简介
本文档介绍如何在具有身份服务引擎的Catalyst交换机和无线LAN控制器上配置和验证TrustSec。
先决条件
Cisco 建议您了解以下主题:
- Cisco TrustSec(CTS)组件的基础知识
- Catalyst交换机的CLI配置基础知识
- 思科无线局域网控制器(WLC)的GUI配置基础知识
- 使用身份服务引擎(ISE)配置的体验
要求
您的网络中必须部署思科ISE,最终用户在连接到无线或有线网络时必须使用802.1x(或其他方法)向思科ISE进行身份验证。思科ISE在他们的流量对您的无线网络进行身份验证后为其分配安全组标记(SGT)。
在我们的示例中,最终用户被重定向到Cisco ISE自带设备(BYOD)门户,并调配了证书,以便他们在完成BYOD门户步骤后,可以使用可扩展身份验证协议 — 传输层安全(EAP-TLS)安全地访问无线网络。
使用的组件
本文档中的信息基于下列硬件和软件版本:
- 思科身份服务引擎,版本2.4
- Cisco Catalyst 3850交换机,版本3.7.5E
- 思科WLC版本8.5.120.0
- 本地模式下的Cisco Aironet无线接入点
在部署Cisco TrustSec之前,验证您的Cisco Catalyst交换机和/或Cisco WLC+AP型号+软件版本是否支持:
- TrustSec/安全组标记
- 内联标记(如果不是,您可以使用SXP而不是内联标记)
- 静态IP到SGT映射(如果需要)
- 静态子网到SGT的映射(如果需要)
- 静态VLAN到SGT的映射(如果需要)
本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始(默认)配置。如果您的网络处于活动状态,请确保您了解所有命令的潜在影响。
配置
网络图
在本示例中,WLC将数据包标记为SGT 15(如果来自顾问),以及+ SGT 7(如果来自员工)。
如果数据包从SGT 15到SGT 8(顾问无法访问标记为SGT 8的服务器),交换机将拒绝这些数据包。
如果数据包从SGT 7到SGT 8(员工可以访问标记为SGT 8的服务器),交换机允许这些数据包。
目标
允许任何人访问GuestSSID。
允许顾问访问EmployeeSSID,但访问受限。
允许员工使用完全访问权限访问EmployeeSSID。
设备 |
IP 地址 |
VLAN |
ISE |
10.201.214.230 |
463 |
Catalyst 交换机 |
10.201.235.102 |
1115 |
WLC |
10.201.214.229 |
463 |
访问点 |
10.201.214.138 |
455 |
名称 |
用户名 |
AD组 |
SG |
SGT |
杰森·史密斯 |
jsmith |
顾问 |
BYOD顾问 |
15 |
莎莉·史密斯 |
ssmith |
员工 |
BYOD员工 |
7 |
不适用 |
不适用 |
不适用 |
TrustSec_Device |
2 |
配置
在ISE上配置TrustSec
将Cisco ISE配置为TrustSec AAA服务器
配置并检验交换机是否添加为Cisco ISE的RADIUS设备
配置并验证WLC已添加为思科ISE中的TrustSec设备
输入您的SSH登录凭证。这使思科ISE能够部署静态IP到SGT映射到交换机。
您在Cisco ISE Web GUI中创建以下内容Work Centers > TrustSec > Components > IP SGT Static Mappings,如下所示:
提示:如果您尚未在Catalyst交换机上配置SSH,可以使用以下指南:如何在Catalyst交换机上配置安全外壳(SSH)。
提示:如果您不想启用思科ISE通过SSH访问Catalyst交换机,则可以改为使用CLI在Catalyst交换机上创建静态IP到SGT映射(在此步骤中显示)。
验证默认TrustSec设置以确保它们可接受(可选)
为无线用户创建安全组标记
为BYOD顾问创建安全组 — SGT 15
为BYOD员工创建安全组 — SGT 7
为受限制的Web服务器创建静态IP到SGT映射
对网络中未使用MAC身份验证绕行(MAB)、802.1x、配置文件等向Cisco ISE进行身份验证的任何其他IP地址或子网执行此操作。
创建证书身份验证配置文件
使用之前的证书身份验证配置文件创建身份源序列
为无线用户(员工和顾问)分配适当的SGT
名称 |
用户名 |
AD组 |
SG |
SGT |
杰森·史密斯 |
jsmith |
顾问 |
BYOD顾问 |
15 |
莎莉·史密斯 |
ssmith |
员工 |
BYOD员工 |
7 |
不适用 |
不适用 |
不适用 |
TrustSec_Device |
2 |
将SGT分配给实际设备(交换机和WLC)
定义SGACL以指定出口策略
允许顾问访问任何外部位置,但限制内部:
允许员工访问外部和内部的任何位置:
允许其他设备访问基本服务(可选):
将所有最终用户重定向至Cisco ISE(用于BYOD门户重定向)。请勿包括DNS、DHCP、ping或WebAuth流量,因为这些流量无法进入Cisco ISE:
在Cisco ISE的TrustSec策略矩阵上实施ACL
允许顾问访问任何外部位置,但限制内部Web服务器,例如https://10.201.214.132
允许员工访问任何外部位置并允许内部Web服务器:
允许网络设备(交换机和WLC)之间的管理流量(SSH、HTTPS和CAPWAP),这样在部署Cisco TrustSec后不会丢失SSH或HTTPS访问:
启用Cisco ISE,以 Allow Multiple SGACLs便:
单击PushCisco ISE右上角,将您的配置下推到您的设备。您稍后还需要再次执行此操作:
在Catalyst交换机上配置TrustSec
在Catalyst交换机上配置交换机以使用Cisco TrustSec for AAA
提示:本文档假设您的无线用户已通过Cisco ISE成功通过BYOD,在此显示配置。
在此之前,已配置以粗体显示的命令(以便自带设备无线与ISE配合使用)。
CatalystSwitch(config)#aaa new-model
CatalystSwitch(config)#aaa server radius policy-device
CatalystSwitch(config)#ip device tracking
CatalystSwitch(config)#radius server CISCOISE
CatalystSwitch(config-radius-server)#address ipv4 10.201.214.230 auth-port 1812 acct-port 1813
CatalystSwitch(config)#aaa group server radius AAASERVER
CatalystSwitch(config-sg-radius)#server name CISCOISE
CatalystSwitch(config)#aaa authentication dot1x default group radius
CatalystSwitch(config)#cts authorization list SGLIST
CatalystSwitch(config)#aaa authorization network SGLIST group radius
CatalystSwitch(config)#aaa authorization network default group AAASERVER
CatalystSwitch(config)#aaa authorization auth-proxy default group AAASERVER
CatalystSwitch(config)#aaa accounting dot1x default start-stop group AAASERVER
CatalystSwitch(config)#aaa server radius policy-device
CatalystSwitch(config)#aaa server radius dynamic-author
CatalystSwitch(config-locsvr-da-radius)#client 10.201.214.230 server-key Admin123
注意:PAC密钥必须与您在部分指定的RADIUS共享密钥相 Administration > Network Devices > Add Device > RADIUS Authentication Settings 同。
CatalystSwitch(config)#radius-server attribute 6 on-for-login-auth
CatalystSwitch(config)#radius-server attribute 6 support-multiple
CatalystSwitch(config)#radius-server attribute 8 include-in-access-req
CatalystSwitch(config)#radius-server attribute 25 access-request include
CatalystSwitch(config)#radius-server vsa send authentication
CatalystSwitch(config)#radius-server vsa send accounting
CatalystSwitch(config)#dot1x system-auth-control
在RADIUS服务器下配置PAC密钥以验证交换机到Cisco ISE
CatalystSwitch(config)#radius server CISCOISE
CatalystSwitch(config-radius-server)#address ipv4 10.201.214.230 auth-port 1812 acct-port 1813
CatalystSwitch(config-radius-server)#pac key Admin123
注意:PAC密钥必须与您在Cisco ISE部分下指定的RADIUS共享密钥相 Administration > Network Devices > Add Device > RADIUS Authentication Settings 同(如屏幕截图所示)。
配置CTS凭证以验证交换机到Cisco ISE
CatalystSwitch#cts credentials id CatalystSwitch password Admin123
注意:CTS凭证必须与您在CTS凭证中指定的设备ID +密码相同,必须与您在Administration > Network Devices > Add Device > Advanced TrustSec Settings“思科ISE”部分指定的设备ID +密码相同(显示在屏幕捕获中)。
然后,刷新您的PAC,使其再次联系思科ISE:
CatalystSwitch(config)#radius server CISCOISE
CatalystSwitch(config-radius-server)#exit
Request successfully sent to PAC Provisioning driver.
在Catalyst交换机上全局启用CTS
CatalystSwitch(config)#cts role-based enforcement
CatalystSwitch(config)#cts role-based enforcement vlan-list 1115 (choose the vlan that your end user devices are on only)
为受限制的Web服务器进行静态IP到SGT映射(可选)
该受限制的Web服务器从未通过ISE进行身份验证,因此您必须使用交换机CLI或ISE Web GUI对其进行手动标记,而这只是思科中的许多Web服务器之一。
CatalystSwitch(config)#cts role-based sgt-map 10.201.214.132 sgt 8
验证Catalyst交换机上的TrustSec
CatalystSwitch#show cts pac
AID: EF2E1222E67EB4630A8B22D1FF0216C1
PAC-Info:
PAC-type = Cisco Trustsec
AID: EF2E1222E67EB4630A8B22D1FF0216C1
I-ID: CatalystSwitch
A-ID-Info: Identity Services Engine
Credential Lifetime: 23:43:14 UTC Nov 24 2018
PAC-Opaque: 000200B80003000100040010EF2E1222E67EB4630A8B22D1FF0216C10006009C0003010025D40D409A0DDAF352A3F1A9884AC3F6000000135B7B521C00093A801FDEE189F60E30C0A161D16267E8C01B7EBE13EAEAFE31D6CF105961F877CD87DFB13D8ED5EBFFB5234FD78E01ECF034431C1AA4B25F3629E7037F386106110A1C450A57FFF49E3BB8973164B2710FB514697AD916BBF7052983B2DCA1951B936243E7D2A2D873C9D263F34C9F5F9E7E38249FD749125B5DD02962C2
Refresh timer is set for 12w5d
CatalystSwitch#cts refresh environment-data
Environment data download in progress
CatalystSwitch#show cts environment-data
CTS Environment Data
====================
Current state = COMPLETE
Last status = Successful
Local Device SGT:
SGT tag = 2-02:TrustSec_Devices
Server List Info:
Installed list: CTSServerList1-0001, 1 server(s):
*Server: 10.201.214.230, port 1812, A-ID EF2E1222E67EB4630A8B22D1FF0216C1
Status = ALIVE flag(0x11)
auto-test = TRUE, keywrap-enable = FALSE, idle-time = 60 mins, deadtime = 20 secs
Multicast Group SGT Table:
Security Group Name Table:
0001-31 :
0-00:Unknown
2-00:TrustSec_Devices
3-00:Network_Services
4-00:Employees
5-00:Contractors
6-00:Guests
7-00:BYODemployees
8-00:EmployeeServer
15-00:BYODconsultants
255-00:Quarantined_Systems
Transport type = CTS_TRANSPORT_IP_UDP
Environment Data Lifetime = 86400 secs
Last update time = 16:04:29 UTC Sat Aug 25 2018
Env-data expires in 0:23:57:01 (dd:hr:mm:sec)
Env-data refreshes in 0:23:57:01 (dd:hr:mm:sec)
Cache data applied = NONE
State Machine is running
CatalystSwitch#show cts role-based sgt-map all
Active IPv4-SGT Bindings Information
IP Address SGT Source
============================================
10.201.214.132 8 CLI
10.201.235.102 2 INTERNAL
IP-SGT Active Bindings Summary
============================================
Total number of CLI bindings = 1
Total number of INTERNAL bindings = 1
Total number of active bindings = 2
在WLC上配置TrustSec
配置并验证WLC已添加为Cisco ISE中的RADIUS设备
配置并验证WLC已添加为思科ISE中的TrustSec设备
此步骤使思科ISE能够部署到WLC的静态IP到SGT映射。在上一步中,您在Cisco ISE Web GUI的工作中心> TrustSec >组件> IP SGT静态映射中创建这些映射。
注意:我们使用此 Device ld 功 Password 能,在后面的步骤Security > TrustSec > General(在WLC Web UI中)中。
启用WLC的建立
在WLC上启用TrustSec
注:CTS和 Device Id 必 Password 须与思科ISE的 Device Id 部 Password 分中指定Administration > Network Devices > Add Device > Advanced TrustSec Settings的和相同。
验证PAC是否已在WLC上调配
单击Refresh Env Data(在此步骤中执行此操作)后,您会看到WLC已成功调配PAC:
将CTS环境数据从思科ISE下载到WLC
点击Refresh Env Data后,WLC将下载您的SGT。
对流量启用SGACL下载和实施
为WLC和接入点分配2的SGT(TrustSec_Devices)
为WLC+WLAN提供2的SGT(TrustSec_Devices),以允许通过交换机与WLC + AP之间的流量(SSH、HTTPS和CAPWAP)。
在WLC上启用内联标记
向下滚 Wireless > Access Points > Global Configuration 动并选择下 TrustSec Config面。
在Catalyst交换机上启用内联标记
CatalystSwitch(config)#interface TenGigabitEthernet1/0/48
CatalystSwitch(config-if)#description goestoWLC
CatalystSwitch(config-if)#switchport trunk native vlan 15
CatalystSwitch(config-if)#switchport trunk allowed vlan 15,455,463,1115
CatalystSwitch(config-if)#switchport mode trunk
CatalystSwitch(config-if)#cts role-based enforcement
CatalystSwitch(config-if)#cts manual
CatalystSwitch(config-if-cts-manual)#policy static sgt 2 trusted
验证
CatalystSwitch#show platform acl counters hardware | 包含SGACL
出口IPv4 SGACL丢弃(454):10帧
出口IPv6 SGACL丢弃(455):0帧
出口IPv4 SGACL信元丢弃(456):0帧
出口IPv6 SGACL信元丢弃(457):0帧
提示:如果您使用Cisco ASR、Nexus或Cisco ASA,此处列出的文档可帮助验证您的SGT标记是否得到实施:TrustSec故障排除指南。
使用用户名jsmith密码Admin123对无线进行身份验证 — 您会在交换机中遇到拒绝ACL: