.0.0 0.0.0.0 10.1.1.1 ip route 10.30.0.0 255.255.0.0 10.10.0.2 ip route 10.40.0.0 255.255.0.0 10.10.0.2 ip http server ip http secure-server ! ! snmp-server community public RW snmp-server host 10.1.1.191 public radius-server host 10.10.0.100 auth-port 1645 acct-port 1646 key 7 05090A1A245F5E1B0C0612 radius-server source-ports 1645-1646 ! control-plane ! ! line con 0 password 7 02020D550C240E351F1B line vty 0 4 password 7 00001A0803790A125C74 line vty 5 15 password 7 00001A0803790A125C74 ! end |
Aucune procédure de vérification n'est disponible pour cette configuration.