Guest

基于身份的网络服务

与802.1x MACsec的TrustSec Cloud在Catalyst 3750X系列交换机配置示例

Techzone条款内容

文档ID116498

已更新:十月09, 2013

贡献用米哈拉Garcarz, Cisco TAC工程师。

    打印

简介

此条款描述要求的步骤为了配置与链路加密的一思科TrustSec (CTS)网云在两台Catalyst 3750X系列交换机(3750X)之间。

此条款说明使用安全关联协议的交换机对交换机媒体访问控制安全(MACsec)加密进程(SAP)。此进程使用IEEE 802.1x模式而不是手动模式。

这是包括的步骤的列表:

  • 种子和非种子设备的受保护的访问证件(PAC)供应
  • 网络设备准入控制(NDAC)验证和MACsec协商与SAP密钥管理的
  • 环境和策略刷新
  • 客户端的波尔特验证
  • 与安全组标记(SGT)的流量标记
  • 与安全组ACL (SGACL)的策略执行

先决条件

要求

Cisco 建议您了解以下主题:

  • CTS组件基础知识
  • Catalyst交换机的CLI配置基础知识
  • 与身份服务引擎(ISE)配置的体验

使用的组件

本文档中的信息基于以下软件和硬件版本:

  • Microsoft (MS) Windows 7和微软视窗XP
  • 3750X软件,版本15.0和以上
  • ISE软件,版本1.1.4和以上

本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始(默认)配置。如果您使用的是真实网络,请确保您已经了解所有命令的潜在影响。

配置

网络图

在此网络拓扑图中, 3750X-5交换机是认识ISE的IP地址的种子设备,并且使用随后的验证在CTS网云的自动地下载PAC。种子设备作为非种子设备的一802.1x验证器。思科Catalyst 3750X-6系列交换机(3750X-6)是非种子设备。它作为802.1x请求方到种子设备。在非种子设备验证对ISE通过种子设备后,它是对CTS网云的允许的访问。在成功认证以后,在3750X-5交换机的802.1x端口状态更改对已验证,并且MACsec加密协商。交换机之间的流量用SGT然后标记并且加密。

此列表汇总预计通信流:

  • 种子3750X-5连接对ISE并且下载PAC,用于环境和策略刷新以后的。
  • 非种子3750X-6执行802.1x验证以请求方角色为了验证/授权并且下载从ISE的PAC。
  • 3750X-6通过安全协议(EAP-FAST)会话执行秒钟802.1x扩展验证灵活协议验证为了用根据PAC的已保护通道验证。
  • 3750X-5下载SGA策略本身的和代表3750X-6。
  • SAP会话发生在3750X-5和3750X-6之间, MACsec密码器协商,并且策略交换。
  • 交换机之间的流量标记为和已加密。

配置种子和非种子交换机

种子设备(3750X-5)配置为了使用ISE作为RADIUS服务器CTS :

aaa new-model
aaa authentication dot1x default group radius
aaa authorization network default group radius
aaa authorization network ise group radius
aaa accounting dot1x default start-stop group radius

cts authorization list ise

radius-server host 10.48.66.129 pac key cisco
radius-server host 10.48.66.129 auth-port 1812
radius-server vsa send accounting
radius-server vsa send authentication

基于任务的访问控制表(RBACL)和安全组基于访问控制表(SGACL)实施启用(他们使用的以后) :

cts role-based enforcement
cts role-based enforcement vlan-list 1-1005,1007-4094

非种子设备(3750X-6)为验证、授权和统计(AAA)仅配置,不用对RADIUS或CTS授权的需要:

aaa new-model
aaa authentication dot1x default group radius
aaa authorization network default group radius
aaa accounting dot1x default start-stop group radius

在您启用在接口前的802.1x,配置ISE是必要的。

配置ISE

完成这些步骤为了配置ISE :

  1. 导航到Administration >网络资源>网络设备,并且添加两交换机作为网络访问设备(NAD)。在先进的TrustSec设置下,请配置一个CTS密码为以后使用在交换机CLI。



  2. 导航对策略>Policy元素>结果> Security组访问> Security组,并且添加适当的SGTs。当交换机请求环境刷新时,这些标记下载。



  3. 导航对策略>Policy元素>结果> Security组访问> Security组ACL,并且配置SGACL。



  4. 导航对策略> Security组访问,并且定义与矩阵的一项策略。



注意:您必须配置微软视窗请求方的授权策略,因此接收正确标记。参考ASA和Catalyst 3750X系列交换机TrustSec配置示例并且排除故障详细配置的指南此的。

设置为3750X-5的PAC

PAC为在CTS域的验证是需要的(作为EAP-FAST的phase1),并且也用于为了从ISE得到环境和策略数据。没有正确PAC,从ISE得到该数据是不可能的。


在您在3750X-5后提供正确凭证,下载PAC :

bsns-3750-5#cts credentials id 3750X password ciscocisco
bsns-3750-5#show cts pacs
  AID: C40A15A339286CEAC28A50DBBAC59784
  PAC-Info:
    PAC-type = Cisco Trustsec
    AID: C40A15A339286CEAC28A50DBBAC59784
    I-ID: 3750X
    A-ID-Info: Identity Services Engine
    Credential Lifetime: 08:31:32 UTC Oct 5 2013
  PAC-Opaque: 000200B00003000100040010C40A15A339286CEAC28A50DBBAC5978400060094
0003010076B969769CB5D45453FDCDEB92271C500000001351D15DD900093A8044DF74B2B71F
E667D7B908DB7AEEA32208B4E069FDB0A31161CE98ABD714C55CA0C4A83E4E16A6E8ACAC1D081
F235123600B91B09C9A909516D0A2B347E46D15178028ABFFD61244B3CD6F332435C867A968CE
A6B09BFA8C181E4399CE498A676543714A74B0C048A97C18684FF49BF0BB872405
  Refresh timer is set for 2y25w

PAC通过与Microsoft的挑战握手验证协议(MSCHAPv2)的EAP-FAST下载,当在CLI提供的凭证和同样凭证配置在ISE。

PAC使用环境和策略刷新。那些交换机,与CTS PAC不透明的Cisco AV对的使用RADIUS请求,从PAC密钥在ISE派生,并且可以解密。

设置为3750X-6和NDAC验证的PAC

为了的新设备能能连接到CTS域,它是必要启用在对应的端口的802.1x。

SAP协议使用密钥管理和密码器套件协商。伽罗华消息认证编码(GMAC)使用验证和伽罗华/计数器模式(GCM)加密的。

在种子交换机上:

interface GigabitEthernet1/0/20
 switchport trunk encapsulation dot1q
 switchport mode trunk
 cts dot1x  
sap mode-list gcm-encrypt

在非种子交换机上:

interface GigabitEthernet1/0/1
 switchport trunk encapsulation dot1q
 switchport mode trunk
 cts dot1x
  sap mode-list gcm-encrypt

中继端口(交换机-交换机MACsec)仅支持这。对于交换机主机MACsec,使用MACsec关键协议(MKA)协议SAP,参考Configurig MACsec加密

在您启用在端口之后的802.1x,非种子交换机作为请求方到种子交换机,是验证器。

此进程呼叫NDAC,并且其AIM将连接新设备对CTS域。验证双向;新设备有在认证服务器ISE验证的凭证。在设置的PAC以后,设备也肯定连接对CTS域。

注意:PAC用于为了构建EAP-FAST的一个传输层安全(TLS)通道。服务器提供类似于方式的3750X-6委托PAC凭证客户端委托服务器提供的证书为TLS为TLS方法建立隧道。

多个RADIUS消息被交换:

从3750X (种子交换机)的第一会话使用PAC设置。EAP-FAST使用,不用PAC (MSCHAPv2验证的一个匿名通道被构建)。

12131  EAP-FAST built anonymous tunnel for purpose of PAC provisioning
22037  Authentication Passed
11814  Inner EAP-MSCHAP authentication succeeded
12173  Successfully finished EAP-FAST CTS PAC provisioning/update
11003  Returned RADIUS Access-Reject

使用通过cts凭证命令配置的MSCHAPv2用户名和密码。并且, RADIUS访问拒绝返回在末端,因为,在PAC已经设置了后,进一步验证不是需要的。

在日志的第二个条目是指802.1x验证。EAP-FAST与设置前的PAC一起使用。

12168  Received CTS PAC
12132  EAP-FAST built PAC-based tunnel for purpose of authentication
11814  Inner EAP-MSCHAP authentication succeeded
15016  Selected Authorization Profile - Permit Access
11002  Returned RADIUS Access-Accept

这时,通道不是匿名的,但是保护由PAC。再次,使用MSCHAPv2会话的同样凭证。然后,它验证在ISE的认证和授权规则,并且RADIUS Access-Accept返回。然后,验证器交换机申请返回的属性和802.1x会话该端口移动对Authorized State。

什么前两802.1x会话的进程看起来象从种子交换?

这是从种子的最重要的调试。种子检测端口是UP,并且设法确定应该用于哪个角色802.1x -请求方或验证器:

debug cts all
debug dot1x all
debug radius verbose
debug radius authentication

Apr 9 11:28:35.347: CTS-ifc-ev: CTS process: received msg_id CTS_IFC_MSG_LINK_UP
Apr 9 11:28:35.347: @@@ cts_ifc GigabitEthernet1/0/20, INIT: ifc_init ->
ifc_authenticating
Apr 9 11:28:35.356: CTS-ifc-ev: Request to start dot1x Both PAE(s) for
GigabitEthernet1/0/20
Apr 9 11:28:35.356: dot1x-ev(Gi1/0/20): Created authenticator subblock
Apr 9 11:28:35.356: dot1x-ev(Gi1/0/20): Created supplicant subblock

Apr 9 11:28:35.364: dot1x-ev:dot1x_supp_start: Not starting default supplicant
on GigabitEthernet1/0/20
Apr 9 11:28:35.381: dot1x-sm:Posting SUPP_ABORT on Client=7C24F2C

Apr 9 11:28:35.397: %AUTHMGR-5-START: Starting 'dot1x' for client (10f3.11a7.e501) on
Interface Gi1/0/20 AuditSessionID C0A800010000054135A5E32

最后,因为交换机访问ISE,使用验证器角色。在3750X-6,请求方角色选择。

在802.1x角色的详细信息选择

注意:在请求方交换机获取PAC和802.1X验证后,下载环境数据(描述的以后),并且学习IP address of the AAA server。在本例中,两交换机有ISE的一专用的(骨干网)连接。以后,角色可以不同的;收到从AAA服务器的答复的第一交换机变为验证器和第二个变为请求方。

因为有作为运行发送被标记的AAA服务器的两交换机可扩展的认证协议(EAP)请求标识,这是可能的。首先收到EAP标识答复的那个变为验证器和丢包随后的标识请求。

在802.1x角色选择(在此方案, 3750X-6是请求方后,因为不得以进入对AAA服务器的),下一个信息包介入PAC设置的EAP-FAST交换。用户名CTS客户端使用RADIUS请求用户名和作为EAP标识:

Apr  9 11:28:36.647: RADIUS:  User-Name           [1]   12  "CTS client"
Apr  9 11:28:35.481: RADIUS:  EAP-Message         [79]  17  
Apr  9 11:28:35.481: RADIUS:   02 01 00 0F 01 43 54 53 20 63 6C 69 65 6E 74        [ CTS client]

在anonymus EAP-FAST通道被构建后, MSCHAPv2会话为用户名3750X6 (cts凭证)发生。发现那在交换机是不可能的,因为它是TLS建立隧道(加密),但是选派注册PAC设置的ISE证明它。您能看到CTS客户端为RADIUS用户名和作为EAP标识答复。然而,对于内在方法(MSCHAP),使用3750X6用户名:

第二EAP-FAST验证出现。这时,设置前的它使用PAC。再次, CTS客户端使用作为RADIUS用户名和外面标识,但是3750X6使用内在标识(MSCHAP)。验证成功:

然而,这次, ISE返回在RADIUS的几个属性接受数据包:

这里,验证器交换机更换端口对Authorized State :

bsns-3750-5#show authentication sessions int g1/0/20
            Interface:  GigabitEthernet1/0/20
          MAC Address:  10f3.11a7.e501
           IP Address:  Unknown
            User-Name:  3750X6
               Status:  Authz Success
               Domain:  DATA
      Security Policy:  Should Secure
      Security Status:  Unsecure
       Oper host mode:  multi-host
     Oper control dir:  both
        Authorized By:  Authentication Server
          Vlan Policy:  N/A
      Session timeout:  86400s (local), Remaining: 81311s
       Timeout action:  Reauthenticate
         Idle timeout:  N/A
    Common Session ID:  C0A800010000054135A5E321
      Acct Session ID:  0x0000068E
               Handle:  0x09000542

Runnable methods list:
       Method   State
       dot1x    Authc Success

验证器交换机如何了解用户名是3750X6 ?对于RADIUS用户名和外面EAP标识,使用CTS客户端,并且内在标识加密和不可视为验证器。ISE了解用户名。最后RADIUS信息包(Access-Accept)包含username=3750X6,而所有其他包含username= Cts客户端。这就是为什么请求方交换机认可实时用户名。此行为RFC兼容。从RFC3579第3.0部分:

The User-Name attribute within the Access- Accept packet need not be the same
as the User-Name attribute in the Access-Request.

在802.1x验证会话的最后数据包中, ISE返回RADIUS接受消息cisco-av-pair与EAP KEY NAME

这使用作为密钥材料SAP协商。

并且, SGT通过。这意味着验证器交换机用一DEFAULT值= 0标记从请求方的流量。您能配置在ISE的一个特定值返回其他值。这仅申请未标签的数据流;标记的数据流没有重写,因为,默认情况下,验证器交换机委托从已验证请求方的流量(但是此在ISE能也更改)。

SGA策略下载

有其他RADIUS交换(没有EAP)除前两802.1x EAP-FAST会话(第一之外设置的PAC的和第二验证的)。这再是ISE日志:

第三本日志(对等体策略下载)指示简单RADIUS交换:RADIUS请求和RADIUS为3760X6用户接受。这是需要的为了下载流量的策略从请求方。两个多数重要的属性是:

因此,验证器交换机信任由请求方的流量(cts是SGT经过标记的:trusted-device=true),并且用tag=0标记未标签的数据流。

第四本日志指示同一RADIUS交换。然而,这次,它是为3750X5用户(验证器)。这是因为两对等体必须有彼此的一项策略。注意到是有趣的,请求方仍然不认识IP address of the AAA server。这就是为什么验证器交换机代表请求方下载策略。此信息通过以后对请求方(与ISE IP地址一起)在SAP协商。

SAP协商

在802.1x验证会话完成之后, SAP协商发生。此协商要求为了:

  • 协商加密级别(与sap模式列表请gcm加密命令)并且加密套件
  • 派生数据流的会话密钥
  • 进行重新生成密钥的进程
  • 执行附加安全性安全性检查并且确保上一个步骤被巩固

SAP是Cisco系统设计的协议根据802.11i/D6.0起草版。关于详细信息,在支持思科的思科TrustSec安全关联协议的请求访问委托思科连结7000页的安全

SAP交换是802.1AE兼容的。LAN上的可扩展认证协议(EAPOL)密钥交换发生在请求方和验证器之间为了协商密码器套件,交换安全参数和管理密钥。不幸地, Wireshark没有所有需要的EAP类型的编码器:

这些任务成功的完成导致安全关联(SA)的建立。

在请求方交换机上:

bsns-3750-6#show cts interface g1/0/1
Global Dot1x feature is Enabled
Interface GigabitEthernet1/0/1:
    CTS is enabled, mode:    DOT1X
    IFC state:               OPEN
    Authentication Status:   SUCCEEDED
        Peer identity:       "3750X"
        Peer's advertised capabilities: "sap"
        802.1X role:         Supplicant
        Reauth period applied to link:  Not applicable to Supplicant role
    Authorization Status:    SUCCEEDED
        Peer SGT:            0:Unknown
        Peer SGT assignment: Trusted
    SAP Status:              SUCCEEDED
        Version:             2
        Configured pairwise ciphers:
            gcm-encrypt

        Replay protection:      enabled
        Replay protection mode: STRICT

        Selected cipher:        gcm-encrypt

    Propagate SGT:           Enabled
    Cache Info:
        Cache applied to link : NONE

    Statistics:
        authc success:              12
        authc reject:               1556
        authc failure:              0
        authc no response:          0
        authc logoff:               0
        sap success:                12
        sap fail:                   0
        authz success:              12
        authz fail:                 0
        port auth fail:             0

    L3 IPM:   disabled.

Dot1x Info for GigabitEthernet1/0/1
-----------------------------------
PAE                       = SUPPLICANT
StartPeriod               = 30
AuthPeriod                = 30
HeldPeriod                = 60
MaxStart                  = 3
Credentials profile       = CTS-ID-profile
EAP profile               = CTS-EAP-profile

在验证器:

bsns-3750-5#show cts interface g1/0/20
Global Dot1x feature is Enabled
Interface GigabitEthernet1/0/20:
    CTS is enabled, mode:    DOT1X
    IFC state:               OPEN
    Interface Active for 00:29:22.069
    Authentication Status:   SUCCEEDED
        Peer identity:       "3750X6"
        Peer's advertised capabilities: "sap"
        802.1X role:         Authenticator
        Reauth period configured:       86400 (default)
        Reauth period per policy:       86400 (server configured)
        Reauth period applied to link:  86400 (server configured)
        Reauth starts in approx. 0:23:30:37 (dd:hr:mm:sec)
        Peer MAC address is 10f3.11a7.e501
        Dot1X is initialized
    Authorization Status:    ALL-POLICY SUCCEEDED
        Peer SGT:            0:Unknown
        Peer SGT assignment: Trusted
    SAP Status:              SUCCEEDED
        Version:             2
        Configured pairwise ciphers:
            gcm-encrypt
            {3, 0, 0, 0} checksum 2

        Replay protection:      enabled
        Replay protection mode: STRICT

        Selected cipher:        gcm-encrypt

    Propagate SGT:           Enabled
    Cache Info:
        Cache applied to link : NONE
        Data loaded from NVRAM: F
        NV restoration pending: F
        Cache file name       : GigabitEthernet1_0_20_d
        Cache valid           : F
        Cache is dirty        : T
        Peer ID               : unknown
        Peer mac              : 0000.0000.0000
        Dot1X role            : unknown
        PMK                   :
             00000000 00000000 00000000 00000000
             00000000 00000000 00000000 00000000

    Statistics:
        authc success:              12
        authc reject:               1542
        authc failure:              0
        authc no response:          0
        authc logoff:               2
        sap success:                12
        sap fail:                   0
        authz success:              13
        authz fail:                 0
        port auth fail:             0

    L3 IPM:   disabled.

Dot1x Info for GigabitEthernet1/0/20
-----------------------------------
PAE                       = AUTHENTICATOR
QuietPeriod               = 60
ServerTimeout             = 0
SuppTimeout               = 30
ReAuthMax                 = 2
MaxReq                    = 2
TxPeriod                  = 30

这里,端口使用模式gcm加密,因此意味着流量验证并且加密,以及正确地SGT经过标记的。两个设备不使用在ISE的任何特定网络设备授权策略,因此意味着从设备初始化的所有流量使用默认标记0。并且两交换机信任从对等体接收的SGTs (由于从对等体策略下载相位的RADIUS属性)。

环境和策略刷新

在两个设备连接对CTS网云后,环境和策略刷新启动。环境刷新是需要的为了得到SGTs和名称,并且策略刷新是需要的为了下载在ISE定义的SGACL。

在此阶段,请求方已经认识IP address of the AAA server,因此能为本身执行它。

关于环境和策略刷新的详情,参考ASA和Catalyst 3750X系列交换机TrustSec配置示例并且排除故障指南

请求方交换机记住RADIUS服务器IP地址,既使当没有配置的RADIUS服务器,并且,当CTS链路断开时(往验证器交换机)。然而,强制交换机忘记它是可能的:

bsns-3750-6#show run | i radius
aaa authentication dot1x default group radius
aaa authorization network default group radius
aaa authorization network ise group radius
aaa accounting dot1x default start-stop group radius
radius-server vsa send authentication

bsns-3750-6#show cts server-list
CTS Server Radius Load Balance = DISABLED
Server Group Deadtime = 20 secs (default)
Global Server Liveness Automated Test Deadtime = 20 secs
Global Server Liveness Automated Test Idle Time = 60 mins
Global Server Liveness Automated Test = ENABLED (default)

Preferred list, 1 server(s):
 *Server: 10.48.66.129, port 1812, A-ID C40A15A339286CEAC28A50DBBAC59784
          Status = ALIVE
          auto-test = TRUE, keywrap-enable = FALSE, idle-time = 60 mins,
deadtime = 20 secs
Installed list: CTSServerList1-0001, 1 server(s):
 *Server: 10.48.66.129, port 1812, A-ID C40A15A339286CEAC28A50DBBAC59784
          Status = ALIVE
          auto-test = TRUE, keywrap-enable = FALSE, idle-time = 60 mins,
deadtime = 20 secs

bsns-3750-6#show radius server-group all

Server group radius
    Sharecount = 1  sg_unconfigured = FALSE
    Type = standard  Memlocks = 1
Server group  private_sg-0
    Server(10.48.66.129:1812,1646) Successful Transactions:
    Authen: 8   Author: 16      Acct: 0
    Server_auto_test_enabled: TRUE
    Keywrap enabled: FALSE

bsns-3750-6#clear cts server 10.48.66.129

bsns-3750-6#show radius server-group all
Server group radius
    Sharecount = 1  sg_unconfigured = FALSE
    Type = standard  Memlocks = 1
Server group  private_sg-0

为了验证环境和策略在请求方请交换,输入这些命令:

bsns-3750-6#show cts environment-data 
CTS Environment Data
====================
Current state = COMPLETE
Last status = Successful
Local Device SGT:
  SGT tag = 0-01:Unknown
Server List Info:
Security Group Name Table:
    0-00:Unknown
    2-00:VLAN10
    3-00:VLAN20
    4-00:VLAN100
Environment Data Lifetime = 86400 secs
Last update time = 03:23:51 UTC Thu Mar 31 2011
Env-data expires in   0:13:09:52 (dd:hr:mm:sec)
Env-data refreshes in 0:13:09:52 (dd:hr:mm:sec)
Cache data applied           = NONE
State Machine is running

bsns-3750-6#show cts role-based permissions

策略为什么不显示?没有策略显示,因为您必须使cts实施为了应用他们:

bsns-3750-6(config)#cts role-based enforcement 
bsns-3750-6(config)#cts role-based enforcement vlan-list all
bsns-3750-6#show cts role-based permissions
IPv4 Role-based permissions default:
        Permit IP-00
IPv4 Role-based permissions from group 2:VLAN10 to group Unknown:
        ICMP-20

当验证器有更多时,请求方为什么只有分组一项的策略未知

bsns-3750-5#show cts role-based permissions 
IPv4 Role-based permissions default:
        Permit IP-00
IPv4 Role-based permissions from group 2:VLAN10 to group Unknown:
        ICMP-20
IPv4 Role-based permissions from group 2:VLAN10 to group 3:VLAN20:
        ICMP-20
        Deny IP-00

客户端的波尔特验证

微软视窗客户端连接并且验证到3750-5交换机的g1/0/1端口:

bsns-3750-5#show authentication sessions int g1/0/1
        Interface:  GigabitEthernet1/0/1
          MAC Address:  0050.5699.4ea1
           IP Address:  192.168.2.200
            User-Name:  cisco
               Status:  Authz Success
               Domain:  DATA
      Security Policy:  Should Secure
      Security Status:  Unsecure
       Oper host mode:  multi-auth
     Oper control dir:  both
        Authorized By:  Authentication Server
          Vlan Policy:  20
              ACS ACL:  xACSACLx-IP-PERMIT_ALL_TRAFFIC-51134bb2
                  SGT:  0003-0
      Session timeout:  N/A
         Idle timeout:  N/A
    Common Session ID:  C0A80001000001BD336EC4D6
      Acct Session ID:  0x000002F9
               Handle:  0xF80001BE

          
Runnable methods list:
       Method   State
       dot1x    Authc Success
       mab      Not run

这里,交换机3750-5知道应该用SGT=3标记从该主机的该流量,当发送对CTS网云。

与SGT的流量标记

如何探测并且验证流量?

这是困难,由于:

  • 嵌入式数据包捕获为IP数据流(和此仅支持是有SGTs和MACsec有效负载的一个已修改以太网帧)。
  • 复制关键字的交换端口分析器(SPAN)端口-这也许工作,但是问题是有Wireshark的所有PC连接到监听会话的目的地端口丢弃帧由于缺乏802.1ae支持,能发生在硬件级。
  • 在放置目的地端口前,没有复制关键字的SPAN端口去除cts报头。

与SGACL的策略执行

在CTS网云的策略执行在目的地端口总是完成。这是因为仅最后设备认识端点设备目的地连接直接地到该交换机的SGT。数据包运载只有来源军士。两源和目的SGT要求为了做出决策。

这就是为什么设备不需要下载从ISE的所有策略。反而,他们只需要与SGT涉及设备有直接连接的设备策略的部分。

这是3750-6,是请求方交换机:

bsns-3750-6#show cts role-based permissions 
IPv4 Role-based permissions default:
        Permit IP-00
IPv4 Role-based permissions from group 2:VLAN10 to group Unknown:
        ICMP-20

有两项策略在这里。第一是未标签的数据流的默认(到/从)。第二是从SGT=2到无标记SGT,是0。此策略存在,因为设备使用从ISE的SGA策略,并且属于SGT=0。并且, SGT=0是默认标记。所以,您必须下载有流量的规则到/从SGT=0的所有策略。如果查看矩阵,您只看到一项这样策略:从2到0

这是3750-5,是验证器交换机:

bsns-3750-5#show cts role-based permissions 
IPv4 Role-based permissions default:
        Permit IP-00
IPv4 Role-based permissions from group 2:VLAN10 to group Unknown:
        ICMP-20
IPv4 Role-based permissions from group 2:VLAN10 to group 3:VLAN20:
        ICMP-20
        Deny IP-00

有另外一项策略在这里:从2到3。这是因为802.1x客户端(微软视窗)连接对g1/0/1并且用SGT=3标记。这就是为什么您必须下载所有策略到SGT=3

设法从3750X-6 (SGT=0) ping到微软视窗XP (SGT=3)。3750X-5是强制执行的设备。

在此前,您必须配置在ISE的一项策略流量的从SGT=0到SGT=3。此示例在矩阵创建一本SGACL互联网控制消息协议(ICMP)日志用仅线路, permit icmp日志,并且使用了它流量从SGT=0到SGT=3

这是策略的刷新在强制执行的交换机的和新的策略的验证:

bsns-3750-5#cts refresh policy              
Policy refresh in progress

bsns-3750-5#show cts role-based permissions
IPv4 Role-based permissions default:
        Permit IP-00
IPv4 Role-based permissions from group 2:VLAN10 to group Unknown:
        ICMP-20
IPv4 Role-based permissions from group Unknown to group 3:VLAN20:
        ICMPlog-10
        Deny IP-00
IPv4 Role-based permissions from group 2:VLAN10 to group 3:VLAN20:
        ICMP-20
        Deny IP-00

为了验证访问控制表(ACL)从ISE下载,请输入此命令:

bsns-3750-5#show ip access-lists ICMPlog-10
Role-based IP access list ICMPlog-10 (downloaded)
    10 permit icmp log

为了验证ACL应用(硬件支持),请输入此命令:

bsns-3750-5#show cts rbacl | b ICMPlog-10
  name   = ICMPlog-10
  IP protocol version = IPV4
  refcnt = 2
  flag   = 0x41000000
    POLICY_PROGRAM_SUCCESS
    POLICY_RBACL_IPV4
  stale  = FALSE
  ref_q:
    acl_infop(74009FC), name(ICMPlog-10)
  sessions installed:
    session hld(460000F8)
  RBACL ACEs:
  Num ACEs: 1
    permit icmp log

这是计数器在ICMP前:

bsns-3750-5#show cts role-based counters 
Role-based IPv4 counters
# '-' in hardware counters field indicates sharing among cells with identical
policies
From    To      SW-Denied       HW-Denied       SW-Permitted    HW-Permitted   

2       0       0               0               4099            224            

*       *       0               0               321810          340989         

0       3       0               0               0               0              

2       3       0               0               0               0

这是从SGT=0 (3750-6的一ping交换机)对微软视窗XP (SGT=3)和计数器:

bsns-3750-6#ping 192.168.2.200
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 192.168.2.200, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 1/1/1 ms

bsns-3750-5#show cts role-based counters
Role-based IPv4 counters
# '-' in hardware counters field indicates sharing among cells with identical
policies
From    To      SW-Denied       HW-Denied       SW-Permitted    HW-Permitted   

2       0       0               0               4099            224            

*       *       0               0               322074          341126         

0       3       0               0               0               5              

2       3       0               0               0               0  

这是ACL计数器:

bsns-3750-5#show ip access-lists ICMPlog-10
Role-based IP access list ICMPlog-10 (downloaded)
    10 permit icmp log (5 matches)

验证

当前没有可用于此配置的验证过程。

故障排除

目前没有针对此配置的故障排除信息。

相关信息

已更新:十月09, 2013
文档ID116498