Guest

Сетевые сервисы на основе идентификации

Облако TrustSec с 802.1x MACsec на Catalyst — пример конфигурации коммутатора серии 3750X

Содержание Статьи Techzone

ID документа: 116498

Обновлено : 09 октября 2013

Внесенный Михалом Гаркарзом, специалистом службы технической поддержки Cisco.

Введение

Эта статья описывает шаги, требуемые для настройки Cisco TrustSec (облако CTS) с шифрованием ссылки между двумя Catalyst коммутаторы серии 3750X (3750X).

Эта статья объясняет Безопасность Управления доступом к среде между коммутаторами (MACsec) процесс шифрования, который использует Протокол сопоставления безопасности (SAP). Этот процесс использует режим IEEE 802.1x вместо ручного режима.

Вот список включенных шагов:

  • Инициализация Учетных данных для защищенного доступа (PAC) для прототипа и неинициирующих устройств
  • Аутентификация Контроля доступа сетевого устройства (NDAC) и согласование MACsec с SAP для управления ключами
  • Среда и обновление политики
  • Аутентификация порта для клиентов
  • Маркировка трафика с тегом группы безопасности (SGT)
  • Принудительная политика с ACL Группы безопасности (SGACL)

Предварительные условия

Требования

Компания Cisco рекомендует предварительно ознакомиться со следующими предметами:

  • Базовые знания о компонентах CTS
  • Базовые знания о конфигурации интерфейса командой строки коммутаторов Catalyst
  • Опыт с конфигурацией платформы Identity Services Engine (ISE)

Используемые компоненты

Сведения, содержащиеся в данном документе, касаются следующих версий программного обеспечения и оборудования:

  • Microsoft (MS) Windows 7 и MS Windows XP
  • 3750X программное обеспечение, версии 15.0 и позже
  • Программное обеспечение ISE, версии 1.1.4 и позже

Сведения, представленные в этом документе, были получены от устройств, работающих в специальной лабораторной среде. Все устройства, описанные в этом документе, были запущены с чистой (стандартной) конфигурацией. В рабочей сети необходимо изучить потенциальное воздействие всех команд до их использования.

Настройка

Схема сети

В этой диаграмме топологии сети коммутатор 3750X-5 является инициирующим устройством, которое знает IP-адрес ISE, и это автоматически загружает PAC, который используется для последующей аутентификации в облаке CTS. Инициирующее устройство действует как средство проверки подлинности 802.1x для неинициирующих устройств. Cisco Catalyst коммутатор (3750X-6) серии 3750X-6 является неинициирующим устройством. Это действует как соискатель 802.1x к инициирующему устройству. После того, как неинициирующее устройство аутентифицируется на ISE через инициирующее устройство, это - доступ разрешен к облаку CTS. После успешной аутентификации состояние порта 802.1x на коммутаторе 3750X-5 изменено на аутентифицируемое, и шифрование MACsec, выполнен согласование. Трафик между коммутаторами тогда помечен с SGT и зашифрован.

Этот список суммирует поток ожидаемого трафика:

  • Прототип 3750X-5 соединяется с ISE и загружает PAC, который позже используется для обновления политики и среды.
  • Непрототип 3750X-6 выполняет аутентификацию 802.1x с ролью соискателя, чтобы аутентифицировать/авторизовать и загрузить PAC от ISE.
  • 3750X-6 выполняет вторую Гибкую аутентификацию для расширяемого протокола аутентификации 802.1x с помощью Защищенного протокола (EAP-FAST) сеанс для аутентификации с защищенным туннелем на основе PAC.
  • 3750X-5 загружает политику SGA для себя и от имени 3750X-6.
  • Сеанс SAP происходит между 3750X-5 и 3750X-6, о шифрах MACsec выполняют согласование, и политикой обмениваются.
  • Трафик между коммутаторами помечен и зашифрован.

Настройте прототип и неначальные коммутаторы

Инициирующее устройство (3750X-5) настроено для использования ISE в качестве сервера RADIUS для CTS:

aaa new-model
aaa authentication dot1x default group radius
aaa authorization network default group radius
aaa authorization network ise group radius
aaa accounting dot1x default start-stop group radius

cts authorization list ise

radius-server host 10.48.66.129 pac key cisco
radius-server host 10.48.66.129 auth-port 1812
radius-server vsa send accounting
radius-server vsa send authentication

Основанный на роли список контроля доступа (RBACL) и Группа безопасности Базирующийся Список контроля доступа (SGACL), который включено осуществление (они используются позже):

cts role-based enforcement
cts role-based enforcement vlan-list 1-1005,1007-4094

Неинициирующее устройство (3750X-6) настроено только для Аутентификации, авторизации и учета (AAA) без потребности в авторизации CTS или RADIUS:

aaa new-model
aaa authentication dot1x default group radius
aaa authorization network default group radius
aaa accounting dot1x default start-stop group radius

Перед включением 802.1x на интерфейсе необходимо настроить ISE.

Настройте ISE

Выполните эти шаги для настройки ISE:

  1. Перейдите к администрированию> Сетевые ресурсы> Сетевые устройства и добавьте оба коммутатора как Устройства Доступа к сети (NADs). При Усовершенствованных Параметрах настройки TrustSec настройте пароль CTS для более позднего использования на CLI коммутатора.



  2. Перейдите к Политике> Элементы Политики>> Security Результатов Группы> Security Группового доступа и добавьте соответствующий SGTs. Когда коммутаторы запрашивают обновление среды, эти метки загружены.



  3. Перейдите к Политике> Элементы Политики>> Security Результатов ACL Группы> Security Группового доступа и настройте SGACL.



  4. Перейдите к> Security Политики Групповой доступ и определите политику с матрицей.



Примечание: Необходимо настроить политику авторизации для соискателя MS Windows, так, чтобы она получила корректную метку. См. ASA и Catalyst Коммутатор серии 3750X Пример конфигурации TrustSec и Руководство Устранения неполадок для подробной конфигурации для этого.

Инициализация PAC для 3750X-5

PAC необходим для аутентификации в домене CTS (как phase1 для EAP-FAST), и это также используется для получения среды и данных политики от ISE. Без корректного PAC не возможно получить те данные из ISE.


После обеспечения корректных учетных данных на 3750X-5 он загружает PAC:

bsns-3750-5#cts credentials id 3750X password ciscocisco
bsns-3750-5#show cts pacs
 AID: C40A15A339286CEAC28A50DBBAC59784
 PAC-Info:
   PAC-type = Cisco Trustsec
   AID: C40A15A339286CEAC28A50DBBAC59784
   I-ID: 3750X
   A-ID-Info: Identity Services Engine
   Credential Lifetime: 08:31:32 UTC Oct 5 2013
 PAC-Opaque: 000200B00003000100040010C40A15A339286CEAC28A50DBBAC5978400060094
0003010076B969769CB5D45453FDCDEB92271C500000001351D15DD900093A8044DF74B2B71F
E667D7B908DB7AEEA32208B4E069FDB0A31161CE98ABD714C55CA0C4A83E4E16A6E8ACAC1D081
F235123600B91B09C9A909516D0A2B347E46D15178028ABFFD61244B3CD6F332435C867A968CE
A6B09BFA8C181E4399CE498A676543714A74B0C048A97C18684FF49BF0BB872405
 Refresh timer is set for 2y25w

PAC загружен через EAP-FAST с Протоколом аутентификации по квитированию вызова Microsoft (MSCHAPv2) с учетными данными, предоставленными в CLI и тех же учетных данных, настроенных на ISE.

PAC используется для обновления политики и среды. Для тех коммутаторов используйте Запросы RADIUS с Cisco av-pair cts-pac-opaque, который получен из ключа PAC и может быть дешифрован на ISE.

Инициализация PAC для 3750X-6 и аутентификации NDAC

Для нового устройства, чтобы быть в состоянии соединиться с доменом CTS, необходимо включить 802.1x на соответствующих портах.

Протокол SAP используется для согласования набора шифров и управления ключами. Код аутентификации сообщения Галуа (GMAC) используется для аутентификации и Режима Галуа/Счетчика (GCM) для шифрования.

На начальном коммутаторе:

interface GigabitEthernet1/0/20
 switchport trunk encapsulation dot1q
 switchport mode trunk
 cts dot1x  
sap mode-list gcm-encrypt

На неначальном коммутаторе:

interface GigabitEthernet1/0/1
 switchport trunk encapsulation dot1q
 switchport mode trunk
 cts dot1x
 sap mode-list gcm-encrypt

Это поддерживается только на магистральных портах (коммутатор - коммутатор MACsec). Для хоста коммутатора MACsec, который использует протокол Согласования ключей MACsec (MKA) вместо этого SAP, обращается к Configurig MACsec Шифрование.

Сразу после включения 802.1x на портах, действиях неначального коммутатора как соискатель к начальному коммутатору, который является средством проверки подлинности.

Этот процесс называют NDAC, и его цель состоит в том, чтобы подключить новое устройство с доменом CTS. Аутентификация является двунаправленной; новое устройство имеет учетные данные, которые проверены на ISE сервера проверки подлинности. После инициализации PAC устройство также уверено, что соединяется с доменом CTS.

Примечание: PAC используется для построения туннеля Transport Layer Security (TLS) для EAP-FAST. 3750X-6 доверяет учетным данным PAC, которые предоставлены сервером, подобным способу, которым клиент доверяет сертификату, предоставленному сервером для туннеля TLS для метода EAP-TLS.

Обмениваются множественными Сообщениями RADIUS:

Первый сеанс от 3750X (начальный коммутатор) используется для инициализации PAC. EAP-FAST используется без PAC (анонимный туннель для аутентификации MSCHAPv2 создан).

12131  EAP-FAST built anonymous tunnel for purpose of PAC provisioning
22037  Authentication Passed
11814  Inner EAP-MSCHAP authentication succeeded
12173  Successfully finished EAP-FAST CTS PAC provisioning/update
11003  Returned RADIUS Access-Reject

Имя пользователя и пароль MSCHAPv2, настроенное через cts учетную команду, используется. Кроме того, Access-Reject RADIUS возвращен в конце, потому что после того, как PAC уже настроил, никакая дальнейшая аутентификация не необходима.

Вторая запись в журнале ссылается на аутентификацию 802.1x. EAP-FAST используется с PAC, который был настроен ранее.

12168  Received CTS PAC
12132  EAP-FAST built PAC-based tunnel for purpose of authentication
11814  Inner EAP-MSCHAP authentication succeeded
15016  Selected Authorization Profile - Permit Access
11002  Returned RADIUS Access-Accept

На этот раз туннель не является анонимным, но защищенный PAC. Снова, те же учетные данные для сеанса MSCHAPv2 используются. Затем это проверено против правил проверки подлинности и авторизация о ISE, и Access-Accept RADIUS возвращен. Затем коммутатор средства проверки подлинности применяет возвращенные атрибуты, и сеанс 802.1x для того порта переходит в санкционированное состояние.

Что делает процесс для первых двух сеансов 802.1x, похожи от начального коммутатора?

Вот самые важные отладки от прототипа. Прототип обнаруживает, что порт подключен и пытается определить, какая роль должна использоваться для 802.1x - соискатель или средство проверки подлинности:

debug cts all
debug dot1x all
debug radius verbose
debug radius authentication

Apr 9 11:28:35.347: CTS-ifc-ev: CTS process: received msg_id CTS_IFC_MSG_LINK_UP
Apr 9 11:28:35.347: @@@ cts_ifc GigabitEthernet1/0/20, INIT: ifc_init ->
ifc_authenticating
Apr 9 11:28:35.356: CTS-ifc-ev: Request to start dot1x Both PAE(s) for
GigabitEthernet1/0/20
Apr 9 11:28:35.356: dot1x-ev(Gi1/0/20): Created authenticator subblock
Apr 9 11:28:35.356: dot1x-ev(Gi1/0/20): Created supplicant subblock

Apr 9 11:28:35.364: dot1x-ev:dot1x_supp_start: Not starting default supplicant
on GigabitEthernet1/0/20
Apr 9 11:28:35.381: dot1x-sm:Posting SUPP_ABORT on Client=7C24F2C

Apr 9 11:28:35.397: %AUTHMGR-5-START: Starting 'dot1x' for client (10f3.11a7.e501) on
Interface Gi1/0/20 AuditSessionID C0A800010000054135A5E32

Наконец, роль средства проверки подлинности используется, потому что коммутатор имеет доступ к ISE. На 3750X-6 выбрана роль соискателя.

Подробные данные о выборе роли 802.1x

Примечание: После того, как коммутатор соискателя получает PAC и аутентифицируется на 802.1x, это загружает данные среды (описал позже), и изучает IP-адрес AAA-сервера. В данном примере оба коммутатора имеют специализированное (магистральное) соединение для ISE. Позже, роли могут быть другими; первый коммутатор, который получает ответ от AAA-сервера, становится средством проверки подлинности, и второй становится соискателем.

Это возможно, потому что оба коммутатора с AAA-сервером, отмеченным как ALIVE, передают Идентичность Запроса Протокола EAP. Тот, который сначала получает Идентификационный Ответ EAP, становится средством проверки подлинности и отбрасывает последующие Идентификационные Запросы.

После того, как роль 802.1x выбрана (в этом сценарии, 3750X-6 является соискателем, потому что это еще не имеет никакого доступа к AAA-серверу), следующие пакеты включают обмен EAP-FAST для инициализации PAC. Клиент CTS имени пользователя используется для Имени пользователя Запроса RADIUS и как идентичность EAP:

Apr 9 11:28:36.647: RADIUS: User-Name          [1]  12 "CTS client"
Apr 9 11:28:35.481: RADIUS: EAP-Message        [79] 17  
Apr 9 11:28:35.481: RADIUS:  02 01 00 0F 01 43 54 53 20 63 6C 69 65 6E 74       [ CTS client]

После того, как анонимный туннель EAP-FAST создан, сеанс MSCHAPv2 происходит для имени пользователя 3750X6 (cts учетные данные). Не возможно видеть, что на коммутаторе, потому что это - туннель TLS (зашифрованный), но подробный вход в систему ISE для инициализации PAC доказывает его. Вы видите Клиента CTS для Имени пользователя RADIUS и как идентификационный ответ EAP. Однако для внутреннего метода (MSCHAP), 3750X6 имя пользователя используется:

Вторая аутентификация EAP-FAST происходит. На этот раз это использует PAC, который был настроен ранее. Снова, клиент CTS используется в качестве Имени пользователя RADIUS, и внешняя идентичность, но 3750X6 используется для внутренней идентичности (MSCHAP). Аутентификация успешно выполняется:

Однако на этот раз ISE возвращается, несколько атрибутов в RADIUS Принимают пакет:

Здесь, коммутатор средства проверки подлинности изменяет порт на санкционированное состояние:

bsns-3750-5#show authentication sessions int g1/0/20
           Interface: GigabitEthernet1/0/20
         MAC Address: 10f3.11a7.e501
          IP Address: Unknown
           User-Name: 3750X6
              Status: Authz Success
              Domain: DATA
     Security Policy: Should Secure
     Security Status: Unsecure
      Oper host mode: multi-host
    Oper control dir: both
       Authorized By: Authentication Server
         Vlan Policy: N/A
     Session timeout: 86400s (local), Remaining: 81311s
      Timeout action: Reauthenticate
        Idle timeout: N/A
   Common Session ID: C0A800010000054135A5E321
     Acct Session ID: 0x0000068E
              Handle: 0x09000542

Runnable methods list:
      Method  State
      dot1x   Authc Success

Как коммутатор средства проверки подлинности узнает, что Имя пользователя 3750X6? Для Имени пользователя RADIUS и внешней идентичности EAP, используется клиент CTS, и внутренняя идентичность зашифрована и не видимая для средства проверки подлинности. Имя пользователя изучено ISE. Последний Пакет RADIUS (Access-Accept) содержит username=3750X6, в то время как все другие содержали имя пользователя = клиент Cts. Это - то, почему коммутатор соискателя распознает реальное имя пользователя. Это поведение является RFC-совместимым. От RFC3579 разделяют 3.0:

The User-Name attribute within the Access- Accept packet need not be the same
as the User-Name attribute in the Access-Request.

В последнем пакете сеанса аутентификации 802.1x возвращается ISE, RADIUS Принимают Cisco-av-pair сообщения с Ключевым Названием EAP:

Это используется в качестве материала для кодирования для согласования SAP.

Кроме того, SGT передают. Это означает, что средство проверки подлинности коммутирует трафик меток от соискателя со значением по умолчанию = 0. Можно настроить определенное значение на ISE для возврата любого другого значения. Это применяется только для немаркированного трафика; помеченный трафик не переписан, потому что по умолчанию коммутатор средства проверки подлинности доверяет трафику от аутентифицируемого соискателя (но это может также быть изменено на ISE).

Загрузка политики SGA

Существуют дополнительные обмены RADIUS (без EAP) кроме первых двух сеансов EAP-FAST 802.1x (первое для инициализации PAC и второе для аутентификации). Вот журналы ISE снова:

Третий журнал (Одноранговая Загрузка Политики) указывает на простой обмен RADIUS: Запрос RADIUS и RADIUS Принимают для 3760X6 пользователь. Это необходимо для загрузки политики для трафика от соискателя. Два большинство Важных атрибутов:

Из-за этого коммутатор средства проверки подлинности доверяет трафику, который помечен SGT соискателем (cts:trusted-device=true), и также помечает немаркированный трафик с tag=0.

Четвертый журнал указывает на тот же обмен RADIUS. Однако на этот раз это для 3750X5 пользователь (средство проверки подлинности). Это вызвано тем, что оба узла должны иметь политику друг для друга. Содержательно обратить внимание, что соискатель все еще не знает IP-адрес AAA-сервера. Это - то, почему коммутатор средства проверки подлинности загружает политику от имени соискателя. Эта информация проходит позже соискателю (наряду с IP-адресом ISE) на согласовании SAP.

Согласование SAP

Сразу после концов сеанса аутентификации 802.1x, согласование SAP происходит. Это согласование требуется чтобы к:

  • Выполните согласование уровни шифрования (со списком режима сока gcm-шифруют команду), и наборы шифров
  • Получите ключи сеанса для трафика данных
  • Подвергнитесь процессу смены ключа
  • Выполните проверки дополнительных мер безопасности и удостоверьтесь, что защищены предыдущие шаги

SAP является протоколом, разработанным Cisco Systems на основе предварительной версии 802.11i/D6.0. Для получения дополнительной информации запросите доступ на Протоколе Сопоставления безопасности Cisco TrustSec - поддержка протокола, Cisco Доверяла Безопасности для Cisco Nexus 7000 страниц.

Обмен SAP 802.1AE-совместим. Обмен ключами Расширяемого протокола аутентификации по LAN (EAPOL) происходит между соискателем и средством проверки подлинности, чтобы выполнить согласование о наборе шифров, обменных параметрах безопасности, и управлять ключами. К сожалению, Wireshark не имеет декодера для всех требуемых типов EAP:

Успешное завершение этих задач приводит к установлению сопоставления безопасности (SA).

На коммутаторе соискателя:

bsns-3750-6#show cts interface g1/0/1
Global Dot1x feature is Enabled
Interface GigabitEthernet1/0/1:
   CTS is enabled, mode:   DOT1X
   IFC state:              OPEN
   Authentication Status:  SUCCEEDED
       Peer identity:      "3750X"
       Peer's advertised capabilities: "sap"
       802.1X role:        Supplicant
       Reauth period applied to link: Not applicable to Supplicant role
   Authorization Status:   SUCCEEDED
       Peer SGT:           0:Unknown
       Peer SGT assignment: Trusted
   SAP Status:             SUCCEEDED
       Version:            2
       Configured pairwise ciphers:
           gcm-encrypt

       Replay protection:     enabled
       Replay protection mode: STRICT

       Selected cipher:       gcm-encrypt

   Propagate SGT:          Enabled
   Cache Info:
       Cache applied to link : NONE

   Statistics:
       authc success:             12
       authc reject:              1556
       authc failure:             0
       authc no response:         0
       authc logoff:              0
       sap success:               12
       sap fail:                  0
       authz success:             12
       authz fail:                0
       port auth fail:            0

   L3 IPM:  disabled.

Dot1x Info for GigabitEthernet1/0/1
-----------------------------------
PAE                      = SUPPLICANT
StartPeriod              = 30
AuthPeriod               = 30
HeldPeriod               = 60
MaxStart                 = 3
Credentials profile      = CTS-ID-profile
EAP profile              = CTS-EAP-profile

На средстве проверки подлинности:

bsns-3750-5#show cts interface g1/0/20
Global Dot1x feature is Enabled
Interface GigabitEthernet1/0/20:
   CTS is enabled, mode:   DOT1X
   IFC state:              OPEN
   Interface Active for 00:29:22.069
   Authentication Status:  SUCCEEDED
       Peer identity:      "3750X6"
       Peer's advertised capabilities: "sap"
       802.1X role:        Authenticator
       Reauth period configured:      86400 (default)
       Reauth period per policy:      86400 (server configured)
       Reauth period applied to link: 86400 (server configured)
       Reauth starts in approx. 0:23:30:37 (dd:hr:mm:sec)
       Peer MAC address is 10f3.11a7.e501
       Dot1X is initialized
   Authorization Status:   ALL-POLICY SUCCEEDED
       Peer SGT:           0:Unknown
       Peer SGT assignment: Trusted
   SAP Status:             SUCCEEDED
       Version:            2
       Configured pairwise ciphers:
           gcm-encrypt
           {3, 0, 0, 0} checksum 2

       Replay protection:     enabled
       Replay protection mode: STRICT

       Selected cipher:       gcm-encrypt

   Propagate SGT:          Enabled
   Cache Info:
       Cache applied to link : NONE
       Data loaded from NVRAM: F
       NV restoration pending: F
       Cache file name      : GigabitEthernet1_0_20_d
       Cache valid          : F
       Cache is dirty       : T
       Peer ID              : unknown
       Peer mac             : 0000.0000.0000
       Dot1X role           : unknown
       PMK                  :
            00000000 00000000 00000000 00000000
            00000000 00000000 00000000 00000000

   Statistics:
       authc success:             12
       authc reject:              1542
       authc failure:             0
       authc no response:         0
       authc logoff:              2
       sap success:               12
       sap fail:                  0
       authz success:             13
       authz fail:                0
       port auth fail:            0

   L3 IPM:  disabled.

Dot1x Info for GigabitEthernet1/0/20
-----------------------------------
PAE                      = AUTHENTICATOR
QuietPeriod              = 60
ServerTimeout            = 0
SuppTimeout              = 30
ReAuthMax                = 2
MaxReq                   = 2
TxPeriod                 = 30

Здесь, использование портов, которое gcm-шифрует режим, что означает, что трафик и аутентифицируется и шифруется, а также правильно помечается SGT. Никакое устройство не использует определенной политики авторизации сетевого устройства на ISE, что означает, что весь трафик, инициируемый от устройства, использует метку по умолчанию 0. Также оба коммутатора доверяют SGTs, полученному от узла (из-за атрибутов RADIUS от одноранговой фазы загрузки политики).

Среда и обновление политики

После того, как оба устройства связаны с облаком CTS, обновление среды и политики инициируется. Обновление среды необходимо для получения SGTs и названий, и обновление политики необходимо для загрузки SGACL, определенного на ISE.

На данном этапе соискатель уже знает IP-адрес AAA-сервера, таким образом, это может сделать это для себя.

См. ASA и Catalyst Коммутатор серии 3750X Пример конфигурации TrustSec и Руководство Устранения неполадок для подробных данных о среде и обновлении политики.

Коммутатор соискателя помнит IP-адрес сервера RADIUS, даже когда нет никакого настроенного сервера RADIUS и когда ссылка CTS выключается (к коммутатору средства проверки подлинности). Однако возможно вынудить коммутатор забыть его:

bsns-3750-6#show run | i radius
aaa authentication dot1x default group radius
aaa authorization network default group radius
aaa authorization network ise group radius
aaa accounting dot1x default start-stop group radius
radius-server vsa send authentication

bsns-3750-6#show cts server-list
CTS Server Radius Load Balance = DISABLED
Server Group Deadtime = 20 secs (default)
Global Server Liveness Automated Test Deadtime = 20 secs
Global Server Liveness Automated Test Idle Time = 60 mins
Global Server Liveness Automated Test = ENABLED (default)

Preferred list, 1 server(s):
 *Server: 10.48.66.129, port 1812, A-ID C40A15A339286CEAC28A50DBBAC59784
         Status = ALIVE
         auto-test = TRUE, keywrap-enable = FALSE, idle-time = 60 mins,
deadtime = 20 secs
Installed list: CTSServerList1-0001, 1 server(s):
 *Server: 10.48.66.129, port 1812, A-ID C40A15A339286CEAC28A50DBBAC59784
         Status = ALIVE
         auto-test = TRUE, keywrap-enable = FALSE, idle-time = 60 mins,
deadtime = 20 secs

bsns-3750-6#show radius server-group all

Server group radius
   Sharecount = 1 sg_unconfigured = FALSE
   Type = standard Memlocks = 1
Server group private_sg-0
   Server(10.48.66.129:1812,1646) Successful Transactions:
   Authen: 8  Author: 16     Acct: 0
   Server_auto_test_enabled: TRUE
   Keywrap enabled: FALSE

bsns-3750-6#clear cts server 10.48.66.129

bsns-3750-6#show radius server-group all
Server group radius
   Sharecount = 1 sg_unconfigured = FALSE
   Type = standard Memlocks = 1
Server group private_sg-0

Для проверки среды и политики по коммутатору соискателя, введите эти команды:

bsns-3750-6#show cts environment-data 
CTS Environment Data
====================
Current state = COMPLETE
Last status = Successful
Local Device SGT:
 SGT tag = 0-01:Unknown
Server List Info:
Security Group Name Table:
   0-00:Unknown
   2-00:VLAN10
   3-00:VLAN20
   4-00:VLAN100
Environment Data Lifetime = 86400 secs
Last update time = 03:23:51 UTC Thu Mar 31 2011
Env-data expires in  0:13:09:52 (dd:hr:mm:sec)
Env-data refreshes in 0:13:09:52 (dd:hr:mm:sec)
Cache data applied          = NONE
State Machine is running

bsns-3750-6#show cts role-based permissions

Почему не делают никакого показа политики? Никакой показ политики, потому что необходимо включить cts осуществление для применения их:

bsns-3750-6(config)#cts role-based enforcement 
bsns-3750-6(config)#cts role-based enforcement vlan-list all
bsns-3750-6#show cts role-based permissions
IPv4 Role-based permissions default:
       Permit IP-00
IPv4 Role-based permissions from group 2:VLAN10 to group Unknown:
       ICMP-20

Почему у соискателя есть только одна политика для группировки Неизвестный, в то время как средство проверки подлинности имеет больше?

bsns-3750-5#show cts role-based permissions 
IPv4 Role-based permissions default:
       Permit IP-00
IPv4 Role-based permissions from group 2:VLAN10 to group Unknown:
       ICMP-20
IPv4 Role-based permissions from group 2:VLAN10 to group 3:VLAN20:
       ICMP-20
       Deny IP-00

Аутентификация порта для клиентов

Клиент MS Windows связывается и аутентифицируется на g1/0/1 порту этих 3750-5 коммутаторов:

bsns-3750-5#show authentication sessions int g1/0/1
       Interface: GigabitEthernet1/0/1
         MAC Address: 0050.5699.4ea1
          IP Address: 192.168.2.200
           User-Name: cisco
              Status: Authz Success
              Domain: DATA
     Security Policy: Should Secure
     Security Status: Unsecure
      Oper host mode: multi-auth
    Oper control dir: both
       Authorized By: Authentication Server
         Vlan Policy: 20
             ACS ACL: xACSACLx-IP-PERMIT_ALL_TRAFFIC-51134bb2
                 SGT: 0003-0
     Session timeout: N/A
        Idle timeout: N/A
   Common Session ID: C0A80001000001BD336EC4D6
     Acct Session ID: 0x000002F9
              Handle: 0xF80001BE

         
Runnable methods list:
      Method  State
      dot1x   Authc Success
      mab     Not run

Здесь, коммутатор 3750-5 знает, что трафик от того хоста должен быть помечен с SGT=3, когда передается облаку CTS.

Маркировка трафика с SGT

Как вы осуществляете сниффинг и проверяете трафик?

Это трудно потому что:

  • Встроенный Захват пакета поддерживается только для IP - трафика (и это - модифицированный Фрейм Ethernet с SGTs и информационным наполнением MACsec).
  • Порт Коммутируемого анализатора для портов (SPAN) с ключевым словом репликации - это могло бы работать, но проблема состоит в том, что любой ПК с Wireshark, связанным с портом назначения сеанса мониторинга, отбрасывает кадры из-за отсутствия поддержки 802.1ae, который может произойти в аппаратном уровне.
  • Порт SPAN без ключевого слова репликации удаляет cts заголовок, прежде чем это поставит порт назначения.

Принудительная политика с SGACL

Принудительная политика в облаке CTS всегда делается в порту назначения. Это вызвано тем, что только последнее устройство знает целевой SGT оконечного устройства, которое связано непосредственно с тем коммутатором. Пакет несет только источник SGT. И источник и целевой SGT требуются для принятия решения.

Это - то, почему устройства не должны загружать всю политику от ISE. Вместо этого им только нужна часть политики, которая отнесена к SGT, для которого устройство имеет подключенные напрямую устройства.

Вот эти 3750-6, который является коммутатором соискателя:

bsns-3750-6#show cts role-based permissions 
IPv4 Role-based permissions default:
       Permit IP-00
IPv4 Role-based permissions from group 2:VLAN10 to group Unknown:
       ICMP-20

Здесь существует две политики. Первым является по умолчанию для немаркированного трафика (к/от). Второе от SGT=2 до без меток SGT, который является 0. Эта политика существует, потому что само устройство использует политику SGA от ISE и принадлежит SGT=0. Кроме того, SGT=0 является меткой по умолчанию. Поэтому необходимо загрузить всю политику, которая имеет правила для к/ота трафика SGT=0. При рассмотрении матрицы вы видите только одну такую политику: от 2 до 0.

Вот эти 3750-5, который является коммутатором средства проверки подлинности:

bsns-3750-5#show cts role-based permissions 
IPv4 Role-based permissions default:
       Permit IP-00
IPv4 Role-based permissions from group 2:VLAN10 to group Unknown:
       ICMP-20
IPv4 Role-based permissions from group 2:VLAN10 to group 3:VLAN20:
       ICMP-20
       Deny IP-00

Здесь существует еще одна политика: от 2 до 3. Это вызвано тем, что клиент 802.1x (MS Windows) связан с g1/0/1 и помечен с SGT=3. Это - то, почему необходимо загрузить всю политику к SGT=3.

Попытайтесь пропинговать от 3750X-6 (SGT=0) к MS Windows XP (SGT=3). 3750X-5 является устройством осуществления.

Перед этим необходимо настроить политику по ISE для трафика от SGT=0 до SGT=3. Данный пример создал журнал Протокола ICMP SGACL с только линией, журнал icmp разрешения, и использовал его в матрице для трафика от SGT=0 до SGT=3:

Вот обновление политики по коммутатору осуществления и проверка новой политики:

bsns-3750-5#cts refresh policy             
Policy refresh in progress

bsns-3750-5#show cts role-based permissions
IPv4 Role-based permissions default:
       Permit IP-00
IPv4 Role-based permissions from group 2:VLAN10 to group Unknown:
       ICMP-20
IPv4 Role-based permissions from group Unknown to group 3:VLAN20:
       ICMPlog-10
       Deny IP-00
IPv4 Role-based permissions from group 2:VLAN10 to group 3:VLAN20:
       ICMP-20
       Deny IP-00

Чтобы проверить, что Список контроля доступа (ACL) загружен от ISE, введите эту команду:

bsns-3750-5#show ip access-lists ICMPlog-10
Role-based IP access list ICMPlog-10 (downloaded)
   10 permit icmp log

Чтобы проверить, что ACL применен (аппаратная поддержка), введите эту команду:

bsns-3750-5#show cts rbacl | b ICMPlog-10
 name  = ICMPlog-10
 IP protocol version = IPV4
 refcnt = 2
 flag  = 0x41000000
   POLICY_PROGRAM_SUCCESS
   POLICY_RBACL_IPV4
 stale = FALSE
 ref_q:
   acl_infop(74009FC), name(ICMPlog-10)
 sessions installed:
   session hld(460000F8)
 RBACL ACEs:
 Num ACEs: 1
   permit icmp log

Вот счетчики перед ICMP:

bsns-3750-5#show cts role-based counters 
Role-based IPv4 counters
# '-' in hardware counters field indicates sharing among cells with identical
policies
From   To     SW-Denied      HW-Denied      SW-Permitted   HW-Permitted  

2      0      0              0              4099           224           

*      *      0              0              321810         340989        

0      3      0              0              0              0             

2      3      0              0              0              0

Вот эхо-запрос от SGT=0 (3750-6 коммутаторов) к MS Windows XP (SGT=3) и счетчики:

bsns-3750-6#ping 192.168.2.200
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 192.168.2.200, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 1/1/1 ms

bsns-3750-5#show cts role-based counters
Role-based IPv4 counters
# '-' in hardware counters field indicates sharing among cells with identical
policies
From   To     SW-Denied      HW-Denied      SW-Permitted   HW-Permitted  

2      0      0              0              4099           224           

*      *      0              0              322074         341126        

0      3      0              0              0              5             

2      3      0              0              0              0  

Вот счетчики ACL:

bsns-3750-5#show ip access-lists ICMPlog-10
Role-based IP access list ICMPlog-10 (downloaded)
   10 permit icmp log (5 matches)

Проверка

В настоящее время для этой конфигурации нет процедуры проверки.

Устранение неполадок

Для этой конфигурации в настоящее время нет сведений об устранении проблем.

Дополнительные сведения

Обновлено : 09 октября 2013
ID документа: 116498