分段

策略集

思科 ISE 是基于策略的网络访问控制解决方案,可提供网络访问策略集,允许您管理多个不同的网络访问用例,如无线、有线、访客和客户端调配。通过策略集(网络访问集和设备管理集),您可以对同一集合内的身份验证策略和授权策略进行逻辑分组。您可以基于区域具有若干策略集,例如基于位置、访问类型和类似参数的策略集。安装思科 ISE 时,始终有一个定义的策略集,即默认策略集,默认策略集包含预定义和默认的身份验证、授权和例外策略规则。

创建策略集时,可以配置这些规则(使用条件和结果进行配置),以便选择策略集级别的网络访问服务、身份验证策略级别的身份源,以及授权策略级别的网络权限。从适用于不同供应商的思科 ISE 支持的字典中,可以使用任何属性定义一个或多个条件。思科 ISE 允许您将条件创建为单个策略元素。

每个策略集用于与网络设备进行通信的网络访问服务是在该策略集的顶层定义的。网络访问服务包括:

  • 允许的协议 - 为处理初始请求和协议协商而配置的协议。

  • 代理服务 - 将请求发送至外部 RADIUS 服务器进行处理。



工作中心 (Work Centers) > 设备管理 (Device Administration),您还可以为策略集选择相关的 TACACS 服务器序列。使用 TACACS 服务器序列可配置要处理的 TACACS 代理服务器序列。


策略集按层次结构进行配置,其中位于策略集顶层的规则(可从 策略集 表中查看)适用于整个策略集,并先于其余策略和例外规则进行匹配。此后,按以下顺序应用集合的规则:

  1. 身份验证策略规则

  2. 本地策略例外

  3. 全局策略例外

  4. 授权策略规则



对于网络访问和设备管理策略,策略集功能是相同的。在使用 网络访问设备管理 工作中心时,可以应用本章中介绍的所有流程。本章专门讨论网络访问工作中心策略集。选择工作中心 (Work Centers) > 网络访问 (Network Access) > 策略集 (Policy Sets)


身份验证策略

每个策略集可以包含多个身份验证规则,它们共同代表该策略集的身份验证策略。身份验证策略的优先级根据这些策略在策略集本身中的显示顺序来确定(从“身份验证策略”(Authentication Policy) 区域中的“集合视图”(Set view) 页面)。

思科 ISE 根据策略集级别配置的设置动态选择网络访问服务(允许的协议或服务器序列),然后从身份验证和授权策略级别检查身份源和结果。您可以定义一个或多个使用思科 ISE 字典中任何属性的条件。思科 ISE 可以让您将条件单个策略元素,它们可以存储在系统库中,然后重复用于其他基于规则的策略。

身份验证方法是身份验证策略的结果,可以是以下任意一种:

  • 拒绝访问 - 系统拒绝用户的访问并且不执行身份验证。

  • 身份数据库 - 可以是下述单个身份数据库中的一个:

    • 内部用户

    • 访客用户

    • 内部终端

    • Active Directory

    • 轻量级目录访问协议 (LDAP) 数据库

    • RADIUS 令牌服务器(RSA 或 SafeWord 服务器)

    • 证书身份验证配置文件

  • 身份源序列 - 用于身份验证的身份数据库的序列。

初始思科 ISE 安装时实施的默认策略集包括默认 ISE 身份验证和授权规则。默认策略集还包括用于身份验证和授权的其他灵活内置规则(不是默认规则)。可向这些策略添加其他规则,也可以删除和更改内置规则,但不能删除默认规则,也不能删除默认策略集。

身份验证策略流

在身份验证策略中,可以定义多个由条件和结果组成的规则。ISE 会评估您所指定的条件,然后根据评估的结果分配相应的结果。系统根据匹配条件的第一个规则选择身份数据库。

您还可以定义包括不同数据库的身份源序列。您可以定义您希望思科 ISE 查询这些数据库的顺序。思科 ISE 将依次访问这些数据库,直至身份验证成功。如果在外部数据库中同一用户有多个实例,则身份验证失败。身份源中只能有一个用户记录。

我们建议您在身份源序列中仅使用三个,或者最多四个数据库。

图 1. 身份验证策略流
思科 ISE 中的身份验证策略流

身份验证失败类型 - 故障转移

如果您选择的身份方法为拒绝访问,则会发送拒绝消息作为对请求的响应。如果选择身份数据库或身份源序列,并且身份验证成功,则会继续处理授权策略。某些身份验证失败,这些失败情况会按照以下方式分类:

  • Authentication failed - 收到身份验证已失败的明确响应,例如错误凭证、禁用的用户等。默认操作是拒绝。

  • User not found - 在任何身份数据库中均未找到此用户。默认操作是拒绝。

  • Process failed - 无法访问身份数据库。默认操作是丢弃。

思科 ISE 允许您配置下列任意一条身份验证失败的操作:

  • Reject - 发送拒绝响应。

  • Drop - 不发送任何响应。

  • Continue - 思科 ISE 继续处理授权策略。

即使您选择继续选项,可能会存在一些实例,在这些实例中,由于正在使用的协议受到限制,思科 ISE 无法继续处理请求。对于使用 PEAP、LEAP、EAP-FAST、EAP-TLS 或 RADIUS MSCHAP 的身份验证,当身份验证失败时或未找到用户时,无法继续处理请求。

当身份验证失败时,可继续处理 PAP/ASCII 和 MAC 身份验证绕行(MAB 或主机查找)的授权策略。对于其他所有身份验证协议,当身份验证失败时将发生以下情况:

  • Authentication failed - 发送拒绝响应。

  • User or host not found - 发送拒绝响应。

  • Process failure - 不发送响应,并丢弃请求。

使用“继续”作为身份验证失败操作过程的使用案例

如果选择继续 (Continue) 选项,思科 ISE 将在以下情况下跳过身份验证并继续评估授权策略:

  • 查找 (MAB) - 即使显示“未找到用户”(User not found) 结果,思科 ISE 也会继续进行授权策略评估。

  • PAP 或 ASCII

  • CHAP

  • EAP-MD5

  • EAP-TLS - 即使用户或证书在 AD 或 LDAP 中验证失败,思科 ISE 也会继续进行授权策略评估。

  • PEAP (EAP-TLS) - 即使用户或证书在 AD 或 LDAP 中验证失败,思科 ISE 也会继续进行授权策略评估。

  • TEAP (EAP-TLS) - 即使用户或证书在 AD 或 LDAP 中验证失败,思科 ISE 也会继续进行授权策略评估。

  • EAP-FAST (EAP-TLS) - 即使用户或证书在 AD 或 LDAP 中验证失败,思科 ISE 也会继续进行授权策略评估。

  • EAP 链 TEAP(EAP-TLS、EAP-MS-CHAPv2)- 即使用户或证书在 AD 或 LDAP 中验证失败,思科 ISE 也会继续进行授权策略评估。请注意,“继续”(Continue) 选项仅适用于 EAP-TLS 内部方法。

如果以下身份验证协议中的身份验证失败,则所有选定的高级 (Advanced) 选项都将被忽略,并且思科 ISE 会发送访问拒绝 (Access-Reject) 响应。

  • MS-CHAPv1

  • MS-CHAPv2

  • LEAP

  • PEAP (EAP-MS-CHAPv2)

  • TEAP (EAP-MS-CHAPv2)

  • EAP-FAST (EAP-MS-CHAPv2)

  • EAP-TTLS (PAP\ASCII)

  • EAP-TTLS (MS-CHAPv1)

  • EAP-TTLS (MS-CHAPv2)

  • EAP-TTLS (EAP-MD5)

  • EAP-TTLS (CHAP)

  • EAP-TTLS (EAP-MS-CHAPv2)

  • EAP-FAST (EAP-GTC)

  • PEAP (EAP-GTC)

配置身份验证策略

根据需要,通过配置和维护多个身份验证规则,为每个策略集定义身份验证策略。

开始之前

要执行以下任务,您必须是超级管理员或策略管理员。

过程


步骤 1

有关网络访问策略,请选择工作中心 (Work Centers) > 网络访问 (Network Access) > 策略集 (Policy Sets)。有关设备管理策略,请选择工作中心 (Work Centers) > 设备管理 (Device Administration) > 设备管理策略集 (Device Admin Policy Sets)

步骤 2

从要添加或更新身份验证策略的策略集对应的行中,从策略集表中的“视图”列点击 ,以便访问所有策略集详细信息并创建身份验证和授权策略以及策略例外。

步骤 3

点击页面“身份验证策略”(Authentication Policy)部分旁边的箭头图标,展开并查看表中的所有身份验证策略规则。

步骤 4

操作 (Actions) 列中,点击齿轮图标。从下拉菜单中,根据需要选择任何插入或重复选项来插入新的身份验证策略规则。

身份验证策略表中会显示一个新行。

步骤 5

状态 (Status) 列中,点击当前状态 (Status) 图标,然后从下拉列表中根据需要更新策略集的状态。有关状态的详细信息,请参阅身份验证策略配置设置

步骤 6

对于表中的任何规则,点击规则名称 (Rule Name)说明 (Description) 单元格,可做出任何必要的自由文本更改。

步骤 7

要添加或更改条件,请将鼠标悬停在条件 (Conditions) 列中的单元格上,然后点击 。Conditions Studio 将打开。有关详细信息,请参阅特殊网络访问条件

不是您选择的所有属性都包含“等于”、“不等于”、“位于”、“不位于”、“匹配”、“开头为”或“开头非”运算符选项。

“Matches”运算符支持并使用正则表达式 (REGEX),而不使用通配符。

 

您必须使用“equals”运算符进行直接比较。“包含”运算符可用于多值属性。“匹配”运算符应用于正则表达式比较。当使用“匹配”运算符时,将解译正则表达式中的静态值和动态值。如果是列表,“位于”运算符会检查列表中是否存在特定值。如果是单个字符串,“位于”运算符会检查字符串是否与“等于”运算符相同。

步骤 8

按照检查和匹配策略的顺序来组织表中的策略。要更改规则的顺序,请将这些行拖放到正确位置。

步骤 9

点击保存 (Save) 以保存和实施所做的更改。


下一步做什么

  1. 配置授权策略。

基于密码的身份验证

身份验证对用户信息进行验证,以确认用户身份。传统身份验证使用名称和固定密码。这是最普遍、最简单和最经济的身份验证方法。缺点在于此信息可能会被告知他人、被猜到或捕获。使用简单、未加密用户名和密码的方法不被视为强身份验证机制,但是对于低授权或低权限级别(例如互联网访问)可能已足够。

使用加密密码和加密技术的安全身份验证

应使用加密来降低网络中的密码捕获风险。客户端和服务器访问控制协议(例如 RADIUS)可对密码加密,以防止在网络中捕获密码。但是,RADIUS 仅在身份验证、授权和记账 (AAA) 客户端与思科 ISE 之间运行。在身份验证流程中的以下位置点之前,未经授权的人员可以获取明文密码,如以下示例所示:

  • 在通过电话线路拨号的最终用户客户端之间的通信中。

  • 在终止于网络接入服务器的 ISDN 线路上。

  • 在最终用户客户端与托管设备之间的 Telnet 会话中

安全性较高的方法会采用加密技术,例如,那些用于质询握手身份验证协议 (CHAP)、一次性密码 (OTP) 和基于 EAP 的高级协议中的加密技术。思科 ISE 支持各种身份验证方法。

身份验证方法和授权权限

身份验证与授权之间存在基本的隐式关系。向用户授予的授权权限越多,身份验证的能力就越强。思科 ISE 通过提供各种身份验证方法来支持此关系。

身份验证面板

思科 ISE 控制板会概述网络中和设备发生的全部身份验证。它提供身份验证 (Authentications) Dashlet 中的身份验证和身份验证失败的概览信息。

RADIUS 身份验证 (RADIUS Authentications) Dashlet 提供以下有关思科 ISE 已处理身份验证的统计信息:

  • 思科 ISE 已处理 RADIUS 身份验证请求的总数,包括已通过的身份验证、已失败的身份验证以及相同用户的同时登录数。

  • 思科 ISE 已处理的 RADIUS 已失败的身份验证请求的总数。

您还可以查看 TACACS + 身份验证的摘要。TACACS + 身份验证 Dashlet 提供设备身份验证的统计信息。

查看身份验证结果

思科 ISE 提供多种方式查看实时身份验证摘要。

开始之前

要执行以下任务,您必须是超级管理员或系统管理员。

过程

步骤 1

选择操作 (Operations) > 身份验证 (Authentications) 以查看实时身份验证摘要。

步骤 2

您可以通过以下方式查看身份验证摘要:

  • 将鼠标悬停在“状态”(Status) 图标上,以查看身份验证的结果和简短摘要。系统将显示一个包含状态详细信息的弹出窗口。

  • 在列表顶部显示的任何一个或多个文本框中输入搜索条件,然后按 Enter 键以筛选您的结果。

  • 单击详细信息 (Details) 列中的放大镜图标以查看详细报告。

     

    由于身份验证摘要 (Authentication Summary) 报告或控制板会收集和显示与失败或成功的身份验证对应的最新数据,因此报告内容会延迟几分钟后显示。


身份验证报告和故障排除工具

除身份验证详细信息外,思科 ISE 还提供各种可用于有效管理网络的报告和故障排除工具。

可以运行各种报告,了解网络中的身份验证趋势和流量。可以生成历史以及当前数据的报告。以下是身份验证报告列表:

  • AAA 诊断

  • RADIUS 记账

  • RADIUS 身份验证

  • 身份验证摘要

授权策略

授权策略是思科 ISE 网络授权服务的组件。此服务允许您为访问网络资源的特定用户和组定义授权策略并配置授权配置文件。

授权策略可包含条件要求,即使用复合条件组合一个或多个身份组,而该复合条件包括可返回一个或多个授权配置文件的授权检查。此外,除了使用特定的身份组外,可能存在条件要求。

在思科 ISE 中创建授权配置文件时使用授权策略。授权策略包括授权规则。授权规则具有三个元素:名称、属性以及权限。权限元素映射到授权配置文件。

思科 ISE 授权配置文件

授权策略将规则与特定用户和组身份关联以创建相应的配置文件。只要这些规则与已配置的属性匹配,策略就会返回授予权限的相应授权配置文件并且相应地授予网络访问权限。

例如,授权配置文件可以包括以下类型中包含的一系列权限:

  • 标准配置文件

  • 例外配置文件

  • 基于设备的配置文件

配置文件包括从一组资源中选择的属性,这些属性存储于任何可用供应商字典中,并且在满足特定授权策略的复合条件时就会返回这些属性。由于授权策略可以包括映射到单个网络服务规则的复合条件,这些策略还可以包括授权检查列表。

对于简单情况,所有授权检查都是在规则内使用 AND 布尔运算符执行的。对于复杂情况,可以使用任何类型的授权验证表达式,但是这些授权验证都必须符合要返回的授权配置文件。授权验证通常由一个或多个条件组成,包括可添加至库中的用户定义的名称,其他授权策略然后可以重复使用这些条件。

授权配置文件的权限

在开始配置授权配置文件的权限之前,请确保:

  • 了解授权策略与配置文件之间的关系。

  • 熟悉授权配置文件 (Authorization Profile) 页面。

  • 知悉在配置策略和配置文件时要遵守的基本规定。

  • 了解在授权配置文件中构成权限的内容。

要使用授权配置文件,选择策略 (Policy ) > 策略元素 (Policy Elements) > 结果 (Results)。从左侧菜单中选择授权 (Authorization) > 授权配置文件 (Authorization Profiles)

使用结果 (Results) 导航窗格作为用于显示、创建、修改、删除、复制或搜索网络上不同类型授权配置文件的策略元素权限的过程的起点。结果 (Results) 窗格初始显示“身份验证”(Authentication)、“授权”(Authorization)、“分析”(Profiling)、“终端安全评估”(Posture)、“客户端调配”(Client Provisioning) 和 Trustsec 选项。

通过授权配置文件,您可以选择在接受 RADIUS 请求时要返回的属性。思科 ISE 提供可以通过配置常见任务设置 (Common Tasks Settings) 来支持常用属性的机制。您必须输入常见任务属性 (Common Tasks Attributes) 的值,思科 ISE 会将这些值转换为基础 RADIUS 值。

可下载 ACL

访问控制列表 (ACL) 是访问控制条目 (ACE) 的列表,可由策略实施点(例如,交换机)应用到资源。每个 ACE 可确定每个用户该对象的允许权限,如读取、写入、执行等。例如,可以为网络销售区域的两个用户配置 ACL,其中一个 ACE 允许其中一个用户拥有读取和写入权限,另一个 ACE 只允许另一个用户拥有读取权限。

借助思科 ISE,可在授权策略中配置和实施可下载 ACL (DACL),以控制不同用户和用户组访问网络的方式。还可以使用自定义用户属性和 AD 属性配置 DACL。



如果身份提供程序 (IdP) 授权策略中使用的 DACL 为空,则授权将失败。


要在思科 ISE 中将 DACL 实施到网络授权策略中,请执行以下操作:

  1. 从以下位置配置新的或现有的 DACL:策略 (Policy) > 策略元素 (Policy Elements) > 结果 (Results) > 可下载 ACL (Downloadable ACLs)。有关详细信息,请参阅为可下载 ACL 配置权限

  2. 使用您已配置的任何 DACL 从以下位置配置新的或现有授权配置文件:策略 (Policy) > 策略元素 (Policy Elements) > 结果 (Results) > 授权配置文件 (Authorization Profiles)

使用 RADIUS 协议时,ACL 通过过滤源和目标 IP 地址、传输协议和其他参数来进行授权。静态 ACL 位于交换机上,可直接通过交换机进行配置,并可通过 ISE GUI 应用于授权策略中。

为可下载 ACL 配置权限

默认授权 DACL 可在安装 ISE 后可用,包括以下默认配置文件:

  • DENY_ALL_TRAFFIC

  • PERMIT_ALL_TRAFFIC

使用 DACL 时,无法更改这些默认值,但可以复制它们以创建其他类似的 DACL。

过程

步骤 1

选择策略 (Policy) > 策略元素 (Policy Elements) > 结果 (Results) > 授权 (Authorization) > 可下载的 ACL (Downloadable ACLs)

步骤 2

单击可下载 ACL 表顶部的添加 (Add),或者,选择任何现有的 DACL,然后单击表顶部的复制 (Duplicate)

步骤 3

输入或编辑所需的 DACL 值,牢记以下规则:

  • 名称字段支持的字符为:字母数字、连字符 (-)、点号 (.) 和下划线 (_)

  • 关键字 Any 必须是 DACL 中所有 ACE 的源。DACL 推送之后,源中的 Any 会被替换为连接到交换机的客户端的 IP 地址。

 

当将 DACL 映射到任何授权配置文件时,IP 版本(IP Version) 字段不可编辑。在这种情况下,请从授权配置文件 (Authorization Profiles) 中删除 DACL 引用,编辑 IP 版本并在授权配置文件 (Authorization Profiles) 中重新映射 DACL。

步骤 4

或者,当完成创建完整的 ACE 列表后,点击检查 DACL 语法 (Check DACL Syntax) 以验证列表。如果存在验证错误,系统会在自动打开的窗口中显示特定的说明,指明无效的语法。

步骤 5

点击提交 (Submit)


针对 Active Directory 用户授权的设备访问限制

思科 ISE 包含计算机访问限制 (MAR) 组件,提供另外一种控制 Microsoft Active Directory 身份验证用户授权的方法。此授权形式基于访问思科 ISE 网络所用的计算机的计算机身份验证。对于每个成功的计算机身份验证,思科 ISE 会将在 RADIUS Calling-Station-ID 属性(属性 31)中收到的值缓存为成功计算机身份验证的证据。

在达到 Active Directory Settings 页面的“Time to Live”参数中配置的小时数之前,思科 ISE 会保留缓存中的每个 Calling-Station-ID 属性值。参数过期之后,思科 ISE 会从参数缓存中删除该参数。

当用户从最终用户客户端进行身份验证时,思科 ISE 会在缓存中搜索在用户身份验证请求中收到的 Calling-Station-ID 值的成功计算机身份验证的 Calling-Station-ID 值。如果思科 ISE 在缓存中找到匹配的用户身份验证 Calling-Station-ID 值,这会以如下方式影响思科 ISE 为请求身份验证的用户分配权限:

  • 如果在思科 ISE 缓存中找到与 Calling-Station-ID 值相匹配的值,则会分配成功授权的授权配置文件。

  • 如果在思科 ISE 缓存中未找到与 Calling-Station-ID 值相匹配的值,则会分配成功用户身份验证(不含计算机身份验证)的授权配置文件。

配置授权策略和配置文件的指南

管理授权策略和配置文件时,请遵循以下规定:

  • 您创建的规则名称必须仅使用以下支持的字符:

    • 符号:加号 (+)、连字符 (-)、下划线 (_)、句点 (.) 和空格 ( )。

    • 字母字符:A-Z 以及 a-z。

    • 数字字符:0-9。

  • 身份组默认为“Any”(您可以将此全局默认设置应用于所有用户)。

  • 您可以通过条件设置一个或多个策略值。但是,条件是可选的,不一定要选择条件才能创建授权策略。以下是创建条件的两种方法:

    • 从供选择的相应字典选择现有条件或属性。

    • 创建允许您选择建议值或使用文本框来输入自定义值的自定义条件。

  • 您创建的条件名称必须仅使用以下支持的字符:

    • 符号︰连字符 (-)、下划线 (_) 和句点 (.)。

    • 字母字符:A-Z 以及 a-z。

    • 数字字符:0-9。

  • 选择用于策略的授权配置文件时,权限非常重要。权限可以允许访问特定资源或允许您执行特定任务。例如,如果用户属于特定身份组(例如设备管理员组)并且用户符合所定义的条件(例如属于波士顿的某个站点),则此用户可以获得与该身份组关联的权限(例如访问特定网络资源或在设备上执行特定操作的权限)。

  • 在授权条件中使用 radius 属性 Tunnel-Private-Group-ID 时,必须在使用 EQUALS 运算符时在条件中同时提及标签和值,例如:

    Tunnel-Private-Group-ID EQUALS (tag=0) 77
  • 确保您点击 Save 以将新的或修改的策略或配置文件保存在思科 ISE 数据库中。

配置授权策略

在为授权策略创建属性和构建块后,应用这些属性并创建授权策略。

开始之前

在开始此程序之前,您应该对用于创建授权策略(如身份组和条件)的不同构建块有基本的了解。

过程


步骤 1

有关网络访问策略,请选择工作中心 (Work Centers) > 网络访问 (Network Access) > 策略集 (Policy Sets)。有关设备管理策略,请选择工作中心 (Work Centers) > 设备管理 (Device Administration) > 设备管理策略集 (Device Admin Policy Sets)

步骤 2

从“视图”(View) 列中,点击以访问所有策略集详细信息,并创建身份验证和授权策略以及策略例外。

步骤 3

点击页面“授权策略”(Authorization Policy) 部分旁的箭头图标以展开并查看授权策略表。

步骤 4

操作 (Actions) 列中,点击齿轮图标。从下拉菜单中,根据需要选择任何插入或重复选项来插入新的授权策略规则。

授权策略表中将显示新行。

步骤 5

要设置策略的状态,请点击当前状态 (Status) 图标,然后从下拉列表中选择状态 (Status) 列中的必要状态。有关状态的详细信息,请参阅授权策略设置

步骤 6

对于表中的任何策略,请点击规则名称 (Rule Name) 单元格,进行必要的自由文本更改,并创建唯一的规则名称。

步骤 7

要添加或更改条件,请将鼠标悬停在条件 (Conditions) 列中的单元格上,然后点击 Conditions Studio 将打开。有关更多信息,请参阅策略条件

不是您选择的所有属性都包含“等于”、“不等于”、“位于”、“不位于”、“匹配”、“开头为”或“开头非”运算符选项。

“Matches”运算符支持并使用正则表达式 (REGEX),而不使用通配符。

 

您必须使用“equals”运算符进行直接比较。“包含”运算符可用于多值属性。“匹配”运算符应用于正则表达式比较。当使用“匹配”运算符时,将解译正则表达式中的静态值和动态值。如果是列表,“位于”运算符会检查列表中是否存在特定值。如果是单个字符串,“位于”运算符会检查字符串是否与“等于”运算符相同。

步骤 8

对于网络访问结果配置文件,请从结果配置文件 (Results Profiles) 下拉列表中选择相关授权配置文件,或者选择或点击,选择创建新授权配置文件 (Create a New Authorization Profile),然后在添加新标准配置文件 (Add New Standard Profile) 屏幕打开时,执行以下步骤:

  1. 根据需要输入值以配置新的授权配置文件。请注意以下事项:

    • 名称字段中支持的字符包括:空格 ! # $ % & ‘ ( ) * + , - . / ; = ? @ _ {。

    • 您可以从动态显示在屏幕底部的属性详细信息 (Attributes Details) 中仔细检查授权配置文件 RADIUS 语法。

  2. 点击保存 (Save) 以将所做的更改保存到思科 ISE 系统数据库,以便创建授权配置文件。

  3. 要在策略集区域之外创建、管理、编辑和删除配置文件,请选择策略 (Policy) > 策略元素 (Policy Elements) > 结果 (Results) > 授权 (Authorization) > 授权配置文件 (Authorization Profiles)

步骤 9

对于网络访问结果安全组,请从结果安全组 (Results Security Groups) 下拉列表中选择相关安全组,或者点击,选择创建新安全组 (Create a New Security Group),然后在“创建新安全组”(Create New Security Group) 屏幕打开时,执行以下步骤:

  1. 为新安全组输入名称和说明(可选)。

  2. 如果要将此 SGT 传播至 Cisco ACI,请选中传播至 ACI (Propagate to ACI) 复选框。只有当与此 SGT 相关的 SXP 映射属于在 Cisco ACI“设置”(Settings) 页面中选择的同一 VPN 时,它们才会传播至 Cisco ACI。

    默认情况下该选项处于禁用状态。

  3. 输入 Tag Value。标签值可以设置为手动输入或自动生成。您还可以为 SGT 保留范围。您可以从以下位置对其进行配置:管理 (Administration) > 系统(System) > 设置 (Settings) > Trustsec 设置 (Trustsec Settings) 下的 Trustsec 全局设置页面。

  4. 点击 Submit

    有关详细信息,请参阅安全组配置

步骤 10

对于 TACACS+ 结果,请从结果 (Results) 下拉列表中选择相关命令集和外壳配置文件,或者点击命令集 (Command Sets)外壳配置文件 (Shell Profiles) 列中的,分别打开添加命令 (Add Commands) 屏幕或添加外壳配置文件 (Add Shell Profile)。选择创建新命令集 (Create a New Command Set)创建新外壳配置文件 (Create a New Shell Profile),然后输入字段。

步骤 11

在表中组织用来检查和匹配策略的顺序。

步骤 12

点击 Save 保存您对思科 ISE 系统数据库所做的更改,并创建这条新的授权策略。


授权配置文件设置

授权配置文件 (Authorization Profiles) 窗口中的以下字段定义网络访问属性。此窗口的导航路径为:策略 (Policy) > 策略元素 (Policy Elements) > 结果 (Results) > 授权 (Authorization) > 授权配置文件 (Authorization Profiles)

授权配置文件设置

  • 名称 (Name):输入此新授权配置文件的名称。

  • 说明 (Description):输入此授权配置文件的说明。

  • 访问类型 (Access Type):选择访问类型:ACCESS_ACCEPTACCESS_REJECT

  • 服务模板 (Service Template):启用此选项以支持与有 SAnet 功能的设备的会话。思科 ISE 在授权配置文件中实施服务模板,用一个特殊标志将其标记为兼容服务模板 (Service Template)。由于服务模板也是授权配置文件,因此它充当支持 SAnet 和非 SAnet 设备的单个策略。

  • 跟踪移动 (Track Movement):启用此选项可通过思科移动服务引擎 (MSE) 跟踪用户位置。



    此选项可能会影响思科 ISE 性能,仅适用于高安全性位置。


常见任务

常见任务是适用于网络访问的特定权限和操作。

  • DACL 名称 (DACL Name):启用此选项可使用可下载的 ACL。例如,思科 ISE 在下拉列表中提供两个默认值:PERMIT_ALL_TRAFFICDENY_ALL_TRAFFIC。此列表将包含本地数据库中的所有当前 DACL。

  • 安全组 (Security Group):启用此选项可分配授权的安全组 (SGT) 部分。

    • 如果思科 ISE 未与 Cisco DNA Center 集成,则思科 ISE 会分配 VLAN ID 1。

    • 如果思科 ISE 与 Cisco DNA Center 集成,则选择 Cisco DNA Center 与思科 ISE 共享的虚拟网络 (VN),选择数据类型 (Data Type) 和子网/地址池。

    一个安全组任务包括一个安全组和一个可选 VN。如果配置安全组,则无法单独配置 VLAN。终端设备只能分配给一个虚拟网络。

  • VLAN:启用此选项可指定虚拟 LAN (VLAN) ID。您可以为 VLAN ID 输入整数或字符串值。此条目的格式为 Tunnel-Private-Group-ID:VLANnumber

  • 语音域权限 (Voice Domain Permission):启用此选项可使用可下载的 ACL。供应商专用属性 (VSA) cisco-av-pair 与值 device-traffic-class=voice 相关联。在多域授权模式下,如果网络交换机收到此 VSA,则授权后终端将连接到语音域。

  • Web 重定向(CWA、DRW、MDM、NSP、CPP)(Web Redirection (CWA, DRW, MDM, NSP, CPP)):启用此选项可在身份验证后启用 Web 重定向。

    • 选择重定向类型。您选择的 Web 重定向类型会显示其他选项,如下所述。

    • 输入 ACL 以支持让思科 ISE 发送到 NAD 的重定向。

      您输入的发送到 NAD 的 ACL 在属性详细信息 (Attributes Details) 窗格中显示为 cisco-av pair。例如,输入 acl119,它会在属性详细信息 (Attributes Details) 窗格中显示为:cisco-av-pair = url-redirect-acl = acl119

    • 选择所选 Web 重定向类型的其他设置。

    选择以下 Web 重定向类型之一:

    • 集中式 Web 身份验证 (Centralized Web Auth):重定向到您从值 (Value) 下拉列表中选择的门户。

    • 客户端调配(安全评估)(Client Provisioning (Posture)):重定向到您从值 (Value) 下拉列表中选择的客户端调配门户,以在客户端上启用安全评估。

    • 热点:重定向 (Hot Spot: Redirect):重定向到您从值 (Value) 下拉列表中选择的热点门户。

    • MDM 重定向 (MDM Redirect):重定向到您指定的 MDM 服务器上的 MDM 门户。

    • 本地请求方调配 (Native Supplicant Provisioning):重定向到您从值 (Value) 下拉列表中选择的 BYOD 门户。

    在选择 Web 重定向类型并输入所需参数后,配置以下选项:

    • 显示证书续约消息 (Display Certificates Renewal Message):启用此选项可显示证书续约消息。URL-redirect 属性值改变并且包含证书有效的天数。此选项仅适用于集中式 Web 身份验证重定向。

    • 静态 IP/主机名/FQDN (Static IP/Host Name/FQDN):启用此选项可将用户重定向到其他 PSN。输入目标 IP 地址、主机名或 FQDN。如果不配置此选项,用户将重定向到收到此请求的策略服务节点的 FQDN。

    • 在逻辑配置文件中抑制终端的分析器 CoA (Suppress Profiler CoA for endpoints in Logical Profile):启用此选项可取消特定类型终端设备的重定向。

  • 自动智能端口 (Auto SmartPort):启用此选项可使用自动智能端口功能。输入事件名称,它会创建一个 VSA cisco-av-pair,该值为 auto-smart-port=event_name。此值显示在属性详细信息 (Attributes Details) 窗格中。

  • 访问漏洞 (Access Vulnerabilities):启用此选项可作为授权的一部分在此终端上运行以威胁防护为中心的 NAC 漏洞评估。选择适配器以及运行扫描的时间。

  • 重新验证身份 (Reauthentication):启用此选项可在重新验证身份期间保持终端连接。通过选择使用 RADIUS-Request (1),选择在重新验证身份的过程中保持连接。默认 RADIUS-Request (0) 会断开现有会话。您还可以设置非活动计时器。

  • MACSec 策略:启用此选项可在启用 MACSec 的客户端连接到思科 ISE 时使用 MACSec 加密策略。选择以下选项之一:must-secureshould-securemust-not-secure。您的设置在属性详细信息 (Attributes Details) 窗格中显示为:cisco-av-pair = linksec-policy=must-secure

  • NEAT:启用此选项可使用网络边缘接入拓扑 (NEAT),它能在网络之间扩展身份识别。如果选中此复选框,属性详细信息 (Attributes Details) 窗格中将显示 cisco-av-pair = device-traffic-class=switch

  • Web 身份验证(本地 Web 身份验证)(Web Authentication (Local Web Auth)):启用此选项可对此授权配置文件使用本地 Web 身份验证。通过由思科 ISE 发送 VSA 以及 DACL,此值使交换机能够识别用于 Web 身份验证的授权。VSA 为 cisco-av-pair = priv-lvl=15,显示在属性详细信息 (Attributes Details) 窗格中。

  • Airespace ACL名称 (Airespace ACL Name):启用此选项可向思科 Airespace 无线控制器发送 ACL 名称。Airespace VSA 使用此 ACL 向 WLC 上的连接授权本地定义的 ACL。例如,输入 rsa-1188,它会在属性详细信息 (Attributes Details)窗格中显示为 Airespace-ACL-Name = rsa-1188

  • ASA VPN:选中此选项可分配自适应安全设备 (ASA) VPN 组策略。从下拉列表中选择一个 VPN 组策略。

  • AVC 配置文件名称 (AVC Profile Name):启用此选项可在此终端上运行应用可视性。输入要使用的 AVC 配置文件。

高级属性设置

  • 目录 (Dictionaries):点击向下箭头图标可查看目录 (Dictionaries) 窗口中的可用选项。在第一个字段中选择应配置的字典和属性。

  • 属性值 (Attribute Values):点击向下箭头图标可显示属性值 (Attribute Values) 窗口中的可用选项。选择所需的属性组和属性值。此值与第一个字段中选择的值匹配。您配置的任何高级属性 (Advanced Attributes) 设置都将显示在属性详细信息 (Attributes Details) 面板中。

  • 属性详细信息 (Attributes Details):此窗格显示您为常见任务 (Common Tasks)高级属性 (Advanced Attributes) 设置的已配置属性值。

    属性详细信息 (Attributes Details) 窗格中显示的值是只读的。



    要修改或删除属性详细信息 (Attributes Details) 窗格中显示的任何只读值,请在对应的常见任务 (Common Tasks) 字段中或在高级属性设置 (Advanced Attributes Settings) 窗格的 属性值 (Attribute Values) 字段中选择的属性中修改或删除这些值。


授权策略和例外

在每个策略集中,您可以定义常规授权策略,以及本地例外规则(从每个策略集的“集”(Set) 视图中的“授权策略本地例外”(Authorization Policy Local Exceptions) 部分定义)和全局例外规则(从每个策略集的“集”(Set) 视图中的“授权策略全局例外”(Authorization Policy Global Exceptions) 部分定义)。

使用全局授权例外策略,可以定义覆盖所有策略集中所有授权规则的规则。配置全局授权例外策略后,系统会将其添加到所有策略集。然后,可以从任何当前配置的策略集中更新全局授权例外策略。每次更新全局授权例外策略时,这些更新都会应用于所有策略集。

本地授权例外规则会覆盖全局例外规则。系统按以下顺序处理授权规则:首先处理本地例外规则,然后处理全局例外规则,最后处理授权策略常规规则。

授权例外策略规则的配置与授权策略规则相同。有关授权策略的信息,请参阅配置授权策略



为了避免安全问题,思科 ISE 不支持在授权策略中使用 % 字符。


策略条件

思科 ISE 使用基于规则的策略提供网络访问。策略是一组规则和结果,其中规则由条件组成。思科 ISE 可以让您将条件创建为可在系统库中存储的单个策略元素,然后从 Conditions Studio 重复用于其他基于规则的策略。

条件可以很简单,或者,必要时可以使用运算符(等于、不等于、大于,等等)和值,或者通过包含多个属性、运算符和复杂层次结构,使之变得复杂。在运行时,思科 ISE 会评估策略条件,然后根据策略评估返回的 true 值或 false 值,应用您所定义的结果。

在创建条件并为其分配唯一名称后,可以从 Conditions Studio 库中选择该条件,多次将其重复用于各种规则和策略,例如:

Network Conditions.MyNetworkCondition EQUALS true

不能从 Condition Studio 中删除策略中使用的条件或作为其他条件组成部分的条件。

每个条件各自定义可包括在策略条件中的对象列表,从而得到与请求中的定义匹配的一组定义。

您可以使用运算符 EQUALS true 来检查网络条件是否为 true(无论请求中存在的值是否与网络条件中的至少一个条目匹配)或 EQUALS false,以测试网络条件是否为 false(不匹配网络条件中的任何条目)。

思科ISE还提供预定义的智能条件,您可以在策略中单独使用这些条件,也可以将其作为您自己的自定义条件中的构建块,并且可以根据需要进行更新和更改。

您可以创建以下唯一网络条件以限制对网络的访问:

  • 终端站网络条件 - 基于发起和终止连接的终端站。

    思科 ISE 会评估远程地址 TO 字段(根据它是 TACACS+ 还是 RADIUS 请求而获取),确定它是终端的 IP 地址、MAC 地址、主叫线路标识 (CLI) 还是被叫号码识别服务 (DNIS)。

    在 RADIUS 请求中,标识符在属性 31 (Calling-Station-Id) 中可用。

    在 TACACS+ 请求中,如果远程地址包含斜杠 (/),则斜杠前的部分作为 FROM 值,斜杠后的部分作为 TO 值。例如,如果请求具有 CLI/DNIS,则 CLI 作为 FROM 值,DNIS 作为 TO 值。如果不包含斜杠,则整个远程地址作为 FROM 值(不论是 IP 地址、MAC 地址或 CLI)。

  • 设备网络条件 - 基于处理请求的 AAA 客户端。

    可通过 IP 地址、在网络设备存储库中定义的设备名称或网络设备组确定网络设备。

    在 RADIUS 请求中,如果存在属性 4 (NAS-IP-Address),思科 ISE 会从该属性中获取 IP 地址。如果存在属性 32 (NAS-Identifier),思科 ISE 将从属性 32 获取 IP 地址。如果未找到这些属性,它将从其接收的数据包获取 IP 地址。

    设备字典(NDG 字典)包含网络设备组属性,如位置、设备类型或其他动态创建的表示 NDG 的属性。反过来,这些属性包含与当前设备相关的组。

  • 设备端口网络条件 - 基于设备的 IP 地址、名称、NDG 和端口(终端站连接到的设备物理端口)。

    在 RADIUS 请求中,如果请求中存在属性 5 (NAS-Port),则思科 ISE 会从该属性中获取值。如果请求中存在属性 87 (NAS-Port-Id),思科 ISE 将从属性 87 获取请求。

    在 TACACS+ 请求中,思科 ISE 会从(每个阶段的)起始请求的端口字段中获取此标识符。

有关这些独特条件的详细信息,请参阅特殊网络访问条件

字典和字典属性

字典是关于可用于为域定义访问策略的属性和允许值的域特定目录。单个字典是同种属性类型的集合。字典中定义的属性具有相同的属性类型并且其类型会指明特定属性的来源或上下文。

属性类型可以是以下一种类型:

  • MSG_ATTR

  • ENTITY_ATTR

  • PIP_ATTR

除了属性和允许的值之外,字典还包含关于名称与说明、数据类型和默认值等属性的信息。一个属性可以有以下一种数据类型:BOOLEAN、FLOAT、INTEGER、IPv4、OCTET_STRING、STRING、UNIT32 和 UNIT64。

思科 ISE 在安装时会创建系统字典并且允许您创建用户字典。

属性存储在不同的系统词典中。属性用于配置条件。属性可以在多个条件中重复使用。

要在创建策略条件时重复使用某个有效的属性,请从包含支持的属性的词典中选择该属性。例如,思科 ISE 提供名为 AuthenticationIdentityStore 的属性,该属性位于 Networkaccess 目录中。该属性识别验证用户身份期间访问的最后一个身份源:

  • 在身份验证期间使用单个身份源时,该属性包括成功进行身份验证所在的身份库的名称。

  • 在身份验证期间使用某个身份源序列时,该属性包括访问的最后一个身份源的名称。

您可以将 AuthenticationStatus 属性与 AuthenticationIdentityStore 属性组合使用,以定义用来识别成功验证某个用户的身份的身份源的条件。例如,要使用授权策略中的 LDAP 目录 (LDAP13) 检查用户通过身份验证的条件,您可以定义下列可重复使用的条件:


If NetworkAccess.AuthenticationStatus EQUALS AuthenticationPassed AND NetworkAccess.AuthenticationIdentityStore EQUALS LDAP13


AuthenticationIdentityStore 表示允许您为该条件输入数据的文本字段。确保向该字段中正确输入或复制名称。如果身份源的名称发生更改,您必须确保修改此条件,以与身份源的更改保持一致。


要定义基于之前已进行身份验证的终端身份组的条件,思科 ISE 支持在终端身份组 802.1X 身份验证状态期间定义的授权。当思科 ISE 执行 802.1X 身份验证时,它从 RADIUS 请求的“Calling-Station-ID”字段中提取 MAC 地址,并使用该值查找和填充设备终端身份组(被定义为 endpointIDgroup 属性)的会话缓存。此过程使 endpointIDgroup 属性在创建授权策略条件时可供使用,并且允许您根据使用该属性的终端身份组信息(用户信息除外)来定义授权策略。

可以在授权策略配置页面的 ID Groups 列中定义终端身份组的条件。需要在授权策略的“Other Conditions”部分中定义基于用户相关信息的条件。如果用户信息基于内部用户属性,请使用内部用户目录中的 ID 组属性。例如,您可以使用诸如“User Identity Group:Employee:US”等值,在身份组中输入完整的值路径。

支持的网络访问策略词典

思科 ISE 支持以下系统存储的词典,这些词典包含为身份验证和授权策略构建条件和规则时所需的不同属性:

  • 系统定义的字典

    • CERTIFICATE

    • DEVICE

    • RADIUS

  • RADIUS 供应商字典

    • Airespace

    • Cisco

    • Cisco-BBSM

    • Cisco-VPN3000

    • Microsoft

    • Network access

对于授权策略类型,条件中配置的验证必须符合要返回的授权配置文件。

验证通常包括一个或更多条件,条件中包含用户定义的名称,可以将这些条件添加到库中并供其他策略重复使用。

以下部分介绍可用于配置条件的受支持属性和词典。

字典支持的属性

此表列出字典支持的固定属性,这些属性可用于策略条件中。并非所有这些属性都可用于创建所有类型的条件。

例如,创建在身份验证策略中选取访问服务的条件时,您将只看到以下网络访问属性:Device IP Address、ISE Host Name、Network Device Name、Protocol 和 Use Case。

您可以将下表中列出的属性用于策略条件中。

字典

属性

允许的协议规则和代理

身份规则

设备

Device Type(预定义的网络设备组)

Device Location(预定义的网络设备组)

Other Custom Network Device Group

Software Version

Model Name

RADIUS

所有属性

网络接入

ISE Host Name

AuthenticationMethod

AuthenticationStatus

CTSDeviceID

Device IP Address

EapAuthentication(设备用户身份验证期间使用的 EAP 方法)

EapTunnel(用于建立隧道的 EAP 方法)

Protocol

UseCase

UserName

WasMachineAuthenticated

Certificate

Common Name

Country

E-mail

LocationSubject

Organization

Organization Unit

Serial Number

State or Province

Subject

Subject Alternative Name

Subject Alternative Name - DNS

Subject Alternative Name - E-mail

Subject Alternative Name - Other Name

Subject Serial Number

Issuer

Issuer - Common Name

Issuer - Organization

Issuer - Organization Unit

Issuer - Location

Issuer - Country

Issuer - Email

Issuer - Serial Number

Issuer - State or Province

Issuer - Street Address

Issuer - Domain Component

Issuer - User ID

系统定义的字典和字典属性

思科 ISE 会在安装期间创建系统字典,您可以在 System Dictionaries 页面找到这些系统字典。系统定义的字典属性为只读属性。由于其性质,您只能查看现有的系统定义的字典。您不能创建、编辑或删除系统定义的值或系统字典中的任何属性。

所显示的系统定义的字典属性会带有属性的描述性名称、域识别的内部名称和允许的值。

IETF RADIUS 属性集也是系统定义的字典的一部分,由互联网工程任务组 (IETF) 定义,思科 ISE 也会为此属性集创建字典默认设置。您可以编辑除 ID 之外的所有 IETF RADIUS 自由属性字段。

显示系统字典和字典属性

您无法创建、编辑或删除系统字典中的任何系统定义的属性。您只能查看系统定义的属性。您可以执行基于字典名称和说明的快速搜索或基于您所定义的搜索规则的高级搜索。

过程


步骤 1

选择策略 (Policy) > 策略元素 (Policy Elements) > 字典 (Dictionaries) > 系统 (System)

步骤 2

在 System Dictionaries页面上选择系统字典,然后点击 View

步骤 3

点击 Dictionary Attributes

步骤 4

从列表中选择系统字典属性,然后点击 View

步骤 5

点击 Dictionaries 链接以返回 System Dictionaries 页面。


用户定义的字典和字典属性

思科 ISE 显示您在 User Dictionaries 页面中创建的用户定义字典。在系统中创建并保存现有用户字典的 Dictionary Name 或 Dictionary Type 值后,将不能修改这些值。

您可以在 User Dictionaries 页面执行以下操作:

  • 编辑和删除用户字典。

  • 根据名称和说明搜索用户字典。

  • 添加、编辑和删除用户字典中的用户定义的字典属性。

  • 添加或删除允许的字典属性值

创建用户定义的字典

您可以创建、编辑或删除用户定义的字典。

过程


步骤 1

选择策略 (Policy) > 策略元素 (Policy Elements) > 字典 (Dictionaries) > 用户 (User)

步骤 2

点击添加 (Add)

步骤 3

为用户字典输入名称、可选说明和用户字典版本。

步骤 4

从 Dictionary Attribute Type 下拉列表选择属性类型。

步骤 5

点击提交 (Submit)


创建用户定义的字典属性

您可以在用户字典中添加、编辑和删除用户定义的字典属性以及添加或删除用于字典属性的允许值。

过程


步骤 1

选择策略 (Policy) > 策略元素 (Policy Elements) > 字典 (Dictionaries) > 用户 (User)

步骤 2

从 User Dictionaries 页面选择用户字典,然后点击 Edit

步骤 3

点击 Dictionary Attributes

步骤 4

点击 Add

步骤 5

为字典属性输入属性名称、可选说明和内部名称。

步骤 6

从 Data Type 下拉列表选择数据类型。

步骤 7

点击 Add 以配置名称、允许值,并在 Allowed Values 表中设置默认状态。

步骤 8

点击提交 (Submit)


RADIUS 供应商字典

思科 ISE 允许您定义一套 RADIUS 供应商字典并且为每个字典定义一系列属性。列表中的每个供应商定义都包含供应商名称、供应商 ID 和扼要说明。

默认情况下,思科 ISE 为您提供以下 RADIUS 供应商字典:

  • Airespace

  • Cisco

  • Cisco-BBSM

  • Cisco-VPN3000

  • Microsoft

RADIUS 协议支持这些供应商字典以及可用于授权策略和策略条件的供应商特定属性。

创建 RADIUS 供应商字典

还可以创建、编辑、删除、导出和导入 RADIUS 供应商字典。

过程

步骤 1

选择策略 (Policy) > 策略元素 (Policy Elements) > 字典 (Dictionaries) > 系统 (System) > Radius > Radius 供应商 (Radius Vendors)

步骤 2

点击添加 (Add)

步骤 3

输入 RADIUS 供应商字典的名称、可选说明,以及由互连网号码分配机构 (IANA) 批准的 RADIUS 供应商的供应商 ID。

步骤 4

从 Vendor Attribute Type Field Length 下拉列表中选择从属性值提取用于指定属性类型的字节数。有效值为 1、2 和 4。默认值为 1。

步骤 5

从 Vendor Attribute Size Field Length 下拉列表中选择从属性值提取用于指定属性长度的字节数。有效值为 0 和 1。默认值为 1。

步骤 6

点击提交 (Submit)


创建 RADIUS 供应商字典属性

您可以创建、编辑和删除思科 ISE 支持的 RADIUS 供应商属性。每个 RADIUS 供应商属性都有名称、数据类型、说明和方向,其指定属性是否仅与请求相关、仅与响应相关,还是与二者都相关。

过程

步骤 1

选择策略 (Policy) > 策略元素 (Policy Elements) > 字典 (Dictionaries) > 系统 (System) > Radius > Radius 供应商 (Radius Vendors) 。

步骤 2

从 RADIUS 供应商字典列表选择 RADIUS 供应商字典,然后点击 Edit

步骤 3

点击 Dictionary Attributes,然后点击 Add

步骤 4

为 RADIUS 供应商属性输入属性名称和可选说明。

步骤 5

从 Data Type 下拉列表选择数据类型。

步骤 6

选中 Enable MAC option 复选框。

步骤 7

从 Direction 下拉列表选择仅应用于 RADIUS 请求、仅应用于 RADIUS 响应或同时应用于二者的方向。

步骤 8

在 ID 字段输入供应商属性 ID。

步骤 9

选中 Allow Tagging 复选框。

步骤 10

选中 Allow multiple instances of this attribute in a profile 复选框。

步骤 11

点击 Add 以在 Allowed Values 表中为供应商属性添加允许的值。

步骤 12

点击提交 (Submit)


RADIUS 供应商字典属性设置

本节介绍思科 ISE 中使用的 RADIUS 供应商字典。

下表介绍了 RADIUS 供应商的“字典”(Dictionary) 窗口中的字段,可以通过此窗口为 RADIUS 供应商配置字典属性。此窗口的导航路径为策略 (Policy) > 策略元素 (Policy Elements) > 字典 (Dictionaries) > 系统 (System) > RADIUS > RADIUS 供应商 (RADIUS Vendors)

表 1. RADIUS 供应商字典属性设置

字段名称

使用指南

属性名称 (Attribute Name)

输入选定 RADIUS 供应商的供应商特定属性名称。

Description

输入供应商特定属性的可选说明。

内部名称 (Internal Name)

输入数据库内部所称呼的供应商特定属性的名称。

数据类型 (Data Type)

为供应商特定属性选择以下其中一种数据类型:

  • STRING

  • OCTET_STRING

  • UNIT32

  • UNIT64

  • IPV4

Enable MAC option

选中此复选框可启用将 RADIUS 属性比作为 MAC 地址。默认情况下,对于 RADIUS 属性 calling-station-id,此选项标记为启用,您无法禁用此选项。对于 RADIUS 供应商字典中的其他(字符串类型)字典属性,可以启用或禁用此选项。

启用此选项之后,在设置身份验证和授权条件时,可以通过选择 Text 选项来定义对比是否是明文字符串,或通过选择 MAC address 选项来定义是否是 MAC 地址。

方向

选择一个适用于 RADIUS 消息的选项:

ID

输入供应商属性 ID。有效范围为 0 至 255。

允许标记 (Allow Tagging)

根据 RFC2868 定义,选中该复选框,将属性标记为已被允许带有标签。该标签旨在允许将已建立隧道的用户的属性进行分组。有关详细信息,请参阅 RFC2868。

已标记的属性支持确保有关指定隧道的所有属性在各自的标签字段中包含相同值,并且,每组包含一个 Tunnel-Preference 属性实例。这符合将用于多供应商网络环境中的隧道属性,以此消除不同供应商生产的网络接入服务器 (NAS) 之间的互通性问题。

允许配置文件中存在该属性的多个实例 (Allow Multiple Instances of this Attribute in a Profile)

当希望配置文件中存在此 RADIUS 供应商特定属性的多个实例时,请选中此复选框。

浏览 Conditions Studio

使用 Conditions Studio 创建、管理和重复使用条件。条件可以包括多个规则,并且结构复杂性不限(包括仅一个级别或多个层级)。使用 Conditions Studio 创建新条件时,可以使用已存储在库中的条件块,也可以更新和更改这些存储的条件块。在稍后创建和管理条件时,可以使用快速类别过滤器等轻松查找需要的块和属性。

有关网络访问策略,请选择工作中心 (Work Centers) > 网络访问 (Network Access) > 策略集 (Policy Sets)。有关设备管理策略,请选择工作中心 (Work Centers) > 设备管理 (Device Administration) > 设备管理策略集 (Device Admin Policy Sets)

要编辑或更改已应用于任何策略集中的特定规则的条件,请将鼠标悬停在条件 (Conditions) 列中的单元格上,然后点击,或者从策略集表中的条件 (Conditions) 列点击加号以创建新列,随后可以立即将其应用于同一策略集,也可以将其保存在库中以供将来使用。

下图显示 Conditions Studio 的主要元素。
图 2. Conditions Studio

Condition Studio 分为两个主要部分:库和编辑器。库可以存储条件块以供重复使用,而编辑器可以让您编辑这些已保存的块和创建新的块。

下表介绍了 Condition Studio 的不同部分:

字段

使用指南

显示已创建并保存在 ISE 数据库中以供重复使用的所有条件块的列表。若要在当前编辑的条件中使用这些条件块,请将其从库中拖放到编辑器中的相关级别,必要时更新运算符。

存储在库中的条件全部用库图标表示,原因是条件可以与多个类别相关联。

在库中的每个条件旁,也可以找到该图标。将鼠标悬停在此图标上可查看条件的完整说明,查看其关联的类别,还可以从库中彻底删除条件。如果条件被策略使用,则无法删除这些条件。

将任何库条件拖放到编辑器中,以便将其单独用于当前编辑的策略,或作为更复杂条件的构建块,以便在当前策略中使用或在库中另存为新条件。您还可以在编辑器中拖放条件,以便对该条件进行更改,然后在库中以相同名称或新名称保存该条件。

安装后还有预定义条件。这些条件也可以更改和删除。

搜索和过滤

按名称搜索条件或按类别过滤条件。以类似的方式,还可以从编辑器中的点击以添加属性 (Click to add an attribute) 字段搜索和过滤属性。工具栏上的图标代表不同的属性类别,如主题、地址等。点击图标可查看与特定类别相关的属性,而点击类别工具栏中的突出显示图标可取消选择该类别,从而删除过滤器。

条件列表

库中所有条件的完整列表,或库中基于搜索或过滤结果而显示的条件列表。

编辑人

创建要立即使用的新条件,以及要保存在系统库中以供将来使用的新条件,然后编辑现有条件并将这些更改保存在库中以供立即使用和将来使用。

当打开 Conditions Studio 以创建新条件时(点击任意策略集表中的加号),会显示只包含一个空行的编辑器,您可以在其中添加第一个规则。

当编辑器打开并显示空字段时,不会显示任何运算符图标

编辑器分为不同的虚拟列和行。

列表示不同的层次结构级别,每列根据其在层次结构中的位置缩进;行代表单个规则。您可以为每个级别创建单个或多个规则,并且可以包含多个级别。

上图中的示例显示了正在构建或编辑的条件,包括规则层次结构,图中的第一级和第二级均标有数字 5。顶级父级别的规则使用运算符 OR。

要在选择运算符并创建层次结构级别后更改该运算符,只需从此列中显示的下拉列表中选择相关选项。

除了运算符下拉列表之外,每个规则在此列中都有一个相关图标,指示其所属的类别。如果将鼠标悬停在图标上,工具提示会指示类别的名称。

一旦保存到库中,系统将为所有条件块分配库图标,替换编辑器中显示的类别图标。

最后,如果将规则配置为排除所有相关的匹配项目,则此列中也会显示“不是”(Is-Not) 标志。例如,如果将值为 London 的位置属性设置为“不是”(Is-Not) ,则来自伦敦的所有设备都将被拒绝访问。

此区域显示使用层次结构级别以及同一条件中的多个规则时可用的选项。

当将鼠标悬停在任何列或行上时,会显示相关操作。选择操作时,该操作会应用于该部分和所有子部分。例如,当层次结构 A 中有五个级别时,如果从第三级中的任何规则中选择“和”(AND),则会在原规则下创建新的层次结构 B,以便原规则成为层次结构 B 的父规则,嵌入在层次结构 A 中。

当首次打开 Condition Studio 以从头创建新条件时,编辑器区域仅包含一行(用于您可配置的单个规则),以及用于选择相关运算符或从库中拖放相关条件的选项。

使用和 (AND)或 (OR) 运算符选项可以向条件中添加其他级别。选择新建 (New),可在点击选项的同一级别创建新规则。只有在层次结构的顶层配置至少一个规则后,新建 (New) 选项才会显示。

配置、编辑和管理策略条件

使用 Conditions Studio 创建、管理和重复使用条件。条件可以包括多个规则,并且结构复杂性不限(包括仅一个级别或多个层级)。从 Conditions Studio 的编辑器侧管理条件层次结构,如下图所示:
图 3. 编辑器 - 条件层次结构

创建新条件时,可以使用已存储在库中的条件块,也可以更新和更改这些存储的条件块。在创建和管理条件时,可以使用快速类别过滤器等工具轻松找到所需的块和属性。

在创建和管理条件规则时,请使用属性、运算符和值。

思科 ISE 包含一些最常见用例的预定义复合条件。您可以编辑这些预定义条件来满足您的要求。为重用而保存的条件(包括即用型块)存储在 Condition Studio 的库中,如本任务中所述。

要执行以下任务,您必须是超级管理员或策略管理员。

过程


步骤 1

访问“策略集”(Policy Sets) 区域。选择策略 (Policy) > 策略集 (Policy Sets)

步骤 2

访问 Conditions Studio 以创建新条件并编辑现有条件块,以便随后将这些条件纳入您为特定策略集(及其关联策略和规则)配置的规则中,或保存到库以供将来使用:

  1. 从“策略集”(Policy Set) 主页面上的“策略集”(Policy Set) 表的“条件”(Conditions) 列中点击 ,以创建与整个策略集相关的条件(在匹配身份验证策略规则之前检查的条件)。

  2. 或者,从特定策略集行点击 ,以查看“设置”(Set) 视图,包括所有身份验证和授权规则。在“设置”(Set) 视图中,将鼠标悬停在任何规则表的条件 (Conditions) 列中的单元格上,然后点击 打开 Conditions Studio。

  3. 如果您正在编辑已应用于策略集的条件,请点击 以访问 Conditions Studio。

Conditions Studio 将打开。如果您已打开它来创建新条件,则如下图所示。若要查看字段的说明,以及打开 Conditions Studio 后如何编辑策略集已应用的条件的示例,请参阅浏览 Conditions Studio

图 4. Conditions Studio - 创建新条件

步骤 3

使用库中的现有条件块作为您正在创建或编辑的条件中的规则。

  1. 通过从类别工具栏中选择相关类别进行过滤 - 库中显示包含所选类别的属性的所有块。此外,还会显示包含多个规则但至少一个规则中使用了所选类别的属性的条件块。如果添加了其他过滤器,则显示的结果仅包括符合该特定过滤器而且与包含的其他过滤器也匹配的条件块。例如,从工具栏中选择“端口”(Ports) 类别,并在按名称搜索 (Search by Name) 字段中输入自由文本“auth”,就会显示与名称中包含“auth”的端口相关的所有块。再次点击类别工具栏中突出显示的图标,取消选择它,从而删除该过滤器。

  2. 使用自由文本搜索条件块 - 在按名称搜索 (Search by Name) 自由文本字段中,输入要搜索的块名称中出现的任何术语或部分术语。在您键入内容时,系统会实时动态搜索相关结果。如果未选择类别(未突出显示任何图标),则结果包括来自所有类别的条件块。如果已选择类别图标(显示的列表已过滤),则显示的结果仅包括该特定类别中使用特定文本的块。

  3. 找到条件块后,将其拖到编辑器中,放到要构建的块的正确级别上。如果放置的位置不正确,您可以在编辑器中再次拖放,直至放置正确。

  4. 将鼠标悬停在编辑器中的条件块上,然后点击编辑 (Edit) 更改规则,以便对处理的条件做出相关的更改,用这些更改覆盖库中的规则,或者在库中将规则另存为新块。

    放入编辑器时为只读状态的块现在可以编辑了,并且与编辑器中的所有其他自定义规则具有相同的字段、结构、列表和操作。继续执行后续步骤,了解有关编辑此规则的更多信息。

步骤 4

向当前级别添加运算符,以便随后在同一级别添加其他规则 - 选择 ANDOR Set to 'Is not'Set to 'Is not' 也可应用于单个规则。

步骤 5

使用属性词典创建和编辑规则 - 点击点击以添加属性字段。属性选择器随即打开,如下图所示:

属性选择器的各部分如下表所述:

字段

使用指南

属性类别工具栏

包含每个不同属性类别的唯一图标。选择任何属性类别图标,按类别过滤视图。

点击突出显示的图标可取消选择它,从而删除过滤器。

字典

表示存储属性的词典的名称。从下拉列表中选择特定词典,以便按供应商词典过滤属性。

属性

表示属性的名称。在可用字段中为属性名称键入自由文本来过滤属性。在您键入内容时,系统会实时动态搜索相关结果。

ID

表示唯一属性标识号。在可用字段中键入 ID 号来过滤属性。在您键入内容时,系统会实时动态搜索相关结果。

信息

将鼠标悬停在相关属性行上的信息图标上可查看有关属性的额外详细信息。

  1. 从属性选择器的搜索框中,过滤并搜索所需的属性。在属性选择器的任何部分过滤或输入自由文本时,如果未激活其他过滤器,则结果仅包括与所选过滤器相关的所有属性。如果使用多个过滤器,则显示的搜索结果与所有过滤器匹配。例如,点击工具栏中的“端口”(Port) 图标并在“属性”(Attribute) 列中键入“auth”,则仅显示端口类别中名称含“auth”的属性。选择类别时,工具栏中的图标以蓝色突出显示,并显示过滤后的列表。再次点击类别工具栏中突出显示的图标,取消选择它,从而删除过滤器。

  2. 选择相关属性,将其添加到规则中。

    属性选择器关闭,您选择的属性会添加到点击以添加属性 (Click to add an attribute) 字段。
  3. 等于 (Equals) 下拉列表中,选择相关运算符。

    不是您选择的所有属性都包含“Equals”、“Not Equals”、“Matches”、“Starts With”或“Not Starts With”运算符选项。

    “Matches”运算符支持并使用正则表达式 (REGEX),而不使用通配符。

    您必须使用“equals”运算符进行直接比较。“包含”运算符可用于多值属性。“匹配”运算符应用于正则表达式比较。当使用“匹配”运算符时,将解译正则表达式中的静态值和动态值。

  4. 属性值 (Attribute value) 字段中,执行以下操作之一:

    • 在字段中键入自由文本值

    • 从列表中选择一个动态加载的值(相关时 - 取决于上一步中选择的属性)

    • 使用其他属性作为条件规则的值 - 选择字段旁边的表图标以打开属性选择器,然后搜索、过滤并选择相关属性。属性选择器关闭,您选择的属性会添加到属性值 (Attribute value) 字段。

步骤 6

在库中将规则另存为条件块。

  1. 将鼠标悬停在要在库中另存为块的规则或规则的层次结构上。任何可另存为单个条件块的规则或规则组都将显示复制 (Duplicate)保存 (Save) 按钮。如果要将一组规则另存为块,请在整个层次结构的阻止区域中从整个层次结构的底部选择操作按钮。

  2. 单击保存。系统将弹出“保存条件”(Save condition) 屏幕。

  3. 选择:

    • 保存到现有库条件 - 选择此选项可使用您创建的新规则覆盖库中的现有条件块,然后在从列表中选择 (Select from list) 下拉列表中选择要覆盖的条件块。

    • 另存为新库条件 - 在块的“条件名称”(Condition Name) 字段中键入唯一名称。

  4. (可选)在说明 (Description) 字段中输入说明。当您将鼠标悬停在库中任何条件块的信息图标上时,系统会显示此说明,使您能够快速识别不同的条件块及其用途。

  5. 点击保存 (Save) 在库中保存条件块。

步骤 7

在新的子级别上创建新规则 - 请点击 ANDOR,在现有父层级和您创建的子层级之间应用正确的运算符。新部分与所选运算符一起添加到编辑器层次结构中,作为提供所选运算符的规则或层次结构的子项。

步骤 8

在当前现有级别上创建新规则 - 从相关级别点击新建 (New)。在您开始的同一级别中,将显示新规则的一个空行。

步骤 9

点击 X 从编辑器中删除任何条件及其所有子项。

步骤 10

点击复制 (Duplicate) 可自动复制并粘贴层次结构中的特定条件,从而在同一级别创建其他相同的子项。您可以复制有或无子项的单个规则,具体取决于您点击复制 (Duplicate) 按钮的级别。

步骤 11

点击页面底部的使用 (Use) 保存在编辑器中创建的条件,并在策略集中实施该条件。

 

当任何策略集中需要 AD 属性时,必须配置相应的 AD 条件。


特殊网络访问条件

本部分说明了在创建策略集时有用的独特条件。这些条件无法从条件 Studio 创建,因此具有其自己的唯一进程。

配置设备网络条件

过程


步骤 1

选择策略 (Policy) > 策略元素 (Policy Elements) > 条件 (Conditions) > 网络条件 (Network Conditions) > 设备网络条件 (Device Network Conditions)

步骤 2

点击 Add

步骤 3

输入网络条件名称和说明。

步骤 4

输入下列详细信息:

  • IP 地址 - 您可以添加 IP 地址或子网列表,每行一个。IP 地址/子网可以采用 IPV4 或 IPV6 格式。

  • 设备名称 - 您可以添加设备名称列表,每行一个。必须输入在网络设备对象中配置的相同设备名称。

  • 设备组 - 可以添加元组列表(按以下顺序):根 NDG、逗号、(在根 NDG 下的)NDG。必须每行一个元组。

步骤 5

点击提交 (Submit)


配置设备端口网络条件

过程


步骤 1

选择策略 (Policy) > 策略元素 (Policy Elements) > 条件 (Conditions) > 网络条件 (Network Conditions) > 设备端口网络条件 (Device Port Network Conditions)

步骤 2

点击 Add

步骤 3

输入网络条件名称和说明。

步骤 4

输入下列详细信息:

  • IP 地址 (IP Addresses) - 按以下顺序输入详细信息:IP 地址或子网、逗号和(设备使用的)端口。必须每行一个元组。

  • 设备 (Devices) - 按以下顺序输入详细信息:设备名称、逗号和端口。必须每行一个元组。您必须输入在网络设备对象中配置的相同设备名称。

  • 设备组 (Device Groups) - 按以下顺序输入详细信息:根 NDG、逗号、(在根下的)NDG 和端口。必须每行一个元组。

步骤 5

点击提交 (Submit)


配置终端站网络条件

过程


步骤 1

选择策略 (Policy) > 策略元素 (Policy Elements) > 条件 (Conditions) > 网络条件 (Network Conditions) > 终端站网络条件 (Endstation Network Conditions)

步骤 2

点击 Add

步骤 3

输入网络条件名称和说明。

步骤 4

输入下列详细信息:

  • IP 地址 - 您可以添加 IP 地址或子网列表,每行一个。IP 地址/子网可以采用 IPV4 或 IPV6 格式。

  • MAC 地址 - 您可以输入终端 MAC 地址和目标 MAC 地址的列表,用逗号分隔。每个 MAC 地址必须包含 12 个十六进制数字,且必须为以下格式之一:nn:nn:nn:nn:nn:nn、nn-nn-nn-nn-nn-nn、nnnn.nnnn.nnnn 或 nnnnnnnnnnnn。

    如果不需要终端站 MAC 或目标 MAC,请使用令牌“-ANY-”代替。

  • CLI/DNIS - 您可以添加主叫方 ID (CLI) 和被叫方 ID (DNIS) 的列表,用逗号分隔。如果不需要主叫方 ID (CLI) 或被叫方 ID (DNIS),请使用令牌“-ANY-”代替。

步骤 5

点击提交 (Submit)


创建时间和日期条件

使用 Policy Elements Conditions 页面显示、创建、修改、删除、复制以及搜索时间和日期策略元素条件。策略元素是共享的对象,定义一个基于您所配置的特定时间和日期属性设置的条件。

使用时间和日期条件,使您可以按照您做出属性设置所指定的特定时间和日期来设置或限制访问思科 ISE 系统资源的权限。

开始之前

要执行以下任务,您必须是超级管理员或策略管理员。

过程


步骤 1

选择策略 (Policy) > 策略元素 (Policy Elements) > 条件 (Conditions) > 时间和日期 (Time and Date) > 添加 (Add)

步骤 2

在字段中输入适当的值。

  • 在 Standard Settings 区域中,指定提供访问的时间和日期。

  • 在 Exceptions 区域中,指定限制访问的时间和日期。

步骤 3

点击提交 (Submit)


在授权策略中使用 IPv6 条件属性

思科 ISE 可以检测、管理和保护来自终端的 IPv6 流量。

当一个支持 IPv6 的终端连接至思科 ISE 网络时,它通过 IPv6 网络与 NAD 通信。NAD 通过 IPv4 网络将来自终端的计费和分析信息(包括 IPv6 值)发送至思科 ISE。您可以使用规则条件中的 IPv6 属性在思科 ISE 中配置授权配置文件和策略,以处理来自支持 IPv6 终端的这些请求,并且确保终端合规。

您可以在 IPv6 前缀和 IPv6 接口值中使用通配符。例如:2001:db8:1234::/48。

支持的 IPv6 地址格式包括:

  • 完整表示法:冒号分隔的八组四个十六进制数字。例如,2001:0db8:85a3:0000:0000:8a2e:0370:7334

  • 缩短表示法:去除组中的前导零;使用两个连续的冒号替换零值组。例如:2001:db8:85a3::8a2e:370:7334

  • 点分四组表示法(IPv4 映射和兼容 IPv4 的 Ipv6 地址):例如,::ffff:192.0.2.128

支持的 IPv6 属性包括:

  • NAS-IPv6-Address

  • Framed-Interface-Id

  • Framed-IPv6-Prefix

  • Login-IPv6-Host

  • Framed-IPv6-Route

  • Framed-IPv6-Pool

  • Delegated-IPv6-Prefix

  • Framed-IPv6-Address

  • DNS-Server-IPv6-Address

  • Route-IPv6-Information

  • Delegated-IPv6-Prefix-Pool

  • Stateful-IPv6-Address-Pool

下表列出了受支持的思科属性-值对及其等效 IETF 属性:

思科属性值对

IETF 属性

ipv6:addrv6=<ipv6 address>

Framed-ipv6-Address

ipv6:stateful-ipv6-address-pool=<name>

Stateful-IPv6-Address-Pool

ipv6:delegated-ipv6-pool=<name>

Delegated-IPv6-Prefix-Pool

ipv6:ipv6-dns-servers-addr=<ipv6 address>

DNS-Server-IPv6-Address

RADIUS 实时日志页面、RADIUS 身份验证报告、RADIUS 记账报告、当前活动会话报告、RADIUS 错误报告、错误配置的 NAS 报告、EPS 审核报告、和错误配置的请求方客户端报告均支持 IPv6 地址。您可以从 RADIUS 实时日志页面或通过任何这些报告查看有关这些会话的详细信息。您可以根据 IPv4、IPv6 或 MAC 地址来过滤记录。



如果将一个 Android 设备连接至支持 IPv6 的 DHCPv6 网络,它从 DHCP 服务器仅接收本地链路 IPv6 地址。因此,全局 IPv6 地址不在实时日志和终端页面(管理 (Administration) > 身份管理 (Identity Management) > 身份 (Identities) > 终端 (Endpoints))中显示。


以下步骤描述了如何在授权策略中配置 IPv6 属性。

开始之前

确保在您的部署中网络接入设备 (NAD) 支持具备 IPv6 的 AAA。有关如何在 NAD 上启用 AAA IPv6 支持的信息,请参阅 AAA IPv6 支持

过程


步骤 1

选择 策略 (Policy) > 授权 (Authorization) > 标准 (Standard)

步骤 2

点击最右侧的向下箭头并选择在上面插入新规则 (Insert New Rule Above)在下面插入新规则 (Insert New Rule Below)

步骤 3

输入规则名称并指定条件。

从 RADIUS 字典中选择 RADIUS IPv6 属性、运算符和值。

步骤 4

点击完成 (Done)


用于身份验证的协议设置

必须先在思科 ISE 中定义全局协议设置,然后才能使用这些协议创建、保存和实施策略集以处理身份验证请求。您可以使用 Protocol Settings 页面为 Extensible Authentication Protocol-Flexible Authentication via Secure Tunneling (EAP-FAST)、Extensible Authentication Protocol-Transport Layer Security (EAP-TLS) 和 Protected Extensible Authentication Protocol (PEAP) 协议定义全局选项,这些协议可以与网络中的其他设备进行通信。

支持的身份验证协议

以下是您在定义身份验证策略时可以选择的协议的列表:

  • 密码身份验证协议 (PAP)

  • 受保护的可扩展身份验证协议 (PEAP)

  • Microsoft 质询握手身份验证协议版本 2 (MS-CHAPv2)

  • 可扩展身份验证协议消息摘要 5 (EAP-MD5)

  • 可扩展身份验证协议-传输层安全 (EAP-TLS)

  • 可扩展身份验证协议-通过安全隧道的灵活身份验证 (EAP-FAST)

  • 受保护的可扩展身份验证协议-传输层安全 (PEAP-TLS)

将 EAP-FAST 用作身份验证协议的指南

将 EAP-FAST 用作身份验证协议时,请遵循以下规定:

  • 在经过身份验证的调配中启用 EAP-FAST 接受客户端证书时,强烈建议启用 EAP-TLS 内部方法。经过身份验证的调配中的 EAP-FAST 接受客户端证书不是一个单独的身份验证方法,而是一种更简短的客户端证书身份验证形式,它使用相同的证书凭证类型来对用户进行身份验证,但是不需要运行内部方法。

  • 经过身份验证的调配中的接受客户端证书适用于无 PAC 完全握手和经过身份验证的 PAC 调配。它不适用于无 PAC 会话恢复、匿名 PAC 调配和基于 PAC 的身份验证。

  • EAP 属性按身份显示(所以在 EAP 链中会显示两次),即使身份验证按照不同的顺序进行,在监控工具的身份验证详细信息中仍然会按照先用户后设备的顺序显示。

  • 当使用 EAP-FAST 授权 PAC 时,实时日志中显示的 EAP 身份验证方法等于用于完全身份验证(如在 PEAP 中)而非用于查找的身份验证方法。

  • 在 EAP 链接模式中,当隧道 PAC 到期,然后 ISE 退回调配且 AC 请求用户和设备授权 PAC 时 - 无法调配设备授权 PAC。当 AC 请求时,它将在后续基于 PAC 的身份验证对话中进行调配。

  • 当为链接配置思科 ISE 并且为单一模式配置 AC 时,则 AC 使用身份类型 TLV 向 ISE 做出响应。但是,第二个身份的身份验证会失败。您可以通过此对话看到客户端适合执行链接,但当前未为单一模式执行配置。

  • 思科 ISE 支持在仅适用于 AD 的 EAP-FAST 链中检索设备和用户的属性与组。对于 LDAP 和内部数据库,ISE 仅使用最后的身份属性。



如果 EAP-FAST 身份验证协议用于 High Sierra、Mojave 或 Catalina MAC OSX 设备,可能会看到“EAP-FAST 加密绑定验证失败”(EAP-FAST cryptobinding verification failed) 消息。我们建议您配置“允许的协议”(Allowed Protocols) 页面中的“首选 EAP 协议”(Preferred EAP Protocol) 字段,以使这些 MAC OSX 设备使用 PEAP 或 EAP-TLS 而非 EAP-FAST。


配置 EAP-FAST 设置

开始之前

要执行以下任务,您必须是超级管理员或系统管理员。

过程


步骤 1

选择管理 (Administration) > 系统 (System) > 设置 (Settings) > 协议 (Protocols) > EAP-FAST > EAP Fast 设置 (EAP Fast Settings)

步骤 2

按需输入详细信息,定义 EAP-FAST 协议。

步骤 3

如果要调用以前生成的所有主密钥和 PAC,请点击撤销 (Revoke)

步骤 4

点击 Save,保存 EAP-FAST 设置。


为 EAP-FAST 生成 PAC

您可以使用思科 ISE 中的 Generate PAC 选项为 EAP-FAST 协议生成隧道或计算机 PAC。

开始之前

要执行以下任务,您必须是超级管理员或系统管理员。

过程


步骤 1

选择管理 (Administration) > 系统 (System) > 设置 (Settings)

步骤 2

从左侧的 Settings 导航窗格中,点击 Protocols

步骤 3

选择 EAP-FAST > 生成 PAC (Generate PAC)

步骤 4

根据需要输入用于为 EAP-FAST 协议生成计算机 PAC 的详细信息。

步骤 5

点击 Generate PAC


EAP-FAST 设置

表 2. 配置 EAP-FAST 设置

字段名称

使用指南

Authority Identity Info Description

输入用于说明向客户端发送凭证的思科 ISE 节点的用户友好字符串。客户端可以在类型、长度和值 (TLV) 的受保护访问凭证 (PAC) 信息中发现此字符串。默认值为 Identity Services Engine。

Master Key Generation Period

指定主键生成期(以秒、分钟、小时、天或周为单位)。值必须是范围在 1 至 2147040000 秒内的正整数。默认值为 604800 秒,相当于一周。

Revoke all master keys and PACs

点击“撤销”(Revoke) 可撤销所有主键和 PAC。

Enable PAC-less Session Resume

如果您要在没有 PAC 文件的情况下使用 EAP-FAST,请选中此复选框。

PAC-less Session Timeout

指定无 PAC 会话恢复超时的时间(以秒为单位)。默认值为 7200 秒。

PAC 设置

下表介绍“生成 PAC”(Generate PAC) 窗口上的字段,您可以使用此窗口为 EAP-FAST 身份验证配置受保护的访问凭证。此页面的导航路径为:要查看此处窗口,请单击菜单图标 (),然后选择 管理 (Administration) > 系统 (System) > 设置 (Settings) > 协议 (Protocols) > EAP-FAST > 生成 (Generate PAC)
表 3. 为 EAP-FAST 设置生成 PAC
字段名称 使用指南

Tunnel PAC

点击此单选按钮生成隧道 PAC。

Machine PAC

点击此单选按钮生成设备 PAC。

Trustsec PAC

点击此单选按钮生成 Trustsec PAC。

Identity

(针对 Tunnel 和 Machine PAC)指定 EAP-FAST 协议显示为“内部用户名”的用户名或设备名称。如果身份字符串与该用户名不匹配,则身份验证失败。

这是主机定义在自适应安全设备 (ASA) 上定义的主机名。身份字符串必须与 ASA 主机名匹配,否则 ASA 无法导入生成的 PAC 文件。

如果生成的是 Trustsec PAC,则 Identity 字段指定 Trustsec 网络设备的设备 ID 并且由 EAP-FAST 协议提供发起方 ID。如果在此处输入的 Identity 字符串与该设备 ID 不匹配,则身份验证失败。

PAC Time to Live

(对于隧道和设备 PAC)请以秒为单位输入 PAC 的到期时间。默认值为 604800 秒,相当于一周。该值必须是介于 1 和 157680000 秒之间的正整数。对于 Trustsec PAC,请以天、周、月或年为单位输入一个值。默认情况下,该值为一年。最小值为一天,最大值为 10 年。

Encryption Key

输入加密密钥。密钥的长度必须介于 8 和 256 个字符之间。密钥可以包含大写或小写字母或数字,或字母数字字符的组合。

Expiration Data

(仅对于 Trustsec PAC)到期日期根据 PAC Time to Live 计算。

配置 EAP-TLS 设置

开始之前

要执行以下任务,您必须是超级管理员或系统管理员。

过程


步骤 1

选择管理 (Administration) > 系统 (System) > 设置 (Settings) > 协议 (Protocols) > EAP-TLS

步骤 2

根据需要输入详细信息可定义 EAP-TLS 协议。

步骤 3

点击 Save 保存 EAP-TLS 设置。


配置 PEAP 设置

开始之前

要执行以下任务,您必须是超级管理员或系统管理员。

过程


步骤 1

选择管理 (Administration) > 系统 (System) > 设置 (Settings)

步骤 2

从左侧的 Settings 导航窗格中,点击 Protocols

步骤 3

选择 PEAP

步骤 4

根据需要,输入详细信息以定义 PEAP 协议。

步骤 5

点击 Save 以保存 PEAP 设置。


配置 RADIUS 设置

您可以配置 RADIUS 设置,以检测未能通过身份验证的客户端,并禁止重复报告成功的身份验证。

过程


步骤 1

选择管理 (Administration) > 系统 (System) > 设置 (Settings)

步骤 2

在 Settings 导航窗格中,点击 Protocols

步骤 3

选择 RADIUS

步骤 4

输入定义 RADIUS 设置所需的详细信息。

步骤 5

点击保存,保存设置。


RADIUS 设置

当您启用异常客户端抑制并且在配置的检测间隔内终端身份验证失败两次时,思科 ISE 会将请求方标识为配置错误并抑制由于相同失败原因导致的失败身份验证。您可以通过在 Live Authentications 页面点击 Misconfigured Supplicant Counter 链接,找到关于此抑制功能的更多详细信息。如果从受抑制的终端成功完成身份验证,则会清除此抑制,而且会降低 Live Authentications 页面上 Misconfigured Supplicant Counter 的值。此外,如果在六小时的时间内受抑制终端没有任何身份验证活动,系统会自动清除抑制。

思科 ISE 允许通过启用 Reject Requests After Detection 选项,实施强抑制。如果您选中 Reject Requests After Detection 复选框,并且终端身份验证因同一失败原因失败五次,思科 ISE 就会激活强抑制。所有后续的身份验证,无论成功与否,都会被抑制,所以不会进行身份验证。经过所配置的 Request Rejection Interval 间隔或终端无身份验证活动达六小时后,系统会清除“强”抑制。



如果配置 RADIUS 失败抑制,则在配置 RADIUS 日志抑制后,仍可能会收到错误“5440 终端已放弃会话并启动了新会话”(5440 Endpoint Abandoned EAP Session and started a new one)。有关详细信息,请参阅以下思科 ISE 社区帖子:

https://community.cisco.com/t5/network-access-control/authentication-failed-quot-5440-endpoint-abandoned-eap-session/td-p/3191944


表 4. RADIUS 设置

字段名称

使用指南

切记

 
  • 如果选中抑制重复失败的客户端 (Suppress Repeated Failed Clients) 复选框,并且在检测两次失败的时间范围 (Detect Two Failures Within) 指定的时间发生两次故障,则终端被视为配置错误。配置错误的终端需要管理员的干预才能确保身份验证成功。当终端首次身份验证失败时,管理员的控制面板中会显示相关信息。具有相同原因的后续身份验证失败不包含任何添加的管理员信息。因此,在报告失败次数 (Report Failures Once Every) 字段中指定的持续时间内,由于特定原因,终端的身份验证重复失败不会在审核日志中报告。

    报告失败次数间隔 (Report Failures Once Every) 字段中指定的持续时间过后,有关错误配置的终端的 TotalFailedAttemptsTotalFailedTime 信息将报告给监控节点。
  • 如果选中抑制重复失败的客户端 (Suppress Repeated Failed Clients) 复选框,并且在检测两次失败的时间范围 (Detect Two Failures Within) 中指定的时间发生两次故障,则在审核日志中将失败的终端身份验证尝试报告为单独的实例,即使身份验证的原因是故障保持不变。

  • 思科 ISE 允许终端执行多个具有不同故障原因的连续故障,因为终端可以具有各种请求方配置文件。因此,如果终端由于不同的失败原因多次进行身份验证,则思科 ISE 会单独计算每个失败原因。

Suppress Anomalous Clients

选中此复选框以检查身份验证重复失败的客户端。每经过一个 Reporting Interval 间隔,系统会报告失败身份验证摘要。

Detection Interval

以分钟为单位输入检测客户端的时间间隔。

Reporting Interval

以分钟为单位输入报告失败身份验证的时间间隔。

Reject Requests After Detection

选中此复选框以拒绝来自被识别为异常或配置错误的客户端的请求。在请求拒绝间隔期间,系统会拒绝来自异常客户端的请求。

切记

 
  • 如果选中拒绝重复失败客户端的 RADIUS 请求 (Reject RADIUS Requests from Clients with Repeated Failures) 复选框,并且终端遇到的身份验证失败次数等于自动拒绝前的失败次数 (Failures Prior to Automatic Rejection) 字段中提到的次数,则终端将被视为配置错误并被拒绝。思科 ISE 将立即拒绝包含来自此终端的身份验证请求的第一个 RADIUS 消息,因此不允许终端完成身份验证。不会为终端生成审核日志。终端在持续拒绝请求的时长 (Continue Rejecting Requests for) 字段中指定的持续时间内保持拒绝状态。终端可以在继续拒绝请求 (Continue Rejecting Requests for) 中指定的持续时间后发送身份验证请求,并且如果身份验证成功,则会配置终端。

  • 您可以在情景可视性 (Context Visibility)情景可视性 (Context Visibility) > 终端 (Endpoints))页面中查看和放行被拒绝的终端。选择被拒绝的终端,然后点击释放已拒绝 (Release Rejected) 以释放被拒绝的终端。被释放终端的审计日志将被发送到监控节点。

  • 如果被错误配置的端点在六小时内没有任何活动,它将不再被视为被错误配置。

Request Rejection Interval

以分钟为单位输入拒绝请求的时间间隔。此选项仅在已选择在检测后拒绝请求 (Reject Requests After Detection) 复选框时可用。

Suppress Repeated Successful Authentications

选中此复选框以防重复报告前 24 小时内在身份情景、网络设备和授权方面没有变更的成功身份验证。

Accounting Suppression Interval

以秒为单位输入抑制记帐请求报告的时间间隔。

Long Processing Step Threshold Interval

以毫秒为单位输入时间间隔。身份验证详细信息报告中会显示这些步骤。如果单个步骤的执行超出指定阈值,则在身份验证详细报告中会突出显示此步骤。

RADIUS UDP 端口

配置安全设置

执行以下程序以配置安全设置。

过程


步骤 1

选择管理 (Administration) > 系统 (System) > 设置 (Settings) > 协议 (Protocols) > 安全设置 (Security Settings)

步骤 2

安全设置 窗口中,选择所需的选项:

  • Allow TLS 1.0 (允许 TLS 1.0):在以下工作流程中允许 TLS 1.0 用于与以下传统对等体通信:

    • 思科 ISE 配置为 EAP 服务器

    • 思科 ISE 从 HTTPS 或安全 LDAP 服务器下载 CRL

    • 思科 ISE 配置为安全 TCP 系统日志客户端

    • 思科 ISE 配置为安全 LDAP 客户端

    • 思科 ISE 配置为 ERS 服务器

    还允许使用 TLS 1.0 与以下思科 ISE 组件通信:

    • 所有门户

    • 证书颁发机构

    • MDM 客户端

    • pxGrid

    • PassiveID 代理

     

    我们建议客户端和服务器协商使用更高版本的 TLS,以增强安全性。

  • Allow TLS 1.1 (允许 TLS 1.1):在以下工作流程中允许 TLS 1.1 用于与以下传统对等体通信:

    • 思科 ISE 配置为 EAP 服务器

    • 思科 ISE 从 HTTPS 或安全 LDAP 服务器下载 CRL

    • 思科 ISE 配置为安全 TCP 系统日志客户端

    • 思科 ISE 配置为安全 LDAP 客户端

    • 思科 ISE 配置为 ERS 服务器

    还允许使用 TLS 1.1 与以下思科 ISE 组件通信:

    • 所有门户

    • 证书颁发机构

    • 外部 RESTful 服务 (ERS)

    • MDM 客户端

    • pxGrid

     

    我们建议客户端和服务器协商使用更高版本的 TLS,以增强安全性。

  • 允许 SHA-1 密码:在以下工作流程中允许 SHA-1 密码用于与对等体通信:

    • 思科 ISE 配置为 EAP 服务器

    • 思科 ISE 配置为 RADIUS DTLS 服务器

    • 思科 ISE 配置为 RADIUS DTLS 客户端

    • 思科 ISE 从 HTTPS 或安全 LDAP 服务器下载 CRL

    • 思科 ISE 配置为安全系统日志客户端

    • 思科 ISE 配置为安全 LDAP 客户端

    还允许使用 SHA-1 密码与以下思科 ISE 组件通信:

    • 管理员访问 UI

    • 所有门户

    • ERS

    • pxGrid

    • 管理员访问权限:443

    • 思科 ISE 门户:9002、8443、8444、8445、8449

    • ERS:9060、9061、9063

    • pxGrid:8910

     

    默认情况下该选项处于禁用状态。

    启用或禁用 允许 SHA-1 密码 选项后,必须重新启动部署中的所有节点。如果重新启动不成功,则不会应用配置更改。在这种情况下,必须使用以下命令手动重新启动所有节点:

    application stop iseapplication start ise

     

    我们建议使用 SHA-256 或 SHA-384 密码以增强安全性。

  • 允许 ECDHE-RSA 密码 (Allow ECDHE-RSA Ciphers):在以下工作流程中允许 ECDHE-RSA 密码用于与对等体通信:

    • 思科 ISE 配置为 EAP 服务器

    • 思科 ISE 配置为 RADIUS DTLS 服务器

    • 思科 ISE 配置为 RADIUS DTLS 客户端

    • 思科 ISE 从 HTTPS 或安全 LDAP 服务器下载 CRL

    • 思科 ISE 配置为安全系统日志客户端

    • 思科 ISE 配置为安全 LDAP 客户端

  • 允许 3DES 密码 (Allow 3DES Ciphers):在以下工作流程中允许 3DES 密码用于与对等体通信:

    • 思科 ISE 配置为 EAP 服务器

    • 思科 ISE 配置为 RADIUS DTLS 服务器

    • 思科 ISE 配置为 RADIUS DTLS 客户端

    • 思科 ISE 从 HTTPS 或安全 LDAP 服务器下载 CRL

    • 思科 ISE 配置为安全系统日志客户端

    • 思科 ISE 配置为安全 LDAP 客户端

  • 接受证书而不验证目的 (Accept Certificates without Validating Purpose):当思科 ISE 作为 EAP 或 RADIUS DTLS 服务器时,将接受客户端证书而无需检查是否:

    • “密钥使用”(Key Usage) 扩展包含 ECDHE-ECDSA 密码的 keyAgreement 或其他密码的 keyEncipherment。

    • “扩展密钥使用”(Extended Key Usage) 属性值为 ClientAuth

    禁用此选项后,思科 ISE 将验证所有客户端证书的用途。只有满足以下条件之一,证书才会被视为有效:

    • 如果“扩展密钥使用”(Extended Key Usage) 属性没有值:

      • 如果 cipherGroup 是 ECDHE-ECDSA,则密钥使用扩展必须包含 KeyAgreement 值。

      • 如果 cipherGroup 不是 ECDHE-ECDSA,则 Key Usage 扩展必须包含 keyEncipherment 和 digitalSignature 值。

    • 如果“扩展密钥使用”(Extended Key Usage) 属性值为 ClientAuth:

      • 如果 cipherGroup 是 ECDHE-ECDSA,则密钥使用扩展必须包含 KeyAgreement 值。

      • 如果 cipherGroup 不是 ECDHE-ECDSA,则 Key Usage 扩展必须包含 keyEncipherment 和 digitalSignature 值。

    如果不满足上述条件,证书验证将失败。

  • 允许 DSS 密码用于作为客户端的 ISE:当思科 ISE 充当客户端时,在以下工作流程中允许使用 DSS 密码与服务器通信:

    • 思科 ISE 配置为 RADIUS DTLS 客户端

    • 思科 ISE 从 HTTPS 或安全 LDAP 服务器下载 CRL

    • 思科 ISE 配置为安全系统日志客户端

    • 思科 ISE 配置为安全 LDAP 客户端

  • 允许传统的不安全 TLS 重新协商用于作为客户端的 ISE (Allow Legacy Unsafe TLS Renegotiation for ISE as a Client):在以下工作流程中允许与不支持安全 TLS 重新协商的传统 TLS 服务器通信:

    • 思科 ISE 从 HTTPS 或安全 LDAP 服务器下载 CRL

    • 思科 ISE 配置为安全系统日志客户端

    • 思科 ISE 配置为安全 LDAP 客户端

步骤 3

点击保存 (Save)


思科 ISE 中的 RADIUS 协议支持

RADIUS 是一个客户端/服务器协议,通过该协议,远程访问服务器与中央服务器发生通信,对拨入用户进行身份验证,并对拨入用户所请求的系统或服务的访问进行授权。您可以在所有远程服务器可共享的中央数据库中使用 RADIUS 维护用户配置文件。此协议提供更高的安全性,并且您可以使用它来设置策略以应用于单个管理的网络点。

RADIUS 还可以在思科 ISE 中用作 RADIUS 客户端以代理远程 RADIUS 服务器的请求,并且它还可在活动会话期间提供授权更改 (CoA)。

思科 ISE 依据 RFC 2865 对 RADIUS 协议流程提供支持,并广泛支持所有 RADIUS 常规属性(如 RFC 2865 及其扩展中所描述)。思科 ISE 支持仅解析在思科 ISE 字典中定义的供应商特定属性。

RADIUS 接口支持下述在 RFC 2865 中定义的属性数据类型:

  • 文本(Unicode 转换格式 [UTF])

  • 字符串(二进制)

  • 地址 (IP)

  • 整数

  • 时间

允许的协议

下表介绍允许的协议 (Allowed Protocols) 窗口中的字段,您可以使用此窗口配置身份验证过程中要使用的协议。导航路径为: 策略 (Policy) > 策略元素 (Policy Elements) > 结果 (Results) > 身份验证 (Authentication) > 允许协议 (Allowed Protocols)

表 5. 允许的协议

字段名称

使用指南

允许的协议 > 身份验证旁路

流程主机查找

如果希望思科 ISE 处理主机查询请求,请选中此复选框。当 RADIUS 服务类型等于 10 (呼叫-检查)且用户名等于呼叫 - 站 - ID 时,对于 PAP/CHAP 协议,会对主机查询请求进行处理。当服务类型等于 1(框到的)且用户名等于呼叫 - 站 - ID 时,对于 EAP-MD5 协议,会对主机查询请求进行处理。如果您希望思科 ISE 忽略主机查找请求并使用系统用户名属性的原始值进行身份验证,请取消选中此复选框。当取消选中时,系统会根据协议(例如 PAP)进行消息处理。

 

禁用此选项可能会导致现有 MAB 身份验证失败。

允许的协议 > 身份验证协议

Allow PAP/ASCII

此选项可启用 PAP/ASCII。PAP 使用明文密码(即,未加密的密码),并且是最不安全的身份验证协议。

“允许 CHAP”(Allow CHAP)

此选项可启用 CHAP 身份验证。CHAP 使用带有密码加密的质询-响应机制。CHAP 不适用于 Microsoft Active Directory。

“允许 MS-CHAPv1”(Allow MS-CHAPv1)

选中此复选框可启用 MS-CHAPv1。

“允许 MS-CHAPv2”(Allow MS-CHAPv2)

选中此复选框可启用 MS-CHAPv2。

“允许 EAP-MD5”(Allow EAP-MD5)

选中此复选框可启用基于 EAP 的 MD5 密码散列身份验证。

“允许 EAP-TLS”(Allow EAP-TLS)

选中此复选框可启用 EAP-TLS 身份验证协议并配置 EAP-TLS 设置。您可以指定思科 ISE 将如何按照来自最终用户客户端的 EAP 身份响应中的说明对用户身份进行验证。用户身份根据最终用户客户端提供的证书中的信息进行验证。在思科 ISE 与最终用户客户端之间建立 EAP-TLS 隧道后,会发生此比较。

 

EAP-TLS 是基于证书的身份验证协议。仅在您已完成配置证书的所需步骤后,才能发生 EAP-TLS 身份验证。

  • 在授权策略中允许过期证书的身份验证以允许证书续订 (Allow authentication of expired certificates to allow certificate renewal in Authorization Policy) 复选框:如果要允许用户续订证书,请选中此复选框。如果选中此复选框,请确保配置相应的授权策略规则,以检查在进一步处理请求之前是否已更新证书。

“允许 LEAP”(Allow LEAP)

选中此复选框可启用轻量级可扩展身份验证协议 (LEAP) 身份验证。

“允许 PEAP”(Allow PEAP)

选中此复选框可启用 PEAP 身份验证协议和 PEAP 设置。默认内部方法为 MS-CHAPv2。

当选中“允许 PEAP”(Allow PEAP) 复选框时,您可以配置以下 PEAP 内部方法:

  • 允许 EAP-MS-CHAPv2 (Allow EAP-MS-CHAPv2):选中此复选框可使用 EAP-MS-CHAPv2 作为内部方法。

    • 允许密码更改 (Allow Password Change):选中此复选框可使思科 ISE 支持密码更改。

    • 重试尝试数 (Retry Attempts):指定思科 ISE 在显示登录失败之前请求用户凭证的次数。有效值为 0 至 3。

  • 允许 EAP-GTC (Allow EAP-GTC):选中此复选框可使用 EAP-GTC 作为内部方法。

    • 允许密码更改 (Allow Password Change):选中此复选框可使思科 ISE 支持密码更改。

    • 重试尝试数 (Retry Attempts):指定思科 ISE 在显示登录失败之前请求用户凭证的次数。有效范围为 0 到 3。

  • 允许 EAP-TLS (Allow EAP-TLS):选中此复选框可使用 EAP-TLS 作为内部方法。

    如果要允许用户更新证书,请选中允许过期证书的身份验证以允许身份验证策略中的证书更新 (Allow authentication of expired certificates to allow certificate renewal in Authorization Policy) 复选框。如果选中此复选框,请确保配置相应的授权策略规则,以检查在进一步处理请求之前是否已更新证书。

  • 仅对传统客户端允许 PEAPv0 (Allow PEAPv0 Only for Legacy Clients):选中此复选框可允许 PEAP 请求方使用 PEAPv0 进行协商。某些传统客户端不符合 PEAPv1 协议标准。要确保不丢弃此类 PEAP 对话,请选中此复选框。

“允许 EAP-FAST”(Allow EAP-FAST)

选中此复选框可启用 EAP-FAST 身份验证协议和 EAP-FAST 设置。EAP-FAST 协议可以在同一服务器上支持多个内部协议。默认内部方法为 MS-CHAPv2。

当选中“允许 EAP-FAST”(Allow EAP-FAST) 复选框时,您可以将 EAP-FAST 配置为内部方法:

  • “允许 EAP-MS-CHAPv2”(Allow EAP-MS-CHAPv2)

    • 允许密码更改 (Allow Password Change):选中此复选框可使思科 ISE 支持密码更改。

    • 重试尝试数 (Retry Attempts):指定思科 ISE 在显示登录失败之前请求用户凭证的次数。有效值为 0 至 3。

  • Allow EAP-GTC

    允许密码更改 (Allow Password Change):选中此复选框可使思科 ISE 支持密码更改。

    重试尝试数 (Retry Attempts):指定思科 ISE 在显示登录失败之前请求用户凭证的次数。有效值为 0 至 3。

  • 使用 PAC (Use PACs):选中此选项可配置思科 ISE 以便为 EAP-FAST 客户端调配授权受保护访问凭证 (PAC)。系统显示其他 PAC 选项。

  • 不使用 PAC (Don't Use PACs):选择此选项可配置思科 ISE 以使用 EAP-FAST,而不发出或接受任何隧道或计算机 PAC。系统会忽略对 PAC 的所有请求,并且思科 ISE 会在没有 PAC 的情况下使用 Success-TLV 进行响应。

    当选择此选项时,您可以将思科 ISE 配置为执行计算机身份验证。

  • 允许 EAP-TLS (Allow EAP-TLS):选中此复选框可使用 EAP-TLS 作为内部方法。

    如果要允许用户更新证书,请选中允许过期证书的身份验证以允许身份验证策略中的证书更新 (Allow authentication of expired certificates to allow certificate renewal in Authorization Policy) 复选框。如果选中此复选框,请确保配置相应的授权策略规则,以检查在进一步处理请求之前是否已更新证书。

  • 启用 EAP 链接 (Enable EAP Chaining):选中此复选框可启用 EAP 链接。

    EAP 链接允许思科 ISE 将用户和计算机身份验证的结果相关联,并且使用 EAPChainingResult 属性应用相应的授权策略。

    EAP 链接要求请求方在客户端设备上支持 EAP 链接。选择请求方中的“用户和计算机身份验证”(User and Machine Authentication) 选项。

    当选择 EAP-FAST 协议(二者均处于基于 PAC 的模式和无 PAC 模式下)时,EAP 链接可用。

    对于基于 PAC 的身份验证,您可以使用用户授权 PAC 和/或计算机授权 PAC 跳过内部方法。

    对于基于证书的身份验证,如果您为 EAP-FAST 协议启用“接受客户端调配证书”(Accept Client Certificate for Provisioning) 选项(在允许的协议服务中),并且如果终端 (AnyConnect) 配置为在隧道内发送用户证书,则在隧道建立过程中,ISE 会使用证书对用户进行身份验证(跳过内部方法),而计算机身份验证会通过内部方法来完成。如果未配置这些选项,则 EAP-TLS 会用作用于进行用户身份验证的内部方法。

    在您启用 EAP 链接后,使用 NetworkAccess:EapChainingResult 属性更新授权策略并添加条件,然后分配相应的权限。

Preferred EAP Protocol

选中此复选框可从以下任一选项中选择首选 EAP 协议:EAP-FAST、PEAP、LEAP、EAP-TLS、EAP-TTLS 和 EAP-MD5。如果没有指定首选协议,则默认情况下使用 EAP - TLS。

允许 5G

选中此复选框以在思科 ISE 上启用思科私人 5G。

 

在思科 ISE 中启用 5G 即服务 (5GaaS) 之前,您必须已在网络中部署思科专用 5G

PAC 选项

下表介绍了在允许协议服务列表 (Allowed Protocols Services List) 窗口中选择了“使用 PAC”(Use PACs) 后显示的字段。此页面的导航路径为: 策略 (Policy) > 策略元素 (Policy Elements) > 结果 (Results) > 身份验证 (Authentication) > 允许协议 (Allowed Protocols)

表 6. PAC 选项

字段名称

使用指南

使用 PAC (Use PAC)

  • “隧道 PAC 存活时间”(Tunnel PAC Time To Live):存活时间 (TTL) 值限制 PAC 的生存期。指定生存期值和单位。默认值为 90 天。时间范围为 1 至 1825 天。

  • “当剩下 <n%> 的 PAC TTL 时主动进行 PAC 更新”(Proactive PAC Update When: <n%> of PAC TTL is Left):更新值确保客户端拥有有效的 PAC。首次成功通过身份验证后,但在 TTL 设置的到期时间前,思科 ISE 启动更新。更新值是指 TTL 中的剩余时间百分比。默认为 90%。

  • “允许匿名带内 PAC 调配”(Allow Anonymous In-band PAC Provisioning):选中此复选框,使思科 ISE 与客户端建立安全的匿名 TLS 握手,并使用 EAP-FAST 的零阶段和 EAP-MSCHAPv2,通过 PAC 调配客户端。要启用匿名 PAC 调配,必须选择这两种内部方法:EAP-MSCHAPv2 和 EAP-GTC。

  • “允许经验证的带内 PAC 调配 ”(Allow Authenticated In-band PAC Provisioning):思科 ISE 使用 SSL 服务器侧身份验证,在 EAP-FAST 的零阶段期间通过 PAC 调配客户端。此选项比匿名调配的安全性更高,但要求在思科 ISE 上安装服务器证书和受信任的根 CA。

    如果您选中此选项,可将思科 ISE 配置为在成功对 PAC 调配进行身份验证后将 Access-Accept 消息传送至客户端。

    • “服务器在对调配进行身份验证后返回 Access-Accept 消息”(Server Returns Access Accept After Authenticated Provisioning):如果希望思科 ISE 在成功对 PAC 调配进行身份验证后传送 Access-Accept 消息,请选中此复选框。

  • “允许机器身份验证”(Allow Machine Authentication):选中此复选框,使思科 ISE 使用计算机 PAC 调配最终用户客户端,并执行计算机身份验证(适用于没有计算机凭证的最终用户客户端)。可以通过请求(频内)或管理员(频外)将计算机 PAC 调配至客户端。当思科 ISE 收到最终用户客户端发送的有效计算机 PAC 时,会从 PAC 提取计算机身份详细信息,并在思科 ISE 外部身份源中进行验证。思科 ISE 只支持 Active Directory 作为计算机身份验证的外部身份源。正确验证这些详细信息后,不会再执行进一步的身份验证。

    如果您选中此选项,可以输入接受使用计算机 PAC 的时间值。当思科 ISE 收到过期的计算机 PAC 时,会自动使用新的计算机 PAC 重新调配最终用户客户端(无需等待最终用户客户端发送新的计算机 PAC 请求)。

  • “启用无状态会话恢复”(Enable Stateless Session Resume):选中此复选框后,思科 ISE 会为 EAP-FAST 客户端调配授权 PAC,并跳过 EAP-FAST 的第二阶段(默认为启用)。

    在下列情况下取消选中此复选框:

    • 如果您不希望思科 ISE 为 EAP-FAST 客户端调配授权 PAC

    • 要始终执行 EAP-FAST 的第二阶段

      如果您选中此选项,可以输入用户授权 PAC 的授权时间段。在此时间段后,PAC 过期。当思科 ISE 收到过期的授权 PAC 时,会执行执行 EAP-FAST 身份验证的第二阶段。

将思科 ISE 用作 RADIUS 代理服务器

思科 ISE 可用作 RADIUS 服务器和 RADIUS 代理服务器。用作代理服务器时,思科 ISE 从网络接入服务器 (NAS) 接受身份验证和记帐请求并将这些请求转发至外部 RADIUS 服务器。思科 ISE 接受请求的结果并将结果返回至 NAS。

思科 ISE 可以同时用作多个外部 RADIUS 服务器的代理服务器。您可以在 RADIUS 服务器序列中使用此处配置的外部 RADIUS 服务器。External RADIUS Server 页面会列出您已在思科 ISE 中定义的所有外部 RADIUS 服务器。您可以使用过滤器选项,根据名称或说明或同时根据名称和说明搜索具体 RADIUS 服务器。在简单身份验证策略和基于规则的身份验证策略中,您都可以使用 RADIUS 服务器序列来代理对 RADIUS 服务器的请求。

RADIUS 服务器序列从 RADIUS-Username 属性删除域名以进行 RADIUS 身份验证。这种域名删除操作不适用于使用 EAP-Identity 属性的 EAP 身份验证。RADIUS 代理服务器从 RADIUS-Username 属性获取用户名并从您配置 RADIUS 服务器序列时指定的字符删除用户名。对于 EAP 身份验证,RADIUS 代理服务器从 EAP-Identity 属性获取用户名。只有在 EAP-Identity 和 RADIUS-Username 值相同时,使用 RADIUS 服务器序列的 EAP 身份验证才会成功。

配置外部 RADIUS 服务器

您必须在思科 ISE 中配置外部 RADIUS 服务器,使其向外部 RADIUS 服务器转发请求。您可以定义超时时间和连接尝试的次数。

开始之前
  • 您无法单独使用您在本节中创建的外部 RADIUS 服务器,而必须创建 RADIUS 服务器序列并将其配置为使用您在本节创建的 RADIUS 服务器。然后,您就可以在身份验证策略中使用 RADIUS 服务器序列。

  • 要执行以下任务,您必须是超级管理员或系统管理员。

过程

步骤 1

选择 管理 (Administration) > 网络资源 (Network Resources) > 外部 RADIUS 服务器 (External RADIUS Servers)

系统将显示 RADIUS Servers 页面,其中包含已在思科 ISE 中定义的外部 RADIUS 服务器的列表。

步骤 2

点击 Add 以添加外部 RADIUS 服务器。

步骤 3

根据要求输入相应值。

步骤 4

点击 Submit 以保存外部 RADIUS 服务器配置。


定义 RADIUS 服务器序列

思科 ISE 中的 RADIUS 服务器序列允许您将 NAD 发送的请求代理到外部 RADIUS 服务器,此外部 RADIUS 服务器会处理该请求并将结果返回至思科 ISE,随后思科 ISE 会将响应转发至 NAD。

RADIUS Server Sequences 页面列出您在思科 ISE 中定义的所有 RADIUS 服务器序列。在此页面上,您可以创建、编辑或复制 RADIUS 服务器序列。

开始之前
  • 在开始此程序之前,您应该基本了解代理服务,并且必须成功完成相关链接的第一个条目中的任务。

  • 要执行以下任务,您必须是超级管理员或系统管理员。

过程

步骤 1

选择 管理 (Administration) > 网络资源 (Network Resources) > RADIUS 服务器序列 (RADIUS Server Sequences)

步骤 2

点击 Add

步骤 3

根据要求输入相应值。

步骤 4

点击 Submit 以保存要用于策略的 RADIUS 服务器序列。


网络访问服务

网络访问服务包含请求的身份验证策略条件。可以为不同的使用案例创建单独的网络访问服务,例如,有线 802.1X、有线 MAB 等。要创建网络访问服务,请配置允许的协议或服务器序列。

为网络访问定义允许的协议

允许的协议定义了思科 ISE 可以用于与请求访问网络资源的设备通信的协议集。允许的协议访问服务是一个您应在配置身份验证策略前创建的独立实体。允许的协议访问服务是一个包含特定使用案例的选定协议的对象。

Allowed Protocols Services 页面列出了您创建的所有允许的协议服务。思科 ISE 中预定义了默认网络访问服务。

开始之前

在开始此程序之前,您应该具备用于身份验证的协议服务的基本知识。

  • 请查看本章节中的“思科 ISE 身份验证策略”部分,以了解身份验证类型和各种数据库支持的协议。

  • 查看“PAC 选项”,了解每种协议服务的功能和选项,以便您可以做出适合您的网络的选择。

  • 确保您已定义全局协议设置。

要执行以下任务,您必须是超级管理员或系统管理员。

过程

步骤 1

选择策略 (Policy) > 策略元素 (Policy Elements) > 结果 (Results) > 身份验证 (Authentication) > 允许的协议 (Allowed Protocols)

如果思科 ISE 设置为在 FIPS 模式下运行,则某些协议会在默认情况下处于禁用状态且无法配置。

步骤 2

点击 Add

步骤 3

输入所需信息。

步骤 4

为您的网络选择适当的身份验证协议和选项。

步骤 5

如果您选择使用 PAC,请进行适当的选择。

要启用 Anonymous PAC Provisioning,您必须同时选择以下两个内部方法:EAP-MSCHAPv2 和可扩展身份验证协议-通用令牌卡 (EAP-GTC)。另请注意,思科 ISE 只支持 Active Directory 作为计算机身份验证的外部身份源。

步骤 6

点击 Submit 保存允许的协议服务。

允许的协议服务在简单和基于规则的身份验证策略页面中显示为独立对象。您可以将此对象用于不同的规则。

您现在可以创建简单或基于规则的身份验证策略。

如果禁用 EAP-MSCHAP 作为内部方法并为 PEAP 或 EAP-FAST 启用 EAP-GTC 和 EAP-TLS 内部方法,则 ISE 会在内部方法协商过程中启动 EAP-GTC 内部方法。在第一个 EAP-GTC 消息发送到客户端之前,ISE 会执行身份选择策略以从身份库获取 GTC 密码。在执行此策略的过程中,EAP 身份验证等于 EAP-GTC。如果 EAP-GTC 内部方法被客户端拒绝且 EAP-TLS 已经过协商,则系统不会再次执行身份库策略。如果身份库策略基于 EAP 身份验证属性,则它可能会出现意外结果,因为实时 EAP 身份验证基于 EAP-TLS,但设置于身份策略评估之后。


用户的网络接入

对网络接入,主机会连接至网络设备并且请求使用网络资源。网络设备识别新连接的主机,并且将 RADIUS 协议用作传输机制,向思科 ISE 请求对用户进行身份验证和授权。

思科 ISE 根据基于 RADIUS 协议传输的协议支持网络接入流程。

不使用 EAP 的基于 RADIUS 的协议

不包含 EAP 的基于 RADIUS 的协议包含以下协议:

  • 密码身份验证协议 (PAP)

  • CHAP

  • Microsoft 质询握手身份验证协议版本 1 (MS-CHAPv1)

  • MS-CHAP 版本 2 (MS-CHAPv2)

基于 RADIUS 的非 EAP 身份验证流程

本节介绍不使用 EAP 的基于 RADIUS 的身份验证。使用 PAP 身份验证的基于 RADIUS 的流程按以下程序进行:

  1. 主机连接至网络设备。

  2. 网络设备向思科 ISE 发送包含适用于所用具体协议(PAP、CHAP、MS-CHAPv1 或 MS-CHAPv2)的 RADIUS 属性的 RADIUS 请求。

  3. 思科 ISE 使用身份存储区验证用户凭证。

  4. 思科 ISE 向网络设备发送 RADIUS 响应(Access-Accept 或 Access-Reject),然后网络设备将应用此响应决策。

下图显示不使用 EAP 的基于 RADIUS 的身份验证。

图 5. 不使用 EAP 的基于 RADIUS 的身份验证
不使用 EAP 的基于 RADIUS 的身份验证
思科 ISE 支持的非 EAP 协议如下:
密码身份验证协议

PAP 使用双向握手为用户提供建立其身份的简单方法。PAP 密码使用共享密钥加密,是最简单的身份验证协议。PAP 不是强大的身份验证方法,因为其几乎无法抵御反复试错攻击。

思科 ISE 中基于 RADIUS 的 PAP 身份验证

思科 ISE 根据身份存储区检查用户名和密码对,直到其最终确认身份验证或终止连接。

您可以同时将不同安全级别应用于思科 ISE 以满足不同要求。PAP 使用二次握手过程。如果身份验证成功,思科 ISE 返回确认信息;否则,思科 ISE 将停止连接或向发起方提供第二次机会。

发起方完全控制尝试的频率和计时。因此,可以使用更强的身份验证方法的任意服务器都可以在 PAP 之前主动协商该方法。RFC 1334 定义 PAP。

思科 ISE 支持基于 RADIUS UserPassword 属性的标准 RADIUS PAP 身份验证。RADIUS PAP 身份验证与所有身份存储区都兼容。

RADIUS PAP 身份验证流程包括记录成功和失败的尝试。

质询握手身份验证协议

CHAP 使用质询响应机制,其中会对响应进行单向加密。CHAP 使思科 ISE 可以从最安全的加密机制向下协商到最不安全的加密机制,并且会保护流程中传输的密码。CHAP 密码可重复使用。如果使用思科 ISE 内部数据库进行身份验证,您可以使用 PAP 或 CHAP。CHAP 不适用于 Microsoft 用户数据库。与 RADIUS PAP 相比,CHAP 可在从最终用户客户端到 AAA 客户端的通信期间为密码加密实现更高的安全性。

思科 ISE 支持基于 RADIUS ChapPassword 属性的标准 RADIUS PAP 身份验证。思科 ISE 仅支持使用内部身份库进行 RADIUS CHAP 身份验证。

Microsoft 质询握手身份验证协议版本 1
思科 ISE 支持 RADIUS MS-CHAPv1 身份验证和更改密码功能。RADIUS MS-CHAPv1 包含两个版本的更改密码功能:Change-Password-V1 和 Change-Password-V2。思科 ISE 不支持基于 RADIUS MS-CHAP-CPW-1 属性的 Change-Password-V1,仅支持基于 MS-CHAP-CPW-2 属性的 Change-Password-V2。以下身份源支持 RADIUS MS-CHAPv1 身份验证和更改密码功能:
  • 内部身份库

  • Microsoft Active Directory 身份库

Microsoft 质询握手身份验证协议版本 2
RADIUS MS - CHAPv2 身份验证和更改密码功能受以下身份来源支持:
  • 内部身份库

  • Microsoft Active Directory 身份库

基于 RADIUS 的 EAP 协议

EAP 提供了可扩展的框架,支持各种身份验证类型。本节介绍思科 ISE 支持的 EAP 方法,包含下列主题:

简单的 EAP 方法
  • EAP 消息摘要 5

  • 轻型 EAP

使用思科 ISE 服务器证书进行身份验证的 EAP 方法
  • PEAP/EAP-MS-CHAPv2

  • PEAP/EAP-GTC

  • EAP-FAST/EAP-MS-CHAPv2

  • EAP-FAST/EAP-GTC

除了上面列出的方法,还有使用证书进行服务器和客户端身份验证的 EAP 方法。

基于 RADIUS 的 EAP 身份验证流程

只要身份验证流程中涉及 EAP,则开始此流程之前都要执行 EAP 协商以确定应该使用哪个具体的 EAP 方法(以及在适当的情况下使用内部方法)。基于 EAP 的身份验证按照以下程序进行:

  1. 主机连接至网络设备。

  2. 网络设备向主机发送 EAP 请求。

  3. 主机向网络设备回复 EAP 响应。

  4. 网络设备将其从主机接收的 EAP 响应封装入 RADIUS 访问请求(使用 EAP-Message RADIUS 属性)并将此 RADIUS 访问请求发送至思科 ISE。

  5. 思科 ISE 从此 RADIUS 数据包提取 EAP 响应,并且创建新 EAP 请求,将其封装入 RADIUS 访问质询(也是使用 EAP-Message RADIUS 属性),然年后将其发送至网络设备。

  6. 网络设备提取 EAP 请求并将其发送至主机。

这样,主机和思科 ISE 就间接地交换 EAP 消息(通过 RADIUS 传输并穿过网络设备)。以此方式交换的首批 EAP 消息会协商以后用于执行身份验证的具体 EAP 方法。

之后交换的 EAP 消息就用于传输执行实际身份验证所需的数据。如果所协商的具体 EAP 身份验证方法需要,思科 ISE 会使用身份库来验证用户凭证。

思科 ISE 确定身份验证成功还是失败之后,会向网络设备(而且最终也向主机)发送封装入 RADIUS Access-Accept 或 Access-Reject 消息的 EAP-Success 或 EAP-Failure 消息。

下图显示使用 EAP 的基于 RADIUS 的身份验证。

图 6. 使用 EAP 的基于 RADIUS 的身份验证
基于 RADIUS 的 EAP 身份验证
可扩展身份验证协议-消息摘要 5

可扩展身份验证协议-消息摘要 5 (EAP - MD5) 提供单向客户端身份验证。服务器向客户端发送随机质询。客户端在响应中通过使用 MD5 加密质询及密码证明其身份。由于人为截取可看到质询和响应,所以在开放式媒体上使用时,EAP-MD5 容易遭受字典攻击。由于不发生服务器验证,所以也很容易遭受欺骗。思科 ISE 支持思科 ISE 内部身份库的 EAP-MD5 身份验证。在使用 EAP-MD5 协议时,还支持主机查找。

轻型可扩展身份验证协议

目前,思科 ISE 仅将轻型可扩展身份验证协议 (LEAP) 用于思科 Aironet 无线网络。如果不启用此选项,配置为执行 LEAP 身份验证的思科 Aironet 最终用户客户端就无法访问网络。如果所有思科 Aironet 最终用户客户端都使用不同的身份验证协议(例如,可扩展身份验证协议-传输层安全 [EAP-TLS]),我们建议您禁用此选项。



如果用户使用 Network Devices 部分定义的 AAA 客户端作为 RADIUS(思科 Aironet)设备,则必须启用 LEAP、EAP-TLS 或同时启用这两项;否则思科 Aironet 用户将无法进行身份验证。


受保护的可扩展身份验证协议

受保护的可扩展身份验证协议 (PEAP) 提供相互身份验证,确保易受攻击的用户凭证的机密性和完整性,保护其自身抵御被动(窃听)和主动(中间人)攻击,以及安全地生成加密密钥材料。PEAP 与 IEEE 802.1X 标准和 RADIUS 协议兼容。思科 ISE 使用可扩展身份验证协议-Microsoft 质询握手身份验证协议 (EAP-MS-CHAP)、可扩展身份验证协议-通用令牌卡 (EAP-GTC) 和 EAP-TLS 内部方法支持 PEAP 版本 0 (PEAPv0) 和 PEAP 版本 1 (PEAPv1)。思科安全服务客户端 (SSC) 请求方支持思科 ISE 支持的所有 PEAPv1 内部方法。

使用 PEAP 的优势
使用 PEAP 有这些优势:PEAP 以 TLS 为基础,而 TLS 实施广泛,经过了大量安全审查;它为不派生密钥的方法建立密钥;它在隧道内发送身份;它保护内部方法交换和结果消息;它支持分段。
PEAP 协议支持的请求方
PEAP 支持这些请求方:
  • Microsoft 内置客户端 802.1X XP

  • Microsoft 内置客户端 802.1X Vista
  • 思科安全服务客户端 (SSC),4.0 版
  • Cisco SSC,5.1 版
  • Funk Odyssey 访问客户端,4.72 版
  • Intel,12.4.0.0 版
PEAP 协议流程
PEAP 会话可以分为三部分:
  1. 思科 ISE 和对等体建立 TLS 隧道。思科 ISE 提供其证书,但对等体不提供。对等体和思科 ISE 创建密钥以加密隧道内的数据。

  2. 内部方法确定隧道内的数据流:

    • EAP-MS-CHAPv2 内部方法 - EAP-MS-CHAPv2 数据包在不带报头的情况下在隧道内传输。报头的第一个字节包含类型字段。EAP-MS-CHAPv2 内部方法支持更改密码功能。可以配置用户可以尝试通过管理门户更改密码的次数。用户身份验证尝试次数受此数值限制。

    • EAP-GTC 内部方法 - PEAPv0 和 PEAPv1 均支持 EAP-GTC 内部方法。支持的请求方不支持使用 EAP-GTC 内部方法的 PEAPv0。EAP-GTC 支持更改密码功能。可以配置用户可以尝试通过管理门户更改密码的次数。用户身份验证尝试次数受此数值限制。

    • EAP-TLS 内部方法 - Windows 内置请求方不支持在建立隧道后对消息分段,这会影响 EAP-TLS 内部方法。在建立隧道后,思科 ISE 不支持外部 PEAP 消息分段。在建立隧道时,分段会按照 PEAP 文档中的规定进行工作。在 PEAPv0 中,系统将删除 EAP-TLS 数据包信头,而在 PEAPv1 中, EAP-TLS 数据包在传输时保持不变。

    • 可扩展身份验证协议类型、长度、值 (EAP-TLV) 扩展 - EAP TLV 数据包在传输时保持不变。EAP-TLV 数据包在带标头的情况下在隧道内传输。

  3. 如果会话已达到内部方法,会以一种受保护的方式确认成功和失败。

    客户端 EAP 消息始终载于 RADIUS Access-Request 消息中,而服务器 EAP 消息始终载于 RADIUS Access-Challenge 消息中。EAP-Success 消息始终载于 RADIUS Access-Accept 消息中。EAP-Failure 消息始终载于 RADIUS Access-Reject 消息中。丢弃客户端 PEAP 消息会导致丢弃 RADIUS 客户端消息。


思科 ISE 要求在 PEAPv1 通信期间确认 EAP-成功或 EAP-失败消息。对等体必须发送回带有空 TLS 数据字段的 PEAP 数据包,以确认收到成功或失败消息。


可扩展身份验证协议-通过安全隧道的灵活身份验证 (EAP-FAST)

可扩展身份验证协议-通过安全隧道的灵活身份验证 (EAP-FAST) 是提供相互身份验证和使用共享密钥建立隧道的一种身份验证协议。隧道用于保护基于密码的弱身份验证方法。共享密钥称为受保护的访问凭证 (PAC) 密钥,用于对客户端和服务器进行相互身份验证,同时保护隧道安全。

EAP-FAST 的优势
EAP-FAST 相比其他身份验证协议提供以下优势:
  • 相互身份验证 - EAP 服务器必须能够验证对等体的身份和真实性,而且对等体必须能够验证 EAP 服务器的真实性。
  • 抵抗被动字典式攻击 - 许多身份验证协议要求对等体向 EAP 服务器明确地提供纯文本或散列形式密码。
  • 抵抗中间人攻击 - 建立相互验证保护隧道时,协议必须阻止敌对者在对等体和 EAP 服务器之间的对话中成功插入信息。
  • 确保支持许多不同的密码身份验证接口的灵活性,例如 MS-CHAPv2、通用令牌卡 (GTC) 及其他 - EAP-FAST 是一个扩展框架,允许同一服务器支持多个内部协议。
  • 提高效率 - 使用无线介质时,对等体的计算资源和电力资源有限。EAP-FAST 使网络访问通信能够减少计算资源占用。
  • 最大限度减少身份验证服务器的每用户身份验证状态要求 - 对于大型部署,通常有许多服务器充当多个对等体的身份验证服务器。此外,非常理想的情况是,对等体使用同一共享秘钥保护隧道的方式,与它使用用户名和密码获得网络访问权限的方式基本相同。EAP-FAST 促进对等体使用一个强大的共享秘钥,同时使服务器最大限度减少它必须缓存和管理的每用户和设备状态。
EAP-FAST 流程
EAP-FAST 协议流程始终由以下阶段组成:
  1. 调配阶段 - 此阶段是 EAP-FAST 的初始阶段。在此阶段,系统使用思科 ISE 和对等体之间共享的叫作 PAC 的唯一强密钥调配对等体。
  2. 建立隧道阶段 - 客户端和服务器通过使用 PAC 建立全新隧道密钥相互进行身份验证。系统然后使用隧道密钥保护其余对话并实现消息机密性和可靠性。
  3. 身份验证阶段 - 身份验证在隧道内部处理,其包含生成会话密码和受保护的终止。思科 ISE 支持 EAP-FAST 版本 1 和 1a。

从非思科设备启用 MAB

按顺序配置以下设置,可从非思科设备配置 MAB。

过程


步骤 1

确保终端数据库中具有要进行身份验证的终端的 MAC 地址。可以添加这些终端或由分析器服务自动分析这些终端。

步骤 2

根据非思科设备(PAP、CHAP 或 EAP-MD5)使用的 MAC 身份验证的类型创建允许的协议服务。

  1. 选择 策略 (Policy) > 策略元素 (Policy Elements) > 结果 (Results) > 身份验证 (Authentication) > 允许的协议 (Allowed Protocols)

  2. 输入允许的协议服务的名称。例如,MAB for NonCisco Devices。

  3. 根据非思科设备使用的 MAC 身份验证类型选择协议:

    • PAP - 选中 Allow PAP/ASCII 复选框,然后选中 Detect PAP as Host Lookup 复选框。

    • CHAP - 选中 Allow CHAP 复选框,然后选中 Detect CHAP as Host Lookup 复选框。

    • EAP-MD5 - 选中 Allow EAP-MD5 复选框,然后选中 Detect EAP-MD5 as Host Lookup 复选框。

      对于上面列出的每个协议,建议选中以下复选框:

    • Check Password - 启用该选项,用以检查无关紧要的 MAB 密码,对发送网络设备进行身份验证。

    • Check Calling-Station-Id equals MAC address - 启用该选项,用以在发送 Calling-Station-Id 时作为一项额外的安全检查。

步骤 3

配置用于从非思科设备启用 MAB 的身份验证策略规则。

  1. 选择 策略 (Policy) > 身份验证 (Authentication)

  2. 选择基于规则的身份验证策略。

  3. 插入 MAB 的新规则。

  4. 选择在此规则的步骤 2 中创建的允许的协议服务 (MAB for NonCisco Devices)。

  5. 选择将内部终端数据库作为本规则的身份源。

  6. 保存身份验证策略。


从思科设备启用 MAB

按顺序配置以下设置从思科设备配置 MAB。

过程


步骤 1

确保终端数据库中具有要进行身份验证的终端的 MAC 地址。可以添加这些终端或由分析器服务自动分析这些终端。

步骤 2

根据思科设备(PAP、CHAP 或 EAP-MD5)使用的 MAC 身份验证类型创建允许的协议服务。

  1. 选择 策略 (Policy) > 策略元素 (Policy Elements) > 结果 (Results) > 身份验证 (Authentication) > 允许的协议 (Allowed Protocols)

  2. 输入允许的协议服务的名称。例如,MAB for Cisco Devices。

  3. 选中 Process Host Lookup 复选框。

  4. 根据思科设备使用的 MAC 身份验证类型选择协议:

    • PAP - 选中 Allow PAP/ASCII 复选框,然后选中 Detect PAP as Host Lookup 复选框。

    • CHAP - 选中 Allow CHAP 复选框,然后选中 Detect CHAP as Host Lookup 复选框。

    • EAP-MD5 - 选中 Allow EAP-MD5 复选框,然后选中 Detect EAP-MD5 as Host Lookup 复选框。

      对于上面列出的每个协议,建议选中以下复选框:

    • Check Password - 启用该选项,用以检查无关紧要的 MAB 密码,对发送网络设备进行身份验证。

    • Check Calling-Station-Id equals MAC address - 启用该选项,用以在发送 Calling-Station-Id 时作为一项额外的安全检查。

  5. 保存允许的协议服务。

步骤 3

配置用于从思科设备启用 MAB 的身份验证策略规则。

  1. 选择 策略 (Policy) > 身份验证 (Authentication)

  2. 选择基于规则的身份验证策略。

  3. 插入 MAB 的新规则。

  4. 选择您在本规则的步骤 2 中创建的允许的协议服务 (MAB for Cisco Devices)。

  5. 选择将内部终端数据库作为本规则的身份源。

  6. 保存身份验证策略。


TrustSec 架构

思科 TrustSec 解决方案可建立受信任的网络设备云以构建安全网络。思科 TrustSec 云中的每个设备都由其相邻设备(对等体)进行身份验证。TrustSec 云中设备之间的通信由加密、消息完整性检查和数据路径重放保护机制进行保护。TrustSec 解决方案使用在身份验证期间获取的设备和用户身份信息来在数据包进入网络时给数据包进行分类或确定颜色。此数据包分类在数据包进入 TrustSec 网络时由标记数据包进行维护,从而可以正确识别数据包,以沿着数据路径应用安全性和其他策略条件。此标签也称为安全组标签 (SGT),思科 ISE 可通过此标签使终端设备在 SGT 上执行操作以过滤流量,从而实施访问控制策略。

下图显示 TrustSec 网络云的一个示例。

图 7. TrustSec 架构

TrustSec 组件

TrustSec 的重要组件包括:

  • 网络设备准入控制 (NDAC) - 在受信任网络中,在身份验证期间,TrustSec 云上的每个网络设备(例如以太网交换机)都由其对等体设备对其凭证和可信度进行验证。NDAC 使用基于 IEEE 802.1X 端口的身份验证并且将可扩展身份验证协议-通过安全隧道的灵活身份验证 (EAP-FAST) 用作其可扩展身份验证协议 (EAP) 方法。如果在 NDAC 流程中身份验证和授权成功,则系统将为 IEEE 802.1AE 加密执行安全关联协议协商。思科 ISE 为从 IOSXE 17.1 开始的交换平台和从 IOSXE 17.6 开始的路由平台提供 CTS 调配 (EAP-FAST) TLSv1.2。

  • 终端准入控制 (EAC) - 对连接 TrustSec 云的终端用户或设备执行的身份验证流程。EAC 通常发生于访问级别交换机上。如果在 EAP 流程中身份验证和授权成功,系统将向用户或设备分配 SGT。用于身份验证和授权的 EAC 访问方法包括:

    • 基于 802.1X 端口的身份验证

    • MAC 身份验证绕行 (MAB)

    • Web 身份验证 (WebAuth)

  • 安全组 (SG) - 共用访问控制策略的一组用户、终端设备和资源。SG 由思科 ISE 中的管理员定义。当向 SGA 域添加新用户和设备时,思科 ISE 将这些新的实体分配到相应的安全组。

  • 安全组标签 (SGT) - TrustSec 服务向每个安全组分配一个唯一 16 位安全组编号,其范围为 TrustSec 域内的全局范围。交换机内安全组的数量限制为已通过身份验证的网络实体的数量。您无需手动配置安全组数量。它们是自动生成的,但是您可以选择将一系列 SGT 保留用于 IP 到 SGT 的映射。

  • 安全组访问控制列表 (SGACL) - SGACL 允许您根据所分配的 SG 控制访问和权限。将权限归入角色可以简化安全策略的管理。当您添加设备时,只需分配一个或多个安全组,这些安全组就会立即获得相应权限。您可以修改安全组以引入新的权限或限制当前权限。

  • 安全交换协议 (SXP) - SGT 交换协议 (SXP) 是为 TrustSec 服务开发的一种协议,将整个不具有支持 SGT 的硬件的网络设备上的 IP 到 SGT 绑定表传送至支持 SGT/SGACL 的硬件。

  • 环境数据下载 - TrustSec 设备在首次联接受信任网络时从思科 ISE 获取其环境数据。您也可以在设备上手动配置某些数据。设备必须在到期之前刷新环境数据。TrustSec 设备从思科 ISE 获取以下环境数据:

    • 服务器列表 - 列出客户端可以用于以后的 RADIUS 请求的服务器列表(适用于身份验证和授权)

    • 设备 SG - 设备自身所属的设备组

    • 过期超时 - 控制 TrustSec 设备应该多久下载或更新一次其环境变量的时间间隔

  • SGT 保留 - 思科 ISE 中的一项增强功能,用于将一系列 SGT 保留用于启用 IP 到 SGT 的映射。

  • IP 到 SGT 的映射 - 思科 ISE 中的一项增强功能,用于将终端 IP 与 SGT 绑定并将其调配至支持 TrustSec 的设备。思科 ISE 支持输入 1000 个 IP 到 SGT 的映射。

  • 身份到端口的映射 - 交换机在终端所连接的端口上定义身份以及将身份用于在思科 ISE 服务器中查找特定 SGT 值所使用的方法。

TrustSec 术语

下表列出某些用于 TrustSec 解决方案的常用术语及其在 TrustSec 环境中的含义。

表 7. TrustSec 术语

术语

含义

请求方

尝试加入受信任网络的设备。

身份验证

在允许每台设备加入受信任网络之前验证设备身份的过程。

授权

根据已经过身份验证的设备身份决定请求访问受信任网络上的资源的设备的访问级别的过程。

访问控制

根据分配给每个数据包的 SGT 对每个数据包应用访问控制的过程。

安全通信

为保护流经受信任网络中的每条链路的数据包进行加密、完整性和数据路径重放保护的过程。

TrustSec 设备

支持 TrustSec 解决方案的任何思科 Catalyst 6000 系列或 Cisco Nexus 7000 系列交换机。

支持 TrustSec 的设备

支持 TrustSec 的设备将具有支持 TrustSec 的硬件和软件。例如,带 Nexus 操作系统的 Nexus 7000 系列交换机。

TrustSec 种子设备

直接对思科 ISE 服务器进行身份验证的 TrustSec 设备。此设备同时用作验证器和请求方。

入口

当数据包首次遇到支持 TrustSec 的设备时,这些数据包会被标上 SGT 标记。该设备已加入启用了 Cisco TrustSec 解决方案的网络。进入受信任网络的这个点称为入口。

出口

当数据包通过最后一台支持 TrustSec 的设备时,这些数据包会被取消标记。该设备已加入启用了 Cisco TrustSec 解决方案的网络。退出受信任网络的这个点称为出口。

TrustSec 支持的交换机和需要的组件

要设置启用思科 TrustSec 解决方案的思科 ISE 网络,您需要支持 TrustSec 解决方案的交换机和其他组件。除交换机外,您还需要其他组件用于基于身份的用户访问控制(使用 IEEE 802.1X 协议)。有关支持 Trustsec 的思科交换机平台和必要组件的完整的最新列表,请参阅启用 TrustSec 的思科基础设施

配置 TrustSec 全局设置

为了让思科 ISE 充当 TrustSec 服务器并提供 TrustSec 服务,必须定义某些全局 TrustSec 设置。

开始之前

  • 配置全局 TrustSec 设置之前,确保已定义全局 EAP-FAST 设置(选择 Administration > System > Settings > Protocols > EAP-FAST > EAP-FAST Settings)。

    可以将 Authority Identity Info Description 更改为思科 ISE 服务器名称。此说明是用户友好字符串,描述向终端客户端发送凭证的思科 ISE 服务器。思科 TrustSec 架构中的客户端可以是运行 EAP-FAST 作为其 EAP 方法进行 IEEE 802.1X 身份验证的终端,也可以是执行网络设备访问控制 (NDAC) 的请求方网络设备。客户端可以在受保护的访问凭证 (PAC) 类型长度值 (TLV) 信息中发现此字符串。默认值为 Identity Services Engine。应该更改此值,以便可以在 NDAC 身份验证时在网络设备上唯一识别思科 ISE PAC 信息。

  • 要执行以下任务,您必须是超级管理员或系统管理员。

过程


步骤 1

选择管理 (Administration) > 系统 (System) > 设置 (Settings) > TrustSec 设置 (TrustSec Settings)

步骤 2

在字段中输入值。有关这些字段的信息,请参阅 TrustSec 设置

步骤 3

点击保存 (Save)


下一步做什么

TrustSec 设置

验证 Trustsec 部署 (Verify Trustsec Deployment)

此选项可帮助验证所有网络设备上是否部署了最新的 TrustSec 策略。如果在思科 ISE 和网络设备上配置的策略之间存在任何差异,“警报”(Alarms) Dashlet 中会显示警报,该 Dashlet 位于工作中心 (Work Centers) > TrustSec > 控制板和主页 (Dashboard and Home) > 摘要 (Summary) 下。TrustSec 控制板中会显示以下警报:

  • 每当验证过程开始或完成时,系统都会显示带有信息 (Info) 图标的警报。

  • 如果由于新的部署请求而取消验证过程,则会显示带有信息 (Info) 图标的警报。

  • 如果验证过程因错误而失败,则会显示带有警告 (Warning) 图标的警报。例如,无法打开与网络设备的 SSH 连接,或当网络设备不可用,或当思科 ISE 和网络设备上配置的策略之间存在任何差异。

验证部署 (Verify Deployment) 选项也可从以下窗口选择。

  • 工作中心 (Work Centers) > TrustSec > 组件 (Components) > 安全组 (Security Groups)

  • 工作中心 (Work Centers) > TrustSec > 组件 (Components) > 安全组 ACL (Security Group ACLs)

  • 工作中心 (Work Centers) > TrustSec > TrustSec 策略 (TrustSec Policy) > 出口策略 (Egress Policy) > 矩阵 (Matrix)

  • 工作中心 (Work Centers) > TrustSec > TrustSec 策略 (TrustSec Policy) > 出口策略 (Egress Policy) > 源树 (Source Tree)

  • 工作中心 (Work Centers) > TrustSec > TrustSec 策略 (TrustSec Policy) > 出口策略 (Egress Policy) > 目标树 (Destination Tree)

每次部署后自动验证 (Automatic Verification After Every Deploy):如果希望思科 ISE 在每次部署后验证所有网络设备上的更新,请选中此复选框。部署过程完成后,经过您在部署过程后的时间 (Time after Deploy Process) 字段中指定的时间后,验证过程开始。

部署过程后的时间 (Time After Deploy Process):指定您希望思科 ISE 在部署过程完成后等待多长时间,然后再开始验证过程。有效范围为 10–60 分钟。

如果在等待期间收到新的部署请求或正在进行其他验证,则会取消当前验证过程。

立即验证 (Verify Now):点击此选项可立即开始验证过程。

受保护的访问凭证 (PAC)

  • 隧道 PAC 生存时间 (Tunnel PAC Time to Live)

    指定 PAC 的到期时间。隧道 PAC 为 EAP-FAST 协议生成隧道。您可以秒、分钟、小时、天或周为单位指定时间。默认值为 90 天。以下是有效范围:

    • 1–157680000 秒

    • 1–2628000 分钟

    • 1–43800 小时

    • 1–1825 天

    • 1–260 周

  • 进行主动 PAC 更新前所经历的时间 (Proactive PAC Update Will Occur After):当剩余的隧道 PAC TTL 百分比达到设定值时,思科 ISE 会在成功身份验证后主动向客户端提供新 PAC。如果第一次成功身份验证发生在 PAC 到期之前,则服务器会启动隧道 PAC 更新。此机制会为客户端更新有效的 PAC。默认值为 10%。

安全组标签编号

APIC EPG 的安全组标签编号 (Security Group Tag Numbering for APIC EPGs)

APIC EPG 的安全组标签编号 (Security Group Tag Numbering for APIC EPGs):选中此复选框,指定编号范围以用于根据从 APIC 获取的 EPG 创建的 SGT。

自动创建安全组

创建授权规则时自动创建安全组 (Auto Create Security Groups When Creating Authorization Rules):选中此复选框可在创建授权策略规则时自动创建 SGT。

如果选中此选项,授权策略 (Authorization Policy) 窗口顶部会显示以下消息:开启自动安全组创建 (Auto Security Group Creation is On)

系统会根据规则属性命名自动创建的 SGT。点击权限 (Permissions) 字段中显示的加号 (+) 标志可编辑 SGT 名称和值。



当删除相应的授权策略规则时,不会删除自动创建的 SGT。


默认情况下,此选项在全新安装或升级后会被禁用。

IP SGT 主机名静态映射

IP SGT 主机名静态映射 (IP SGT Static Mapping of Hostnames):如果使用 FQDN 和主机名,则思科 ISE 会在部署映射和检查部署状态的同时在 PAN 和 PSN 节点中查找对应的 IP 地址。您可以使用此选项指定为 DNS 查询返回的 IP 地址创建的映射数。您可以选择以下其中一个选项:

  • 为 DNS 查询返回的所有 IP 地址创建映射 (Create mappings for all IP addresses returned by a DNS query)

  • 仅为 DNS 查询返回的第一个 IPv4 地址和第一个 IPv6 地址创建映射 (Create mappings only for the first IPv4 address and the first IPv6 address that is returned by a DNS query)

配置 TrustSec 设备

为了让思科 ISE 处理来自启用 TrustSec 的设备的请求,您必须在思科 ISE 中定义这些启用 TrustSec 的设备。

过程


步骤 1

依次选择 Administration > Network Resources > Network Devices

步骤 2

点击添加 (Add)

步骤 3

Network Devices 部分中输入所需信息。

步骤 4

选中 Advanced Trustsec Settings 复选框以配置支持 Trustsec 的设备。

步骤 5

点击提交 (Submit)


OOB TrustSec PAC

所有 TrustSec 网络设备都将 TrustSec PAC 视为 EAP-FAST 协议的一部分。安全 RADIUS 协议也使用此 TrustSec PAC,其中 RADIUS 共享密钥是根据 PAC 携带的参数推导而来。这些参数中的 Initiator-ID 参数包含 TrustSec 网络设备身份,即设备 ID。

如果使用 TrustSec PAC 识别设备,并且在思科 ISE 上为该设备配置的设备 ID 和 PAC 上的 Initiator-ID 之间不匹配,则身份验证失败。

有些 TrustSec 设备(例如思科防火墙 ASA)不支持 EAP-FAST 协议。因此,思科 ISE 无法通过 EAP-FAST 使用 TrustSec PAC 调配这些设备。系统会在思科 ISE 上生成 TrustSec PAC 并且需要手动将其复制到设备上,所以这又称为带外 (OOB) TrustSec PAC 生成。

当从思科 ISE 生成 PAC 时,系统会生成使用加密密钥加密的 PAC 文件。

本节介绍以下主题:

从设置屏幕生成 TrustSec PAC

可以从设置屏幕生成 TrustSec PAC。

过程

步骤 1

选择管理 (Administration) > 系统 (System) > 设置 (Settings)

步骤 2

从左侧的 Settings 导航窗格中,点击 Protocols

步骤 3

依次选择 EAP-FAST > Generate PAC

步骤 4

生成 TrustSec PAC。


从网络设备屏幕生成 TrustSec PAC

您可以从“网络设备”(Network Devices) 屏幕生成 TrustSec PAC。

过程

步骤 1

依次选择管理 (Administration) > 网络资源 (Network Resources) > 网络设备 (Network Devices)

步骤 2

点击添加 (Add)。您还可以从“网络设备”(Network Devices) 导航窗格的操作图标上点击 添加新设备 (Add new device)

步骤 3

如果要添加新设备,请提供设备名称。

步骤 4

选中TrustSec 高级设置 (Advanced TrustSec Settings) 复选框以配置 TrustSec 设备。

步骤 5

带外 (OOB) TrustSec PAC (Out of Band (OOB) TrustSec PAC) 子部分下,点击生成 PAC (Generate PAC)

步骤 6

提供以下详细信息:

  • PAC Time to Live - 输入值(单位:天、周、月或年)。默认情况下,该值为一年。最小值为一天,最大值为十年。

  • Encryption Key - 输入加密密钥。密钥的长度必须介于 8 和 256 个字符之间。密钥可以包含大写或小写字母或数字,或字母数字字符的组合。

    加密密钥用于对生成的文件中的 PAC 进行加密。此密钥也用于解密该设备上的 PAC 文件。因此,建议管理员保存加密密钥以供日后使用。

    “身份”(Identity) 字段指定 TrustSec 网络设备的设备 ID,并且 EAP-FAST 协议会提供发起方 ID。如果此处输入的身份字符串与“网络设备创建”(Network Device creation) 页面中 TrustSec 部分下定义的设备 ID 不匹配,那么身份验证将会失败。

    根据 PAC 存活时间 (PAC Time to Live) 计算到期日期。

步骤 7

点击生成 PAC (Generate PAC)


从“网络设备”(Network Devices) 列表屏幕生成 TrustSec PAC

您可以从“网络设备”(Network Devices) 列表屏幕生成 TrustSec PAC。

过程

步骤 1

依次选择管理 (Administration) > 网络资源 (Network Resources) > 网络设备 (Network Devices)

步骤 2

点击网络设备 (Network Devices)

步骤 3

选中要为其生成 TrustSec PAC 的设备旁边的复选框,然后点击生成 PAC (Generate PAC)

步骤 4

在字段中提供详细信息。

步骤 5

点击生成 PAC (Generate PAC)


按钮

出口策略中的 Push 选项可以启动 CoA 通知,告知 Trustsec 设备立即从思科 ISE 请求关于出口策略中的配置更改的更新。

配置思科 TrustSec AAA 服务器

可以在 AAA 服务器列表中配置启用了思科 Trustsec 的思科 ISE 服务器列表。思科 TrustSec 设备向其中任意服务器进行身份验证。点击“推送”(Push) 时,此列表中的新服务器将下载到 TrustSec 设备。当思科 TrustSec 设备尝试进行身份验证时,它会从此列表中选择任意思科 ISE 服务器。如果第一台服务器关闭或繁忙,思科 TrustSec 设备可以向此列表中的任何其他服务器自行进行身份验证。默认情况下,主要思科 ISE 服务器是思科 TrustSec AAA 服务器。建议您配置更多思科 ISE 服务器,以获得更可靠的思科 TrustSec 环境。

此页面列出了部署中您已配置为思科 TrustSec AAA 服务器的思科 ISE 服务器。

开始之前

要执行以下任务,您必须是超级管理员或系统管理员。

过程


步骤 1

选择管理 (Administration) > 网络资源 (Network Resources) > TrustSec AAA 服务器 (TrustSec AAA Servers)

步骤 2

点击添加 (Add)

步骤 3

按如下所述输入值:

  • 名称:要分配至此 AAA 服务器列表中的思科 ISE 服务器的名称。此名称可与思科 ISE 服务器的主机名不同。

  • 说明:可选说明。

  • IP:您正添加到 AAA 服务器列表的思科 ISE 服务器的 IP 地址。

  • 端口:TrustSec 设备与服务器之间进行通信所在的端口。默认值为 1812。

步骤 4

点击提交 (Submit)

步骤 5

在随后显示的 AAA 服务器 窗口中,点击 推送


下一步做什么

配置安全组。

安全组配置

安全组 (SG) 或安全组标签 (SGT) 是在 TrustSec 策略配置中用到的元素。在可信任的网络中移动时,SGT 连接到数据包。这些数据包在进入可信任的网络(入口)时被标记,离开可信任的网络(出口)时被取消标记。

SGT 按顺序生成,但您可以选择为 IP 到 SGT 映射保留一些 SGT。生成 SGT 时,思科 ISE 跳过保留的编号。

TrustSec 服务使用这些 SGT 在出口实施 TrustSec 策略。

您可以在 Admin 门户从以下页面配置安全组:

  • Policy > Policy Elements > Results > Trustsec > Security Groups

  • 直接从出口策略页面,在 Configure > Create New Security Group 配置。

更新多个 SGT 后,点击 Push 按钮,发起环境 CoA 通知。此环境 CoA 通知转至全部 TrustSec 网络设备,强迫它们开始策略/数据刷新请求。



建议不要频繁使用推送 (Push)部署 (Deploy) 按钮。当矩阵或 SGACL 发生变化时,请在执行下一个部署操作之前检查通知栏是否存在任何待处理的部署请求。


添加安全组

您应向 TrustSec 解决方案中的每个安全组分配一个唯一的 SGT。尽管思科 ISE 支持 65535 个 SGT,减少 SGT 的数量能够让您更轻松地部署和管理 TrustSec 解决方案。我们建议最多使用 4000 个 SGT。

开始之前

要执行以下任务,您必须是超级管理员或系统管理员。

过程


步骤 1

选择策略 (Policy) > 策略元素 (Policy Elements) > 结果 (Results) > TrustSec > 安全组 (Security Groups)

步骤 2

点击 Add 以添加新安全组。

步骤 3

为新安全组输入名称和说明(可选)。

步骤 4

输入 Tag Value。标签值可以设置为手动输入或自动生成。您还可以为 SGT 保留范围。您可以从以下位置对其进行配置:管理 (Administration) > 系统(System) > 设置 (Settings) > Trustsec 设置 (Trustsec Settings) 下的 Trustsec 全局设置页面。

步骤 5

单击保存


下一步做什么

配置安全组访问控制列表 (SGACL)

将安全组导入思科 ISE

您可以使用逗号分隔值 (CSV) 文件将安全组导入思科 ISE 节点。您必须在更新模板之后才能将安全组导入思科 ISE。您不能同时运行同一资源类型的导入。例如,您无法同时导入来自两个不同导入文件的安全组。

您可以从管理员门户下载 CSV 模板,在模板中输入您的安全组详细信息,并将该目标保存为 CSV 文件,接着您就可以将此文件导入回思科 ISE。

在导入安全组的过程中,您可以在思科 ISE 遇到第一个错误时停止导入过程。

过程


步骤 1

选择策略 (Policy) > 策略元素 (Policy Elements) > 结果 (Results) > TrustSec > 安全组 (Security Groups)

步骤 2

点击导入 (Import)

步骤 3

点击浏览 (Browse) 从正在运行客户端浏览器的系统选择 CSV 文件。

步骤 4

选中 Stop Import on First Error 复选框。

步骤 5

点击导入 (Import)


从思科 ISE 导出安全组

您可以将思科 ISE 中配置的安全组导出为 CSV 文件,您可以使用此文件将这些安全组导入到其他思科 ISE 节点中。

过程


步骤 1

选择 策略 (Policy) > 策略元素 (Policy Elements) > 结果 (Results) > TrustSec > 安全组 (Security Groups)

步骤 2

点击导出 (Export)

步骤 3

要导出安全组,您可以执行下述操作中的一项:

  • 选中您希望导出的组旁的复选框,并依次选择导出 (Export) > 导出选定对象 (Export Selected)

  • 选择导出 (Export) > 导出全部 (Export All) 以导出所有定义的安全组。

步骤 4

将 export.csv 文件保存到您的本地硬盘中。


添加安全组访问控制列表

开始之前

要执行以下任务,您必须是超级管理员或系统管理员。

过程


步骤 1

选择策略 (Policy) > 策略元素 (Policy Elements) > 结果 (Results) > TrustSec > 安全组 ACLs (Security Group ACLs)

步骤 2

添加 Add 创建新安全组 ACL。

步骤 3

输入以下信息:

  • Name - SGACL 的名称

  • Description - SGACL 的可选说明

  • IP Version - 此 SGACL 支持的 IP 版本:

    • IPv4 - 支持 IP 版本 4 (IPv4)

    • IPv6 - 支持 IP 版本 6 (IPv6)

    • Agnostic - 同时支持 IPv4 和 IPv6

  • Security Group ACL Content - 访问控制列表 (ACL) 命令。例如:

    permit icmp

    deny ip

    在 ISE 中未检查 SGACL 输入的语法。确保使用正确的语法,以便交换机、路由器和接入点可以正确无误地应用它们。默认策略可以配置为 permit IPpermit ip logdeny ipdeny ip log。TrustSec 网络设备将默认策略附加到特定信元策略的末尾。

    以下是两个指导性的 SGACL 示例。两者都包含一个 final catch all 规则。第一个拒绝为 final catch all 规则,第二个则允许。

    Permit_Web_SGACL

    permit tcp dst eq 80
    permit tcp dst eq 443
    deny ip
    

    Deny_JumpHost_Protocols

    deny tcp dst eq 23
    deny tcp dst eq 23
    deny tcp dst eq 3389
    permit ip
    

    下表列出适用于 IOS、IOS XE 和 NS-OS 操作系统的 SGACL 语法。

    SGACL CLI 和 ACE

    IOS、IOS XE 和 NX-OS 通用的语法

    config acl

    deny, exit, no, permit

    deny

    permit

    ahp, eigrp, gre, icmp, igmp, ip, nos, ospf, pcp, pim, tcp, udp

    deny tcp

    deny tcp src

    deny tcp dst

    dst, log, src

    deny tcp dst eq

    deny tcp src eq

    range 0 65535

    deny udp

    deny udp src

    deny udp dest

    Dst, log, src

    deny tcp dst eq www

    deny tcp src eq www

    range 0 65535

     

    某些思科交换机不允许使用连字符。所以 permit dst eq 32767-65535 无效。使用 permit dst eq range 32767 65535。某些思科交换机的命令语法中不需要使用 eq。因此,permit dst eq 32767-65535 在这些交换机中无效。请改为使用 permit dst 32767-65535 o或permit dst range 32767 65535

步骤 4

点击推送

“推送”(Push) 选项可启动 CoA 通知,告知 Trustsec 设备立即向思科 ISE 请求关于配置更改的更新。



思科 ISE 具有以下预定义的 SGACL:Permit IP、Permit IP Log、Deny IP 和 Deny IP Log。您可以使用这些 SGACL 通过 GUI 或 ERS API 配置 TrustSec 矩阵。虽然这些 SGACL 未在 GUI 的“安全组 ACL”(Security Group ACLs) 列表页面中列出,但当您使用 ERS API 列出可用的 SGACL(ERS getAll 调用)时,这些 SGACL 将列出。


出口策略

出口表列出已保留和未保留的源和目标 SGT。此页还允许您过滤出口表以查看特定策略并保存这些预设过滤器。当源 SGT 尝试到达目标 SGT时,基于出口策略中定义的 TrustSec 策略,支持 TrustSec 的设备会执行 SGACL。思科 ISE 创建并调配策略。

SGT 和 SGACL 是创建 TrustSec 策略的基础,在您创建 SGT 和 SGACL 后,通过将 SGACL 分配至源和目标 SGT,您就可以在二者之间建立起关系。

每个源 SGT 到目标 SGT 的组合即为出口策略中的一个信元。

您可以在 Policy > TrustSec > Egress Policy 页面中查看出口策略。

有三种方式查看出口策略:

  • 源树视图

  • 目标树视图

  • 矩阵视图

源树视图

源树视图以折叠状态列出源 SGT 紧凑而且组织有序的视图。您可以展开任意源 SGT 以查看列出与所选源 SGT 相关的所有信息的内部表。该视图仅显示映射至目标 SGT 的源 SGT。如果您展开具体源 SGT,其将在表中列出映射至此源 SGT 的所有目标 SGT 和相应的策略 (SGACL)。

您将看到三个点 (...) 旁边的一些字段。这表示此单元格包含更多信息。您可以将光标放在这三个点上以在快速视图弹出窗口中查看其余信息。当您将光标放在 SGT 名称或 SGACL 名称上时,系统会打开一个快速查看弹出窗口,显示该具体 SGT 或 SGACL 的内容。

目标树视图

目标树视图以折叠状态列出目标 SGT 的精简和组织视图。可以展开任意目标 SGT,以查看列出所有与该选定目标 SGT 相关的信息的内部表。此视图仅显示映射到源 SGT 的目标 SGT。如果展开特定目标 SGT,该 SGT 会在表中列出映射到此目标 SGT 的所有源 SGT,以及对应的策略 (SGACL)。

您将看到三个点 (...) 旁边的一些字段。这表示此单元格包含更多信息。您可以将光标放在这三个点上以在快速视图弹出窗口中查看其余信息。当您将光标放在 SGT 名称或 SGACL 名称上时,系统会打开一个快速查看弹出窗口,显示该具体 SGT 或 SGACL 的内容。

矩阵视图

出口策略的矩阵视图与电子表格类似。它包含两个轴:

  • 源轴 - 此垂直轴列出所有源 SGT。

  • 目标轴 - 此水平轴列出所有目标 SGT。

源 SGT 到目标 SGT 的映射以单元格表示。如果某个单元格包含数据,则表示对应的源 SGT 和目标 SGT 之间有一个映射。此矩阵视图中有两类单元格:

  • 有映射的单元格 - 源和目标 SGT 对与一组有序的 SGACL 关联并且具有指定的状态。

  • 无映射的单元格 - 源和目标 SGT 对不与任何 SGACL 关联并且不具有指定的状态。

出口策略单元格显示源 SGT、目标 SGT 和在 SGACL 下作为单独列表的 Final Catch All Rule,以逗号隔开。如果 Final Catch All Rule 设置为 None,则不显示。矩阵中空单元格表示无映射的单元格。

在出口策略矩阵视图中,您可以滚动浏览矩阵以查看所需单元格集。浏览器不会一次性加载全部矩阵数据。浏览器会请求服务器加载属于您所滚动浏览区域的数据。这样可以防止内存溢出和性能问题。

此表格视图的 GUI 元素与源视图及目标视图的相同。但是,它还包括以下其他元素:

矩阵维度

通过 Matrix 视图中的 Dimension 下拉列表,可以设置矩阵的维度。

压缩视图

通过出口策略矩阵视图中的“压缩”(Condensed) 选项,您可以显示无空单元格的矩阵。选中 压缩 (Condensed) 复选框,隐藏空单元格。

矩阵操作

通过矩阵进行导航

您可以通过矩阵进行导航,方法是使用光标拖曳矩阵内容区域,或者使用水平和垂直滚动条。您可以点击并按住某个单元格,沿任何方向拖曳该单元格以及整个矩阵内容。源栏和目标栏随单元格一起移动。选中某个单元格时,矩阵视图突出显示该单元格以及相应的行(源 SGT)和列(目标 SGT)。选定单元格的坐标(源 SGT 和目标 SGT)显示在矩阵内容区域的下方。

选中矩阵中的单元格

要选中矩阵视图中的某个单元格,请点击该单元格。选定的单元格会显示不同的颜色,并且源 SGT 和目标 SGT 会突出显示。要取消选中某个单元格,只需再次点击该单元格或者选中另一个单元格即可。不允许在矩阵视图中选中多个单元格。双击单元格以编辑单元格的配置。

从出口策略配置 SGACL

您可以直接从“出口策略”(Egress Policy) 页面创建安全组 ACL。

过程

步骤 1

依次选择策略 (Policy) > TrustSec > 出口策略 (Egress Policy)

步骤 2

从“源或目标树视图”(Source or Destination Tree View) 页面,选择配置 (Configure) > 创建新的安全组 ACL (Create New Security Group ACL)

步骤 3

输入所需的详细信息,并点击提交 (Submit)


出口策略表单元格配置

通过思科 ISE,可以使用工具栏中可用的各种选项配置单元格。如果所选源和目标 SGT 与映射的单元格相同,则思科 ISE 不允许进行单元格配置。

添加出口策略单元格映射

您可以从 Policy 页面添加出口策略的映射单元格。

过程

步骤 1

选择 策略 (Policy) > TrustSec > 出口策略 (Egress Policy)

步骤 2

要选择矩阵单元格,请执行以下操作:

  • 在矩阵视图中,点击某个单元格将其选定。

  • 在 Source 和 Destination 树状视图中,选中内部表中某一行的对应复选框以选定该行。

步骤 3

点击 Add 以添加新映射单元格。

步骤 4

选择下列各项的相应值:

  • Source Security Group

  • Destination Security Group

  • Status, Security Group ACLs

  • Final Catch All Rule

步骤 5

点击保存 (Save)


导出出口策略

过程

步骤 1

选择策略 (Policy) > TrustSec > 出口策略 (Egress Policy) > 矩阵 (Matrix)

步骤 2

点击导出 (Export)

步骤 3

将 CSV 文件保存到本地系统。


导入出口策略

您可以离线创建出口策略,然后将该策略导入思科 ISE。如果具有大量的安全组标记,那么逐个创建安全组 ACL 映射可能需要一些时间。相反,离线创建出口策略并将该策略导入思科 ISE 可节省时间。在导入过程中,思科 ISE 会将 CSV 文件中的条目附加到出口策略矩阵,并且不会覆盖数据。

如果出现以下情况,出口策略导入会失败:

  • 源或目标 SGT 不存在

  • SGACL 不存在

  • 监控状态与当前在思科 ISE 中为该信元配置的状态不同

过程

步骤 1

选择策略 (Policy) > TrustSec > 出口策略 (Egress Policy) > 矩阵 (Matrix)

步骤 2

点击生成模版 (Generate a Template)

步骤 3

从“出口策略”(Egress Policy) 页面下载模板(CSV 文件),然后在 CSV 文件中输入以下信息:

  • 源 SGT
  • 目标 SGT
  • SGACL
  • 监控状态(启用、禁用或监控)

步骤 4

请选中遇到第一个错误时停止导入 (Stop Import on First Error) 复选框,使思科 ISE 在遇到任何错误时取消导入。

步骤 5

点击导入 (Import)


从出口策略配置 SGT

您可以直接从“出口策略”(Egress Policy) 页面创建安全组。

过程


步骤 1

选择 策略 (Policy) > TrustSec > 出口策略 (Egress Policy)

步骤 2

从“源或目标树视图”(Source or Destination Tree View) 页面,选择配置 (Configure) > 创建新的安全组 (Create New Security Group)

步骤 3

输入所需的详细信息,并点击提交 (Submit)


监控模式

只需点击一下,您就可以通过出口策略中的 Monitor All 选项将整个出口策略配置状态改为监控模式。在出口策略页面,选中 Monitor All 复选框,将所有单元的出口策略配置状态改为监控模式。选中 Monitor All 复选框后,配置状态中会发生以下更改:

  • 状态为 Enabled 的单元将显示受监控行为,但看起来仍然像处于启用状态一样。

  • 状态为 Disable 的单元不受影响。

  • 状态为 Monitored 的单元仍保持 Monitored 状态。

取消选中 Monitor All 复选框即可恢复原始配置状态。这不会更改数据库中单元的实际状态。如果您取消选择 Monitor All,出口策略中的每个单元将恢复原配置状态。

监控模式功能

监控模式的监控功能可帮助您:

  • 知悉已筛选但受监控模式监控的流量

  • 知悉 SGT-DGT 对是处于监控模式还是执行模式,并且观察网络中是否在发生任何异常丢包

  • 了解 SGACL 丢弃实际是由执行模式执行还是由监控模式允许

  • 根据监控类型(监控和/或执行)创建自定义报告

  • 标识在 NAD 上已应用的 SGACL 并显示差异(如有)

未知安全组

未知安全组是一个无法修改、使用标签值 0 表示 Trustsec 的预配置安全组。

当思科安全组网络设备没有来源或目标的 SGT 时,这些设备会请求引用未知 SGT 的信元。如果仅来源未知,则请求适用于 <unknown, Destination SGT> 信元。如果仅目标未知,则请求适用于 <source SGT, unknown> 信元。如果来源和目标均未知,则请求适用于 <Unknown, Unknown> 信元。

默认策略

默认策略是指 <ANY,ANY> 信元。所有源 SGT 均映射到所有目标 SGT。此处,ANY SGT 不可修改,且未在任何源或目标 SGT 中列出。ANY SGT 仅可与 ANY SGT 配对。ANY SGT 无法与其他任何 SGT 配对。TrustSec 网络设备将默认策略附加到特定信元策略的末尾。

  • 如果信元为空,则意味着该信元仅包含默认策略。

  • 如果信元包含某种策略,则生成的策略为信元特定策略与默认策略的组合。

根据思科 ISE,信元策略和默认策略为两套独立的 SGACL,由设备分别获取以响应两个独立的策略查询。

默认策略的配置与其他信元不同:

  • 状态仅可为两个值,启用或监控。

  • 安全组 ACL 是默认策略的可选字段,因此可留空。

  • 最终抓取所有规则可为以下任意项:允许 IP、拒绝 IP、允许 IP 日志或拒绝 IP 日志。显然此处 None 选项不可用,因为默认策略之外无安全网。

SGT 分配

如果您知道设备主机名或 IP 地址,思科 ISE 允许向 TrustSec 设备分配 SGT。当具有特定主机名或 IP 地址的设备加入网络时,思科 ISE 会在对其进行身份验证之前分配 SGT。

有时需要手动将设备配置为将安全组标签映射至终端。您可以从 Security Group Mappings 页面创建此映射。在执行此操作前,请确保您保留了一系列 SGT。

ISE 允许创建最多 10000 个 IP 到 SGT 映射。您可以创建 IP 到 SGT 映射组,从逻辑上将这些大规模的映射进行分组。每组 IP 到 SGT 映射都包含一个 IP 地址列表,其要映射的单个安全组,以及作为这些映射的部署目标的网络设备或网络设备组。

NDAC 授权

您可以通过向设备分配 SGT 配置 TrustSec 策略。您可以根据 TrustSec 设备 ID 属性向设备分配安全组。

配置 NDAC 授权

开始之前
  • 确保创建用于策略中的安全组。

  • 要执行以下任务,您必须是超级管理员或系统管理员。

过程

步骤 1

选择策略 (Policy) > TrustSec > 网络设备授权 (Network Device Authorization)

步骤 2

点击 Default Rule 行右侧的 Action 图标,然后点击 Insert New Row Above

步骤 3

为此规则输入名称。

步骤 4

点击 Conditions 旁边的加号 (+) 以添加策略条件。

步骤 5

您可以点击 Create New Condition (Advance Option),然后创建新条件。

步骤 6

安全组 (Security Group) 下拉列表中,选择在此条件评估为 true 的情况下要分配的 SGT。

步骤 7

在此行中点击 Action 图标,根据设备属性在当前规则上方或下方添加更多的规则。您可以重复此过程,为 TrustSec 策略创建所需的所有规则。您可以通过点击 图标,拖放规则以为其重新排序。您还可以复制现有条件,但请确保更改策略名称。

评估为 true 的第一条规则决定评估的结果。如果没有匹配的规则,则将应用默认规则;您可以编辑默认规则以指定在没有匹配的规则的情况下必须应用的 SGT。

步骤 8

点击 Save 以保存您的 TrustSec 策略。

如果在您配置了网络设备策略后 SGA 设备尝试进行身份验证,设备将获取其 SGT 及其对等设备的 SGT 并且将可以下载所有相关的详细信息。


配置最终用户授权

思科 ISE 允许您分配安全组作为授权策略评估的结果。使用此选项,您可以将安全组分配到用户和终端。

开始之前

  • 请参阅授权策略的信息。

  • 要执行以下任务,您必须是超级管理员或系统管理员。

过程


步骤 1

依次选择 Policy > Authorization

步骤 2

创建新的授权策略。

步骤 3

选择安全组的权限。

如果在此授权策略中指定的条件对用户或终端为真,则此安全组会被分配到该用户或终端,且该用户或终端所发送的所有数据包会标记为此特定的 SGT。


添加单个 IP 到 SGT 映射

开始之前

要执行以下任务,您必须是超级管理员或系统管理员。

过程


步骤 1

选择策略 (Policy) > 策略元素 (Policy Elements) > 结果 (Results) > TrustSec > 安全组映射 (Security Group Mappings) > 主机 (Hosts)

步骤 2

点击 Add,添加新的单个 IP 到 SGT 映射。

步骤 3

选择是想输入设备的 Hostname 还是 IP Address。您还可以输入 IP 地址的子网掩码。

步骤 4

选择如下选项之一:

  • Group Mapping - 将 IP 映射设置为现有映射组的一部分。
  • Security Group Tag - 在此 IP 和 SGT 之间创建平面映射。

步骤 5

选择希望部署此映射的目标网络设备。您可以在所有 Trustsec 设备、选定的网络设备组或选定的网络设备上部署该映射。

步骤 6

点击提交 (Submit)


添加组 IP 到 SGT 映射

开始之前

要执行以下任务,您必须是超级管理员或系统管理员。

过程


步骤 1

选择策略 (Policy) > 策略元素 (Policy Elements) > 结果 (Results) > TrustSec > 安全组映射 (Security Group Mappings) > 组 (Groups)

步骤 2

点击 Add 将新的组 IP 添加到 SGT 映射。

步骤 3

输入组的 NameDescription

步骤 4

输入此组所映射的 Security Group Tag

步骤 5

选择希望部署此映射的目标网络设备。您可以在所有 Trustsec 设备、选定的网络设备组或选定的网络设备上部署该映射。

步骤 6

点击提交 (Submit)


导入安全组映射主机

您可以使用逗号分隔值 (CSV) 文件将安全组映射主机列表导入到思科 ISE 节点。不能同时运行相同资源类型的导入。例如,您不能从两个不同导入文件并发导入安全组映射主机。

您可以从策略 (Policy) > 策略元素 (Policy Elements) > 结果 (Results) > Trustsec > 安全组映射 (Security Group Mappings) > 主机 (Hosts) > 导入 (Import) 页面下载 CSV 模板。在模板中输入安全组映射主机详细信息,并将其另存为以后可导入回到思科 ISE 中的 CSV 文件。

导入主机时,您可以创建新记录或更新现有记录。思科 ISE 显示导入的主机数的摘要,并且还会报告导入过程中发现的任何错误。导入主机时,您还可以定义在思科 ISE 遇到第一个错误时是否希望思科 ISE 停止导入过程。

过程


步骤 1

选择策略 (Policy) > 策略元素 (Policy Elements) > 结果 (Results) > TrustSec > 安全组映射 (Security Group Mappings) > 主机 (Hosts)

步骤 2

点击导入 (Import)

步骤 3

点击浏览 (Browse) 从正在运行客户端浏览器的系统选择 CSV 文件。

步骤 4

如果需要,请选中遇到第一个错误时停止导入 (Stop Import on First Error) 复选框。

步骤 5

点击导入 (Import)


导出安全组映射主机

您可以将在思科 ISE 中配置的安全组映射主机以 CSV 文件的形式导出,然后您可以使用此文件将这些主机导入另一思科 ISE 节点。

过程


步骤 1

选择策略 (Policy) > 策略元素 (Policy Elements) > 结果 (Results) > TrustSec > 安全组映射 (Security Group Mappings) > 主机 (Hosts)

步骤 2

点击导出 (Export)

步骤 3

要导出安全组映射主机,您可以执行以下任一操作:

  • 选中您要导出的主机旁边的复选框,然后依次选择导出 (Export) > 导出选定对象 (Export Selected)

  • 依次选择导出 (Export) > 导出全部 (Export All) 以导出所定义的所有安全组映射主机。

步骤 4

将 export.csv 文件保存到您的本地硬盘中。


部署 IP 到 SGT 映射

向思科 ISE 添加 IP 到 SGT 的映射后,您必须将这些映射部署到目标网络设备。即使您之前保存了这些映射,也必须明确地执行此操作。思科 ISE 为您提供部署全部映射或部分映射的选项。

开始之前

您必须向思科 ISE 添加了 IP 到 SGT 的映射或已创建包含 IP 到 SGT 的映射的 IP 到 SGT 映射组。

过程


步骤 1

要向设备部署 IP 到 SGT 的映射,您可以执行以下操作之一:

  • 如果您想要向设备部署 IP 到 SGT 映射组,请依次选择 Policy > Policy Elements > Results > Trustsec > Security Group Mappings > Groups
  • 如果您想要向设备部署单一 IP 到 SGT 的映射,请依次选择 Policy > Policy Elements > Results > Trustsec > Security Group Mappings > Hosts

步骤 2

执行以下操作之一:

  • 选中要部署的组或映射旁的复选框,然后选择部署 (Deploy) 以部署所选择的映射。选择要部署新映射的设备时,ISE 会选择将受新映射影响的所有设备。
  • 选择 Deploy 以部署在思科 ISE 中配置的 IP 到 SGT 的映射。
思科 ISE 向组或映射中定义的特定网络设备部署映射。它还显示包含部署设备、配置、部署状态和故障原因(如有)等详细信息的报告。

TrustSec 配置和策略推送

思科 ISE 支持授权更改 (CoA),通过 CoA 思科 ISE 可以通知 TrustSec 设备 TrustSec 配置和策略更改,这样设备就可以用获取相关数据的请求作为回复。

CoA 通知可以触发 TrustSec 网络设备发送环境 CoA 或策略 CoA。

您可以向本身不支持 TrustSec CoA 功能的设备推送对设备的配置更改。

支持 CoA 的网络设备

思科 ISE 可向以下网络设备发送 CoA 通知:

  • 具有单个 IP 地址的网络设备(不支持子网)

  • 配置为 TrustSec 设备的网络设备

  • 设置为支持 CoA 的网络设备

在有多个辅助设备与很多不同的设备互操作的分布式环境中部署思科 ISE 时,CoA 请求从思科 ISE 主节点发送至所有网络设备。因此,TrustSec 网络设备需要配置为将思科 ISE 主节点作为 CoA 客户端。

设备向思科 ISE 主节点返回 CoA NAK 或 ACK。但是,来自网络设备的以下 TrustSec 会话会发送至接收网络设备发送的所有其他 AAA 请求的思科 ISE 节点,而不一定会发送至主节点。

向不支持 CoA 的设备推送配置更改

某些平台不支持思科 ISE 的更改授权 (CoA)“推送”功能,例如:Nexus 网络设备的某些版本。对于这种情况,ISE 将连接到网络设备,使该设备触发对 ISE 的更新配置请求。为此,ISE 对网络设备开放 SSHv2 隧道,思科 ISE 发送触发刷新 TrustSec 策略矩阵的命令。此方法也可以在支持 CoA 推送的网络平台上实施。

过程


步骤 1

选择 设备管理 (Device Administration) > 网络资源 (Network Resources) > 网络设备 (Network Devices)

步骤 2

选中所需网络设备旁边的复选框,然后点击编辑 (Edit)

验证网络设备的名称、IP 地址、RADIUS 和 TrustSec 设置是否已正确配置。

步骤 3

向下滚动至 TrustSec 高级设置 (Advanced TrustSec Settings),在 TrustSec 通知和更新 (TrustSec Notifications and Updates) 部分,选中发送配置更改至设备 (Send configuration changes to device) 复选框,点击 CLI (SSH) 单选按钮。

步骤 4

(可选) 提供 SSH 密钥。

步骤 5

选中当部署安全组标记影射更新时包含此设备 (Include this device when deploying Security Group Tag Mapping Updates) 复选框,使此 SGA 设备使用设备接口凭据获取 IP-SGT 映射。

步骤 6

输入拥有在执行模式下编辑设备配置的权限的用户的用户名和密码。

步骤 7

(可选) 输入密码,对设备启用执行模式密码,将允许编辑设备配置。可以点击显示 (Show),显示已为此设备配置的执行模式密码。

步骤 8

点击页面底部的提交 (Submit)


现在,网络设备已配置为推送 Trustsec 更改。更改思科 ISE 策略后,点击推送 (Push),让新配置在网络设备上体现出来。

SSH 密钥验证

可能想要使用 SSH 密钥增强安全性。思科 ISE 利用其 SSH 密钥验证功能支持此操作。

要使用此功能,请打开从思科 ISE 到网络设备的 SSHv2 隧道,然后使用网络设备的 CLI 检索 SSH 密钥。然后,复制此密钥,并将其粘贴到思科 ISE 中进行验证。如果 SSH 密钥错误,思科 ISE 将终止连接。

限制:目前,思科 ISE 只能验证一个 IP(而不是 IP 范围,或者 IP 内的子网)

开始之前

您将需要:

  • 登录凭证

  • 检索 SSH 密钥的 CLI 命令

希望思科 ISE 与其安全通信的网络设备。

过程

步骤 1

在网络设备上:

  1. 登录想要思科 ISE 使用 SSH 密钥验证与其通信的网络设备。

  2. 使用设备的 CLI 显示 SSH 密钥。

    示例:
    对于 Catalyst 设备,命令是:sho ip ssh
  3. 复制显示的 SSH 密钥。

步骤 2

从思科 ISE 用户界面:

  1. 选择 设备管理 (Device Administration) > 网络资源 (Network Resources) > 网络设备 (Network Devices),验证所需网络设备的名称、IP 地址、RADIUS 和 TrustSec 设置是否已正确配置。

  2. 向下滚动至 TrustSec 高级设置 (Advanced TrustSec Settings),在 TrustSec 通知和更新 (TrustSec Notifications and Updates) 部分,选中发送配置更改到设备 (Send configuration changes to device) 复选框,点击 CLI (SSH) 单选按钮。

  3. SSH 密钥 (SSH Key) 字段中,粘贴之前从网络设备检索的 SSH 密钥。

  4. 点击页面底部的提交 (Submit)


现在,网络设备可以使用 SSH 密钥验证与思科 ISE 的通信。

环境 CoA 通知流程

下图显示环境 CoA 通知流程。

图 8. 环境 CoA 通知流程
环境 CoA 通知流程
  1. 思科 ISE 向 TrustSec 网络设备发送环境 CoA 通知。

  2. 设备返回环境数据请求。

  3. 思科 ISE 返回以下数据以响应环境数据请求:

    发送请求的设备的环境数据 - 这包括 TrustSec 设备的 SGT(根据 NDAC 策略推断)和下载环境 TTL。

    TrustSec AAA 服务器列表的名称和生成 ID。

    SGT 表(可能有多个)的名称和生成 ID - 这些表列出 SGT 名称和 SGT 值,并且这些表共同提供 SGT 的完整列表。

  4. 如果设备不包含 TrustSec AAA 服务器列表,或者生成 ID 与所接收的生成 ID 不同,设备会再发送另一个请求以获取 AAA 服务器列表内容。

  5. 如果设备不包含响应中列出的 SGT 表,或生成 ID 不同于所接收的生成 ID,则设备会发送另一个请求以获取该 SGT 表的内容。

环境 CoA 触发器

系统可以为以下因素触发环境 CoA:

  • 网络设备

  • 安全组

  • AAA 服务器

为网络设备触发环境 CoA

要为网络设备触发环境 CoA,请完成以下步骤:

过程

步骤 1

选择管理 (Administration) > 网络资源 (Network Resources) > 网络设备 (Network Devices)

步骤 2

添加或编辑网络设备。

步骤 3

更新 Advanced TrustSec Settings 部分下的 TrustSec Notifications 和 Updates 参数。

只有发生更改的特定 TrustSec 网络设备会收到更改环境属性的通知。

由于只有一个设备受到影响,环境 CoA 通知会在提交后立即发送。所产生的结果是对设备的环境属性进行更新。


为安全组触发环境 CoA

要为安全组触发环境 CoA,请完成以下步骤。

过程

步骤 1

选择策略 (Policy) > 策略元素 (Policy Elements) > 结果 (Results) > TrustSec > 安全组 (Security Groups)

步骤 2

在 Security Group 页面中,更改 SGT 的名称,此操作将更改该 SGT 的映射值的名称。这会触发环境更改。

步骤 3

点击 Push 按钮,以在更改多个 SGT 的名称后发起环境 CoA 通知。此环境 CoA 通知会转至所有 TrustSec 网络设备并提供已更改的所有 SGT 的更新。


为 TrustSec AAA 服务器触发环境 CoA

要为 TrustSec AAA 服务触发环境 CoA,请完成以下步骤。

过程

步骤 1

选择管理 (Administration) > 网络资源 (Network Resources) > TrustSec AAA 服务器 (TrustSec AAA Servers)

步骤 2

在 TrustSec AAA Servers 页面可以创建、删除或更新 TrustSec AAA 服务器的配置。这会触发环境更改。

步骤 3

在配置多个 TrustSec AAA 服务器之后,点击 推送 (Push) 按钮发起环境 CoA 通知。此环境 CoA 通知将发送到所有 TrustSec 网络设备并提供已更改的所有 TrustSec AAA 服务器的更新。


为 NDAC 策略触发环境 CoA

要为 NDAC 策略触发环境 CoA,请完成以下步骤。

过程

您可以点击“NDAC 策略”(NDAC policy) 页面中的 推送 (Push) 按钮,发起环境 CoA 通知。此环境 CoA 通知将发送至所有 TrustSec 网络设备并更新网络设备自身 SGT。


更新 SGACL 内容流程

下图显示更新 SGACL 内容流程。

图 9. 更新 SGACL 内容流程
更新 SGACL 内容流程
  1. 思科 ISE 将更新 RBACL 命名列表 CoA 通知发送到 TrustSec 网络设备。通知包含 SGACL 名称和生成 ID。

  2. 如果满足以下两个条件,设备可能会根据 SGT 数据请求进行重放:

    如果 SGACL 是设备所载出口信元的一部分。设备载有一个出口策略数据子集,这些数据是与相邻设备和终端的 SGT 相关的信元(选定目标 SGT 的出口策略列)。

    CoA 通知中的生成 ID 与设备为此 SGACL 保留的生成 ID 不同。

  3. 为了响应 SGACL 数据请求,思科 ISE 会返回 SGACL 的内容 (ACE)。

启动更新 SGACL 命名的列表 CoA

要触发更新 SGACL 命名的列表 CoA,请完成以下步骤:

过程

步骤 1

选择策略 (Policy) > 策略元素 (Policy Elements) > 结果 (results)

步骤 2

从左侧“结果”(Results) 导航窗格,点击 TrustSec 旁边的按钮,然后点击安全组 ACL (Security Group ACLs)

步骤 3

更改 SGACL 的内容。在您提交 SGACL 后,它会提高 SGACL 的生成 ID。

步骤 4

点击推送 (Push) 按钮以在您更改多个 SGACL 的内容之后发起更新 SGACL 命名的列表 CoA 通知。此通知将发送至所有 TrustSec 网络设备,并且在相关设备上提供该 SGACL 内容的更新。

更改 SGACL 的名称或 IP 版本不会更改其生成 ID;因此不需要发送更新 RBACL 命名的列表 CoA 通知。

但是,如果更改出口策略中当前使用的 SGACL 的名称或 IP 版本,则会相应地更改包含该 SGACL 的单元格,并且这会更改该单元格目标 SGT 的生成 ID。


策略更新 CoA 通知流程

下图显示了策略 CoA 通知流程。

图 10. 策略 CoA 通知流程
策略 CoA 通知流程
  1. 思科 ISE 向 TrustSec 网络设备发送更新策略 CoA 通知。通知可以包含多个 SGACL 名称及其生成 ID,以及多个 SGT 值及其生成 ID。

  2. 设备可能重放多个 SGACL 数据请求和/或多个 SGT 数据。

  3. 作为对 SGACL 数据请求或 SGT 数据请求的响应,思科 ISE 返回相关数据。

更新 SGT 矩阵 CoA 流程

下图显示了更新 SGT 矩阵 CoA 的流程。

图 11. 更新 SGT 矩阵 CoA 流程
更新 SGT 矩阵 CoA 流程
  1. 思科 ISE 将更新的 SGT 矩阵 CoA 通知发送到 TrustSec 网络设备。通知包含 SGT 值和生成 ID。

  2. 如果满足以下两个条件,设备可以重放 SGT 数据请求:

    如果 SGT 是毗邻设备或终端的 SGT,设备将下载并保留与毗邻设备和终端的 SGT(目标 SGT)相关的信元。

    CoA 通知中的生成 ID 不同于设备为 SGT 保留的生成 ID。

  3. 作为对 SGT 数据请求的响应,思科 ISE 返回所有出口信元的数据,例如源 SGT 和目标 SGT、信元状态以及在此信元中配置的 SGACL 名称的顺序列表。

发起从出口策略更新 SGT 矩阵 CoA

过程

步骤 1

选择策略 (Policy) > TrustSec > 出口策略 (Egress Policy)

步骤 2

在“出口策略”(Egress Policy) 页面,更改单元格的内容(状态、SGACL)。

步骤 3

在提交更改后,系统会提高该单元格目标 SGT 的生成 ID。

步骤 4

点击推送 (Push) 按钮以在您更改多个出口单元格的内容之后发起更新 SGACL 命名的列表 CoA 通知。此通知将发送至所有 TrustSec 网络设备,并且在相关设备上提供该单元格内容的更新。


TrustSec CoA 摘要

下表汇总了可能要求发起 TrustSec CoA 的各种场景、每个场景中使用的 CoA 的类型以及相关 UI 页面。

表 8. TrustSec CoA 摘要

UI 页面

触发 CoA 的操作

触发方式

CoA 类型

发送到

Network Device

更改页面的 TrustSec 部分中的环境 TTL

在成功提交 TrustSec 网络设备后

环境

特定网络设备

TrustSec AAA Server

TrustSec AAA 服务器中的任何更改(创建、更新、删除、重新排序)

可以通过点击 TrustSec AAA 服务器列表页面中的 Push 按钮推送累积更改。

环境

所有 TrustSec 网络设备

Security Group

SGT 中的任何更改(创建、重命名、删除)

可以通过点击 SGT 列表页面中的 Push 按钮推送累积更改。

环境

所有 TrustSec 网络设备

NDAC Policy

NDAC 策略中的任何更改(创建、更新、删除)

可以通过点击 NDAC 策略页面中的 Push 按钮推送累积更改。

环境

所有 TrustSec 网络设备

SGACL

更改 SGACL ACE

可以通过点击 SGACL 列表页面中的 Push 按钮推送累积更改。

更新 RBACL 命名列表

所有 TrustSec 网络设备

更改 SGACL 名称或 IP 版本

可以通过点击 SGACL 列表页面中的 Push 按钮或 Egress 表中的 Policy Push 按钮推送累积更改。

更新 SGT 矩阵

所有 TrustSec 网络设备

Egress Policy

用于更改 SGT 的生成 ID 的操作。

可以通过点击 Egress Policy 页面中的 Push 按钮推送累积更改。

更新 SGT 矩阵

所有 TrustSec 网络设备

按用户报告运行前 N 个 RBACL 丢包

可以按用户报告运行前 N 个 RBACL 丢包,以便按特定用户查看策略违规(基于丢包)。

过程


步骤 1

从思科 ISE Admin 控制面板选择 Operations > Reports > ISE Reports > TrustSec

步骤 2

点击 Top N RBACL Drops by User

步骤 3

Filters 下拉菜单中添加所需的监控模式。

步骤 4

相应地输入选定参数的值。可以从 Enforcement mode 下拉列表中将模式指定为 Enforce、Monitor 或 Both。

步骤 5

Time Range 下拉菜单中选择将收集报告数据的时间段。

步骤 6

点击运行 (Run) 在特定时间段内运行报告,以及选定的参数。