Introduction
本文描述配置和排除故障在数据包传输层安全协议(DTL)的RADIUS。DTL为RADIUS提供加密服务,在安全隧道被传输。
Prerequisites
Requirements
Cisco 建议您了解以下主题:
- 思科身份服务引擎(ISE)
- RADIUS协议
- Cisco IOS
Components Used
本文档中的信息基于以下软件和硬件版本:
- 思科身份服务引擎2.2
- 与IOS 16.6.1的Catalyst 3650
The information in this document was created from the devices in a specific lab environment.All of the devices used in this document started with a cleared (default) configuration.If your network is live, make sure that you understand the potential impact of any command.
Configure
配置
1. 添加在ISE和enable (event) DTL协议的网络设备。
连接到Administration >网络资源>网络设备。点击添加并且提供至少必选字段:
- 名字-设备的友好名称被添加。
- Ip address ip_address,证明人使用与ISE联系。配置设备的范围是可能的。为了执行那,请指定适当的掩码(小于32)。
- 设备配置文件-设备的一般设置。它准许指定什么协议被处理,授权(CoA)设置和RADIUS属性配置的被详述的更改。欲了解更详细的信息,请连接对Administration >网络资源>网络设备配置文件。
- 网络设备组-设置设备类型, IPSec功能和设备位置。此设置不是必须的。如果不选择自定义值,默认设置假设。
Select复选框RADIUS认证设置和在Select复选框DTL下需要的RADIUS DTL设置。这通过DTL安全隧道仅允许与证明人的RADIUS通信。注意共有的秘密文本框变灰。在RADIUS DTL的情况下此值是固定的,并且同一个字符串在证明人边被配置。


2. 配置DTL端口和空闲超时。
您能配置使用DTL通信和空闲超时在管理>System >设置>协议> RADIUS> RADIUS DTL的端口。

注意DTL端口是与RADIUS端口不同。默认情况下, RADIUS使用对1645, 1646和1812, 1813。默认情况下DTL为认证、授权、记帐和CoA使用端口2083。空闲超时指定ISE和证明人多久维护隧道,不用通过它的任何实际通信。此超时用秒钟被测量并且范围自60到600秒。
3. 从ISE信任存储导出DTL RADIUS认证发布者。
为了设立在ISE和证明人之间的隧道,两个实体需要交换和验证证书。证明人必须委托ISE RADIUS DTL认证,因此意味着其发布者必须是存在证明人的信任存储。如镜像所显示,为了导出ISE认证的签署人,请连接对管理>System >证书, :

找出与分配的RADIUS DTL角色的认证并且检查发出由字段此认证。这是必须从ISE信任存储被导出认证的普通的名字。为了执行那,请连接对管理>System > CertificatesTrusted证书。Select复选框在适当的认证旁边和请点击导出。
4. 配置信任点和进口证明书对证明人。
为了配置信任点,请登陆到交换机并且执行命令:
configure terminal
crypto pki trustpoint isetp
enrollment terminal
revocation-check none
exit
与crypto命令pki的进口证明书验证isetp。当提示是接受认证,类型。
Switch3650(config)#crypto pki authenticate isetp
Enter the base 64 encoded CA certificate.
End with a blank line or the word "quit" on a line by itself
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----
Certificate has the following attributes:
Fingerprint MD5: B33EAD49 87F18924 590616B9 C8880D9D
Fingerprint SHA1: FD729A3B B533726F F8450358 A2F7EB27 EC8A1178
% Do you accept this certificate? [yes/no]: yes
Trustpoint CA certificate accepted.
% Certificate successfully imported
5. 交换机的出口许可证。
选择和认证将用于在交换机的DTL信任点并且导出它:
Switch3650(config)#crypto pki export TP-self-signed-721943660 pem terminal
% Self-signed CA certificate:
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----
为了列出被配置的所有trustpoints,请执行show crypto命令pki trustpoints。一旦认证被打印控制,请复制它到文件并且保存在您的PC。
6. 导入交换机认证ISE信任存储。
在ISE,请连接对Administration >证书>信任证书并且点击导入。
现在请点击访问并且选择交换机的认证。提供(可选地)友好名称并且为在ISE内的认证选择复选框信任并且为客户端验证和Syslog委托。如镜像所显示,然后请点击提交, :

7. 配置在交换机的RADIUS。
添加在交换机的RADIUS配置。为了配置交换机与在DTL的ISE沟通,请使用命令:
radius server ISE22
address ipv4 10.48.23.86
key radius/dtls
dtls port 2083
dtls trustpoint client TP-self-signed-721943660
dtls trustpoint server isetp
其余AAA特定配置取决于您的需求和设计。对待此配置为例:
aaa group server radius ISE
server name ISE22
radius-server attribute 6 on-for-login-auth
radius-server attribute 8 include-in-access-req
radius-server attribute 25 access-request include
aaa authentication dot1x default group ISE
aaa authorization network default group ISE
8. 配置由于ISE的策略。
配置由于ISE的认证和授权策略。此步骤取决于您的设计和需求。
Verify
为了验证用户能验证,使用测试aaa命令在交换机:
Switch3650#test aaa group ISE alice Krakow123 new-code
User successfully authenticated
USER ATTRIBUTES
username 0 "alice"
Switch3650#
您应该看到消息用户成功验证。连接对ISE操作> RADIUS> LiveLog和适当的日志的挑选详细资料(请点击放大镜) :


在报告的右边,有步骤列表。检查在列表的第一步是RADIUS信息包被加密。
另外,您能开始在ISE的信息包获取和再次执行aaa命令的测试。为了开始捕获,请连接对操作>排除故障>诊断的Tools>一般Tools> TCP转储。选择用于认证的策略服务节点并且点击开始:

当认证完成时,请点击终止并且下载。当您打开信息包获取时,您应该能发现用DTL加密的数据流:

信息包#813 - #822是DTL握手的一部分。当握手成功协商时,传递应用数据。注意信息包的编号可能变化并且取决于例如使用的认证方法(PAP、EAP-PEAP、EAP-TLS等等)。每个信息包内容被加密:

当所有数据传输时,隧道没有立即被切断。 IdleTimeout在ISE配置了确定隧道多久可以设立,不用通过它的通信。如果计时器到期,并且新的访问请求必须被发送到ISE, DTL握手执行,并且隧道被重建。
Troubleshoot
1. ISE不收到任何请求。
注意默认DTL端口是2083年。默认RADIUS端口是1645,1646和1812,1813。保证防火墙不阻塞UDP/2083数据流。
2. DTL握手发生故障。
在关于ISE的详细资料报表您可以发现DTL握手发生了故障:

可能的来源是交换机或ISE没有在握手期间被发送的信任认证。验证身份验证配置。验证适当的认证分配到在ISE的RADIUS DTL角色和到在交换机的trustpoints。