Sécuriser un port de commutation AP Flexconnect avec Dot1x

Options de téléchargement

  • PDF     (321.6 KB)
    Consulter à l'aide d'Adobe Reader sur un grand nombre d'appareils
  • ePub     (279.7 KB)
    Consulter à l’aide de différentes applications sur iPhone, iPad, Android ou Windows Phone
  • Mobi (Kindle)     (298.7 KB)
    Consulter sur un appareil Kindle ou à l’aide d’une application Kindle sur plusieurs appareils
Mis à jour:31 mai 2022
ID du document:200492

Langage exempt de préjugés

Dans le cadre de la documentation associée à ce produit, nous nous efforçons d’utiliser un langage exempt de préjugés. Dans cet ensemble de documents, le langage exempt de discrimination renvoie à une langue qui exclut la discrimination en fonction de l’âge, des handicaps, du genre, de l’appartenance raciale de l’identité ethnique, de l’orientation sexuelle, de la situation socio-économique et de l’intersectionnalité. Des exceptions peuvent s’appliquer dans les documents si le langage est codé en dur dans les interfaces utilisateurs du produit logiciel, si le langage utilisé est basé sur la documentation RFP ou si le langage utilisé provient d’un produit tiers référencé. Découvrez comment Cisco utilise le langage inclusif.

À propos de cette traduction

Cisco a traduit ce document en traduction automatisée vérifiée par une personne dans le cadre d’un service mondial permettant à nos utilisateurs d’obtenir le contenu d’assistance dans leur propre langue. Il convient cependant de noter que même la meilleure traduction automatisée ne sera pas aussi précise que celle fournie par un traducteur professionnel.

    Introduction

    Ce document décrit la configuration pour sécuriser les ports de commutation où les points d'accès FlexConnect (AP) s'authentifient avec Dot1x en utilisant device-traffic-class=switch Radius VSA pour autoriser le trafic des LAN sans fil commutés localement (WLAN).

    Conditions préalables

    Conditions requises

    Cisco vous recommande de prendre connaissance des rubriques suivantes :

    • FlexConnect sur contrôleur de réseau local sans fil (WLC)
    • 802.1x sur les commutateurs Cisco
    • Topologie d'authentification de périphérie de réseau (NEAT)

    Components Used

    Les informations contenues dans ce document sont basées sur les versions de matériel et de logiciel suivantes :

    • WS-C3560CX-8PC-S, 15.2(4)E1

    • AIR-CT-2504-K9, 8.2.141.0
    • Identity Service Engine (ISE) 2.0
    • Points d'accès IOS (gamme x500, x600, x700).

    Les points d'accès de phase 2 basés sur le système d'exploitation AP ne prennent pas en charge flexconnect trunk dot1x au moment de l'écriture.

    The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. Si votre réseau est en ligne, assurez-vous de bien comprendre l’incidence possible des commandes.

    Configuration

    Diagramme du réseau

    network

      

    Dans cette configuration, le point d'accès agit en tant que demandeur 802.1x et est authentifié par le commutateur contre ISE en utilisant EAP-FAST. Une fois le port configuré pour l'authentification 802.1x, le commutateur n'autorise aucun trafic autre que le trafic 802.1x à traverser le port jusqu'à ce que le périphérique connecté au port s'authentifie correctement.

    Une fois que le point d'accès s'authentifie correctement contre ISE, le commutateur reçoit l'attribut Cisco VSA « device-traffic-class=switch » et déplace automatiquement le port vers le trunk.

    Cela signifie que si le point d'accès prend en charge le mode FlexConnect et a configuré des SSID commutés localement, il pourra envoyer du trafic étiqueté. Assurez-vous que la prise en charge du VLAN est activée sur le point d'accès et que le VLAN natif correct est configuré. 

    Configuration du point d'accès : -

    1. Si l'AP est déjà joint au WLC, accédez à l'onglet Wireless (Sans fil) et cliquez sur le point d'accès. Accédez au champ Informations d'identification et de connexion et sous l'en-tête Informations d'identification et de connexion du demandeur 802.1x, cochez la case Remplacer les informations d'identification globales pour définir le nom d'utilisateur et le mot de passe 802.1x pour ce point d'accès. 

    creds

    Vous pouvez également définir un nom d'utilisateur et un mot de passe de commande pour tous les points d'accès qui sont joints au WLC avec le menu Configuration globale.

    global-creds

    2. Si le point d'accès n'a pas encore rejoint un WLC, vous devez vous connecter en console au LAP pour définir les informations d'identification et utiliser cette commande CLI :

    LAP#debug capwap console cli
    LAP#capwap ap dot1x nom d'utilisateur <nom d'utilisateur> mot de passe <mot de passe> 

    Configuration du commutateur : -

    1. Activer dot1x sur le commutateur globalement et ajouter le serveur ISE au commutateur

    aaa new-model

    !
    aaa authentication dot1x default group radius

    !
    aaa Authorization network default group radius

    !

    dot1x system-auth-control

    !

    radius server ISE
    address ipv4 10.48.39.161 auth-port 1645 acct-port 1646
      clé 7 123A0C0411045D5679

    2. Maintenant, configurez le port du commutateur AP

    interface GigabitEthernet0/4
    switchport access vlan 231
    switchport trunk allowed vlan 231 232
    switchport mode access
    authentication host-mode multi-host
    authentication order dot1x
    authentication port-control auto
    dot1x pae authenticator
    spanning-tree portfast edge

    Configuration ISE : - 

    1. Sur ISE, on peut simplement activer NEAT pour le profil d'autorisation AP afin de définir l'attribut correct, cependant, sur d'autres serveurs RADIUS, vous pouvez configurer manuellement.

    authorization profile

    authorization result

    2. Sur ISE, il est également nécessaire de configurer la stratégie d'authentification et la stratégie d'autorisation. Dans ce cas, nous avons atteint la règle d'authentification par défaut qui est filaire dot1x mais on peut la personnaliser selon les besoins. 

    En ce qui concerne la stratégie d'autorisation (Port_AuthZ), dans ce cas, nous avons ajouté les informations d'identification d'AP à un groupe d'utilisateurs (AP) et nous avons poussé le profil d'autorisation (AP_Flex_Trunk) en fonction de cela. 

    authz

    Vérification

    Référez-vous à cette section pour vous assurer du bon fonctionnement de votre configuration.

    1. Sur le commutateur, une fois peut utiliser la commande « debug authentication feature autocfg all » pour vérifier si le port est déplacé vers le port trunk ou non. 

    20 fév 12:34:18.119 : %LINK-3-UPDOWN : Interface GigabitEthernet0/4, état modifié en up
    20 fév 12:34:19.122 : %LINEPROTO-5-UPDOWN : Protocole de ligne sur l'interface GigabitEthernet0/4, état modifié sur up
    akshat_sw#
    akshat_sw#
    20 fév 12:38:11.113 : AUTH-FEAT-AUTOCFG-EVENT : Dans dot1x AutoCfg start_fn, epm_handle : 3372220456
    20 fév 12:38:11.113 : AUTH-FEAT-AUTOCFG-EVENT : [588d.0997.061d, Gi0/4] Type de périphérique = Commutateur
    20 fév 12:38:11.113 : AUTH-FEAT-AUTOCFG-EVENT : [588d.0997.061d, Gi0/4] nouveau client
    20 fév 12:38:11.113 : AUTH-FEAT-AUTOCFG-EVENT : [Gi0/4] État De L'Application De Macro Autocfg Interne : 1
    20 fév 12:38:11.113 : AUTH-FEAT-AUTOCFG-EVENT : [Gi0/4] Type de périphérique : 2
    20 fév 12:38:11.113 : AUTH-FEAT-AUTOCFG-EVENT : [Gi0/4] Configuration automatique : stp a port_config 0x85777D8
    20 fév 12:38:11.113 : AUTH-FEAT-AUTOCFG-EVENT : [Gi0/4] Configuration automatique : stp port_config a bpdu guard_config 2
    20 fév 12:38:11.116 : AUTH-FEAT-AUTOCFG-EVENT : [Gi0/4] Application de auto-cfg sur le port.
    20 fév 12:38:11.116 : AUTH-FEAT-AUTOCFG-EVENT : [Gi0/4] Vlan : 231 Vlan-Str : 231
    20 fév 12:38:11.116 : AUTH-FEAT-AUTOCFG-EVENT : [Gi0/4] Application de la macro dot1x_autocfg_supp
    20 fév 12:38:11.116 : Application de la commande... 'no switchport access vlan 231' sur Gi0/4
    20 février 12:38:11.127 : Application de la commande... 'no switchport nonegotiate' sur Gi0/4
    20 février 12:38:11.127 : Application de la commande... 'switchport mode trunk' sur Gi0/4
    20 fév 12:38:11.134 : Application de la commande... 'switchport trunk native vlan 231' à Gi0/4
    20 fév 12:38:11.134 : Application de la commande... 'spanning-tree portfast trunk' à Gi0/4
    20 fév 12:38:12.120 : %LINEPROTO-5-UPDOWN : Protocole de ligne sur l'interface GigabitEthernet0/4, état modifié en état désactivé
    20 fév 12:38:15.139 : %LINEPROTO-5-UPDOWN : Protocole de ligne sur l'interface GigabitEthernet0/4, état modifié sur up

    2. Le résultat de la commande show run int g0/4 indique que le port est devenu un port agrégé.

    Configuration actuelle : 295 bytes
    !
    interface GigabitEthernet0/4
    switchport trunk allowed vlan 231 232 239
    switchport trunk native vlan 231
    switchport mode trunk
    authentication host-mode multi-host
    authentication order dot1x
    authentication port-control auto
    dot1x pae authenticator
    spanning-tree portfast edge trunk
    tranche

    3. Sur ISE, sous Operations »Radius Livelogs, on peut voir que l’authentification est réussie et que le profil d’autorisation correct est poussé. 

    result

    4. Si nous connectons un client après cela, son adresse MAC sera apprise sur le port de commutateur AP dans le vlan client 232. 

    akshat_sw#sh mac address-table int g0/4
    Table d'adresses MAC

    Ports De Type D’Adresse Mac Vlan
    — — —
    231 588d.0997.061d Gi0/4 STATIQUE - AP 
    232 c0ee.fbd7.8824 Gi0/4 DYNAMIQUE - Client 

    Sur le WLC, dans les détails du client, on peut voir que ce client appartient au vlan 232 et que le SSID est commuté localement. Voici un extrait.

    (Cisco Controller) >show client detail c0:ee:fb:d7:88:24
    Adresse MAC du client............................... c0:ee:fb:d7:88:24
    Nom d'utilisateur du client................................. S/O
    Adresse MAC du point d'accès.................................. b4:14:89:82:cb:90
    Nom du point d'accès.......................................... Bureau_Aks_3502
    ID de logement radio AP................................ 1
    État du client..................................... Associé
    Groupe d'utilisateurs client...............................
    État OOB NAC du client............................ Accès
    ID de réseau local sans fil................................. 2
    Nom du réseau local sans fil (SSID)................ Port-Auth
    Nom du profil de réseau local sans fil........................ Port-auth
    Hotspot (802.11u)............................... Non pris en charge
    BSSID........................................... b4:14:89:82:cb:9f
    Connecté pour .................................. 42 secondes
    Canal.......................................... 44
    Adresse IP....................................... 192.168.232.90
    Adresse de la passerelle.................................. 192.168.232.1
    Masque de réseau.......................................... 255.255.255.0
    ID d'association.................................. 1
    Algorithme d'authentification......................... Système ouvert
    Code raison.................................... 1
    Code d'état..................................... 0

    Commutation de données FlexConnect...................... Municipal
    État Dhcp FlexConnect......................... Municipal
    Commutation Centrale Basée Sur Vlan FlexConnect......... Non
    Authentification FlexConnect...................... Centrale
    Association centrale FlexConnect.................. Non
    NOM DU VLAN FlexConnect............................ vlan 232
    Quarantaine VLAN.................................. 0
    Accéder au VLAN..................................... 232
    VLAN de pontage local............................. 232

    Dépannage

    Cette section fournit des informations que vous pouvez utiliser pour dépanner votre configuration.

    • Si l'authentification échoue, utilisez les commandes debug dot1x, debug authentication.
    • Si le port n'est pas déplacé vers le trunk, entrez la commande debug authentication feature autocfg all.
    • Assurez-vous que le mode multihôte (authentification hôte-mode multihôte) est configuré. Le multihôte doit être activé pour autoriser les adresses MAC sans fil du client.
    • La commande « aaa Authorization network » doit être configurée pour que le commutateur accepte et applique les attributs envoyés par ISE. 

    Les points d'accès Cisco IOS prennent uniquement en charge TLS 1.0. Cela peut causer un problème si votre serveur RADIUS est configuré pour autoriser uniquement les authentifications TLS 1.2 802.1X

    Historique de révision

    Révision Date de publication Commentaires
    2.0
    31-May-2022
    a ajouté un commentaire sur TLS 1.2
    1.0
    01-Jun-2016
    Première publication
    TAC Authored

    Contribution d’experts de Cisco

    • Bastien Migette
      TAC Cisco
    • Ritin Mahajan
      TAC Cisco

    Ce document vous est-il utile?

    FeedbackCommentaires

    Contacter Cisco

    Ce document s’applique à ces produits