配置在身份服务引擎的RADIUS DTL
简介
本文描述RADIUS配置和故障排除在数据报传输传送层安全协议(DTL)的。DTL为RADIUS提供加密服务,在安全隧道传输。
先决条件
要求
Cisco 建议您了解以下主题:
- 思科身份服务引擎(ISE)
- RADIUS协议
- Cisco IOS
使用的组件
本文档中的信息基于以下软件和硬件版本:
- 思科身份服务引擎2.2
- 有IOS的16.6.1 Catalyst 3650
本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始(默认)配置。如果您使用的是真实网络,请确保您已经了解所有命令的潜在影响。
配置
配置
1. 添加在ISE的网络设备并且启用DTL协议。
导航到Administration >网络资源>网络设备。单击添加并且提供至少必选字段:
- 名称-设备的友好名称被添加。
- Ip address ip_address,验证器使用与ISE联系。配置范围设备是可能的。为了执行那,请指定适当的掩码(小于32)。
- 设备配置文件-设备的一般设置。它准许指定什么协议被处理,授权(CoA)设置和RADIUS属性配置的被选派的崔凡吉莱。欲了解更详细的信息,请导航对Administration >网络资源>网络设备配置文件。
- 网络设备组-设置设备类型, IPSec功能和设备位置。此设置不是必须。如果不选择自定义值,默认设置假设。
Select复选框RADIUS验证设置和在Select复选框DTL下要求的RADIUS DTL设置。这通过DTL安全隧道仅允许与验证器的RADIUS通信。注意共享秘密文本框变灰。在RADIUS DTL的情况下此值修复,并且同一个字符串在验证器侧配置。
2. 配置DTL端口和空闲超时。
您能配置使用DTL通信和空闲超时在管理>System >设置>协议> RADIUS> RADIUS DTL的端口。
注意DTL端口是与RADIUS端口不同。默认情况下, RADIUS使用对1645, 1646和1812, 1813。默认情况下DTL为验证、授权、核算和CoA使用端口2083。空闲超时指定ISE和验证器多久维护通道,不用通过它的任何实际通信。此超时用秒钟被测量并且范围自60到600秒。
3. DTL从ISE信任存储的RADIUS证书出口发布者。
为了设立在ISE和验证器之间的通道,两个实体需要交换和验证证书。验证器必须委托ISE RADIUS DTL证书,因此意味着其发布者必须是存在证明人的托拉斯存储。如镜像所显示,为了导出ISE证书的签署人,请导航对管理>System >证书, :
找出与分配的RADIUS DTL角色的证书并且检查发出由字段此证书。这是必须从ISE托拉斯存储导出证书的公用名称。为了执行那,请导航对管理>System > CertificatesTrusted证书。Select复选框在适当的证书旁边和请点击出口。
4. 配置托拉斯点和进口证明书对验证器。
为了配置信任点,请登陆到交换机并且执行命令:
configure terminal crypto pki trustpoint isetp enrollment terminal revocation-check none exit
与crypto命令pki的进口证明书验证isetp。当提示接受证书,请键入是。
Switch3650(config)#crypto pki authenticate isetp
Enter the base 64 encoded CA certificate.
End with a blank line or the word "quit" on a line by itself
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----
Certificate has the following attributes:
Fingerprint MD5: B33EAD49 87F18924 590616B9 C8880D9D
Fingerprint SHA1: FD729A3B B533726F F8450358 A2F7EB27 EC8A1178
% Do you accept this certificate? [yes/no]: yes
Trustpoint CA certificate accepted.
% Certificate successfully imported
5. 交换机的出口许可证。
选择和证书将用于在交换机的DTL信任点并且导出它:
Switch3650(config)#crypto pki export TP-self-signed-721943660 pem terminal % Self-signed CA certificate: -----BEGIN CERTIFICATE----- MIICKTCCAZKgAwIBAgIBATANBgkqhkiG9w0BAQUFADAwMS4wLAYDVQQDEyVJT1Mt U2VsZi1TaWduZWQtQ2VydGlmaWNhdGUtNzIxOTQzNjYwMB4XDTE2MDQyNzExNDYw NloXDTIwMDEwMTAwMDAwMFowMDEuMCwGA1UEAxMlSU9TLVNlbGYtU2lnbmVkLUNl cnRpZmljYXRlLTcyMTk0MzY2MDCBnzANBgkqhkiG9w0BAQEFAAOBjQAwgYkCgYEA xRybTGD526rPYuD2puMJu8ANcDqQnwunIERgvIWoLwBovuAu7WcRmzw1IDTDryOH PXt1n5GcQSAOgn+9QdvKl1Z43ZkRWK5E7EGmjM/aL1287mg4/NlrWr4KMSwDQBJI noJ52CABXUoApuiiJ8Ya4gOYeP0TmsZtxP1N+s+wqjMCAwEAAaNTMFEwDwYDVR0T AQH/BAUwAwEB/zAfBgNVHSMEGDAWgBSEOKlAPAHBPedwichXL+qUM+1riTAdBgNV HQ4EFgQUhDipQDwBwT3ncInIVy/qlDPta4kwDQYJKoZIhvcNAQEFBQADgYEAlBNN wKSS8yBuOH0/jUV7sy3Y9/oV7Z9bW8WFV9QiTQ1lZelvWMTbewozwX2LJvxobGcj Pi+n99RIH8dBhWwoYl9GTN2LVI22GIPX12jNLqps+Mq/u2qxVm0964Sajs5OlKjQ 69XFfCVot1NA6z2eEP/69oL9x0uaJDZa+6ileh0= -----END CERTIFICATE-----
为了列出配置的所有信任点,请执行show crypto命令pki信任点。一旦证书打印控制,请复制它到文件并且保存在您的PC。
6. 导入交换机证书到ISE托拉斯存储。
在ISE,请导航对Administration >证书>信任证书并且点击导入。
现在请单击浏览并且选择交换机的证书。提供(或者)友好名称,并且挑选复选框为在ISE内的验证委托并且为客户端验证和Syslog委托。如镜像所显示,然后请单击提交, :
7. 配置在交换机的RADIUS。
添加在交换机的RADIUS配置。为了配置交换机通信与在DTL的ISE,请使用命令:
radius server ISE22 address ipv4 10.48.23.86 key radius/dtls dtls port 2083 dtls trustpoint client TP-self-signed-721943660 dtls trustpoint server isetp
其余AAA特定配置取决于您的需求和设计。对待此配置为例:
aaa group server radius ISE server name ISE22 radius-server attribute 6 on-for-login-auth radius-server attribute 8 include-in-access-req radius-server attribute 25 access-request include aaa authentication dot1x default group ISE aaa authorization network default group ISE
8. 配置在ISE的策略。
配置在ISE的认证和授权策略。此步骤取决于您的设计和需求。
验证
为了验证用户能验证,使用测验aaa命令在交换机:
Switch3650#test aaa group ISE alice Krakow123 new-code User successfully authenticated USER ATTRIBUTES username 0 "alice" Switch3650#
您应该看到消息用户顺利地验证。导航对ISE操作> RADIUS> LiveLog和适当的日志的挑选详细信息(请点击放大镜) :
在报告的右边,有步骤列表。检查在列表的第一步是RADIUS信息包加密。
另外,您能再次开始ISE和aaa命令执行的测验的数据包捕获。为了开始捕获,请导航对操作>排除故障>诊断工具>General Tools> TCP转储。选择用于验证的策略服务节点并且点击开始:
当验证完成时,请点击终止并且下载。当您打开数据包捕获时,您应该能发现流量加密与DTL :
数据包#813 - #822是DTL握手的一部分。当握手顺利地协商时,应用程序数据转接。注意数据包编号可能变化并且取决于例如使用的认证方法(PAP、EAP-PEAP、EAP-TLS等等)。每数据包内容加密:
当所有数据传送时,通道没有立即被切断。 IdleTimeout在ISE配置确定通道多久可以设立,不用通过它的通信。如果计时器超时,并且新建的Access-Request必须发送到ISE, DTL握手执行,并且通道重建。
故障排除
1. ISE不收到任何请求。
注意默认DTL端口是2083年。默认RADIUS端口是1645,1646和1812,1813。保证防火墙不阻塞UDP/2083流量。
2. DTL握手发生故障。
在关于ISE的详细的报告您可以发现DTL握手失败:
可能的来源是交换机或ISE没有在握手期间发送的信任认证。验证身份验证配置。验证适当的证书分配到在ISE的RADIUS DTL角色和到在交换机的信任点。
反馈