O conjunto de documentação deste produto faz o possível para usar uma linguagem imparcial. Para os fins deste conjunto de documentação, a imparcialidade é definida como uma linguagem que não implica em discriminação baseada em idade, deficiência, gênero, identidade racial, identidade étnica, orientação sexual, status socioeconômico e interseccionalidade. Pode haver exceções na documentação devido à linguagem codificada nas interfaces de usuário do software do produto, linguagem usada com base na documentação de RFP ou linguagem usada por um produto de terceiros referenciado. Saiba mais sobre como a Cisco está usando a linguagem inclusiva.
A Cisco traduziu este documento com a ajuda de tecnologias de tradução automática e humana para oferecer conteúdo de suporte aos seus usuários no seu próprio idioma, independentemente da localização. Observe que mesmo a melhor tradução automática não será tão precisa quanto as realizadas por um tradutor profissional. A Cisco Systems, Inc. não se responsabiliza pela precisão destas traduções e recomenda que o documento original em inglês (link fornecido) seja sempre consultado.
Este original descreve a configuração e o Troubleshooting do RAIO sobre o protocolo de segurança da camada de transporte de datagram (DTL). Os DTL proporcionam serviços de criptografia para o RAIO, que é transportado sobre um túnel seguro.
A Cisco recomenda que você tenha conhecimento destes tópicos:
As informações neste documento são baseadas nestas versões de software e hardware:
As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração (padrão) inicial. Se a sua rede estiver ativa, certifique-se de que entende o impacto potencial de qualquer comando.
Navegue à administração > aos recursos de rede > aos dispositivos de rede. O clique adiciona e fornece pelo menos campos imperativos:
Os ajustes seletos da autenticação RADIUS da caixa de seleção e sob ajustes do RAIO DTL selecionam a caixa de seleção DTL exigida. Isto permite uma comunicação do RAIO com o autenticador somente através do túnel seguro DTL. Note que a caixa de texto secreta compartilhada é esmaecida para fora. Este valor em caso do RAIO DTL é fixo e a mesma corda é configurada no lado do autenticador.
Você pode configurar a porta que é usada para uma comunicação e o idle timeout DTL na administração > no sistema > nos ajustes > nos protocolos > no RAIO > no RAIO DTL.
Note que a porta DTL é diferente das portas RADIUS. À revelia, um RAIO usa os pares 1645, 1646 e 1812, 1813. À revelia DTL para a autenticação, a autorização, a contabilidade e dos usos CoA porta 2083. O idle timeout especifica quanto tempo o ISE e o autenticador mantêm o túnel sem nenhuma comunicação real que atravessa ela. Este intervalo é medido nos segundos e varia de 60 a 600 segundos.
A fim estabelecer o túnel entre o ISE e o autenticador, ambas as entidades precisam de trocar e verificar Certificados. O autenticador tem que confiar o certificado do RAIO DTL ISE, assim que significa que seu expedidor tem que esta presente na loja da confiança do autenticador. A fim exportar o signatário do certificado ISE, navegue à administração > ao sistema > aos Certificados, segundo as indicações da imagem:
Encontre o certificado com o papel do RAIO DTL atribuído e verifique-o emitido pelo campo para ver se há este certificado. Este é o Common Name do certificado que tem que ser exportado da loja da confiança ISE. A fim fazer isso, navegue à administração > ao sistema > aos Certificados de CertificatesTrusted. Selecione a caixa de seleção ao lado do certificado apropriado e clique a exportação.
A fim configurar o trustpoint, entre ao interruptor e execute comandos:
configure terminal crypto pki trustpoint isetp enrollment terminal revocation-check none exit
O certificado de importação com pki do comando crypto autentica o isetp. Quando alertado para aceitar sim o certificado, tipo.
Switch3650(config)#crypto pki authenticate isetp Enter the base 64 encoded CA certificate. End with a blank line or the word "quit" on a line by itself -----BEGIN CERTIFICATE----- MIIDWTCCAkGgAwIBAgIQL9s4RrhtWLpJjBYB5v0dtTANBgkqhkiG9w0BAQUFADA/ MRMwEQYKCZImiZPyLGQBGRYDY29tMRcwFQYKCZImiZPyLGQBGRYHZXhhbXBsZTEP MA0GA1UEAxMGTEFCIENBMB4XDTE1MDIxMjA3MzgxM1oXDTI1MDIxMjA3NDgxMlow PzETMBEGCgmSJomT8ixkARkWA2NvbTEXMBUGCgmSJomT8ixkARkWB2V4YW1wbGUx DzANBgNVBAMTBkxBQiBDQTCCASIwDQYJKoZIhvcNAQEBBQADggEPADCCAQoCggEB AMDSfJwvbJLHHJf4vDTalGjKrDI73c/y269IMZV48xpCruNhglcU8CW/T9Ysj6xk Oogtx2vpG4XJt7KebDZ/ac1Ymjg7sPBPcnyDZCd2a1b39XakD2puE8lVi4RVkjBH pss2fTWeuor9dzgb/kWb0YqIsgw1sRKQ2Veh1IXmuhX+wDqELHPIzgXn/DOBF0qN vWlevrAlmBTxC04t1aPwyRk6b6ptjMeaIv2nqy8tOrldMVYKsPDj8aOrFEQ2d/wg HDvd6C6LKRBpmAvtrqyDtinEl/CRaEFH7dZpvUSJBNuh7st3JIG8gVFstweoMmTE zxUONQw8QrZmXDGTKgqvisECAwEAAaNRME8wCwYDVR0PBAQDAgGGMA8GA1UdEwEB /wQFMAMBAf8wHQYDVR0OBBYEFO0TzYQ4kQ3fN6x6JzCit3/l0qoHMBAGCSsGAQQB gjcVAQQDAgEAMA0GCSqGSIb3DQEBBQUAA4IBAQAWbWGBeqE2u6IGdKEPhv+t/rVi xhn7KrEyWxLkWaLsbU2ixsfTeJDCM8pxQItsj6B0Ey6A05c3YNcvW1iNpupGgc7v 9lMt4/TB6aRLVLijBPB9/p2/3SJadCe/YBaOn/vpmfBPPhxUQVPiBM9fy/Al+zsh t66bcO3WcD8ZaKaER0oT8Pt/4GHZA0Unx+UxpcNuRRz4COArINXE0ULRfBxpIkkF pWNjH0rlV55edOga0/r60Cg1/J9VAHh3qK2/3zXJE53N+A0h9whpG4LYgIFLB9ep ZDim7KGsf+P3zk7SsKioGB4kqidHnm34XjlkWFnrCMQH4HC1oEymakV3Kq24 -----END CERTIFICATE----- Certificate has the following attributes: Fingerprint MD5: B33EAD49 87F18924 590616B9 C8880D9D Fingerprint SHA1: FD729A3B B533726F F8450358 A2F7EB27 EC8A1178 % Do you accept this certificate? [yes/no]: yes Trustpoint CA certificate accepted. % Certificate successfully imported
Selecione o trustpoint e certificate para ser usado para DTL no interruptor e exporte-o:
Switch3650(config)#crypto pki export TP-self-signed-721943660 pem terminal % Self-signed CA certificate: -----BEGIN CERTIFICATE----- MIICKTCCAZKgAwIBAgIBATANBgkqhkiG9w0BAQUFADAwMS4wLAYDVQQDEyVJT1Mt U2VsZi1TaWduZWQtQ2VydGlmaWNhdGUtNzIxOTQzNjYwMB4XDTE2MDQyNzExNDYw NloXDTIwMDEwMTAwMDAwMFowMDEuMCwGA1UEAxMlSU9TLVNlbGYtU2lnbmVkLUNl cnRpZmljYXRlLTcyMTk0MzY2MDCBnzANBgkqhkiG9w0BAQEFAAOBjQAwgYkCgYEA xRybTGD526rPYuD2puMJu8ANcDqQnwunIERgvIWoLwBovuAu7WcRmzw1IDTDryOH PXt1n5GcQSAOgn+9QdvKl1Z43ZkRWK5E7EGmjM/aL1287mg4/NlrWr4KMSwDQBJI noJ52CABXUoApuiiJ8Ya4gOYeP0TmsZtxP1N+s+wqjMCAwEAAaNTMFEwDwYDVR0T AQH/BAUwAwEB/zAfBgNVHSMEGDAWgBSEOKlAPAHBPedwichXL+qUM+1riTAdBgNV HQ4EFgQUhDipQDwBwT3ncInIVy/qlDPta4kwDQYJKoZIhvcNAQEFBQADgYEAlBNN wKSS8yBuOH0/jUV7sy3Y9/oV7Z9bW8WFV9QiTQ1lZelvWMTbewozwX2LJvxobGcj Pi+n99RIH8dBhWwoYl9GTN2LVI22GIPX12jNLqps+Mq/u2qxVm0964Sajs5OlKjQ 69XFfCVot1NA6z2eEP/69oL9x0uaJDZa+6ileh0= -----END CERTIFICATE-----
A fim alistar todos os trustpoints configurados, execute trustpoints do pki do comando show crypto. Uma vez que o certificado é imprimido para consolar, copie-o a um arquivo e salvar em seu PC.
No ISE, navegue à administração > aos Certificados > aos certificados confiáveis e clique a importação.
Agora o clique consulta e seleciona o certificado do interruptor. Forneça (opcionalmente) o nome amigável e selecione a confiança das caixas de seleção para a autenticação dentro do ISE e confie-a para a authenticação do cliente e o Syslog. Clique então submetem-se, segundo as indicações da imagem:
Adicionar a configuração RADIUS no interruptor. A fim configurar o interruptor para comunicar-se com o ISE sobre DTL, use comandos:
radius server ISE22 address ipv4 10.48.23.86 key radius/dtls dtls port 2083 dtls trustpoint client TP-self-signed-721943660 dtls trustpoint server isetp
O resto da configuração específica AAA depende de seus exigências e projeto. Trate esta configuração como um exemplo:
aaa group server radius ISE server name ISE22 radius-server attribute 6 on-for-login-auth radius-server attribute 8 include-in-access-req radius-server attribute 25 access-request include aaa authentication dot1x default group ISE aaa authorization network default group ISE
Configurar políticas da authentication e autorização no ISE. Esta etapa depende de seus projeto e exigências também.
A fim verificar que os usuários podem autenticar, para usar o comando aaa do teste no interruptor:
Switch3650#test aaa group ISE alice Krakow123 new-code User successfully authenticated USER ATTRIBUTES username 0 "alice" Switch3650#
Você deve ver o usuário da mensagem autenticado com sucesso. Navegue às operações ISE > ao RAIO > ao LiveLog e aos detalhes seletos para o log apropriado (clique sobre a lupa):
No lado direito do relatório, há uma lista de etapas. Certifique-se da primeira etapa na lista seja pacote de informação de RADIUS esteja cifrada.
Adicionalmente, você pode começar a captura de pacote de informação no ISE e executar o comando aaa do teste mais uma vez. A fim começar a captação, navegue às operações > pesquisam defeitos > ferramentas de diagnóstico > ferramentas gerais > descarga TCP. Selecione o nó do serviço da política usado para a autenticação e clique o começo:
Quando a autenticação é terminada, clique a parada e transfira-a. Quando você abre a captura de pacote de informação, você deve poder ver o tráfego cifrado com DTL:
Os pacotes #813 - #822 são parte de aperto de mão DTL. Quando o aperto de mão é negociado com sucesso, os dados do aplicativo estão transferidos. Note que o número de pacotes pode variar e depende por exemplo do método de autenticação usado (PAP, EAP-PEAP, EAP-TLS, etc.). Os índices de cada pacote são cifrados:
Quando todos os dados são transmitidos, o túnel não está rasgado para baixo imediatamente. IdleTimeout configurou no ISE determina quanto tempo o túnel pode ser estabelecido sem uma comunicação que atravessa ele. Se o temporizador expira e a solicitação de acesso nova tem que ser enviada ao ISE, o aperto de mão DTL está executado e o túnel é reconstruído.
Note que a porta do padrão DTL é 2083. As portas do raio padrão são 1645,1646 e 1812,1813. Assegure-se de que o Firewall não obstrua o tráfego UDP/2083.
No relatório detalhado no ISE você pode ver que o aperto de mão DTL falhou:
A razão possível é que o interruptor ou o ISE fazem não certificado de confiança enviado durante o aperto de mão. Verifique a configuração do certificado. Verifique que o certificado apropriado está atribuído ao papel do RAIO DTL no ISE e aos trustpoints no interruptor.