IBNS 2.0 configureren voor scenario's met één host en meerdere domeinen
Inleiding
In dit document wordt beschreven hoe Identity Based Networking Services 2.0 (IBNS) kan worden geconfigureerd voor scenario's met één host en meerdere domeinen.
Voorwaarden
Vereisten
Cisco raadt kennis van de volgende onderwerpen aan:
- Extensible Authentication Protocol over Local Area Network (EAPoL)
- Radius-protocol
- Cisco Identity Services Engine versie 2.0
Gebruikte componenten
De informatie in dit document is gebaseerd op de volgende software- en hardware-versies:
- Cisco Identity Service Engine versie 2.0, patch 2
- Eindpunt met Windows 7 OS
- Cisco switch 3750X met Cisco IOS® 15.2(4)E1
- Cisco switch 3850 met 03.02.03.SE
- Cisco IP Phone 9971
De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u zorgen dat u de potentiële impact van elke opdracht begrijpt.
Configureren
configuratietheorie
Als u IBNS 2.0 wilt inschakelen, moet u de opdracht uitvoeren in de voorkeursmodus op uw Cisco-switch:
#authentication display new-style
Configureer de switchport voor IBNS 2.0 met de volgende opdrachten:
access-session host-mode {single-host | multi-domain | multi-auth | multi-host}
access-session port-control auto
dot1x pae authenticator
{mab}
service-policy type control subscriber TESTDeze opdrachten maken dot1x-verificatie mogelijk en, optioneel, MAC Authentication Bypass (MAB) op de interface. Wanneer u de nieuwe syntaxis gebruikt, gebruikt u opdrachten die beginnen met toegangssessie. Het doel van die opdrachten is hetzelfde als voor opdrachten die gebruikmaken van de oude syntaxis (te beginnen met het zoekwoord voor verificatie). Pas service-policy toe om policy-map op te geven die voor de interface kan worden gebruikt.
De genoemde beleidskaart definieert het gedrag van de switch (authenticator) tijdens de authenticatie. U kunt bijvoorbeeld opgeven wat er kan gebeuren in het geval van een verificatiefout. Voor elke gebeurtenis kunt u meerdere acties configureren op basis van het type gebeurtenis dat overeenkomt met de klasse-map die eronder is geconfigureerd. Kijk bijvoorbeeld eens naar de lijst zoals die getoond wordt (policy-map TEST4). Als het eindpunt dot1x, dat is verbonden met de interface waarop dit beleid wordt toegepast, mislukt, wordt actie uitgevoerd die is gedefinieerd in DOT1X_FAILED. Als u hetzelfde gedrag wilt opgeven voor klassen zoals MAB_FAILED en DOT1X_FAILED, kunt u altijd de standaardklasse - class-map gebruiken.
policy-map type control subscriber TEST4 (...) event authentication-failure match-first 10 class DOT1X_FAILED do-until-failure 10 terminate dot1x (...) 40 class always do-until-failure 10 terminate mab 20 terminate dot1x 30 authentication-restart 60 (...)
Beleidskaart die voor IBNS 2.0 wordt gebruikt, moet altijd een abonnee voor typebesturing hebben.
U kunt de lijst met beschikbare evenementen op deze manier bekijken:
Switch(config-event-control-policymap)#event ? aaa-available aaa-available event absolute-timeout absolute timeout event agent-found agent found event authentication-failure authentication failure event authentication-success authentication success event authorization-failure authorization failure event
authorization-success authorization success event
identity-update identity update event inactivity-timeout inactivity timeout event
remote-authentication-failure authentication failure event
remote-authentication-success authentication remote success event
remote-update update from remote device
session-disconnected session disconnected event
session-started session started event tag-added tag to apply event tag-removed tag to remove event template-activated template activated event template-activation-failed template activation failed event template-deactivated template deactivated event template-deactivation-failed template deactivation failed event timer-expiry timer-expiry event violation session violation event
In gebeurtenisconfiguratie hebt u de mogelijkheid om te definiëren hoe klassen kunnen worden geëvalueerd:
Switch(config-event-control-policymap)#event authentication-failure ? match-all Evaluate all the classes match-first Evaluate the first class
U kunt vergelijkbare opties voor klassentoewijzingen definiëren, maar hier geeft u op hoe acties kunnen worden uitgevoerd als uw klasse is gekoppeld:
Switch(config-class-control-policymap)#10 class always ? do-all Execute all the actions do-until-failure Execute actions until one of them fails do-until-success Execute actions until one of them is successful
Het laatste deel (optioneel) van de configuratie in de nieuwe stijl van dot1x is class-map. Het kan ook het type abonnee regelen en het wordt gebruikt om specifiek gedrag of verkeer aan te passen. Configureer de vereisten voor de evaluatie van de toestand van de klasse-map. U kunt opgeven dat aan alle voorwaarden moet worden voldaan, dat aan alle voorwaarden moet worden voldaan of dat geen van de voorwaarden overeenkomt.
Switch(config)#class-map type control subscriber ? match-all TRUE if everything matches in the class-map match-any TRUE if anything matches in the class-map match-none TRUE if nothing matches in the class-map
Dit is een voorbeeld van een klassentoewijzing die wordt gebruikt voor het matchen van een fout in dot1x-verificatie:
class-map type control subscriber match-all DOT1X_FAILED match method dot1x match result-type method dot1x authoritative
Voor sommige scenario's, meestal wanneer een servicesjabloon wordt gebruikt, moet u configuratie toevoegen voor wijziging van autorisatie (CoA):
aaa server radius dynamic-author client 10.48.17.232 server-key cisco
Scenario voor Single-Host
Netwerkdiagram
Configuraties
Basic 802.1X-configuratie vereist voor scenario met één host dat is getest op Catalyst 3750X met Cisco IOS 15.2(4)E1. Scenario getest met Windows Native Supplicant en Cisco AnyConnect.
aaa new-model ! aaa group server radius tests server name RAD-1 ! aaa authentication dot1x default group tests aaa authorization network default group tests ! dot1x system-auth-control ! policy-map type control subscriber TEST event session-started match-all 10 class always do-until-failure 10 authenticate using dot1x priority 10 ! interface GigabitEthernet1/0/21 switchport access vlan 613 switchport mode access access-session host-mode single-host access-session port-control auto dot1x pae authenticator service-policy type control subscriber TEST ! radius server RAD-1 address ipv4 10.48.17.232 auth-port 1812 acct-port 1813 key cisco
Scenario voor multidomein
Netwerkdiagram
Configuraties
Multi-domain scenario is getest op Catalyst 3850 met Cisco IOS 03.02.03.SE vanwege PoE (Power over Ethernet)-vereisten voor IP Phone (Cisco IP Phone 9971).
aaa new-model ! aaa group server radius tests server name RAD-1 ! aaa authentication dot1x default group tests aaa authorization network default group tests ! aaa server radius dynamic-author client 10.48.17.232 server-key cisco ! dot1x system-auth-control ! class-map type control subscriber match-all DOT1X match method dot1x ! class-map type control subscriber match-all DOT1X_FAILED match method dot1x match result-type method dot1x authoritative ! class-map type control subscriber match-all DOT1X_NO_RESP match method dot1x match result-type method dot1x agent-not-found ! class-map type control subscriber match-all MAB match method mab ! class-map type control subscriber match-all MAB_FAILED match method mab match result-type method mab authoritative ! policy-map type control subscriber TEST4 event session-started match-all 10 class always do-until-failure 10 authenticate using dot1x priority 10 20 authenticate using mab priority 20 event authentication-failure match-first 10 class DOT1X_FAILED do-until-failure 10 terminate dot1x 20 class MAB_FAILED do-until-failure 10 terminate mab 20 authenticate using dot1x priority 10 30 class DOT1X_NO_RESP do-until-failure 10 terminate dot1x 20 authentication-restart 60 40 class always do-until-failure 10 terminate mab 20 terminate dot1x 30 authentication-restart 60 event agent-found match-all 10 class always do-until-failure 10 terminate mab 20 authenticate using dot1x priority 10 event authentication-success match-all 10 class always do-until-failure 10 activate service-template DEFAULT_LINKSEC_POLICY_SHOULD_SECURE ! interface GigabitEthernet1/0/1 switchport access vlan 613 switchport mode access switchport voice vlan 612 access-session host-mode multi-domain access-session port-control auto mab dot1x pae authenticator spanning-tree portfast service-policy type control subscriber TEST4 ! radius-server attribute 6 on-for-login-auth radius-server attribute 8 include-in-access-req radius-server attribute 25 access-request include radius-server vsa send cisco-nas-port ! radius server RAD-1 address ipv4 10.48.17.232 auth-port 1812 acct-port 1813 key cisco
Verifiëren
Gebruik deze sectie om te controleren of uw configuratie goed werkt.
Gebruik deze opdracht voor verificatiedoeleinden om sessies van alle switchports weer te geven:
show access-session
U kunt ook gedetailleerde informatie over sessies bekijken vanuit één switchport:
show access-session interface [Gi 1/0/1] {detail} Problemen oplossen
Deze sectie bevat informatie die u kunt gebruiken om problemen met de configuratie te troubleshooten.
Om problemen met betrekking tot 802.1X op te lossen, kunt u foutopsporing inschakelen (vanaf Cisco IOS XE 16.3.2):
set platform software trace smd switch active R0 radius debug
set platform software trace smd switch active R0 dot1x-all debug
set platform software trace smd switch active R0 auth-mgr-all debug
set platform software trace smd switch active R0 epm-all debug
Opdracht tonen platformsoftware trace level smd switch active R0 toont u momenteel actieve debugs.
Als u foutopsporing wilt uitschakelen, kunt u alle foutopsporing ongedaan maken of de melding voor platformsoftware-tracering smd switch active R0 <subcomponent> instellen.
Om gegenereerde logs weer te geven, kunt u de opdracht gebruiken: toon platformsoftware trace message smd switch active R0.
In het oudere Cisco IOS kunt u foutopsporing inschakelen met oudere opdrachten:
debug mab all
debug dot1x all
debug pre all*
* Optioneel kunt u voor debug pre alleen gebeurtenis en/of regel gebruiken om de uitvoer te beperken tot relevante informatie van IBNS 2.0.
Revisiegeschiedenis
| Revisie | Publicatiedatum | Opmerkingen |
|---|---|---|
6.0 |
04-Dec-2025
|
hercertificering |
5.0 |
31-Oct-2024
|
Bijgewerkte merkvereisten, afbeeldingen en opmaak. |
4.0 |
06-Sep-2024
|
Afgewezen valse CCW-waarschuwingen
Bewerkt voor opmaak en grammatica |
3.0 |
04-Sep-2024
|
Opmaak bijgewerkt. |
2.0 |
26-Jun-2023
|
Alt-tekst toegevoegd.
Bijgewerkte juridische disclaimer, PII, stijlvereisten, machinevertaling en opmaak. |
1.0 |
25-Mar-2017
|
Eerste vrijgave |
FeedbackContact Cisco
- Een ondersteuningscase openen
- (Vereist een Cisco-servicecontract)