De documentatie van dit product is waar mogelijk geschreven met inclusief taalgebruik. Inclusief taalgebruik wordt in deze documentatie gedefinieerd als taal die geen discriminatie op basis van leeftijd, handicap, gender, etniciteit, seksuele oriëntatie, sociaaleconomische status of combinaties hiervan weerspiegelt. In deze documentatie kunnen uitzonderingen voorkomen vanwege bewoordingen die in de gebruikersinterfaces van de productsoftware zijn gecodeerd, die op het taalgebruik in de RFP-documentatie zijn gebaseerd of die worden gebruikt in een product van een externe partij waarnaar wordt verwezen. Lees meer over hoe Cisco gebruikmaakt van inclusief taalgebruik.
Cisco heeft dit document vertaald via een combinatie van machine- en menselijke technologie om onze gebruikers wereldwijd ondersteuningscontent te bieden in hun eigen taal. Houd er rekening mee dat zelfs de beste machinevertaling niet net zo nauwkeurig is als die van een professionele vertaler. Cisco Systems, Inc. is niet aansprakelijk voor de nauwkeurigheid van deze vertalingen en raadt aan altijd het oorspronkelijke Engelstalige document (link) te raadplegen.
Dit document beschrijft configuratie en probleemoplossing van RADIUS via Datagram Transport Layer Security Protocol (DTLS). DTLS biedt coderingsservices voor RADIUS, dat via een beveiligde tunnel wordt getransporteerd.
Cisco raadt kennis van de volgende onderwerpen aan:
De informatie in dit document is gebaseerd op de volgende software- en hardware-versies:
De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u de potentiële impact van elke opdracht begrijpen.
Ga naar Beheer > Netwerkbronnen > Netwerkapparaten. Klik op Add en geef minimaal verplichte velden op:
Selecteer het selectievakje RADIUS-verificatie-instellingen en selecteer onder RADIUS DTLS-instellingen het selectievakje DTLS Vereist. Dit maakt RADIUS-communicatie met authenticator alleen mogelijk via een beveiligde DTLS-tunnel. Merk op dat Shared Secret textbox grijs is. Deze waarde in het geval van RADIUS DTLS is vast en dezelfde string wordt geconfigureerd aan de kant van de verificator.
U kunt de poort configureren die wordt gebruikt voor DTLS-communicatie en time-out bij Beheer > Systeem > Instellingen > Protocollen > RADIUS > RADIUS DTLS.
Merk op dat de DTLS-poort verschilt van RADIUS-poorten. Standaard gebruikt een RADIUS paren 1645, 1646 en 1812, 1813. Standaard gebruikt DTLS voor verificatie, autorisatie, accounting en CoA poort 2083. Inactiviteitstimer bepaalt hoe lang ISE en authenticator tunnels onderhouden zonder dat er communicatie doorheen gaat. Deze timeout wordt gemeten in seconden en varieert van 60 tot 600 seconden.
Om de tunnel tussen ISE en authenticator tot stand te brengen, moeten beide entiteiten certificaten uitwisselen en verifiëren. Authenticator moet op het DTLS-certificaat van ISE RADIUS vertrouwen, wat betekent dat de uitgever aanwezig moet zijn in de Trust Store van de authenticator. Als u de ondertekenaar van het ISE-certificaat wilt exporteren, navigeert u naar Beheer > Systeem > Certificaten, zoals in de afbeelding wordt getoond:
Bepaal de plaats van certificaat met de toegewezen rol van RADIUS DTLS en controleer Uitgegeven door gebied voor dit certificaat. Dit is de algemene naam van het certificaat dat moet worden geëxporteerd uit ISE Trust Store. Ga daarom naar Beheer > Systeem > CertificatenTrusted Certificates. Selecteer het aanvinkvakje naast het juiste certificaat en klik op Exporteren.
Meld u aan bij de switch en voer opdrachten uit om trustpoint te configureren:
configure terminal crypto pki trustpoint isetp enrollment terminal revocation-check none exit
Importeer certificaat met de opdracht crypto pki om isetp te verifiëren. Typ ja wanneer u wordt gevraagd het certificaat te aanvaarden.
Switch3650(config)#crypto pki authenticate isetp Enter the base 64 encoded CA certificate. End with a blank line or the word "quit" on a line by itself -----BEGIN CERTIFICATE----- MIIDWTCCAkGgAwIBAgIQL9s4RrhtWLpJjBYB5v0dtTANBgkqhkiG9w0BAQUFADA/ MRMwEQYKCZImiZPyLGQBGRYDY29tMRcwFQYKCZImiZPyLGQBGRYHZXhhbXBsZTEP MA0GA1UEAxMGTEFCIENBMB4XDTE1MDIxMjA3MzgxM1oXDTI1MDIxMjA3NDgxMlow PzETMBEGCgmSJomT8ixkARkWA2NvbTEXMBUGCgmSJomT8ixkARkWB2V4YW1wbGUx DzANBgNVBAMTBkxBQiBDQTCCASIwDQYJKoZIhvcNAQEBBQADggEPADCCAQoCggEB AMDSfJwvbJLHHJf4vDTalGjKrDI73c/y269IMZV48xpCruNhglcU8CW/T9Ysj6xk Oogtx2vpG4XJt7KebDZ/ac1Ymjg7sPBPcnyDZCd2a1b39XakD2puE8lVi4RVkjBH pss2fTWeuor9dzgb/kWb0YqIsgw1sRKQ2Veh1IXmuhX+wDqELHPIzgXn/DOBF0qN vWlevrAlmBTxC04t1aPwyRk6b6ptjMeaIv2nqy8tOrldMVYKsPDj8aOrFEQ2d/wg HDvd6C6LKRBpmAvtrqyDtinEl/CRaEFH7dZpvUSJBNuh7st3JIG8gVFstweoMmTE zxUONQw8QrZmXDGTKgqvisECAwEAAaNRME8wCwYDVR0PBAQDAgGGMA8GA1UdEwEB /wQFMAMBAf8wHQYDVR0OBBYEFO0TzYQ4kQ3fN6x6JzCit3/l0qoHMBAGCSsGAQQB gjcVAQQDAgEAMA0GCSqGSIb3DQEBBQUAA4IBAQAWbWGBeqE2u6IGdKEPhv+t/rVi xhn7KrEyWxLkWaLsbU2ixsfTeJDCM8pxQItsj6B0Ey6A05c3YNcvW1iNpupGgc7v 9lMt4/TB6aRLVLijBPB9/p2/3SJadCe/YBaOn/vpmfBPPhxUQVPiBM9fy/Al+zsh t66bcO3WcD8ZaKaER0oT8Pt/4GHZA0Unx+UxpcNuRRz4COArINXE0ULRfBxpIkkF pWNjH0rlV55edOga0/r60Cg1/J9VAHh3qK2/3zXJE53N+A0h9whpG4LYgIFLB9ep ZDim7KGsf+P3zk7SsKioGB4kqidHnm34XjlkWFnrCMQH4HC1oEymakV3Kq24 -----END CERTIFICATE----- Certificate has the following attributes: Fingerprint MD5: B33EAD49 87F18924 590616B9 C8880D9D Fingerprint SHA1: FD729A3B B533726F F8450358 A2F7EB27 EC8A1178 % Do you accept this certificate? [yes/no]: yes Trustpoint CA certificate accepted. % Certificate successfully imported
Selecteer trustpoint en het certificaat dat gebruikt moet worden voor DTLS op de switch en exporteer deze:
Switch3650(config)#crypto pki export TP-self-signed-721943660 pem terminal % Self-signed CA certificate: -----BEGIN CERTIFICATE----- MIICKTCCAZKgAwIBAgIBATANBgkqhkiG9w0BAQUFADAwMS4wLAYDVQQDEyVJT1Mt U2VsZi1TaWduZWQtQ2VydGlmaWNhdGUtNzIxOTQzNjYwMB4XDTE2MDQyNzExNDYw NloXDTIwMDEwMTAwMDAwMFowMDEuMCwGA1UEAxMlSU9TLVNlbGYtU2lnbmVkLUNl cnRpZmljYXRlLTcyMTk0MzY2MDCBnzANBgkqhkiG9w0BAQEFAAOBjQAwgYkCgYEA xRybTGD526rPYuD2puMJu8ANcDqQnwunIERgvIWoLwBovuAu7WcRmzw1IDTDryOH PXt1n5GcQSAOgn+9QdvKl1Z43ZkRWK5E7EGmjM/aL1287mg4/NlrWr4KMSwDQBJI noJ52CABXUoApuiiJ8Ya4gOYeP0TmsZtxP1N+s+wqjMCAwEAAaNTMFEwDwYDVR0T AQH/BAUwAwEB/zAfBgNVHSMEGDAWgBSEOKlAPAHBPedwichXL+qUM+1riTAdBgNV HQ4EFgQUhDipQDwBwT3ncInIVy/qlDPta4kwDQYJKoZIhvcNAQEFBQADgYEAlBNN wKSS8yBuOH0/jUV7sy3Y9/oV7Z9bW8WFV9QiTQ1lZelvWMTbewozwX2LJvxobGcj Pi+n99RIH8dBhWwoYl9GTN2LVI22GIPX12jNLqps+Mq/u2qxVm0964Sajs5OlKjQ 69XFfCVot1NA6z2eEP/69oL9x0uaJDZa+6ileh0= -----END CERTIFICATE-----
Om een lijst van alle gevormde trustpoints, voer bevel uit tonen crypto pki trustpoints. Nadat het certificaat is afgedrukt naar de console, kopieert u het naar een bestand en slaat u het op de pc op.
Ga op ISE naar Beheer > Certificaten > Betrouwbare certificaten en klik op Importeren.
Klik nu op Bladeren en selecteer certificaat van de switch. Verstrek (facultatief) Vriendelijke Naam en selecteer checkboxes Vertrouwen voor authentificatie binnen ISE en Vertrouwen voor cliëntauthentificatie en Syslog. Klik vervolgens op Indienen, zoals in de afbeelding:
Voeg de RADIUS-configuratie toe aan de switch. Gebruik opdrachten om de switch te configureren voor communicatie met ISE via DTLS:
radius server ISE22 address ipv4 10.48.23.86 key radius/dtls dtls port 2083 dtls trustpoint client TP-self-signed-721943660 dtls trustpoint server isetp
De rest van de AAA-specifieke configuratie is afhankelijk van uw vereisten en ontwerp. Behandel deze configuratie als een voorbeeld:
aaa group server radius ISE server name ISE22 radius-server attribute 6 on-for-login-auth radius-server attribute 8 include-in-access-req radius-server attribute 25 access-request include aaa authentication dot1x default group ISE aaa authorization network default group ISE
Configuratie van verificatie- en autorisatiebeleid op ISE. Deze stap hangt ook af van uw ontwerp en vereisten.
Gebruik de opdracht Test Aa op de switch om te controleren of gebruikers kunnen verifiëren:
Switch3650#test aaa group ISE alice Krakow123 new-code User successfully authenticated USER ATTRIBUTES username 0 "alice" Switch3650#
De melding Gebruiker is geverifieerd. Navigeer naar ISE Operations > RADIUS > LiveLog en selecteer details voor het juiste log (klik op vergrootglas):
Rechts in het verslag staat een lijst met stappen. Controleer of de eerste stap in de lijst RADIUS-pakket is versleuteld.
Daarnaast kunt u pakketopname op ISE starten en nog een keer test aaa commando uitvoeren. Om de opname te starten, navigeer je naar Operations > Probleemoplossing > Diagnostische tools > Algemene tools > TCP Dump. Selecteer het Policy Service-knooppunt voor de verificatie en klik op Start:
Klik op Stop en download als de verificatie is voltooid. Wanneer u pakketopname opent, zou u verkeer moeten kunnen zien dat met DTLS wordt versleuteld:
Packets #813 - #822 maken deel uit van DTLS-handdruk. Wanneer de handdruk met succes wordt besproken, worden de Toepassingsgegevens overgebracht. Merk op dat het aantal pakketten kan variëren en bijvoorbeeld afhankelijk is van de gebruikte verificatiemethode (PAP, EAP-PEAP, EAP-TLS, enz.). De inhoud van elk pakket wordt versleuteld:
Wanneer alle gegevens worden verzonden, wordt de tunnel niet onmiddellijk afgebroken. IdleTimeout geconfigureerd op ISE bepaalt hoe lang een tunnel gemaakt kan worden zonder dat er communicatie door hem heen gaat. Als de timer verloopt en er een nieuw toegangsverzoek naar ISE moet worden verzonden, wordt een DTLS-handdruk uitgevoerd en wordt de tunnel opnieuw gebouwd.
Let op dat de standaard DTLS poort 2083 is. De standaard RADIUS-poorten zijn 1645,1646 en 1812,1813. Zorg ervoor dat de firewall het UDP/2083-verkeer niet blokkeert.
In het gedetailleerde rapport over ISE kunt u zien dat de DTLS-handdruk is mislukt:
De mogelijke reden is dat switch of ISE geen vertrouwen heeft in het certificaat dat tijdens de handdruk wordt verzonden. Controleer de certificaatconfiguratie. Controleer of het juiste certificaat is toegewezen aan de RADIUS DTLS-rol op ISE en aan de trustpoints op de switch.
Revisie | Publicatiedatum | Opmerkingen |
---|---|---|
1.0 |
14-Feb-2017 |
Eerste vrijgave |