Configuration d'IBNS 2.0 pour les scénarios à hôte unique et multidomaine
Contenu
Introduction
Ce document décrit comment configurer Identity Based Networking Services 2.0 (IBNS) pour des scénarios à hôte unique et multidomaine.
Conditions préalables
Conditions requises
Cisco vous recommande de prendre connaissance des rubriques suivantes :
- Protocole EAPoL (Extensible Authentication Protocol over Local Area Network)
- protocole Radius
- Cisco Identity Services Engine version 2.0
Components Used
Les informations contenues dans ce document sont basées sur les versions de matériel et de logiciel suivantes :
- Correctif 2 de Cisco Identity Service Engine version 2.0
- Point de terminaison avec Windows 7 OS
- Commutateur Cisco 3750X avec IOS 15.2(4)E1
- Commutateur Cisco 3850 avec 03.02.03.SE
- Téléphone IP Cisco 9971
Les informations de ce document sont créées à partir des périphériques d'un environnement de travaux pratiques spécifique. All of the devices used in this document started with a cleared (default) configuration. If your network is live, make sure that you understand the potential impact of any command.
Configuration
Théorie de configuration
Pour activer IBNS 2.0, vous devez exécuter la commande en mode privilégié sur votre commutateur Cisco :
#authentication display new-style
Configurez switchport pour IBNS 2.0 avec les commandes comme indiqué :
access-session host-mode {single-host | multi-domain | multi-auth}
access-session port-control auto
dot1x pae authenticator
{mab}
service-policy type control subscriber TEST
Ces commandes activent l'authentification dot1x et éventuellement le contournement de l'authentification MAC (MAB) sur l'interface. Lorsque vous suivez la nouvelle syntaxe, vous utilisez des commandes qui commencent par access-session. L'objectif de ces commandes est le même que pour les commandes qui utilisent l'ancienne syntaxe (en commençant par le mot clé d'authentification). Appliquez service-policy pour spécifier policy-map qui doit être utilisé pour l'interface.
Le policy-map mentionné ci-dessus définit le comportement du commutateur (authentificateur) lors de l'authentification. Par exemple, vous pouvez spécifier ce qui doit se produire en cas d'échec de l'authentification. Pour chaque événement, vous pouvez configurer plusieurs actions en fonction du type d'événement correspondant dans class-map configuré sous celui-ci. Par exemple, examinez la liste comme indiqué (policy-map TEST4). Si le point de terminaison dot1x connecté à l'interface où cette stratégie est appliquée échoue, l'action définie dans DOT1X_FAILED est exécutée. Si vous souhaitez spécifier le même comportement pour des classes comme MAB_FAILED et DOT1X_FAILED, vous pouvez utiliser la classe par défaut - class-map toujours.
policy-map type control subscriber TEST4 (...) event authentication-failure match-first 10 class DOT1X_FAILED do-until-failure 10 terminate dot1x (...) 40 class always do-until-failure 10 terminate mab 20 terminate dot1x 30 authentication-restart 60 (...)
La carte de stratégie utilisée pour IBNS 2.0 doit toujours avoir un abonné de contrôle de type.
Vous pouvez afficher la liste des événements disponibles de cette manière :
Switch(config-event-control-policymap)#event ? aaa-available aaa-available event absolute-timeout absolute timeout event agent-found agent found event authentication-failure authentication failure event authentication-success authentication success event authorization-failure authorization failure event inactivity-timeout inactivity timeout event session-started session started event tag-added tag to apply event tag-removed tag to remove event template-activated template activated event template-activation-failed template activation failed event template-deactivated template deactivated event template-deactivation-failed template deactivation failed event timer-expiry timer-expiry event violation session violation event
Dans la configuration d'événements, vous avez la possibilité de définir comment les classes doivent être évaluées :
Switch(config-event-control-policymap)#event authentication-failure ? match-all Evaluate all the classes match-first Evaluate the first class
Vous pouvez définir une option similaire pour class-maps, bien que vous spécifiez ici comment exécuter les actions au cas où votre classe serait mise en correspondance :
Switch(config-class-control-policymap)#10 class always ? do-all Execute all the actions do-until-failure Execute actions until one of them fails do-until-success Execute actions until one of them is successful
La dernière partie (facultative) de la configuration dans un nouveau style de dot1x est class-map.Elle doit également taper control abber et elle est utilisée pour correspondre à un comportement ou un trafic spécifique. Configurez les exigences pour l'évaluation de condition class-map. Vous pouvez spécifier que toutes les conditions doivent être mises en correspondance ou que toutes les conditions doivent être mises en correspondance ou qu'aucune des conditions ne doit correspondre.
Switch(config)#class-map type control subscriber ? match-all TRUE if everything matches in the class-map match-any TRUE if anything matches in the class-map match-none TRUE if nothing matches in the class-map
Voici un exemple de class-map utilisé pour la correspondance de l'échec d'authentification dot1x :
class-map type control subscriber match-all DOT1X_FAILED match method dot1x match result-type method dot1x authoritative
Pour certains scénarios, principalement lorsque le modèle de service est utilisé, vous devez ajouter une configuration pour le changement d'autorisation (CoA) :
aaa server radius dynamic-author client 10.48.17.232 server-key cisco
Scénario pour hôte unique
Diagramme du réseau
Configurations
Configuration 802.1X de base requise pour un scénario hôte unique testé sur Catalyst 3750X avec IOS 15.2(4)E1. Scénario testé avec Windows Native Supplicant et Cisco AnyConnect.
aaa new-model ! aaa group server radius tests server name RAD-1 ! aaa authentication dot1x default group tests aaa authorization network default group tests ! dot1x system-auth-control ! policy-map type control subscriber TEST event session-started match-all 10 class always do-until-failure 10 authenticate using dot1x priority 10 ! interface GigabitEthernet1/0/21 switchport access vlan 613 switchport mode access access-session host-mode single-host access-session port-control auto dot1x pae authenticator service-policy type control subscriber TEST ! radius server RAD-1 address ipv4 10.48.17.232 auth-port 1812 acct-port 1813 key cisco
Scénario pour multidomaine
Diagramme du réseau
Configurations
Le scénario multidomaine a été testé sur Catalyst 3850 avec IOS 03.02.03.SE en raison de la configuration PoE (Power over Ethernet) requise pour le téléphone IP (téléphone IP Cisco 9971).
aaa new-model ! aaa group server radius tests server name RAD-1 ! aaa authentication dot1x default group tests aaa authorization network default group tests ! aaa server radius dynamic-author client 10.48.17.232 server-key cisco ! dot1x system-auth-control ! class-map type control subscriber match-all DOT1X match method dot1x ! class-map type control subscriber match-all DOT1X_FAILED match method dot1x match result-type method dot1x authoritative ! class-map type control subscriber match-all DOT1X_NO_RESP match method dot1x match result-type method dot1x agent-not-found ! class-map type control subscriber match-all MAB match method mab ! class-map type control subscriber match-all MAB_FAILED match method mab match result-type method mab authoritative ! policy-map type control subscriber TEST4 event session-started match-all 10 class always do-until-failure 10 authenticate using dot1x priority 10 20 authenticate using mab priority 20 event authentication-failure match-first 10 class DOT1X_FAILED do-until-failure 10 terminate dot1x 20 class MAB_FAILED do-until-failure 10 terminate mab 20 authenticate using dot1x priority 10 30 class DOT1X_NO_RESP do-until-failure 10 terminate dot1x 20 authentication-restart 60 40 class always do-until-failure 10 terminate mab 20 terminate dot1x 30 authentication-restart 60 event agent-found match-all 10 class always do-until-failure 10 terminate mab 20 authenticate using dot1x priority 10 event authentication-success match-all 10 class always do-until-failure 10 activate service-template DEFAULT_LINKSEC_POLICY_SHOULD_SECURE ! interface GigabitEthernet1/0/1 switchport access vlan 613 switchport mode access switchport voice vlan 612 access-session host-mode multi-domain access-session port-control auto mab dot1x pae authenticator spanning-tree portfast service-policy type control subscriber TEST4 ! radius-server attribute 6 on-for-login-auth radius-server attribute 8 include-in-access-req radius-server attribute 25 access-request include radius-server vsa send cisco-nas-port ! radius server RAD-1 address ipv4 10.48.17.232 auth-port 1812 acct-port 1813 key cisco
Vérification
Utilisez cette section pour confirmer que votre configuration fonctionne correctement.
À des fins de vérification, utilisez cette commande pour répertorier les sessions de tous les ports de commutation :
show access-session
Vous pouvez également afficher des informations détaillées sur les sessions à partir d'un port de commutation unique :
show access-session interface [Gi 1/0/1] {detail}
Dépannage
Cette section fournit des informations que vous pouvez utiliser pour dépanner votre configuration.
Afin de résoudre les problèmes liés à la norme 802.1X, vous pouvez activer les débogages de la même manière que pour la syntaxe 802.1X de style ancien :
debug mab all
debug dot1x all
debug pre all*
* Facultativement pour debug pre, vous pouvez utiliser uniquement des événements et/ou des règles pour limiter la sortie aux informations pertinentes d'IBNS 2.0.
CommentairesContacter Cisco
- Ouvrir un dossier d’assistance
- (Un contrat de service de Cisco est requis)