Beveilig een Flexconnect AP-switchport met Dot1x

Downloadopties

  • PDF     (522.7 KB)
    Met Adobe Reader op diverse apparaten bekijken
  • ePub     (300.6 KB)
    Bekijken in diverse apps op iPhone, iPad, Android, Sony Reader of Windows Phone
  • Mobi (Kindle)     (341.2 KB)
    Op Kindle-apparaat of via Kindle-app op meerdere apparaten bekijken
Bijgewerkt:31 mei 2022
Document-id:200492

Inclusief taalgebruik

De documentatie van dit product is waar mogelijk geschreven met inclusief taalgebruik. Inclusief taalgebruik wordt in deze documentatie gedefinieerd als taal die geen discriminatie op basis van leeftijd, handicap, gender, etniciteit, seksuele oriëntatie, sociaaleconomische status of combinaties hiervan weerspiegelt. In deze documentatie kunnen uitzonderingen voorkomen vanwege bewoordingen die in de gebruikersinterfaces van de productsoftware zijn gecodeerd, die op het taalgebruik in de RFP-documentatie zijn gebaseerd of die worden gebruikt in een product van een externe partij waarnaar wordt verwezen. Lees meer over hoe Cisco gebruikmaakt van inclusief taalgebruik.

Over deze vertaling

Cisco heeft dit document vertaald via een combinatie van machine- en menselijke technologie om onze gebruikers wereldwijd ondersteuningscontent te bieden in hun eigen taal. Houd er rekening mee dat zelfs de beste machinevertaling niet net zo nauwkeurig is als die van een professionele vertaler. Cisco Systems, Inc. is niet aansprakelijk voor de nauwkeurigheid van deze vertalingen en raadt aan altijd het oorspronkelijke Engelstalige document (link) te raadplegen.

    Inleiding

    In dit document wordt de configuratie beschreven voor het beveiligen van switchpoorten waarbij FlexConnect-toegangspunten (AP's) worden geverifieerd met Dot1x.

    Voorwaarden

    Vereisten

    Cisco raadt kennis van de volgende onderwerpen aan:

    • FlexConnect on Wireless LAN-controller (WLC)
    • 802.1x op Cisco-Switches
    • Network Edge Authentication Topology (NEAT)

    Gebruikte componenten

    De informatie in dit document is gebaseerd op de volgende software- en hardware-versies:

    • WS-C3560CX-8PC-S, 15.2(4)E1

    • AIR-CT-2504-K9, 8.2.141.0
    • Identity Service Engine (ISE) 2.0
    • Op iOS gebaseerde toegangspunten (x500, x600, x700-reeks).

    Wave 2 AP's op basis van het AP-besturingssysteem ondersteunen flexconnect trunk dot1x niet vanaf het moment van schrijven.

    De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u zorgen dat u de potentiële impact van elke opdracht begrijpt.

    Configureren

    Netwerkdiagram

    network

      

    In deze configuratie fungeert het toegangspunt als de 802.1x-aanvrager en wordt het geverifieerd door de switch tegen ISE met behulp van EAP-FAST. Nadat de poort is geconfigureerd voor 802.1x-verificatie, staat de switch niet toe dat ander verkeer dan 802.1x-verkeer door de poort gaat totdat het apparaat dat is verbonden met de poort, is geverifieerd.

    Zodra het toegangspunt met succes is geverifieerd tegen ISE, ontvangt de switch Cisco VSA Attribuut "device-traffic-class=switch" en wordt de poort automatisch naar de trunk verplaatst.

    Dit betekent dat als het toegangspunt de FlexConnect-modus ondersteunt en lokaal geschakelde SSID's heeft geconfigureerd, het gecodeerd verkeer kan verzenden. Zorg ervoor dat de VLAN-ondersteuning is ingeschakeld op het toegangspunt en dat de juiste native VLAN is geconfigureerd. 

    AP-configuratie:

    1. Als het toegangspunt al is aangesloten op de WLC, gaat u naar het tabblad Draadloos en klikt u op het toegangspunt. Ga naar het veld Credentials en schakel onder de kop 802.1x Credentials supplicant het vak Over-ride Global credentials in om de 802.1x-gebruikersnaam en het wachtwoord voor dit toegangspunt in te stellen. 

    creds

    U kunt ook een opdrachtgebruikersnaam en wachtwoord instellen voor alle toegangspunten die zijn gekoppeld aan de WLC via het menu Globale configuratie.

    global-creds

    2. Als het toegangspunt zich nog niet bij een WLC heeft aangesloten, moet u console in de LAP zetten om de referenties in te stellen en deze CLI-opdracht te gebruiken:

    LAP#debug capwap console cli
    LAP#capwap ap dot1x gebruikersnaam <gebruikersnaam> wachtwoord <wachtwoord> 

    Switchconfiguratie

    1. Schakel dot1x op de switch wereldwijd in en voeg ISE-server toe aan switch

    nieuw AAA-model

    Ja!
    Standaard AAA-verificatie dot1x groepsstraal

    Ja!
    radius van standaardgroep voor AAA-autorisatienetwerk

    Ja!

    dot1x-systeem-auth-controle

    Ja!

    radiusserver-ISE
    Adres IPv4 10.48.39.161 AUTH-poort 1645 ACCT-poort 1646
      sleutel 7 123A0C0411045D5679

    2. Configureer nu de AP switch-poort

    Gigabit Ethernet-interface0/4
    SwitchPort Access VLAN 231
    Switchport Trunk toegestaan VLAN 231.232
    toegang in switchpoortmodus
    authenticatie host-mode multi-host
    Verificatievolgorde dot1x
    authenticatiepoortbesturingsauto
    dot1x pae-verificator
    Spanning-Tree Portfast Edge

    ISE-configuratie:

    1. Op ISE kunt u NEAT eenvoudig inschakelen voor het AP-autorisatieprofiel om het juiste attribuut in te stellen, maar op andere RADIUS-servers kunt u dit handmatig configureren.

    authorization profile

    authorization result

    2. Op ISE moet ook het verificatiebeleid en het autorisatiebeleid worden geconfigureerd. In dit geval raken we de standaard authenticatieregel die is bekabeld dot1x, maar men kan het aanpassen volgens de vereiste. 

    Wat betreft het autorisatiebeleid (Port_AuthZ), in dit geval hebben we de AP-referenties toegevoegd aan een gebruikersgroep (AP's) en het autorisatieprofiel (AP_Flex_Trunk) hierop gebaseerd. 

    authz

    Verifiëren

    Gebruik deze sectie om te controleren of uw configuratie goed werkt.

    1. Op de switch kan Once de opdracht "debug authentication feature autocfg all" gebruiken om te controleren of de poort naar de trunkpoort wordt verplaatst of niet. 

    20 feb 12:34:18.119: %LINK-3-UPDOWN: Interface Gigabit Ethernet0/4, status gewijzigd in omhoog
    20 feb 12:34:19.122: %LINEPROTO-5-UPDOWN: lijnprotocol op Gigabit Ethernet-interface0/4, status gewijzigd in up
    Akshat_SW#
    Akshat_SW#
    20 feb 12:38:11.113: AUTH-FEAT-AUTOCFG-EVENT: In dot1x AutoCfg start_fn, epm_handle: 3372220456
    20 feb 12:38:11.113: AUTH-FEAT-AUTOCFG-EVENT: [588d.0997.061d, Gi0/4] Type apparaat = Switch
    20 feb 12:38:11.113: AUTH-FEAT-AUTOCFG-EVENT: [588d.0997.061d, Gi0/4] nieuwe client
    20 feb 12:38:11.113: AUTH-FEAT-AUTOCFG-EVENT: [Gi0/4] Interne AutoCfg Macro Toepassingsstatus: 1
    20 feb 12:38:11.113: AUTH-FEAT-AUTOCFG-EVENT: [Gi0/4] Type apparaat: 2
    20 feb 12:38:11.113: AUTH-FEAT-AUTOCFG-EVENT: [Gi0/4] Auto-config: stp heeft poort_config 0x85777D8
    20 feb 12:38:11.113: AUTH-FEAT-AUTOCFG-EVENT: [Gi0/4] Auto-config: stp port_config heeft bpdu guard_config 2
    20 feb 12:38:11.116: AUTH-FEAT-AUTOCFG-EVENT: [Gi0/4] Het toepassen van auto-cfg op de poort.
    20 feb 12:38:11.116: AUTH-FEAT-AUTOCFG-EVENT: [Gi0/4] VLAN: 231 VLAN-Str: 231
    20 feb 12:38:11.116: AUTH-FEAT-AUTOCFG-EVENT: [Gi0/4] Macro dot1x_autocfg_supp toepassen
    20 feb 12:38:11.116: Opdracht toepassen... 'geen toegang tot switchport vlan 231' in Gi0/4
    20 feb 12:38:11.127: Toepassen van commando... 'geen switchport niet onderhandelen' op Gi0/4
    20 feb 12:38:11.127: Toepassen van commando... 'switchport mode trunk' op Gi0/4
    20 feb 12:38:11.134: Opdracht toepassen... 'switchport trunk native vlan 231' op Gi0/4
    Feb 20 12:38:11.134: Het toepassen van commando... 'spanning-tree portfast trunk' op Gi0/4
    20 feb 12:38:12.120: %LINEPROTO-5-UPDOWN: lijnprotocol op Gigabit Ethernet-interface0/4, status gewijzigd in down
    20 feb 12:38:15.139: %LINEPROTO-5-UPDOWN: lijnprotocol op Gigabit Ethernet-interface0/4, status gewijzigd in up

    2. De uitvoer van "show run int0/4" laat zien dat de poort is veranderd in een trunkpoort.

    Huidige configuratie: 295 bytes
    Ja!
    Gigabit Ethernet-interface0/4
    Switchport Trunk toegestaan VLAN 231.232.239
    Standaard VLAN 231 voor switchport trunk
    switchport mode trunk
    authenticatie host-mode multi-host
    Verificatievolgorde dot1x
    authenticatiepoortbesturingsauto
    dot1x pae-verificator
    spanboom-portfast-randstam
    einde

    3. Op ISE, onder Operations>>Radius Livelogs kunnen we zien of de authenticatie succesvol is en of het juiste Autorisatieprofiel wordt gepusht. 

    result

    4. Als we hierna verbinding maken met een client, wordt het mac-adres ervan geleerd op de AP-switch-poort in de client vlan 232. 

    akshat_sw#sh MAC-adrestabel int g0/4
    MAC-adrestabel
    --------------------------------

    Poorten voor het type VLAN-MAC-adres
    ----------------------------
    231 588d.0997.061d STATISCHE GI0/4 - AP 
    232 c0ee.fbd7.8824 DYNAMIC Gi0/4 - Klant 

    Op de WLC, in de client detail kan worden gezien dat deze client behoort vlan 232 en de SSID is lokaal geschakeld. Hier is een fragment.

    (Cisco-controller) >clientdetails weergeven c0:ee:fb:d7:88:24
    MAC-adres van client...................................................................................................................................................................................................................................................................................................................................................................
    Gebruikersnaam klant ................................. N.v.t.
    AP MAC-adres....................................................................................................................................................................................................................................................................................................................................................................
    AP Naam...................................... AKS_desk_3502
    ID van de AP-radiosleuf.................................. 1
    Cliëntstaat.................................................................................................................................................................................................................................................................................................................................................................... verbonden
    Gebruikersgroep cliënt...........................................................................................................................
    Klant NAC OOB Staat....................................... toegang
    ID draadloos netwerk..................................... 2
    Naam draadloos LAN-netwerk (SSID).................. Port-Auth
    Naam draadloos LAN-profiel............................. Port-auth
    Hotspot (802.11u)..................... Niet ondersteund
    BSSID.............................................. b4:14:89:82:cb:9f
    Verbonden Voor .....................................................................................................................................................................................................................................................................................................................................................................
    Kanaal........................................ 44
    IP-adres........................................ 192.168.232.90
    Adres van de toegangspoort................................ 192.168.232.1
    Netmasker......................................................................................................................................................................................................................................................................................................................................................................
    Associatie-ID.....................................................................................................................................................
    Verificatie-algoritme........................................................................................................................................................................................................................ open systeem
    Reden Code..................................... 1
    Statuscode..................................... 0

    FlexConnect-gegevensswitching...................... plaatselijk
    FlexConnect DHCP-status................................................................................................................................................................................................................................................................................................................................................................. plaatselijk
    Op FlexConnect VLAN gebaseerde centrale switching........ Nee
    FlexConnect-verificatie..................... centraal
    FlexConnect Central Association........... Nee
    FlexConnect VLAN-NAAM.................................................................................................................................................................................................................................................................................................................................................................
    Quarantaine VLAN..................................... 0
    Toegang tot VLAN..................................... 232
    Lokaal overbruggings-VLAN.............................. 232

    Problemen oplossen

    Deze sectie bevat informatie waarmee u problemen met de configuratie kunt oplossen.

    • Als de verificatie mislukt, gebruikt u foutopsporingsdot1x, foutopsporingsverificatie-opdrachten.
    • Als de poort niet naar de trunk is verplaatst, voert u de foutopsporingsverificatiefunctie autocfg all in.
    • Zorg ervoor dat de modus voor meerdere hosts (verificatie-host-modus voor meerdere hosts) is geconfigureerd. Multi-host moet zijn ingeschakeld om draadloze MAC-adressen van de client toe te staan.
    • De opdracht "aaa Authorization Network" moet worden geconfigureerd zodat de switch de door ISE verzonden attributen kan accepteren en toepassen. 

    Cisco IOS-gebaseerde toegangspunten ondersteunen alleen TLS 1.0. Dit kan een probleem veroorzaken als uw RADIUS-server is geconfigureerd om alleen TLS 1.2 802.1X-verificaties toe te staan

    Referenties

    Configureer dot1x supplicant met AP en een 9800 WLC

    Revisiegeschiedenis

    Revisie Publicatiedatum Opmerkingen
    2.0
    31-May-2022
    heeft een opmerking toegevoegd over TLS 1.2
    1.0
    01-Jun-2016
    Eerste vrijgave
    TAC Authored

    Bijgedragen door Cisco-engineers

    • Bastien Migette
      Cisco TAC
    • Ritin Mahajan
      Cisco TAC

    Was dit document nuttig?

    FeedbackFeedback

    Contact Cisco

    Dit document is van toepassing op deze producten