Switch configureren met SXP en IBNS 2.0 voor op identiteit gebaseerde netwerken

Inleiding

In dit document worden de procedures beschreven voor het configureren van Cisco-Switches met SXP en IBNS 2.0 voor Identity-Based Networking.

Voorwaarden

Gebruikte componenten

De informatie in dit document is gebaseerd op de volgende software- en hardware-versies:

• Identity Services Engine (ISE) versie 3.3 patch 4
• Cisco Catalyst switch 3850 

De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u zorgen dat u de potentiële impact van elke opdracht begrijpt.

Achtergrondinformatie 

Identiteitscontrolebeleid definieert de acties die de Access Session Manager uitvoert als reactie op specifieke omstandigheden en eindpuntgebeurtenissen. Met behulp van een consistente beleidstaal kunnen verschillende systeemacties, voorwaarden en gebeurtenissen worden gecombineerd om dit beleid te vormen.

Het controlebeleid wordt toegepast op interfaces en is primair verantwoordelijk voor het beheer van endpointverificatie en het activeren van services op sessies. Elk controlebeleid bestaat uit een of meer regels en een beslissingsstrategie die bepaalt hoe die regels worden geëvalueerd.

Een regel voor controlebeleid bevat een controleklasse (een instructie voor flexibele voorwaarden), een gebeurtenis die de voorwaardevaluatie activeert en een of meer acties. Terwijl beheerders bepalen welke acties worden geactiveerd door specifieke gebeurtenissen, worden sommige gebeurtenissen geleverd met vooraf gedefinieerde standaardacties.

identiteitscontrolebeleid

Overzicht van de configuratie van het identiteitscontrolebeleid

Controlebeleid definieert systeemgedrag met behulp van een gebeurtenis, een voorwaarde en een actie. Het configureren van een controlebeleid bestaat uit drie belangrijke stappen:

1. Besturingsklassen maken:
   Een controleklasse definieert de voorwaarden die vereist zijn om een controlebeleid te activeren. Elke klasse kan meerdere voorwaarden hebben die als waar of onwaar worden beoordeeld. U kunt instellen of alle, enige of geen van de voorwaarden waar moet zijn om de klasse als waar te beschouwen. Als alternatief kunnen beheerders een standaardklasse gebruiken die geen voorwaarden heeft en altijd evalueert als true.
2. Het controlebeleid maken:
   Een controlebeleid bevat een of meer regels. Elke regel bevat een controleklasse, een gebeurtenis die de conditiecontrole activeert en een of meer acties. Acties worden genummerd en uitgevoerd in volgorde.
3. Het controlebeleid toepassen:
   Pas ten slotte het controlebeleid toe op een interface om deze te activeren.

Configuratie identiteitscontrolebeleid

Met de opdracht Nieuwe stijl voor weergave van verificatie worden de bestaande configuraties omgezet in een nieuwe stijl.

switch#authenticatie Nieuwe stijl weergeven

Beleid voor identiteitscontrole interpreteren

Configureren

Switchconfiguratie

WS-C3850-48F-E#show run aaa

Ja!

AAA-verificatie dot1x Standaardgroepstraal lokaal

AAA Authorization Network Standaardgroep Radius Local

Gebruikersnaam Beheerderswachtwoord 0 xxxxxx

Ja!

Ja!

Ja!

Ja!

radiusserver ISE1

Adres IPv4 10.127.197.xxx Auth-Port 1812 ACCT-Port 1813

PAC-toets xxxx@123

Ja!

Ja!

aaa-groepsserverradius ISE2

servernaam ISE1

Ja!

Ja!

Ja!

Ja!

nieuw AAA-model

AAA Session-ID Algemeen

Ja!

AAA Server Radius Dynamic-Author

Client10.127.197.xxx Serversleutel xxxx@123

dot1x-systeem-auth-controle

Ja!

WS-C3850-48F-E#show run | in POLICY_Gi1/0/45      

policy-map type controle abonnee POLICY_Gi1/0/45

service-policy type control subscriber POLICY_Gi1/0/45

WS-C3850-48F-E#show run | sec POLICY_Gi1/0/45

policy-map type controle abonnee POLICY_Gi1/0/45

door een gebeurtenissessie gestarte match-all

  10 Klasse Altijd doen-tot-falen

   10 Verifiëren met DOT1X-prioriteit 10

gebeurtenisverificatie-mislukking match-first

  5 klasse DOT1X_FAILED do-until-failure

   10 punt1x beëindigen

   20 Authenticatie-herstart 60

  10 klasse DOT1X_NO_RESP do-until-failure

   10 punt1x beëindigen

   20 Authenticeren met behulp van mab Priority 20

  20 klasse MAB_FAILED do-until-failure

   10 Beëindig MAB

   20 Authenticatie-herstart 60

  40 Klasse Altijd doen-tot-falen

   10 punt1x beëindigen

   20 Beëindig MAB

   30 Verificatie-Opnieuw starten 60

Event Agent-Found Match-All

  10 Klasse Altijd doen-tot-falen

   10 Beëindig MAB

   20 Verifiëren met DOT1X-prioriteit 10

evenementenverificatie-succesvergelijking

  10 Klasse Altijd doen-tot-falen

   10 servicesjabloon DEFAULT_LINKSEC_POLICY_MUST_SECURE activeren

service-policy type control subscriber POLICY_Gi1/0/45

WS-C3850-48F-E#show run interface gig1/0/45

Configuratie van gebouw...

Huidige configuratie: 303 bytes

Ja!

interface Gigabit Ethernet1/0/45

SwitchPort Access VLAN 503

toegang in switchpoortmodus

Access-Session Host-Mode Single-Host

toegangsessie gesloten

toegangssessie-poortcontrole-auto

mab

Geen op rollen gebaseerde handhaving van CTS

dot1x pae-verificator

service-policy type control subscriber POLICY_Gi1/0/45

einde

WS-C3850-48F-E#show run cts

Ja!

icts-autorisatielijst ISE2

CTS SXP inschakelen

CTS SXP-verbinding 10.127.197.xxx Wachtwoord Geen modus Peer Speaker Hold-time 0 0

CTS SXP Standaardbron-IP 10.196.138.jjj

CTS SXP - Standaardwachtwoord xxxx@123

ISE-configuratie

Stap 1: Authenticatie- en autorisatiebeleid maken op ISE

Stap 2: Een SXP-apparaat configureren op ISE

Stap 3: Algemeen wachtwoord configureren onder SXP-instellingen

Verifiëren

WS-C3850-48F-E#toon toegangssessie-interface gig1/0/45 details

            Interface: Gigabit Ethernet1/0/45

               IIF-ID: 0x1A146F96

          MAC-adres: b496.9126.decc

         IPv6-adres: onbekend

         IPv4-adres: onbekend

            Gebruikersnaam: divya123

               Status: geautoriseerd

               Domein: DATA

       Open hostmodus: enkele host

     Oper control dir: beide

      Time-out sessie: NVT

    Algemene sessie-ID: 000000000000000B95163D98

      ID ACT-sessie: onbekend

               Handvat: 0x6f000001

       Huidig beleid: POLICY_GI1/0/45

Lokaal beleid:

        Servicesjabloon: DEFAULT_LINKSEC_POLICY_MUST_SECURE (prioriteit 150)

      Veiligheidsbeleid: moet veilig zijn

      Beveiligingsstatus: koppeling onbeveiligd

Serverbeleid:

Methodestatuslijst:

       Methode-toestand

        dot1x Authc-succes

WS-C3850-48F-E#

WS-C3850-48F-E(config)#do show cts sxp conn

SXP: ingeschakeld

Hoogste ondersteunde versie: 4

Standaardwachtwoord: instellen

Standaardsleutelhanger: niet ingesteld

Standaardsleutelketennaam: niet van toepassing

Standaardbron IP: 10.196.138.jjj

Open periode voor opnieuw verbinden: 120 sec

Reconciliatieperiode: 120 sec

Open timer opnieuw proberen wordt uitgevoerd

Verplaatsingslimiet van peer-sequentie voor export: niet ingesteld

Verplaatsingslimiet van peer-sequentie voor importeren: niet ingesteld

-----------------------------------

IP-peer: 10.127.197.xxx

Bron IP : 10.196.138.jjj

Conn-status : op

Conversie : 4

Conn-mogelijkheid : IPv4-IPv6-subnet

Conn hold-tijd : 120 seconden

Lokale modus : SXP Listener

Verbinding inst#: 1

TCP conn fd : 1

TCP conn wachtwoord: geen

Hold-timer wordt uitgevoerd

Duur sinds laatste statuswijziging: 0:00:00:22 (dd:hr:mm:sec)

Totaal aantal SXP-verbindingen = 1

0xFF8CBFC090: VRF, fd: 1, peer ip: 10.127.197.xxx

cdbp:0xFF8CBFC090 <10.127.197.145, 10.196.138.yyy> tableid:0x0

WS-C3850-48F-E(config)# 

In het live logboekrapport wordt de SGT-tag Guest weergegeven die is toegepast:

Problemen oplossen

Schakel deze foutopsporing op de switch in om dot1x-problemen op te lossen:

• Foutopsporingsstip1x Alle

logboekuitleg

dot1x-packet: EAPOL pak rx - Ver: 0x1 type: 0x1 >>>>> EAPoL pakket ontvangen door de switch
dot1x-pakket: lengte: 0x0000

dot1x-ev: [b496.9126.decc, Gig1/0/45] client gedetecteerd, verzenden sessie start event voor b496.9126.decc >>>> dot1x client gedetecteerd

dot1x-ev: [b496.9126.decc, Gig1/0/45] Dot1x-verificatie gestart voor 0x26000007 (b496.9126.decc)>>>> dot1x gestart

%AUTHMGR-5-START: 'dot1x' starten voor client (b496.9126.decc) op interface Gig1/0/45 AuditSessionID 0A6A258E0000003500C9CFC3

dot1x-sm: [b496.9126.decc, Gig1/0/45] Posting: ˂EAP_RESTART op client 0x26000007 />>>> Client vragen om het EAP-proces opnieuw te starten

dot1x-sm: [b496.9126.decc, Gig1/0/45] RX_REQ wordt gepost op client 0x26000007 >>>> wachtend op het EAPoL-pakket van de client

dot1x-sm: [b496.9126.decc, Gig1/0/45] AUTH_START plaatsen voor 0x26000007 >>>>> Verificatieproces starten

dot1x-ev: [b496.9126.decc, Gig1/0/45] EAPOL-pakket verzenden >>>> Identiteitsverzoek
dot1x-packet: EAPOL pak Tx - Ver: 0x3 type: 0x0
dot1x-pakket: lengte: 0x0005
dot1x-pakket: EAP-code: 0x1 id: 0x1 lengte: 0x0005
dot1x-pakket: type: 0x1
dot1x-packet: [b496.9126.decc, Gig1/0/45] EAPOL-pakket verzonden naar client 0x26000007

dot1x-ev: [Gig1/0/45] Ontvangen pkt saddr =b496.9126.decc, daddr = 0180.c200.0003, pae-ether-type = 888e.0100.000a
dot1x-packet: EAPOL pak rx - Ver: 0x1 type: 0x0 // Identity Response
punt1x-pakket: lengte: 0x000A

dot1x-sm: [b496.9126.decc, Gig1/0/45] EAPOL_EAP plaatsen voor 0x26000007 >>>> EAPoL-pakket (EAP-respons) ontvangen, aanvraag voorbereiden voor server

dot1x-sm: [b496.9126.decc, Gig1/0/45] EAP_REQ plaatsen voor 0x26000007 >>>> Serverrespons ontvangen, EAP-aanvraag wordt voorbereid

dot1x-ev: [b496.9126.decc, Gig1/0/45] EAPOL-pakket verzenden
dot1x-packet: EAPOL pak Tx - Ver: 0x3 type: 0x0
dot1x-pakket: lengte: 0x0006
dot1x-pakket: EAP-code: 0x1 id: 0xE5 lengte: 0x0006
punt1x-pakket: type: 0xD
dot1x-packet: [b496.9126.decc, Gig1/0/45] EAPOL-pakket verzonden naar client 0x26000007 >>>>> EAP-verzoek verzonden

dot1x-ev: [Gig1/0/45] Ontvangen pkt saddr =b496.9126.decc, daddr = 0180.c200.0003, pae-ether-type = 888e.0100.0006 //EAP-reactie ontvangen
dot1x-packet: EAPOL pak rx - Ver: 0x1 type: 0x0
dot1x-pakket: lengte: 0x0006
| |
| |
| |
|| Hier vinden veel EAPOL-EAP- en EAP_REQ-gebeurtenissen plaats omdat er veel informatie wordt uitgewisseld tussen de switch en de client
Indien de gebeurtenissen hierna niet volgen, moeten de timers en de tot nu toe verzonden informatie worden gecontroleerd
| |
| |
| |
dot1x-packet: [b496.9126.decc, Gig1/0/45] Ontvangen EAP-succes >>>>> EAP-succes ontvangen van server

dot1x-sm: [b496.9126.decc, Gig1/0/45] EAP_SUCCESS plaatsen voor 0x26000007 >>>> EAP-gebeurtenis met succes plaatsen

dot1x-sm: [b496.9126.decc, Gig1/0/45] AUTH_SUCCESS plaatsen op client 0x26000007 >>>> Authenticatiesucces plaatsen

%DOT1X-5-SUCCES: verificatie succesvol voor client (b496.9126.decc) op interface Gig1/0/45 AuditSessionID 0A6A258E0000003500C9CFC3

dot1x-packet:[b496.9126.decc, Gig1/0/45] EAP-sleutelgegevens gedetecteerd bij toevoegen aan attribuutlijst >>>>> Extra sleutelgegevens gedetecteerd verzonden door server

%AUTHMGR-5-SUCCES: autorisatie geslaagd voor client (b496.9126.decc) op interface Gig1/0/45 AuditSessionID 0A6A258E0000003500C9CFC3

dot1x-ev: [b496.9126.decc, Gig1/0/45] Ontvangen Authz Succes voor de client 0x26000007 (b496.9126.decc) >>>>> Autorisatie Succes

dot1x-ev: [b496.9126.decc, Gig1/0/45] EAPOL-pakket verzenden >>>> EAP-succes naar de client verzenden
dot1x-packet: EAPOL pak Tx - Ver: 0x3 type: 0x0
dot1x-pakket: lengte: 0x0004
dot1x-pakket: EAP-code: 0x3 id: 0xED lengte: 0x0004
dot1x-packet: [b496.9126.decc, Gig1/0/45] EAPOL-pakket verzonden naar client 0x26000007