為基於身份的網路配置SXP和IBNS 2.0交換機

簡介

本文檔介紹使用SXP和IBNS 2.0為基於身份的網路配置Cisco交換機的過程。

必要條件

採用元件

本文中的資訊係根據以下軟體和硬體版本：

• 身分識別服務引擎(ISE)版本3.3補丁4
• Cisco Catalyst交換器3850 

本文中的資訊是根據特定實驗室環境內的裝置所建立。文中使用到的所有裝置皆從已清除（預設）的組態來啟動。如果您的網路運作中，請確保您瞭解任何指令可能造成的影響。

背景資訊 

身份控制策略定義訪問會話管理器響應特定條件和端點事件而執行的操作。使用一致的策略語言，可以將各種系統操作、條件和事件組合起來形成這些策略。

控制策略應用於介面，主要負責管理會話上的端點身份驗證和啟用服務。每個控制策略由一個或多個規則和決定如何評估這些規則的決策策略組成。

控制策略規則包括控制類（靈活的條件語句）、觸發條件評估的事件，以及一個或多個操作。在管理員定義由特定事件觸發的操作時，某些事件附帶預定義的預設操作。

身份控制策略

身份控制策略配置概述

控制策略使用事件、條件和操作來定義系統行為。配置控制策略包括三個主要步驟：

1. 建立控制類：
   控制類定義啟用控制策略所需的條件。每個類可以有多個評估為true或false的條件。您可以設定all、any或none條件是否必須為true，才能將該類視為true。或者，管理員可以使用沒有條件且計算結果始終為true的預設類。
2. 建立控制策略：
   控制策略包含一個或多個規則。每個規則都包括一個控制類、一個觸發條件檢查的事件和一個或多個操作。操作按順序編號和執行。
3. 應用控制策略：
   最後，將控制策略應用到介面以啟用它。

身份控制策略配置

authentication display new-style命令可將舊配置轉換為新樣式。

switch#authentication display new-style

解釋身份控制策略

設定

交換器組態

WS-C3850-48F-E#show run aaa

!

aaa authentication dot1x default group radius local

aaa authorization network default group radius local

username admin password 0 xxxxxx

!

!

!

!

radius伺服器ISE1

address ipv4 10.127.197.xxx auth-port 1812 acct-port 1813

pac key xxxx@123

!

!

aaa群組伺服器radius ISE2

伺服器名稱ISE1

!

!

!

!

aaa new-model

aaa session-id common

!

aaa server radius dynamic-author

client 10.127.197.xxx server-key xxxx@123

dot1x system-auth-control

!

WS-C3850-48F-E#show run | in POLICY_Gi1/0/45      

policy-map type control subscriber POLICY_Gi1/0/45

service-policy type control subscriber POLICY_Gi1/0/45

WS-C3850-48F-E#show run | sec POLICY_Gi1/0/45

policy-map type control subscriber POLICY_Gi1/0/45

event session-started match-all

  10類always do-until-failure

   10使用dot1x priority 10進行身份驗證

event authentication-failure match-first

  5類DOT1X_FAILED do-until-failure

   10終止dot1x

   20 authentication-restart 60

  10類DOT1X_NO_RESP do-until-failure

   10終止dot1x

   20使用mab優先順序進行身份驗證20

  20類MAB_FAILED do-until-failure

   10終止mab

   20 authentication-restart 60

  40類always do-until-failure

   10終止dot1x

   20終止mab

   30 authentication-restart 60

事件代理找到的匹配全部

  10類always do-until-failure

   10終止mab

   20使用dot1x priority 10進行身份驗證

event authentication-success match-all

  10類always do-until-failure

   10 activate service-template DEFAULT_LINKSEC_POLICY_MUST_SECURE

service-policy type control subscriber POLICY_Gi1/0/45

WS-C3850-48F-E#show run interface gig1/0/45

Building configuration...

當前配置：303 位元組

!

interface GigabitEthernet1/0/45

switchport access vlan 503

switchport mode access

access-session host-mode single-host

access-session closed

access-session port-control auto

mab

無cts基於角色的實施

dot1x pae authenticator

service-policy type control subscriber POLICY_Gi1/0/45

end

WS-C3850-48F-E#show run cts

!

cts authorization list ISE2

cts sxp enable

cts sxp connection 10.127.197.xxx password none mode peer speaker hold-time 0 0

cts sxp default source-ip 10.196.138.yyy

cts sxp預設密碼xxxx@123

ISE 組態

步驟 1:在ISE上建立身份驗證和授權策略

步驟 2:在ISE上配置SXP裝置

步驟 3:在SXP設定下配置全域性密碼

驗證

WS-C3850-48F-E#show access-session interface gig1/0/45詳細資訊

            Interface:  GigabitEthernet1/0/45

               IIF-ID:  0x1A146F96

          MAC 地址:  b496.9126.decc

         IPv6地址：  未知

         IPv4地址：  未知

            使用者名稱：  divya123

               狀態:  已獲授權的

               域：  資料

       Oper主機模式：  單主機

     Oper control dir:  兩者

      會話超時：  不適用

    通用會話ID:  000000000000000B95163D98

      Acct會話ID:  未知

               控制代碼：  0x6f000001

       當前策略：  POLICY_Gi1/0/45

本地策略：

        服務模板：DEFAULT_LINKSEC_POLICY_MUST_SECURE（優先順序150）

      安全策略：  必須安全

      安全狀態：  鏈路不安全

伺服器策略：

方法狀態清單：

       方法狀態

        dot1x Authc Success

WS-C3850-48F-E#

WS-C3850-48F-E(config)#do show cts sxp conn

SXP :已啟用

支援的最高版本：4

預設密碼：設定

預設金鑰鏈：未設定

預設金鑰鏈名稱：不適用

預設源IP:10.196.138.yyy

連線重試開啟期間：120秒

對帳期間：120秒

重試開啟計時器正在運行

用於匯出的對等序列遍歷限制：未設定

匯入的對等序列遍歷限制：未設定

----------------------------------------------

對等IP :10.127.197.xxx

來源 IP:10.196.138.yyy

連線狀態:於

Conn版本:4

連線功能:IPv4-IPv6 — 子網

連線保持時間:120秒

本地模式:SXP偵聽程式

連線inst#:1

TCP conn fd :1

TCP連線密碼：none

保持計時器正在運行

自上次狀態更改以來的持續時間：0:00:00:22(dd:hr:mm:sec)

SXP連線總數= 1

0xFF8CBFC090 VRF:,fd:1，對等ip:10.127.197.xxx

cdbp:0xFF8CBFC090 <10.127.197.145, 10.196.138.yyy> tableid:0x0

WS-C3850-48F-E(config)# 

即時日誌報告顯示SGT標籤已應用:

疑難排解

在交換機上啟用此調試以排除dot1x故障：

• debug dot1x all

日誌說明

dot1x-packet:EAPOL產品啟用金鑰 — 版本：0x1型別：0x1 >>>>>交換機接收的EAPoL資料包
dot1x-packet:長度：0x000

dot1x-ev:[b496.9126.decc， Gig1/0/45]客戶端被檢測到，正在為b496.9126.decc >>>> dot1x客戶端傳送會話啟動事件

dot1x-ev:[b496.9126.decc， Gig1/0/45] Dot1x authentication started for 0x26000007(b496.9126.decc)>>>> dot1x started

%AUTHMGR-5-START:在介面Gig1/0/45 AuditSessionID 0A6A258E0000003500C9CFC3上為客戶端(b496.9126.decc)啟動「dot1x」

dot1x-sm:[b496.9126.decc， Gig1/0/45]在客戶端0x26000007上發佈！EAP_RESTART />>>>請求客戶端重新啟動EAP處理

dot1x-sm:[b496.9126.decc， Gig1/0/45]在客戶端0x26000007上發佈RX_REQ >>>>等待來自客戶端的EAPoL資料包

dot1x-sm:[b496.9126.decc， Gig1/0/45]為0x26000007發佈AUTH_START >>>>開始身份驗證過程

dot1x-ev:[b496.9126.decc， Gig1/0/45]傳送EAPOL資料包>>>>身份請求
dot1x-packet:EAPOL資料包發射機 — 版本：0x3型別：0x0
dot1x-packet:長度：0x005
dot1x-packet:EAP代碼：0x1 id:0x1長度：0x005
dot1x-packet:type:0x1
dot1x-packet:[b496.9126.decc， Gig1/0/45] EAPOL資料包傳送到客戶端0x26000007

dot1x-ev:[Gig1/0/45]接收的pkt saddr =b496.9126.decc ,daddr = 0180.c200.0003,pae-ether-type = 888e.0100.000a
dot1x-packet:EAPOL產品啟用金鑰 — 版本：0x1型別：0x0 //身份響應
dot1x-packet:長度：0x000A

dot1x-sm:[b496.9126.decc， Gig1/0/45]為0x26000007發佈EAPOL_EAP >>>收到EAPoL資料包（EAP響應），正在準備向伺服器的請求

dot1x-sm:[b496.9126.decc， Gig1/0/45]為0x26000007 >>>>>收到伺服器響應，正在準備EAP請求

dot1x-ev:[b496.9126.decc， Gig1/0/45]傳送EAPOL資料包
dot1x-packet:EAPOL資料包發射機 — 版本：0x3型別：0x0
dot1x-packet:長度：0x006
dot1x-packet:EAP代碼：0x1 id:0xE5長度：0x006
dot1x-packet:type:0xD
dot1x-packet:[b496.9126.decc， Gig1/0/45] EAPOL資料包傳送到客戶端0x26000007 >>>>EAP請求已傳送

dot1x-ev:[Gig1/0/45]接收的pkt saddr =b496.9126.decc ,daddr = 0180.c200.0003,pae-ether-type = 888e.0100.0006 //EAP響應已接收
dot1x-packet:EAPOL產品啟用金鑰 — 版本：0x1型別：0x0
dot1x-packet:長度：0x006
||
||
||
||此處發生許多EAPOL-EAP和EAP_REQ事件，因為交換機和客戶端之間交換了大量資訊
||如果之後沒有遵循事件，則需要檢查計時器和到目前為止傳送的資訊
||
||
||
dot1x-packet:[b496.9126.decc， Gig1/0/45]從伺服器收到EAP成功>>>>> EAP成功

dot1x-sm:[b496.9126.decc， Gig1/0/45]為0x26000007發佈EAP_SUCCESS >>>>發佈EAP成功事件

dot1x-sm:[b496.9126.decc，Gig1/0/45]在客戶端0x26000007上發佈AUTH_SUCCESS >>>>發佈身份驗證成功

%DOT1X-5-SUCESS:介面Gig1/0/45 AuditSessionID 0A6A258E0000003500C9CFC3上的客戶端(b496.9126.decc)身份驗證成功

dot1x-packet:[b496.9126.decc， Gig1/0/45] EAP Key data detected adding to attribute list >>>>>Additional key data detected by server

%AUTHMGR-5-SUCESS:介面Gig1/0/45 AuditSessionID 0A6A258E0000003500C9CFC3上的客戶端(b496.9126.decc)授權成功

dot1x-ev:[b496.9126.decc， Gig1/0/45]已收到客戶端0x26000007(b496.9126.decc)的授權成功>>>>授權成功

dot1x-ev:[b496.9126.decc， Gig1/0/45]傳送EAPOL資料包>>>>向客戶端傳送EAP成功
dot1x-packet:EAPOL資料包發射機 — 版本：0x3型別：0x0
dot1x-packet:長度：0x0004
dot1x-packet:EAP代碼：0x3 id:0xED長度：0x0004
dot1x-packet:[b496.9126.decc， Gig1/0/45] EAPOL資料包傳送到客戶端0x26000007