Guest

Serviços de rede com base em identidade

Nuvem de TrustSec com 802.1x MACsec no exemplo de configuração do Catalyst 3750X Series Switch

Índice do artigo de Techzone

ID do Documento: 116498

Atualizado em: outubro 09, 2013

Contribuído por Michal Garcarz, engenheiro de TAC da Cisco.

Introdução

Este artigo descreve as etapas exigidas a fim configurar uma nuvem de Cisco TrustSec (CTS) com criptografia de link entre dois Catalyst 3750X Series Switch (3750X).

Este artigo explica o processo da criptografia da Segurança do Media Access Control do switch para switch (MACsec) que usa o protocolo da associação de segurança (SAP). Este processo usa o modo do IEEE 802.1X em vez do modo manual.

Está aqui uma lista das etapas envolvidas:

  • Abastecimento credencial protegido do acesso (PAC) para dispositivos da semente e da NON-semente
  • Autenticação do controle de admissão do dispositivo de rede (NDAC) e negociação de MACsec com SAP para o gerenciamento chave
  • O ambiente e a política refrescam
  • Autenticação da porta para clientes
  • Tráfego que etiqueta com a etiqueta do grupo de segurança (SGT)
  • Reforço de política com o grupo de segurança ACL (SGACL)

Pré-requisitos

Requisitos

A Cisco recomenda que você tenha conhecimento destes tópicos:

  • Conhecimento básico de componentes CTS
  • Conhecimento básico da configuração de CLI dos Catalyst Switches
  • Experiência com configuração do Identity Services Engine (ISE)

Componentes Utilizados

As informações neste documento são baseadas nestas versões de software e hardware:

  • Microsoft (MS) Windows 7 e MS Windows XP
  • software 3750X, versões 15.0 e mais recente
  • Software ISE, versões 1.1.4 e mais recente

As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração (padrão) inicial. Se a sua rede estiver ativa, certifique-se de que entende o impacto potencial de qualquer comando.

Configurar

Diagrama de Rede

Neste diagrama de topologia de rede, o interruptor 3750X-5 é o dispositivo de seed que conhece o endereço IP de Um ou Mais Servidores Cisco ICM NT do ISE, e transfere automaticamente o PAC que é usado para a autenticação subsequente na nuvem CTS. O dispositivo de seed atua como um autenticador do 802.1x para dispositivos da NON-semente. O Series Switch do Cisco catalyst 3750X-6 (3750X-6) é o dispositivo da NON-semente. Atua como um suplicante do 802.1x ao dispositivo de seed. Depois que o dispositivo da NON-semente autentica ao ISE através do dispositivo de seed, é acesso permitido à nuvem CTS. Após uma autenticação bem sucedida, o status de porta do 802.1x no interruptor 3750X-5 é mudado ao autenticado, e a criptografia de MACsec é negociada. O tráfego entre o Switches então é etiquetado com o SGT e cifrado.

Esta lista resume o fluxo de tráfego previsto:

  • A semente 3750X-5 conecta ao ISE e transfere o PAC, que é usado mais tarde para um ambiente e a política refresca.
  • A non-semente 3750X-6 executa a autenticação do 802.1x com o papel do suplicante a fim autenticar/autoriza e transfere o PAC do ISE.
  • O 3750X-6 executa uma autenticação Protocolo flexível da segunda autenticação extensível do 802.1x através da sessão (EAP-FAST) segura do protocolo a fim autenticar com o túnel protegido baseado no PAC.
  • O 3750X-5 transfere políticas SGA para se e em nome de 3750X-6.
  • Uma sessão de SAP ocorre entre o 3750X-5 e o 3750X-6, cifras de MACsec é negociada, e a política é trocada.
  • O tráfego entre o Switches é etiquetado e cifrado.

Configurar o Switches da semente e da NON-semente

O dispositivo de seed (3750X-5) é configurado a fim usar o ISE como um servidor Radius para o CTS:

aaa new-model
aaa authentication dot1x default group radius
aaa authorization network default group radius
aaa authorization network ise group radius
aaa accounting dot1x default start-stop group radius

cts authorization list ise

radius-server host 10.48.66.129 pac key cisco
radius-server host 10.48.66.129 auth-port 1812
radius-server vsa send accounting
radius-server vsa send authentication

O Access Control List Papel-baseado (RBACL) e a aplicação baseada grupo de segurança do Access Control List (SGACL) são permitidos (é usado mais tarde):

cts role-based enforcement
cts role-based enforcement vlan-list 1-1005,1007-4094

O dispositivo da NON-semente (3750X-6) é configurado somente para o Authentication, Authorization, and Accounting (AAA) sem a necessidade para a autorização do RAIO ou CTS:

aaa new-model
aaa authentication dot1x default group radius
aaa authorization network default group radius
aaa accounting dot1x default start-stop group radius

Antes que você permita o 802.1x na relação, é necessário configurar o ISE.

Configurar o ISE

Termine estas etapas a fim configurar o ISE:

  1. Navegue à administração > aos recursos de rede > aos dispositivos de rede, e adicionar ambo o Switches como dispositivos do acesso de rede (NADs). Sob ajustes avançados de TrustSec, configurar uma senha CTS para uso posterior no interruptor CLI.



  2. Navegue aos grupos do > segurança do acesso do grupo do > segurança da política > dos elementos > dos resultados da política, e adicionar o SGTs apropriado. Estas etiquetas são transferidas quando o Switches pede um ambiente refresca.



  3. Navegue ao grupo ACL do > segurança do acesso do grupo do > segurança da política > dos elementos > dos resultados da política, e configurar um SGACL.



  4. Navegue ao acesso do grupo do > segurança da política, e defina uma política com a matriz.



Nota: Você deve configurar a política da autorização para o suplicante de MS Windows, de modo que receba a etiqueta correta. Refira o ASA e o exemplo de configuração de TrustSec do Catalyst 3750X Series Switch e pesquise defeitos o guia para uma configuração detalhada para este.

Abastecimento PAC para o 3750X-5

O PAC é precisado para a autenticação no domínio CTS (como phase1 para EAP-FAST), e é usado igualmente a fim obter dados do ambiente e da política do ISE. Sem o PAC correto, não é possível obter esses dados do ISE.


Depois que você fornece as credenciais corretas no 3750X-5, transfere o PAC:

bsns-3750-5#cts credentials id 3750X password ciscocisco
bsns-3750-5#show cts pacs
  AID: C40A15A339286CEAC28A50DBBAC59784
  PAC-Info:
    PAC-type = Cisco Trustsec
    AID: C40A15A339286CEAC28A50DBBAC59784
    I-ID: 3750X
    A-ID-Info: Identity Services Engine
    Credential Lifetime: 08:31:32 UTC Oct 5 2013
  PAC-Opaque: 000200B00003000100040010C40A15A339286CEAC28A50DBBAC5978400060094
0003010076B969769CB5D45453FDCDEB92271C500000001351D15DD900093A8044DF74B2B71F
E667D7B908DB7AEEA32208B4E069FDB0A31161CE98ABD714C55CA0C4A83E4E16A6E8ACAC1D081
F235123600B91B09C9A909516D0A2B347E46D15178028ABFFD61244B3CD6F332435C867A968CE
A6B09BFA8C181E4399CE498A676543714A74B0C048A97C18684FF49BF0BB872405
  Refresh timer is set for 2y25w

O PAC é transferido através de EAP-FAST com protocolo de autenticação de cumprimento do desafio de Microsoft (MSCHAPv2), com as credenciais fornecidas no CLI e as mesmas credenciais configuradas no ISE.

O PAC é usado para o ambiente e a política refresca. Para aquele Switches, requisições RADIUS do uso com o par Cisco AV cts-PAC-opaco, que é derivado da chave PAC e pode ser decifrado no ISE.

Abastecimento PAC para a autenticação 3750X-6 e NDAC

Para que um dispositivo novo possa conecte ao domínio CTS, ele é necessário para permitir o 802.1x nas portas correspondente.

O protocolo de SAP é usado para o gerenciamento chave e a negociação da série da cifra. O código de autenticação de mensagens de Galois (GMAC) é usado para a autenticação e o Galois/modo contrário (GCM) para a criptografia.

No interruptor da semente:

interface GigabitEthernet1/0/20
 switchport trunk encapsulation dot1q
 switchport mode trunk
 cts dot1x  
sap mode-list gcm-encrypt

No interruptor da NON-semente:

interface GigabitEthernet1/0/1
 switchport trunk encapsulation dot1q
 switchport mode trunk
 cts dot1x
  sap mode-list gcm-encrypt

Isto é apoiado somente em portas de tronco (switch-switch MACsec). Para o interruptor-host MACsec, que usa o protocolo chave do acordo de MACsec (MKA) pelo contrário CAVE, refira a criptografia de Configurig MACsec.

Imediatamente depois que você permite o 802.1x em portas, o interruptor da NON-semente atua como um suplicante ao interruptor da semente, que é o autenticador.

Este processo é chamado NDAC, e seu alvo é conectar um dispositivo novo ao domínio CTS. A autenticação é bidirecional; o dispositivo novo tem as credenciais que são verificadas no Authentication Server ISE. Após o abastecimento PAC, o dispositivo é igualmente certo que conecta ao domínio CTS.

Nota: O PAC é usado a fim construir um túnel do Transport Layer Security (TLS) para EAP-FAST. O 3750X-6 confia as credenciais PAC que são fornecidas pelo server similar à maneira um cliente confiam que o certificado previu pelo server para o túnel TLS o método do EAP-TLS.

Os mensagens de RADIUS múltiplos são trocados:

A primeira sessão do 3750X (interruptor da semente) é usada para o abastecimento PAC. EAP-FAST é usado sem PAC (um túnel anônimo para a autenticação MSCHAPv2 é construído).

12131  EAP-FAST built anonymous tunnel for purpose of PAC provisioning
22037  Authentication Passed
11814  Inner EAP-MSCHAP authentication succeeded
12173  Successfully finished EAP-FAST CTS PAC provisioning/update
11003  Returned RADIUS Access-Reject

O nome de usuário e senha MSCHAPv2 configurado através do comando credentials dos cts é usado. Também, uma Rejeição de acesso do RAIO é retornada na extremidade, porque depois que o PAC tem já fornecida, nenhuma autenticação mais adicional é precisada.

A segunda entrada no log refere a autenticação do 802.1x. EAP-FAST é usado com o PAC que estava mais adiantado fornecida.

12168  Received CTS PAC
12132  EAP-FAST built PAC-based tunnel for purpose of authentication
11814  Inner EAP-MSCHAP authentication succeeded
15016  Selected Authorization Profile - Permit Access
11002  Returned RADIUS Access-Accept

Esta vez, o túnel não é anônimo, mas protegido pelo PAC. Além disso, as mesmas credenciais para a sessão MSCHAPv2 são usadas. Então, verifica-se contra as regras da authentication e autorização no ISE, e uma aceitação de acesso do RAIO é retornada. Então, o interruptor do autenticador aplica os atributos retornados, e a sessão do 802.1x para movimentos dessa porta a um estado autorizado.

Que faz o processo para as primeiras duas sessões do 802.1x olha como da semente comuta?

Estão aqui o mais importantes debugam da semente. A semente detecta que a porta está acima, e tenta-o determinar que papel deve ser usado para o 802.1x - o suplicante ou o autenticador:

debug cts all
debug dot1x all
debug radius verbose
debug radius authentication

Apr 9 11:28:35.347: CTS-ifc-ev: CTS process: received msg_id CTS_IFC_MSG_LINK_UP
Apr 9 11:28:35.347: @@@ cts_ifc GigabitEthernet1/0/20, INIT: ifc_init ->
ifc_authenticating
Apr 9 11:28:35.356: CTS-ifc-ev: Request to start dot1x Both PAE(s) for
GigabitEthernet1/0/20
Apr 9 11:28:35.356: dot1x-ev(Gi1/0/20): Created authenticator subblock
Apr 9 11:28:35.356: dot1x-ev(Gi1/0/20): Created supplicant subblock

Apr 9 11:28:35.364: dot1x-ev:dot1x_supp_start: Not starting default supplicant
on GigabitEthernet1/0/20
Apr 9 11:28:35.381: dot1x-sm:Posting SUPP_ABORT on Client=7C24F2C

Apr 9 11:28:35.397: %AUTHMGR-5-START: Starting 'dot1x' for client (10f3.11a7.e501) on
Interface Gi1/0/20 AuditSessionID C0A800010000054135A5E32

Finalmente, o papel do autenticador é usado, porque o interruptor tem o acesso ao ISE. No 3750X-6, o papel do suplicante é escolhido.

Detalhes na seleção do papel do 802.1x

Nota: Depois que o interruptor do suplicante obtém o PAC e é 802.1x-authenticated, transfere os dados do ambiente (descritos mais tarde), e aprende o endereço IP de Um ou Mais Servidores Cisco ICM NT do servidor AAA. Neste exemplo, ambo o Switches tem uma conexão dedicada (do backbone) para o ISE. Mais tarde, os papéis podem ser diferentes; o primeiro interruptor que recebe uma resposta do servidor AAA transforma-se o autenticador, e segundo transforma-se o suplicante.

Isto é possível porque ambo o Switches com o servidor AAA marcado como VIVO envia uma identidade do pedido do Extensible Authentication Protocol (EAP). Esse que recebe primeiramente a resposta da identidade EAP transforma-se o autenticador, e pedidos subsequentes da identidade das gotas.

Depois que o papel do 802.1x é selecionado (nesta encenação, o 3750X-6 é o suplicante, porque não tem nenhum acesso ao servidor AAA contudo), os próximos pacotes envolvem a troca EAP-FAST para o abastecimento PAC. O cliente username CTS é usado para o username da requisição RADIUS e como a identidade EAP:

Apr  9 11:28:36.647: RADIUS:  User-Name           [1]   12  "CTS client"
Apr  9 11:28:35.481: RADIUS:  EAP-Message         [79]  17  
Apr  9 11:28:35.481: RADIUS:   02 01 00 0F 01 43 54 53 20 63 6C 69 65 6E 74        [ CTS client]

Depois que o túnel EAP-FAST do anonymus é construído, uma sessão MSCHAPv2 ocorre para o username 3750X6 (credenciais dos cts). Não é possível ver isso no interruptor, porque é um túnel TLS (cifrado), mas detalhado entra o ISE para o abastecimento PAC prova-o. Você pode ver o cliente CTS para o nome de usuário RADIUS e como a resposta da identidade EAP. Contudo, para o método interno (MSCHAP), o username 3750X6 é usado:

A segunda autenticação EAP-FAST ocorre. Esta vez, usa o PAC que estava mais adiantado fornecida. Além disso, o cliente CTS é usado como o nome de usuário RADIUS e a identidade exterior, mas 3750X6 é usado para a identidade interna (MSCHAP). A autenticação sucede:

Contudo, esta vez, o ISE retorna diversos atributos no RAIO aceita o pacote:

Aqui, o interruptor do autenticador muda a porta ao estado autorizado:

bsns-3750-5#show authentication sessions int g1/0/20
            Interface:  GigabitEthernet1/0/20
          MAC Address:  10f3.11a7.e501
           IP Address:  Unknown
            User-Name:  3750X6
               Status:  Authz Success
               Domain:  DATA
      Security Policy:  Should Secure
      Security Status:  Unsecure
       Oper host mode:  multi-host
     Oper control dir:  both
        Authorized By:  Authentication Server
          Vlan Policy:  N/A
      Session timeout:  86400s (local), Remaining: 81311s
       Timeout action:  Reauthenticate
         Idle timeout:  N/A
    Common Session ID:  C0A800010000054135A5E321
      Acct Session ID:  0x0000068E
               Handle:  0x09000542

Runnable methods list:
       Method   State
       dot1x    Authc Success

Como o interruptor do autenticador aprende que o username é 3750X6? Para o nome de usuário RADIUS e a identidade exterior EAP, o cliente CTS é usado, e a identidade interna é cifrada e não visível para o autenticador. O username é aprendido pelo ISE. O último pacote de informação de RADIUS (aceitação de acesso) contém username=3750X6, quando todo o outro conteve username = cliente de Cts. Eis porque o interruptor do suplicante reconhece o username real. Este comportamento é em conformidade com RFC. Do 3.0 da seção do RFC3579:

The User-Name attribute within the Access- Accept packet need not be the same
as the User-Name attribute in the Access-Request.

No último pacote da sessão da autenticação do 802.1x, o ISE retorna um RAIO aceita o Cisco-av-pair da mensagem com o EAP-Chave-nome:

Isto é usado como um material de ajuste para a negociação de SAP.

Também, o SGT é passado. Isto significa que o interruptor do autenticador etiqueta o tráfego do suplicante com um valor padrão = 0. Você pode configurar um valor específico no ISE para retornar todo o outro valor. Isto aplica-se somente para o tráfego sem etiqueta; o tráfego rotulado não é reescrito porque, à revelia, o interruptor do autenticador confia o tráfego do suplicante autenticado (mas deste pode igualmente ser mudado no ISE).

Transferência da política SGA

Há umas trocas adicionais do RAIO (sem EAP) a não ser as primeiras duas sessões EAP-FAST do 802.1x (as primeiras para o abastecimento PAC, e as segundas para a autenticação). São aqui os logs ISE outra vez:

O terceiro log (transferência da política do par) indica uma troca simples do RAIO: A requisição RADIUS e o RAIO aceitam para o usuário 3760X6. Isto é precisado a fim transferir políticas para o tráfego do suplicante. Dois a maioria de atributos importantes são:

Devido a isto, o interruptor do autenticador confia o tráfego que SGT-é etiquetado pelo suplicante (cts: o trusted-device=true), e igualmente etiqueta o tráfego sem etiqueta com o tag=0.

O quarto log indica a mesma troca do RAIO. Contudo, esta vez, é para o usuário 3750X5 (autenticador). Isto é porque ambos os pares devem ter uma política para se. É interessante notar que o suplicante ainda não conhece o endereço IP de Um ou Mais Servidores Cisco ICM NT do servidor AAA. Eis porque o interruptor do autenticador transfere a política em nome do suplicante. Esta informação passa mais tarde ao suplicante (junto com o endereço IP de Um ou Mais Servidores Cisco ICM NT ISE) na negociação de SAP.

Negociação de SAP

Imediatamente depois que os revestimentos da sessão da autenticação do 802.1x, negociação de SAP ocorrem. Esta negociação é exigida:

  • Negocie níveis da criptografia (com a MODE-lista da seiva gcm-cifre o comando) e séries da cifra
  • Derive chaves de sessão para o tráfego de dados
  • Submeta-se ao processo rekeying
  • Execute verificações de segurança adicional e certifique-se de que as etapas precedentes estão fixadas

SAP é protocolo projetado pelo Cisco Systems baseado em uma versão de esboço de 802.11i/D6.0. Para detalhes, o acesso do pedido no protocolo de protocolo da associação de segurança de Cisco TrustSec que apoia Cisco confiou a Segurança para a página do nexo 7000 de Cisco.

SAP troca é 802.1AE-compliant. Um protocolo extensible authentication sobre trocas de chave LAN (EAPOL) ocorre entre o suplicante e o autenticador a fim negociar uma série da cifra, trocar parâmetros de segurança, e controlar chaves. Infelizmente, Wireshark não tem o decodificador para todos os tipos exigidos EAP:

A conclusão bem sucedida destas tarefas conduz ao estabelecimento de uma associação de segurança (SA).

No interruptor do suplicante:

bsns-3750-6#show cts interface g1/0/1
Global Dot1x feature is Enabled
Interface GigabitEthernet1/0/1:
    CTS is enabled, mode:    DOT1X
    IFC state:               OPEN
    Authentication Status:   SUCCEEDED
        Peer identity:       "3750X"
        Peer's advertised capabilities: "sap"
        802.1X role:         Supplicant
        Reauth period applied to link:  Not applicable to Supplicant role
    Authorization Status:    SUCCEEDED
        Peer SGT:            0:Unknown
        Peer SGT assignment: Trusted
    SAP Status:              SUCCEEDED
        Version:             2
        Configured pairwise ciphers:
            gcm-encrypt

        Replay protection:      enabled
        Replay protection mode: STRICT

        Selected cipher:        gcm-encrypt

    Propagate SGT:           Enabled
    Cache Info:
        Cache applied to link : NONE

    Statistics:
        authc success:              12
        authc reject:               1556
        authc failure:              0
        authc no response:          0
        authc logoff:               0
        sap success:                12
        sap fail:                   0
        authz success:              12
        authz fail:                 0
        port auth fail:             0

    L3 IPM:   disabled.

Dot1x Info for GigabitEthernet1/0/1
-----------------------------------
PAE                       = SUPPLICANT
StartPeriod               = 30
AuthPeriod                = 30
HeldPeriod                = 60
MaxStart                  = 3
Credentials profile       = CTS-ID-profile
EAP profile               = CTS-EAP-profile

No autenticador:

bsns-3750-5#show cts interface g1/0/20
Global Dot1x feature is Enabled
Interface GigabitEthernet1/0/20:
    CTS is enabled, mode:    DOT1X
    IFC state:               OPEN
    Interface Active for 00:29:22.069
    Authentication Status:   SUCCEEDED
        Peer identity:       "3750X6"
        Peer's advertised capabilities: "sap"
        802.1X role:         Authenticator
        Reauth period configured:       86400 (default)
        Reauth period per policy:       86400 (server configured)
        Reauth period applied to link:  86400 (server configured)
        Reauth starts in approx. 0:23:30:37 (dd:hr:mm:sec)
        Peer MAC address is 10f3.11a7.e501
        Dot1X is initialized
    Authorization Status:    ALL-POLICY SUCCEEDED
        Peer SGT:            0:Unknown
        Peer SGT assignment: Trusted
    SAP Status:              SUCCEEDED
        Version:             2
        Configured pairwise ciphers:
            gcm-encrypt
            {3, 0, 0, 0} checksum 2

        Replay protection:      enabled
        Replay protection mode: STRICT

        Selected cipher:        gcm-encrypt

    Propagate SGT:           Enabled
    Cache Info:
        Cache applied to link : NONE
        Data loaded from NVRAM: F
        NV restoration pending: F
        Cache file name       : GigabitEthernet1_0_20_d
        Cache valid           : F
        Cache is dirty        : T
        Peer ID               : unknown
        Peer mac              : 0000.0000.0000
        Dot1X role            : unknown
        PMK                   :
             00000000 00000000 00000000 00000000
             00000000 00000000 00000000 00000000

    Statistics:
        authc success:              12
        authc reject:               1542
        authc failure:              0
        authc no response:          0
        authc logoff:               2
        sap success:                12
        sap fail:                   0
        authz success:              13
        authz fail:                 0
        port auth fail:             0

    L3 IPM:   disabled.

Dot1x Info for GigabitEthernet1/0/20
-----------------------------------
PAE                       = AUTHENTICATOR
QuietPeriod               = 60
ServerTimeout             = 0
SuppTimeout               = 30
ReAuthMax                 = 2
MaxReq                    = 2
TxPeriod                  = 30

Aqui, as portas usam o modo gcm-cifram, assim que significa que o tráfego está autenticado e cifrado, assim como SGT-etiquetado corretamente. Nenhum dispositivo usa toda a política específica da autorização do dispositivo de rede no ISE, assim que significa que todo o tráfego iniciado do dispositivo usa a etiqueta do padrão de 0. Igualmente confiança SGTs de ambo o Switches recebido do par (devido aos atributos RADIUS da fase da transferência da política do par).

O ambiente e a política refrescam

Depois que ambos os dispositivos são conectados à nuvem CTS, um ambiente e uma política refrescam estão iniciados. O ambiente refresca é precisado a fim obter o SGTs e os nomes, e uma política refresca é precisada a fim transferir o SGACL definida no ISE.

Nesta fase, o suplicante já conhece o endereço IP de Um ou Mais Servidores Cisco ICM NT do servidor AAA, assim que pode fazê-lo para se.

Refira o ASA e o exemplo de configuração de TrustSec do Catalyst 3750X Series Switch e pesquise defeitos o guia para detalhes sobre o ambiente e a política refresca.

O interruptor do suplicante recorda o endereço IP de Um ou Mais Servidores Cisco ICM NT do servidor Radius, mesmo quando não há nenhum servidor Radius configurado e quando o link CTS vai para baixo (para o interruptor do autenticador). Contudo, é possível forçar o interruptor a esquecê-lo:

bsns-3750-6#show run | i radius
aaa authentication dot1x default group radius
aaa authorization network default group radius
aaa authorization network ise group radius
aaa accounting dot1x default start-stop group radius
radius-server vsa send authentication

bsns-3750-6#show cts server-list
CTS Server Radius Load Balance = DISABLED
Server Group Deadtime = 20 secs (default)
Global Server Liveness Automated Test Deadtime = 20 secs
Global Server Liveness Automated Test Idle Time = 60 mins
Global Server Liveness Automated Test = ENABLED (default)

Preferred list, 1 server(s):
 *Server: 10.48.66.129, port 1812, A-ID C40A15A339286CEAC28A50DBBAC59784
          Status = ALIVE
          auto-test = TRUE, keywrap-enable = FALSE, idle-time = 60 mins,
deadtime = 20 secs
Installed list: CTSServerList1-0001, 1 server(s):
 *Server: 10.48.66.129, port 1812, A-ID C40A15A339286CEAC28A50DBBAC59784
          Status = ALIVE
          auto-test = TRUE, keywrap-enable = FALSE, idle-time = 60 mins,
deadtime = 20 secs

bsns-3750-6#show radius server-group all

Server group radius
    Sharecount = 1  sg_unconfigured = FALSE
    Type = standard  Memlocks = 1
Server group  private_sg-0
    Server(10.48.66.129:1812,1646) Successful Transactions:
    Authen: 8   Author: 16      Acct: 0
    Server_auto_test_enabled: TRUE
    Keywrap enabled: FALSE

bsns-3750-6#clear cts server 10.48.66.129

bsns-3750-6#show radius server-group all
Server group radius
    Sharecount = 1  sg_unconfigured = FALSE
    Type = standard  Memlocks = 1
Server group  private_sg-0

A fim verificar o ambiente e a política no suplicante comute, incorpore estes comandos:

bsns-3750-6#show cts environment-data 
CTS Environment Data
====================
Current state = COMPLETE
Last status = Successful
Local Device SGT:
  SGT tag = 0-01:Unknown
Server List Info:
Security Group Name Table:
    0-00:Unknown
    2-00:VLAN10
    3-00:VLAN20
    4-00:VLAN100
Environment Data Lifetime = 86400 secs
Last update time = 03:23:51 UTC Thu Mar 31 2011
Env-data expires in   0:13:09:52 (dd:hr:mm:sec)
Env-data refreshes in 0:13:09:52 (dd:hr:mm:sec)
Cache data applied           = NONE
State Machine is running

bsns-3750-6#show cts role-based permissions

Por que nenhuma política indica? Nenhum indicador das políticas, porque você deve permitir a aplicação dos cts a fim o aplicar:

bsns-3750-6(config)#cts role-based enforcement 
bsns-3750-6(config)#cts role-based enforcement vlan-list all
bsns-3750-6#show cts role-based permissions
IPv4 Role-based permissions default:
        Permit IP-00
IPv4 Role-based permissions from group 2:VLAN10 to group Unknown:
        ICMP-20

Por que o suplicante tem somente uma política para agrupar o desconhecido quando o autenticador tiver mais?

bsns-3750-5#show cts role-based permissions 
IPv4 Role-based permissions default:
        Permit IP-00
IPv4 Role-based permissions from group 2:VLAN10 to group Unknown:
        ICMP-20
IPv4 Role-based permissions from group 2:VLAN10 to group 3:VLAN20:
        ICMP-20
        Deny IP-00

Autenticação da porta para clientes

O cliente de MS Windows é conectado e autenticado à porta g1/0/1 do 3750-5 Switch:

bsns-3750-5#show authentication sessions int g1/0/1
        Interface:  GigabitEthernet1/0/1
          MAC Address:  0050.5699.4ea1
           IP Address:  192.168.2.200
            User-Name:  cisco
               Status:  Authz Success
               Domain:  DATA
      Security Policy:  Should Secure
      Security Status:  Unsecure
       Oper host mode:  multi-auth
     Oper control dir:  both
        Authorized By:  Authentication Server
          Vlan Policy:  20
              ACS ACL:  xACSACLx-IP-PERMIT_ALL_TRAFFIC-51134bb2
                  SGT:  0003-0
      Session timeout:  N/A
         Idle timeout:  N/A
    Common Session ID:  C0A80001000001BD336EC4D6
      Acct Session ID:  0x000002F9
               Handle:  0xF80001BE

          
Runnable methods list:
       Method   State
       dot1x    Authc Success
       mab      Not run

Aqui, o interruptor 3750-5 sabe que esse tráfego desse host deve ser etiquetado com o SGT=3 quando enviado à nuvem CTS.

Tráfego que etiqueta com o SGT

Como você aspira e verifica trafica?

Isto é difícil porque:

  • É encaixada a captura de pacote de informação é apoiada somente para o tráfego IP (e o este um frame da Ethernet alterado com o payload de SGTs e de MACsec).
  • Porta do Switched Port Analyzer (SPAN) com a palavra-chave da replicação - isto pôde trabalhar, mas o problema é que todo o PC com Wireshark conectou à porta do destino de uma sessão de monitoração deixa cair os quadros devido à falta do apoio de 802.1ae, que pode acontecer a nível de hardware.
  • A porta span sem a palavra-chave da replicação remove o encabeçamento dos cts antes que ponha sobre uma porta do destino.

Reforço de política com o SGACL

O reforço de política na nuvem CTS é feito sempre na porta do destino. Isto é porque somente o último dispositivo conhece o destino SGT do dispositivo de ponto final que é conectado diretamente a esse interruptor. O pacote leva somente o sargento da fonte. A fonte e o destino SGT são exigidos a fim tomar uma decisão.

Eis porque os dispositivos não precisam de transferir todas as políticas do ISE. Em lugar de, precisam somente parte da política que é relacionada ao SGT para que o dispositivo tem dispositivos conectados diretamente.

Estão aqui o 3750-6, que é o interruptor do suplicante:

bsns-3750-6#show cts role-based permissions 
IPv4 Role-based permissions default:
        Permit IP-00
IPv4 Role-based permissions from group 2:VLAN10 to group Unknown:
        ICMP-20

Há duas políticas aqui. O primeiro é o padrão para o tráfego sem etiqueta (para/desde). O segundo é de SGT=2 ao sem etiqueta SGT, que é 0. Esta política existe porque o dispositivo próprio usa a política SGA do ISE, e pertence a SGT=0. Também, SGT=0 é uma etiqueta do padrão. Consequentemente, você deve transferir todas as políticas que têm as regras para o tráfego para/desde SGT=0. Se você olha a matriz, você vê somente uma tal política: 2 a 0.

Estão aqui o 3750-5, que é o interruptor do autenticador:

bsns-3750-5#show cts role-based permissions 
IPv4 Role-based permissions default:
        Permit IP-00
IPv4 Role-based permissions from group 2:VLAN10 to group Unknown:
        ICMP-20
IPv4 Role-based permissions from group 2:VLAN10 to group 3:VLAN20:
        ICMP-20
        Deny IP-00

Há uma mais política aqui: 2 a 3. Isto é porque o cliente do 802.1x (MS Windows) é conectado a g1/0/1 e etiquetado com o SGT=3. Eis porque você deve transferir todas as políticas a SGT=3.

Tente sibilar de 3750X-6 (SGT=0) a MS Windows XP (SGT=3). O 3750X-5 é o dispositivo de reforço.

Antes disto, você deve configurar uma política no ISE para o tráfego de SGT=0 a SGT=3. Este exemplo criou um log do Internet Control Message Protocol (ICMP) SGACL com somente a linha, log ICMP da licença, e usou-o na matriz para o tráfego de SGT=0 a SGT=3:

Estão aqui um refrescamento da política no interruptor de reforço, e uma verificação da política nova:

bsns-3750-5#cts refresh policy              
Policy refresh in progress

bsns-3750-5#show cts role-based permissions
IPv4 Role-based permissions default:
        Permit IP-00
IPv4 Role-based permissions from group 2:VLAN10 to group Unknown:
        ICMP-20
IPv4 Role-based permissions from group Unknown to group 3:VLAN20:
        ICMPlog-10
        Deny IP-00
IPv4 Role-based permissions from group 2:VLAN10 to group 3:VLAN20:
        ICMP-20
        Deny IP-00

A fim verificar que o Access Control List (ACL) está transferido do ISE, incorpore este comando:

bsns-3750-5#show ip access-lists ICMPlog-10
Role-based IP access list ICMPlog-10 (downloaded)
    10 permit icmp log

A fim verificar que o ACL é aplicado (suporte a hardware), incorpore este comando:

bsns-3750-5#show cts rbacl | b ICMPlog-10
  name   = ICMPlog-10
  IP protocol version = IPV4
  refcnt = 2
  flag   = 0x41000000
    POLICY_PROGRAM_SUCCESS
    POLICY_RBACL_IPV4
  stale  = FALSE
  ref_q:
    acl_infop(74009FC), name(ICMPlog-10)
  sessions installed:
    session hld(460000F8)
  RBACL ACEs:
  Num ACEs: 1
    permit icmp log

Estão aqui os contadores antes do ICMP:

bsns-3750-5#show cts role-based counters 
Role-based IPv4 counters
# '-' in hardware counters field indicates sharing among cells with identical
policies
From    To      SW-Denied       HW-Denied       SW-Permitted    HW-Permitted   

2       0       0               0               4099            224            

*       *       0               0               321810          340989         

0       3       0               0               0               0              

2       3       0               0               0               0

Está aqui um sibilo de SGT=0 (3750-6 Switch) a MS Windows XP (SGT=3) e os contadores:

bsns-3750-6#ping 192.168.2.200
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 192.168.2.200, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 1/1/1 ms

bsns-3750-5#show cts role-based counters
Role-based IPv4 counters
# '-' in hardware counters field indicates sharing among cells with identical
policies
From    To      SW-Denied       HW-Denied       SW-Permitted    HW-Permitted   

2       0       0               0               4099            224            

*       *       0               0               322074          341126         

0       3       0               0               0               5              

2       3       0               0               0               0  

Estão aqui os contadores ACL:

bsns-3750-5#show ip access-lists ICMPlog-10
Role-based IP access list ICMPlog-10 (downloaded)
    10 permit icmp log (5 matches)

Verificar

No momento, não há procedimento de verificação disponível para esta configuração.

Troubleshooting

Atualmente, não existem informações disponíveis específicas sobre Troubleshooting para esta configuração.

Informações Relacionadas

Atualizado em: outubro 09, 2013
ID do Documento: 116498