Configuratie van TrustSec-meervoudige overeenkomsten op ISE 2.2

Downloadopties

  • PDF     (2.2 MB)
    Met Adobe Reader op diverse apparaten bekijken
  • ePub     (2.3 MB)
    Bekijken in diverse apps op iPhone, iPad, Android, Sony Reader of Windows Phone
  • Mobi (Kindle)     (1.6 MB)
    Op Kindle-apparaat of via Kindle-app op meerdere apparaten bekijken
Bijgewerkt:14 februari 2017
Document-id:200971

Inclusief taalgebruik

De documentatie van dit product is waar mogelijk geschreven met inclusief taalgebruik. Inclusief taalgebruik wordt in deze documentatie gedefinieerd als taal die geen discriminatie op basis van leeftijd, handicap, gender, etniciteit, seksuele oriëntatie, sociaaleconomische status of combinaties hiervan weerspiegelt. In deze documentatie kunnen uitzonderingen voorkomen vanwege bewoordingen die in de gebruikersinterfaces van de productsoftware zijn gecodeerd, die op het taalgebruik in de RFP-documentatie zijn gebaseerd of die worden gebruikt in een product van een externe partij waarnaar wordt verwezen. Lees meer over hoe Cisco gebruikmaakt van inclusief taalgebruik.

Over deze vertaling

Cisco heeft dit document vertaald via een combinatie van machine- en menselijke technologie om onze gebruikers wereldwijd ondersteuningscontent te bieden in hun eigen taal. Houd er rekening mee dat zelfs de beste machinevertaling niet net zo nauwkeurig is als die van een professionele vertaler. Cisco Systems, Inc. is niet aansprakelijk voor de nauwkeurigheid van deze vertalingen en raadt aan altijd het oorspronkelijke Engelstalige document (link) te raadplegen.

Inleiding

Dit document beschrijft het gebruik van meerdere TrustSec-matrices en DefCon-matrices in Cisco Identity Services Engine (ISE) 2.2. Dit is een nieuwe TrustSec-functie die in ISE 2.2 is geïntroduceerd voor een betere granulariteit in het netwerk.

Voorwaarden

Vereisten

Cisco raadt kennis van de volgende onderwerpen aan:

  • Basiskennis van Cisco TrustSec (CTS)-componenten
  • Basiskennis van de CLI-configuratie van Catalyst switches
  • Ervaring met configuratie van Identity Services Engine (ISE)

Gebruikte componenten

De informatie in dit document is gebaseerd op de volgende software- en hardware-versies:

  • Identity Services Engine 2.2
  • Cisco Catalyst Switch 3850.03.07.03.E
  • Cisco Catalyst Switch 3750X 15.2(4)E1
  • Windows 7-machines

De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u de potentiële impact van elke opdracht begrijpen.

Achtergrondinformatie

In ISE 2.0 is er een mogelijkheid om slechts één productie TrustSec matrix te gebruiken voor alle netwerkapparaten. ISE 2.1 toegevoegde functie genaamd staging matrix die kan worden gebruikt voor test- en implementatiedoeleinden. Het beleid dat in het opvoeren matrijs wordt gemaakt wordt slechts op netwerkapparaten toegepast die voor tests worden gebruikt. De rest van de apparaten gebruikt nog steeds een productiematrix. Zodra het opvoeren matrijs wordt bevestigd om fijn te werken, kunnen alle andere apparaten worden verplaatst naar het en het wordt nieuwe productiematrix.

ISE 2.2 wordt geleverd met twee nieuwe TrustSec-functies:

  1. Meervoudige matrices - mogelijkheid om verschillende matrices toe te wijzen aan netwerkapparaten
  2. DefCon matrix - deze matrix wordt naar alle netwerkapparaten in bepaalde situatie geduwd, geactiveerd door de beheerder

In ISE 2.2 is het mogelijk om een enkele matrixfunctie of een productie- en staging matrixfunctie te gebruiken.

Meerdere overeenkomsten

Als u meerdere matrices wilt gebruiken, moet u deze optie inschakelen onder Werkinstellingen > TrustSec > Instellingen > Instellingen voor werkproces, zoals in de afbeelding:

200971-ISE-2-2-TrustSec-Multiple-Matrices-00.png

Als dit is ingeschakeld, kunt u nieuwe matrices maken en later netwerkapparaten toewijzen aan de specifieke matrix.

DefCon Matrices

DefCon matrices zijn speciale matrices, klaar om te worden ingezet op elk gewenst moment. Indien geïmplementeerd, worden alle netwerkapparaten automatisch aan deze matrix toegewezen. ISE herinnert zich nog steeds de laatste productiematrix voor alle netwerkapparaten, zodat deze verandering kan worden teruggedraaid op elk moment dat DefCon wordt gedeactiveerd. U kunt maximaal vier verschillende DefCon matrices definiëren:

  1. DefCon1 - kritiek
  2. DefCon2 - Ernstig
  3. DefCon3 - substantieel
  4. DefCon4 - matig

DefCon matrices kan worden gebruikt in combinatie met alle drie werkprocesopties:

200971-ISE-2-2-TrustSec-Multiple-Matrices-01.png

Configureren

Netwerkdiagram

200971-ISE-2-2-TrustSec-Multiple-Matrices-02.png

Configuraties

Als u meerdere matrices wilt gebruiken, moet u deze inschakelen onder Werkprocesinstellingen. Schakel in dit voorbeeld ook DefCon matrix in.

1. Basisconfiguratie van de switch voor RADIUS/CTS

radius server ISE
 address ipv4 10.48.17.161 auth-port 1812 acct-port 1813
 pac key cisco

aaa group server radius ISE
 server name ISE
 ip radius source-interface FastEthernet0

ip radius source-interface FastEthernet0 

aaa server radius dynamic-author
 client 10.48.17.161 server-key cisco

aaa new-model
aaa authentication dot1x default group ISE
aaa accounting dot1x default start-stop group ISE

Om CTS-informatie te verkrijgen, moet u een CTS-autorisatielijst aanmaken:

cts authorization list LIST
aaa authorization network LIST group ISE

2. GTS-PAC

Om CTS PAC (Protected Access Credentials) van ISE te ontvangen, moet u dezelfde referenties op switch en ISE configureren onder Advanced TrustSec-configuratie voor netwerkapparaten:

cts credentials id GALA password cisco

200971-ISE-2-2-TrustSec-Multiple-Matrices-03.png

Als dit eenmaal is ingesteld, kan een switch CTS PAC downloaden. Een deel (PAC-Ondoorzichtig) wordt als AV-paar verzonden in elk RADIUS-verzoek naar ISE, zodat ISE kan controleren of PAC voor dit netwerkapparaat nog steeds geldig is:

GALA#show cts pacs 
  AID: E6796CD7BBF2FA4111AD9FB4FEFB5A50
  PAC-Info:
    PAC-type = Cisco Trustsec
    AID: E6796CD7BBF2FA4111AD9FB4FEFB5A50
    I-ID: GALA
    A-ID-Info: Identity Services Engine
    Credential Lifetime: 17:05:50 CEST Apr 5 2017
  PAC-Opaque: 000200B00003000100040010E6796CD7BBF2FA4111AD9FB4FEFB5A50000600940003010012FABE10F3DCBCB152C54FA5BFE124CB00000013586BB31500093A809E11A93189C7BE6EBDFB8FDD15B9B7252EB741ADCA3B2ACC5FD923AEB7BDFE48A3A771338926A1F48141AF091469EE4AFC8C3E92A510BA214A407A33F469282A780E8F50F17A271E92D1FEE1A29ED427B985F9A0E00D6CDC934087716F4DEAF84AC11AA05F7587E898CA908463BDA9EC7E65D827
  Refresh timer is set for 11y13w

3. CTS-configuratie op een switch.

Nadat PAC is gedownload, kan de switch aanvullende CTS-informatie opvragen (omgevingsgegevens en -beleid):

GALA#cts refresh environment-data

GALA#show cts environment-data 
CTS Environment Data
====================
Current state = COMPLETE
Last status = Successful
Local Device SGT:
  SGT tag = 0-06:Unknown
Server List Info:
Installed list: CTSServerList1-0001, 1 server(s):
 *Server: 10.48.17.161, port 1812, A-ID E6796CD7BBF2FA4111AD9FB4FEFB5A50
          Status = ALIVE
          auto-test = TRUE, keywrap-enable = FALSE, idle-time = 60 mins, deadtime = 20 secs
Multicast Group SGT Table:
Security Group Name Table:
    0-ce:Unknown
    2-ce:TrustSec_Devices
    3-ce:Network_Services
    4-ce:Employees
    5-ce:Contractors
    6-ce:Guests
    7-ce:Production_Users
    8-ce:Developers
    9-ce:Auditors
    10-ce:Point_of_Sale_Systems
    11-ce:Production_Servers
    12-ce:Development_Servers
    13-ce:Test_Servers
    14-ce:PCI_Servers
    15-ce:BYOD
    255-ce:Quarantined_Systems
Environment Data Lifetime = 86400 secs 
Last update time = 07:48:41 CET Mon Jan 2 2006
Env-data expires in   0:23:56:02 (dd:hr:mm:sec)
Env-data refreshes in 0:23:56:02 (dd:hr:mm:sec)
Cache data applied           = NONE
State Machine is running
GALA#cts refresh policy

GALA#show cts role-based permissions 
RBACL Monitor All for Dynamic Policies : FALSE
RBACL Monitor All for Configured Policies : FALSE

Je zou kunnen zien dat er geen beleid wordt gedownload van ISE, de reden is dat CTS handhaving niet is ingeschakeld op de switch:

cts role-based enforcement
cts role-based enforcement vlan-list 1-4094

GALA#show cts role-based permissions 
IPv4 Role-based permissions default:
	Permit IP-00
RBACL Monitor All for Dynamic Policies : FALSE
RBACL Monitor All for Configured Policies : FALSE

In beide uitgangen kunt u standaardwaarden zien - SGT’s die standaard worden gemaakt (0, 2-15, 255) en standaard IP-beleid toestaan.

4. Basis-CTS-configuratie op ISE.

Maak nieuwe Security Group Tags (SGT's) en weinig beleid op ISE om ze later te gebruiken. Navigeren naar werkcentra > TrustSec > Componenten > Beveiligingsgroepen, klik op Add om nieuwe SGT te maken:

200971-ISE-2-2-TrustSec-Multiple-Matrices-04.png

Als u een Security Group Access Control List (SGACL) wilt maken voor verkeersfiltering, kiest u Security Group ACL’s, zoals in de afbeelding:

200971-ISE-2-2-TrustSec-Multiple-Matrices-05.png

Op dezelfde manier kunt u andere SGT's en SGACL's maken. Zodra SGT's en SGACL's zijn gemaakt, kunt u ze in CTS-beleid aan elkaar koppelen, om zo te navigeren naar Werkcentra > TrustSec > TustSec Policy > uitgaande Policy > Source Tree, zoals in de afbeelding:

200971-ISE-2-2-TrustSec-Multiple-Matrices-06.png

5. Meerdere matrices en DefCon-configuratie op ISE.

In dit voorbeeld, hebt u beleid voor matrijs ForGALA gevormd. U kunt in het uitrolmenu switches tussen de matrices. Om meerdere matrices in te schakelen, navigeer naar Werkcentra > TrustSec > Instellingen > Werkprocesinstellingen en schakel meerdere matrices en DefCon matrices in, zoals in de afbeelding:

200971-ISE-2-2-TrustSec-Multiple-Matrices-07.png

Wanneer deze optie is ingeschakeld, is er standaard Productiematrix beschikbaar, hoewel u andere matrices kunt maken. Navigeren naar Werkcentra > TrustSec > TrustSec Policy > Uitgangspolitiek > Matrixenlijst en klik op Toevoegen:

200971-ISE-2-2-TrustSec-Multiple-Matrices-08.png

Er is een optie om beleid te kopiëren dat deel van de nieuwe zou moeten worden van de reeds bestaande matrix. Maak twee matrices - een voor 3750X switch, een andere voor 3850 switch. Zodra matrices zijn gemaakt, moet u netwerkapparaten aan die matrices toewijzen, omdat standaard alle met TrustSec compatibele netwerktoegangsapparaten aan de productiematrix zijn toegewezen.

200971-ISE-2-2-TrustSec-Multiple-Matrices-09.png

Om NADs toe te wijzen, klik op Toewijzen NADs optie onder Matrixlijst, controleer het apparaat waaraan u de matrix wilt toewijzen en kies de gemaakte matrix uit het vervolgkeuzemenu en klik op Toewijzen, zoals in de afbeelding:

200971-ISE-2-2-TrustSec-Multiple-Matrices-10.png

U kunt hetzelfde doen voor andere apparaten, gevolgd door de klik op Assign-toets:

200971-ISE-2-2-TrustSec-Multiple-Matrices-11.png

Nadat alle wijzigingen zijn uitgevoerd, klikt u op Close&Send, dat alle updates naar apparaten verstuurt om CTS-beleid te vernieuwen om nieuwe te downloaden. Op dezelfde manier creeer DefCon matrijs, die u van bestaande matrijzen kunt kopiëren:

200971-ISE-2-2-TrustSec-Multiple-Matrices-12.png

Het uiteindelijke beleid ziet er zo uit:

200971-ISE-2-2-TrustSec-Multiple-Matrices-13.png

6. SGT-classificatie

Er zijn twee opties voor tags aan client toewijzingen (maken IP-SGT-toewijzingen):

  • statisch - met cts op rol-gebaseerde sgt-kaart IP_adres sgt tag
  • dynamisch - via dot1x-verificatie (tag wordt toegewezen als gevolg van succesvolle verificatie)

Gebruik hier beide opties, twee Windows machines verkrijgen SGT tag via dot1x authenticatie en loopback interfaces met statische SGT tag. Als u dynamische mapping wilt implementeren, maakt u een autorisatiebeleid voor eindclients:

200971-ISE-2-2-TrustSec-Multiple-Matrices-14.png

Om statische IP-SGT-mapping te maken, gebruikt u opdrachten (bijvoorbeeld voor GALA switch):

interface Loopback7
 ip address 7.7.7.7 255.255.255.0

interface Loopback2
 ip address 2.2.2.2 255.255.255.0

cts role-based sgt-map 2.2.2.2 sgt 15
cts role-based sgt-map 7.7.7.7 sgt 10

Na succesvolle verificatie raakt client autorisatiebeleid met specifieke SGT-tag in een resultaat:

GALA#show authentication sessions interface Gi1/0/11 details 
            Interface:  GigabitEthernet1/0/11
          MAC Address:  0050.5699.5bd9
         IPv6 Address:  Unknown
         IPv4 Address:  10.0.10.2
            User-Name:  00-50-56-99-5B-D9
               Status:  Authorized
               Domain:  DATA
       Oper host mode:  single-host
     Oper control dir:  both
      Session timeout:  N/A
      Restart timeout:  N/A
    Common Session ID:  0A30489C000000120002330D
      Acct Session ID:  0x00000008
               Handle:  0xCE000001
       Current Policy:  POLICY_Gi1/0/11

Local Policies:
	Service Template: DEFAULT_LINKSEC_POLICY_SHOULD_SECURE (priority 150)
      Security Policy:  Should Secure
      Security Status:  Link Unsecure

Server Policies:
            SGT Value:  16 
          
Method status list: 
       Method           State 

       mab              Authc Success

U kunt alle IP-SGT-toewijzingen controleren met de opdracht cts op rollen gebaseerde sgt-map all, waar u de bron van elke afbeelding ziet (LOKAAL - via dot1x-verificatie, CLI - statische toewijzing):

GALA#show cts role-based sgt-map all
Active IPv4-SGT Bindings Information

IP Address              SGT     Source
============================================
2.2.2.2                 15      CLI
7.7.7.7                 10      CLI
10.0.10.2               16      LOCAL

IP-SGT Active Bindings Summary
============================================
Total number of CLI      bindings = 2
Total number of LOCAL    bindings = 1
Total number of active   bindings = 3

7. CTS beleid downloaden

Zodra de switch CTS PAC- en omgevingsgegevens heeft gedownload, kan hij CTS-beleid aanvragen. De switch downloadt niet alle beleidslijnen, maar alleen die die nodig zijn - beleidslijnen voor verkeer dat bestemd is voor bekende SGT-tags - in het geval van GALA switch, vraagt hij van ISE deze beleidslijnen:

  • beleid voor het verkeer naar SGT 15
  • beleid voor het verkeer naar SGT 10
  • beleid voor het verkeer naar SGT 16

De output van alle beleid voor GALA switch:

GALA#show cts role-based permissions 
IPv4 Role-based permissions default:
	Permit IP-00
IPv4 Role-based permissions from group 10:Point_of_Sale_Systems to group 15:BYOD:
	denyIP-20
IPv4 Role-based permissions from group 17:VLAN20 to group 16:VLAN10:
	denyIP-20
RBACL Monitor All for Dynamic Policies : FALSE
RBACL Monitor All for Configured Policies : FALSE

Switch verkrijgt beleid op twee manieren:

  • CTS-vernieuwing uit de switch zelf:
GALA#cts refresh policy
  • Handmatige druk van ISE:

200971-ISE-2-2-TrustSec-Multiple-Matrices-15.png

Verifiëren

Meerdere overeenkomsten

De definitieve SGT-IP-toewijzingen en het CTS-beleid op beide switches, bijvoorbeeld:

GALA-switch:

GALA#show cts role-based sgt-map all
Active IPv4-SGT Bindings Information

IP Address              SGT     Source
============================================
2.2.2.2                 15      CLI
7.7.7.7                 10      CLI
10.0.10.2               16      LOCAL

IP-SGT Active Bindings Summary
============================================
Total number of CLI      bindings = 2
Total number of LOCAL    bindings = 1
Total number of active   bindings = 3

GALA#show cts role-based permissions 
IPv4 Role-based permissions default:
    Permit IP-00
IPv4 Role-based permissions from group 10:Point_of_Sale_Systems to group 15:BYOD:
    denyIP-20
IPv4 Role-based permissions from group 17:VLAN20 to group 15:BYOD:
    permitIP-20
IPv4 Role-based permissions from group 17:VLAN20 to group 16:VLAN10:
    permitIP-20
RBACL Monitor All for Dynamic Policies : FALSE
RBACL Monitor All for Configured Policies : FALSE

GALA#show cts rbacl | s permitIP
  name   = permitIP-20
    permit ip

GALA#show cts rbacl | s deny  
  name   = denyIP-20
    deny ip

DRARORA-switch:

DRARORA#show cts role-based sgt-map all
Active IPv4-SGT Bindings Information

IP Address              SGT     Source
============================================
10.0.20.3               17      LOCAL
10.10.10.10             10      CLI
15.15.15.15             15      CLI

IP-SGT Active Bindings Summary
============================================
Total number of CLI      bindings = 2
Total number of LOCAL    bindings = 1
Total number of active   bindings = 3

DRARORA#show cts role-based permissions 
IPv4 Role-based permissions default:
    Permit IP-00
IPv4 Role-based permissions from group 17:VLAN20 to group 10:Point_of_Sale_Systems:
    permitIP-20
IPv4 Role-based permissions from group 10:Point_of_Sale_Systems to group 15:BYOD:
    permitIP-20
IPv4 Role-based permissions from group 17:VLAN20 to group 15:BYOD:
    permitIP-20
IPv4 Role-based permissions from group 10:Point_of_Sale_Systems to group 17:VLAN20:
    denyIP-20
IPv4 Role-based permissions from group 16:VLAN10 to group 17:VLAN20:
    permitIP-20
RBACL Monitor All for Dynamic Policies : FALSE
RBACL Monitor All for Configured Policies : FALSE

Merk op dat het beleid voor beide switches verschillend is (zelfs hetzelfde beleid van 10 tot 15 is verschillend voor GALA en switch DRARORA). Dit betekent dat verkeer van SGT 10 naar 15 is toegestaan op DRARORA, maar geblokkeerd op GALA:

DRARORA#ping 15.15.15.15 source Loopback 10
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 15.15.15.15, timeout is 2 seconds:
Packet sent with a source address of 10.10.10.10 
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 1/1/1 ms

GALA#ping 2.2.2.2 source Loopback 7
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 2.2.2.2, timeout is 2 seconds:
Packet sent with a source address of 7.7.7.7 
U.U.U
Success rate is 0 percent (0/5)

Op dezelfde manier kunt u vanuit één venster een ander venster openen (SGT 17 -> SGT 16):

200971-ISE-2-2-TrustSec-Multiple-Matrices-16.png

En op een andere manier (SGT 16 -> SGT 17):

200971-ISE-2-2-TrustSec-Multiple-Matrices-17.png

Om te bevestigen dat correct CTS-beleid is toegepast, controleert u tonen cts op rollen gebaseerde tellers output:

GALA#sh cts role-based counters
Role-based IPv4 counters
# '-' in hardware counters field indicates sharing among cells with identical policies
From    To      SW-Denied       HW-Denied       SW-Permitted    HW-Permitted   

17      16      0               0               0               8              
17      15      0               -               0               -              

10      15      4               0               0               0              

*       *       0               0               127             26

GALA heeft 8 toegestane pakketten (4 van ping 17->16 en 4 van ping 16->17).

DefCon-implementatie

Indien nodig kunt u de DefCon-matrix implementeren onder Werkcentra > TrustSec > TrustSec Policy > Uitgangspolitiek > Matrixenlijst, DefCon-matrix controleren die u wilt activeren en op Activeren klikken:

200971-ISE-2-2-TrustSec-Multiple-Matrices-18.png

Wanneer DefCon is geactiveerd, ziet het menu op ISE er als volgt uit:

200971-ISE-2-2-TrustSec-Multiple-Matrices-19.png

En beleid op switches:

GALA#show cts role-based permissions 
IPv4 Role-based permissions default:
	Permit IP-00
IPv4 Role-based permissions from group 15:BYOD to group 10:Point_of_Sale_Systems:
	denyIP-20
IPv4 Role-based permissions from group 15:BYOD to group 16:VLAN10:
	denyIP-20
IPv4 Role-based permissions from group 17:VLAN20 to group 16:VLAN10:
	denyIP-20
RBACL Monitor All for Dynamic Policies : FALSE
RBACL Monitor All for Configured Policies : FALSE

DRARORA#show cts role-based permissions 
IPv4 Role-based permissions default:
	Permit IP-00
IPv4 Role-based permissions from group 15:BYOD to group 10:Point_of_Sale_Systems:
	denyIP-20
IPv4 Role-based permissions from group 10:Point_of_Sale_Systems to group 17:VLAN20:
	permitIP-20
RBACL Monitor All for Dynamic Policies : FALSE
RBACL Monitor All for Configured Policies : FALSE

Verkeer van SGT 15 naar SGT 10 is niet toegestaan op beide switches:

DRARORA#ping 10.10.10.10 source Loopback 15
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 10.10.10.10, timeout is 2 seconds:
Packet sent with a source address of 15.15.15.15 
U.U.U
Success rate is 0 percent (0/5)

GALA#ping 7.7.7.7 source Loopback 2
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 7.7.7.7, timeout is 2 seconds:
Packet sent with a source address of 2.2.2.2 
U.U.U
Success rate is 0 percent (0/5)

Als de implementatie stabiel is, kunt u DefCon deactiveren en switches vragen om het oude beleid. Om DefCon te deactiveren, navigeer naar Werkcentra > TrustSec > TrustSec Policy > Uitgangspolitiek > Matrixenlijst, controleer actieve DefCon matrix en klik op Deactiveren:

200971-ISE-2-2-TrustSec-Multiple-Matrices-20.png

Beide switches vragen onmiddellijk om oud beleid:

DRARORA#show cts role-based permissions
IPv4 Role-based permissions default:
	Permit IP-00
IPv4 Role-based permissions from group 17:VLAN20 to group 10:Point_of_Sale_Systems:
	permitIP-20
IPv4 Role-based permissions from group 10:Point_of_Sale_Systems to group 15:BYOD:
	permitIP-20
IPv4 Role-based permissions from group 17:VLAN20 to group 15:BYOD:
	permitIP-20
IPv4 Role-based permissions from group 10:Point_of_Sale_Systems to group 17:VLAN20:
	denyIP-20
IPv4 Role-based permissions from group 16:VLAN10 to group 17:VLAN20:
	permitIP-20
RBACL Monitor All for Dynamic Policies : FALSE
RBACL Monitor All for Configured Policies : FALSE

GALA#show cts role-based permissions 
IPv4 Role-based permissions default:
	Permit IP-00
IPv4 Role-based permissions from group 10:Point_of_Sale_Systems to group 15:BYOD:
	denyIP-20
IPv4 Role-based permissions from group 17:VLAN20 to group 15:BYOD:
	permitIP-20
IPv4 Role-based permissions from group 17:VLAN20 to group 16:VLAN10:
	permitIP-20
RBACL Monitor All for Dynamic Policies : FALSE
RBACL Monitor All for Configured Policies : FALSE

Problemen oplossen

PAC-bevoorrading

Dit maakt deel uit van succesvolle PAC-provisioning:

GALA#debug cts provisioning packets 
GALA#debug cts provisioning events

*Jan  2 04:39:05.707: %SYS-5-CONFIG_I: Configured from console by console
*Jan  2 04:39:05.707: CTS-provisioning: Starting new control block for server 10.48.17.161:
*Jan  2 04:39:05.707: CTS-provisioning: cts_provi_init_socket: Checking for any vrf associated with 10.48.17.161
*Jan  2 04:39:05.707: CTS-provisioning: New session socket: src=10.48.72.156:65242 dst=10.48.17.161:1812
*Jan  2 04:39:05.716: CTS-provisioning: cts_provi_init_socket: Checking for any vrf associated with 10.48.17.161
*Jan  2 04:39:05.716: CTS-provisioning: cts_provi_init_socket: Adding vrf-tableid: 0 to socket
*Jan  2 04:39:05.716: CTS-provisioning: New session socket: src=10.48.72.156:65242 dst=10.48.17.161:1812
*Jan  2 04:39:05.716: CTS-provisioning: Sending EAP Response/Identity to 10.48.17.161
*Jan  2 04:39:05.716: CTS-provisioning: OUTGOING RADIUS msg to 10.48.17.161:
1E010EE0:          01010090 64BCBC01 7BEF347B
1E010EF0: 1E32C02E 8402A83D 010C4354 5320636C
1E010F00: 69656E74 04060A30 489C3D06 00000000
1E010F10: 06060000 00021F0E 30303037 37643862
1E010F20: 64663830 1A2D0000 00090127 4141413A
1E010F30: 73657276 6963652D 74797065 3D637473
1E010F40: 2D706163 2D70726F 76697369 6F6E696E
1E010F50: 674F1102 00000F01 43545320 636C6965
1E010F60: 6E745012 73EBE7F5 CDA0CF73 BFE4AFB6
1E010F70: 40D723B6 00                        
*Jan  2 04:39:06.035: CTS-provisioning: INCOMING RADIUS msg from 10.48.17.161:
1EC68460:          0B0100B5 E4C3C3C1 ED472766
1EC68470: 183F41A9 026453ED 18733634 43504D53
1EC68480: 65737369 6F6E4944 3D306133 30313161
1EC68490: 314C3767 78484956 62414976 37316D59
1EC684A0: 525F4D56 34517741 4C362F69 73517A72
1EC684B0: 7A586132 51566852 79635638 3B343353
1EC684C0: 65737369 6F6E4944 3D766368 72656E65
1EC684D0: 6B2D6973 6532322D 3432332F 32373238
1EC684E0: 32373637 362F3137 37343B4F 1C017400
1EC684F0: 1A2B2100 040010E6 796CD7BB F2FA4111
1EC68500: AD9FB4FE FB5A5050 124B76A2 E7D34684
1EC68510: DD8A1583 175C2627 9F00             
*Jan  2 04:39:06.035: CTS-provisioning: Received RADIUS challenge from 10.48.17.161.
*Jan  2 04:39:06.035: CTS-provisioning: A-ID for server 10.48.17.161 is "e6796cd7bbf2fa4111ad9fb4fefb5a50"
*Jan  2 04:39:06.043: CTS-provisioning: Received TX_PKT from EAP method
*Jan  2 04:39:06.043: CTS-provisioning: Sending EAPFAST response to 10.48.17.161
*Jan  2 04:39:06.043: CTS-provisioning: OUTGOING RADIUS msg to 10.48.17.161:
<...>
*Jan  2 04:39:09.549: CTS-provisioning: INCOMING RADIUS msg from 10.48.17.161:
1EC66C50:          0309002C 1A370BBB 58B828C3
1EC66C60: 3F0D490A 4469E8BB 4F06047B 00045012
1EC66C70: 7ECF8177 E3F4B9CB 8B0280BD 78A14CAA
1EC66C80: 4D                                 
*Jan  2 04:39:09.549: CTS-provisioning: Received RADIUS reject from 10.48.17.161.
*Jan  2 04:39:09.549: CTS-provisioning: Successfully obtained PAC for A-ID e6796cd7bbf2fa4111ad9fb4fefb5a50

RADIUS-afwijzing wordt verwacht omdat PAC-provisioning met succes is voltooid.

Downloaden van milieugegevens

Hierin ziet u welke milieugegevens met succes uit de switch zijn gedownload:

GALA#debug cts environment-data

GALA#
*Jan  2 04:33:24.702: CTS env-data: Force environment-data refresh
*Jan  2 04:33:24.702: CTS env-data: download transport-type = CTS_TRANSPORT_IP_UDP
*Jan  2 04:33:24.702:     cts_env_data START: during state env_data_complete, got event 0(env_data_request)

*Jan  2 04:33:24.702: cts_aaa_attr_add: AAA req(0x5F417F8)
*Jan  2 04:33:24.702:   username = #CTSREQUEST#
*Jan  2 04:33:24.702: cts_aaa_context_add_attr: (CTS env-data SM)attr(GALA)
*Jan  2 04:33:24.702:   cts-environment-data = GALA
*Jan  2 04:33:24.702: cts_aaa_attr_add: AAA req(0x5F417F8)
*Jan  2 04:33:24.702: cts_aaa_context_add_attr: (CTS env-data SM)attr(env-data-fragment)
*Jan  2 04:33:24.702:   cts-device-capability = env-data-fragment
*Jan  2 04:33:24.702: cts_aaa_req_send: AAA req(0x5F417F8) successfully sent to AAA.
*Jan  2 04:33:25.474: cts_aaa_callback: (CTS env-data SM)AAA req(0x5F417F8) response success
*Jan  2 04:33:25.474: cts_aaa_context_fragment_cleanup: (CTS env-data SM)attr(GALA)
*Jan  2 04:33:25.474: cts_aaa_context_fragment_cleanup: (CTS env-data SM)attr(env-data-fragment)

*Jan  2 04:33:25.474:   AAA attr: Unknown type (450).
*Jan  2 04:33:25.474:   AAA attr: Unknown type (274).
*Jan  2 04:33:25.474:   AAA attr: server-list = CTSServerList1-0001.
*Jan  2 04:33:25.482:   AAA attr: security-group-tag = 0000-10.
*Jan  2 04:33:25.482:   AAA attr: environment-data-expiry = 86400.
*Jan  2 04:33:25.482:   AAA attr: security-group-table = 0001-19.
*Jan  2 04:33:25.482: CTS env-data: Receiving AAA attributes
  CTS_AAA_SLIST
    slist name(CTSServerList1) received in 1st Access-Accept
    slist name(CTSServerList1) created
  CTS_AAA_SECURITY_GROUP_TAG - SGT = 0-10:unicast-unknown
  CTS_AAA_ENVIRONMENT_DATA_EXPIRY = 86400.
  CTS_AAA_SGT_NAME_LIST
    table(0001) received in 1st Access-Accept
    need a 2nd request for the SGT to SG NAME entries
    new name(0001), gen(19)
  CTS_AAA_DATA_END

*Jan  2 04:33:25.784: cts_aaa_callback: (CTS env-data SM)AAA req(0x8853E60) response success
*Jan  2 04:33:25.784: cts_aaa_context_fragment_cleanup: (CTS env-data SM)attr(0001)
*Jan  2 04:33:25.784:   AAA attr: Unknown type (450).
*Jan  2 04:33:25.784:   AAA attr: Unknown type (274).
*Jan  2 04:33:25.784:   AAA attr: security-group-table = 0001-19.
*Jan  2 04:33:25.784:   AAA attr: security-group-info = 0-10-00-Unknown.
*Jan  2 04:33:25.784:   AAA attr: security-group-info = ffff-13-00-ANY.
*Jan  2 04:33:25.784:   AAA attr: security-group-info = 9-10-00-Auditors.
*Jan  2 04:33:25.784:   AAA attr: security-group-info = f-32-00-BYOD.
*Jan  2 04:33:25.784:   AAA attr: security-group-info = 5-10-00-Contractors.
*Jan  2 04:33:25.784:   AAA attr: security-group-info = 8-10-00-Developers.
*Jan  2 04:33:25.784:   AAA attr: security-group-info = c-10-00-Development_Servers.
*Jan  2 04:33:25.784:   AAA attr: security-group-info = 4-10-00-Employees.
*Jan  2 04:33:25.784:   AAA attr: security-group-info = 6-10-00-Guests.
*Jan  2 04:33:25.784:   AAA attr: security-group-info = 3-10-00-Network_Services.
*Jan  2 04:33:25.784:   AAA attr: security-group-info = e-10-00-PCI_Servers.
*Jan  2 04:33:25.784:   AAA attr: security-group-info = a-23-00-Point_of_Sale_Systems.
*Jan  2 04:33:25.784:   AAA attr: security-group-info = b-10-00-Production_Servers.
*Jan  2 04:33:25.793:   AAA attr: security-group-info = 7-10-00-Production_Users.
*Jan  2 04:33:25.793:   AAA attr: security-group-info = ff-10-00-Quarantined_Systems.
*Jan  2 04:33:25.793:   AAA attr: security-group-info = d-10-00-Test_Servers.
*Jan  2 04:33:25.793:   AAA attr: security-group-info = 2-10-00-TrustSec_Devices.
*Jan  2 04:33:25.793:   AAA attr: security-group-info = 10-24-00-VLAN10.
*Jan  2 04:33:25.793:   AAA attr: security-group-info = 11-22-00-VLAN20.
*Jan  2 04:33:25.793:  CTS env-data: Receiving AAA attributes
  CTS_AAA_SGT_NAME_LIST
    table(0001) received in 2nd Access-Accept
    old name(0001), gen(19)
    new name(0001), gen(19)
  CTS_AAA_SGT_NAME_INBOUND - SGT = 0-68:unicast-unknown
   flag (128) sgname (Unknown) added
   name (0001), request (1), receive (1)
cts_env_data_aaa_sgt_sgname, name = 0001, req = 1, rcv = 1
   Setting SG Name receving bit CTS_ENV_DATA_SGT_NAME_ENTRY on
  CTS_AAA_SGT_NAME_INBOUND - SGT = 65535-68:unicast-default
   flag (128) sgname (ANY) added
   name (0001), request (1), receive (1)
cts_env_data_aaa_sgt_sgname, name = 0001, req = 1, rcv = 1
   Setting SG Name receving bit CTS_ENV_DATA_SGT_NAME_ENTRY on
  CTS_AAA_SGT_NAME_INBOUND - SGT = 9-68
   flag (128) sgname (Auditors) added
   name (0001), request (1), receive (1)
cts_env_data_aaa_sgt_sgname, name = 0001, req = 1, rcv = 1
   Setting SG Name receving bit CTS_ENV_DATA_SGT_NAME_ENTRY on
  CTS_AAA_SGT_NAME_INBOUND - SGT = 15-68
   flag (128) sgname (BYOD) added
   name (0001), request (1), receive (1)
cts_env_data_aaa_sgt_sgname, name = 0001, req = 1, rcv = 1
   Setting SG Name receving bit CTS_ENV_DATA_SGT_NAME_ENTRY on
  CTS_AAA_SGT_NAME_INBOUND - SGT = 5-68
   flag (128) sgname (Contractors) added
   name (0001), request (1), receive (1)
cts_env_data_aaa_sgt_sgname, name = 0001, req = 1, rcv = 1
   Setting SG Name receving bit CTS_ENV_DATA_SGT_NAME_ENTRY on
  CTS_AAA_SGT_NAME_INBOUND - SGT = 8-68
   flag (128) sgname (Developers) added
   name (0001), request (1), receive (1)
cts_env_data_aaa_sgt_sgname, name = 0001, req = 1, rcv = 1
   Setting SG Name receving bit CTS_ENV_DATA_SGT_NAME_ENTRY on
  CTS_AAA_SGT_NAME_INBOUND - SGT = 12-68
   flag (128) sgname (Development_Servers) added
   name (0001), request (1), receive (1)
cts_env_data_aaa_sgt_sgname, name = 0001, req = 1, rcv = 1
   Setting SG Name receving bit CTS_ENV_DATA_SGT_NAME_ENTRY on
  CTS_AAA_SGT_NAME_INBOUND - SGT = 4-68
   flag (128) sgname (Employees) added
   name (0001), request (1), receive (1)
cts_env_data_aaa_sgt_sgname, na
*Jan  2 04:33:25.793:     cts_env_data WAITING_RESPONSE: during state env_data_waiting_rsp, got event 1(env_data_received)
*Jan  2 04:33:25.793: @@@ cts_env_data WAITING_RESPONSE: env_data_waiting_rsp -> env_data_assessing
*Jan  2 04:33:25.793: env_data_assessing_enter: state = ASSESSING
*Jan  2 04:33:25.793: cts_aaa_is_fragmented: (CTS env-data SM)NOT-FRAG attr_q(0)
*Jan  2 04:33:25.793: env_data_assessing_action: state = ASSESSING
*Jan  2 04:33:25.793: cts_env_data_is_complete: FALSE, req(x1085), rec(x1487) 
*Jan  2 04:33:25.793: cts_env_data_is_complete: TRUE, req(x1085), rec(x1487), expect(x81), complete1(x85), complete2(xB5), complete3(x1485)
*Jan  2 04:33:25.793:     cts_env_data ASSESSING: during state env_data_assessing, got event 4(env_data_complete)
*Jan  2 04:33:25.793: @@@ cts_env_data ASSESSING: env_data_assessing -> env_data_complete
*Jan  2 04:33:25.793: env_data_complete_enter: state = COMPLETE
*Jan  2 04:33:25.793: env_data_install_action: state = COMPLETE

CTS-beleid

CTS-beleid wordt gedrukt als deel van RADIUS-berichten, zodat de runtime-AAA-registratiecomponent die is ingesteld om te debuggen op ISE (Beheer > Vastlegging > Debug Log Configuration) en hieronder debuggen op switch voldoende zou moeten zijn om problemen met betrekking tot CTS op te lossen:

debug cts coa
debug radius

Controleer ook welk beleid is afgestemd op de switch - op de 3750X:

GALA#show cts role-based counters    
Role-based IPv4 counters
# '-' in hardware counters field indicates sharing among cells with identical policies
From    To      SW-Denied       HW-Denied       SW-Permitted    HW-Permitted   

10      15      5               0               0               0              

*       *       0               0               815             31             

17      15      0               0               0               0              
17      16      0               -               0               -

U kunt dezelfde opdracht niet gebruiken op 3850, vanwege CiscoBugID CSCu32958.

Revisiegeschiedenis

Revisie Publicatiedatum Opmerkingen
1.0
14-Feb-2017
Eerste vrijgave
TAC Authored

Bijgedragen door Cisco-engineers

  • Veronika Chrenekova
    Cisco TAC Engineer

Was dit document nuttig?

FeedbackFeedback

Contact Cisco

Dit document is van toepassing op deze producten