簡介
本文檔介紹使用SXP和IBNS 2.0為基於身份的網路配置Cisco交換機的過程。
必要條件
採用元件
本文中的資訊係根據以下軟體和硬體版本:
- 身分識別服務引擎(ISE)版本3.3補丁4
- Cisco Catalyst交換器3850
本文中的資訊是根據特定實驗室環境內的裝置所建立。文中使用到的所有裝置皆從已清除(預設)的組態來啟動。如果您的網路運作中,請確保您瞭解任何指令可能造成的影響。
背景資訊
身份控制策略定義訪問會話管理器響應特定條件和端點事件而執行的操作。使用一致的策略語言,可以將各種系統操作、條件和事件組合起來形成這些策略。
控制策略應用於介面,主要負責管理會話上的端點身份驗證和啟用服務。每個控制策略由一個或多個規則和決定如何評估這些規則的決策策略組成。
控制策略規則包括控制類(靈活的條件語句)、觸發條件評估的事件,以及一個或多個操作。在管理員定義由特定事件觸發的操作時,某些事件附帶預定義的預設操作。
身份控制策略
身份控制策略配置概述
控制策略使用事件、條件和操作來定義系統行為。配置控制策略包括三個主要步驟:
- 建立控制類:
控制類定義啟用控制策略所需的條件。每個類可以有多個評估為true或false的條件。您可以設定all、any或none條件是否必須為true,才能將該類視為true。或者,管理員可以使用沒有條件且計算結果始終為true的預設類。
- 建立控制策略:
控制策略包含一個或多個規則。每個規則都包括一個控制類、一個觸發條件檢查的事件和一個或多個操作。操作按順序編號和執行。
- 應用控制策略:
最後,將控制策略應用到介面以啟用它。
身份控制策略配置
authentication display new-style命令可將舊配置轉換為新樣式。
switch#authentication display new-style
解釋身份控制策略
設定
交換器組態
WS-C3850-48F-E#show run aaa
!
aaa authentication dot1x default group radius local
aaa authorization network default group radius local
username admin password 0 xxxxxx
!
!
!
!
radius伺服器ISE1
address ipv4 10.127.197.xxx auth-port 1812 acct-port 1813
pac key xxxx@123
!
!
aaa群組伺服器radius ISE2
伺服器名稱ISE1
!
!
!
!
aaa new-model
aaa session-id common
!
aaa server radius dynamic-author
client 10.127.197.xxx server-key xxxx@123
dot1x system-auth-control
!
WS-C3850-48F-E#show run | in POLICY_Gi1/0/45
policy-map type control subscriber POLICY_Gi1/0/45
service-policy type control subscriber POLICY_Gi1/0/45
WS-C3850-48F-E#show run | sec POLICY_Gi1/0/45
policy-map type control subscriber POLICY_Gi1/0/45
event session-started match-all
10類always do-until-failure
10使用dot1x priority 10進行身份驗證
event authentication-failure match-first
5類DOT1X_FAILED do-until-failure
10終止dot1x
20 authentication-restart 60
10類DOT1X_NO_RESP do-until-failure
10終止dot1x
20使用mab優先順序進行身份驗證20
20類MAB_FAILED do-until-failure
10終止mab
20 authentication-restart 60
40類always do-until-failure
10終止dot1x
20終止mab
30 authentication-restart 60
事件代理找到的匹配全部
10類always do-until-failure
10終止mab
20使用dot1x priority 10進行身份驗證
event authentication-success match-all
10類always do-until-failure
10 activate service-template DEFAULT_LINKSEC_POLICY_MUST_SECURE
service-policy type control subscriber POLICY_Gi1/0/45
WS-C3850-48F-E#show run interface gig1/0/45
Building configuration...
當前配置:303 位元組
!
interface GigabitEthernet1/0/45
switchport access vlan 503
switchport mode access
access-session host-mode single-host
access-session closed
access-session port-control auto
mab
無cts基於角色的實施
dot1x pae authenticator
service-policy type control subscriber POLICY_Gi1/0/45
end
WS-C3850-48F-E#show run cts
!
cts authorization list ISE2
cts sxp enable
cts sxp connection 10.127.197.xxx password none mode peer speaker hold-time 0 0
cts sxp default source-ip 10.196.138.yyy
cts sxp預設密碼xxxx@123
ISE 組態
步驟 1:在ISE上建立身份驗證和授權策略

步驟 2:在ISE上配置SXP裝置

步驟 3:在SXP設定下配置全域性密碼

驗證
WS-C3850-48F-E#show access-session interface gig1/0/45詳細資訊
Interface: GigabitEthernet1/0/45
IIF-ID: 0x1A146F96
MAC 地址: b496.9126.decc
IPv6地址: 未知
IPv4地址: 未知
使用者名稱: divya123
狀態: 已獲授權的
域: 資料
Oper主機模式: 單主機
Oper control dir: 兩者
會話超時: 不適用
通用會話ID: 000000000000000B95163D98
Acct會話ID: 未知
控制代碼: 0x6f000001
當前策略: POLICY_Gi1/0/45
本地策略:
服務模板:DEFAULT_LINKSEC_POLICY_MUST_SECURE(優先順序150)
安全策略: 必須安全
安全狀態: 鏈路不安全
伺服器策略:
方法狀態清單:
方法狀態
dot1x Authc Success
WS-C3850-48F-E#
WS-C3850-48F-E(config)#do show cts sxp conn
SXP :已啟用
支援的最高版本:4
預設密碼:設定
預設金鑰鏈:未設定
預設金鑰鏈名稱:不適用
預設源IP:10.196.138.yyy
連線重試開啟期間:120秒
對帳期間:120秒
重試開啟計時器正在運行
用於匯出的對等序列遍歷限制:未設定
匯入的對等序列遍歷限制:未設定
----------------------------------------------
對等IP :10.127.197.xxx
來源 IP:10.196.138.yyy
連線狀態:於
Conn版本:4
連線功能:IPv4-IPv6 — 子網
連線保持時間:120秒
本地模式:SXP偵聽程式
連線inst#:1
TCP conn fd :1
TCP連線密碼:none
保持計時器正在運行
自上次狀態更改以來的持續時間:0:00:00:22(dd:hr:mm:sec)
SXP連線總數= 1
0xFF8CBFC090 VRF:,fd:1,對等ip:10.127.197.xxx
cdbp:0xFF8CBFC090 <10.127.197.145, 10.196.138.yyy> tableid:0x0
WS-C3850-48F-E(config)#
即時日誌報告顯示SGT標籤已應用:


疑難排解
在交換機上啟用此調試以排除dot1x故障:
日誌說明
dot1x-packet:EAPOL產品啟用金鑰 — 版本:0x1型別:0x1 >>>>>交換機接收的EAPoL資料包
dot1x-packet:長度:0x000
dot1x-ev:[b496.9126.decc, Gig1/0/45]客戶端被檢測到,正在為b496.9126.decc >>>> dot1x客戶端傳送會話啟動事件
dot1x-ev:[b496.9126.decc, Gig1/0/45] Dot1x authentication started for 0x26000007(b496.9126.decc)>>>> dot1x started
%AUTHMGR-5-START:在介面Gig1/0/45 AuditSessionID 0A6A258E0000003500C9CFC3上為客戶端(b496.9126.decc)啟動「dot1x」
dot1x-sm:[b496.9126.decc, Gig1/0/45]在客戶端0x26000007上發佈!EAP_RESTART />>>>請求客戶端重新啟動EAP處理
dot1x-sm:[b496.9126.decc, Gig1/0/45]在客戶端0x26000007上發佈RX_REQ >>>>等待來自客戶端的EAPoL資料包
dot1x-sm:[b496.9126.decc, Gig1/0/45]為0x26000007發佈AUTH_START >>>>開始身份驗證過程
dot1x-ev:[b496.9126.decc, Gig1/0/45]傳送EAPOL資料包>>>>身份請求
dot1x-packet:EAPOL資料包發射機 — 版本:0x3型別:0x0
dot1x-packet:長度:0x005
dot1x-packet:EAP代碼:0x1 id:0x1長度:0x005
dot1x-packet:type:0x1
dot1x-packet:[b496.9126.decc, Gig1/0/45] EAPOL資料包傳送到客戶端0x26000007
dot1x-ev:[Gig1/0/45]接收的pkt saddr =b496.9126.decc ,daddr = 0180.c200.0003,pae-ether-type = 888e.0100.000a
dot1x-packet:EAPOL產品啟用金鑰 — 版本:0x1型別:0x0 //身份響應
dot1x-packet:長度:0x000A
dot1x-sm:[b496.9126.decc, Gig1/0/45]為0x26000007發佈EAPOL_EAP >>>收到EAPoL資料包(EAP響應),正在準備向伺服器的請求
dot1x-sm:[b496.9126.decc, Gig1/0/45]為0x26000007 >>>>>收到伺服器響應,正在準備EAP請求
dot1x-ev:[b496.9126.decc, Gig1/0/45]傳送EAPOL資料包
dot1x-packet:EAPOL資料包發射機 — 版本:0x3型別:0x0
dot1x-packet:長度:0x006
dot1x-packet:EAP代碼:0x1 id:0xE5長度:0x006
dot1x-packet:type:0xD
dot1x-packet:[b496.9126.decc, Gig1/0/45] EAPOL資料包傳送到客戶端0x26000007 >>>>EAP請求已傳送
dot1x-ev:[Gig1/0/45]接收的pkt saddr =b496.9126.decc ,daddr = 0180.c200.0003,pae-ether-type = 888e.0100.0006 //EAP響應已接收
dot1x-packet:EAPOL產品啟用金鑰 — 版本:0x1型別:0x0
dot1x-packet:長度:0x006
||
||
||
||此處發生許多EAPOL-EAP和EAP_REQ事件,因為交換機和客戶端之間交換了大量資訊
||如果之後沒有遵循事件,則需要檢查計時器和到目前為止傳送的資訊
||
||
||
dot1x-packet:[b496.9126.decc, Gig1/0/45]從伺服器收到EAP成功>>>>> EAP成功
dot1x-sm:[b496.9126.decc, Gig1/0/45]為0x26000007發佈EAP_SUCCESS >>>>發佈EAP成功事件
dot1x-sm:[b496.9126.decc,Gig1/0/45]在客戶端0x26000007上發佈AUTH_SUCCESS >>>>發佈身份驗證成功
%DOT1X-5-SUCESS:介面Gig1/0/45 AuditSessionID 0A6A258E0000003500C9CFC3上的客戶端(b496.9126.decc)身份驗證成功
dot1x-packet:[b496.9126.decc, Gig1/0/45] EAP Key data detected adding to attribute list >>>>>Additional key data detected by server
%AUTHMGR-5-SUCESS:介面Gig1/0/45 AuditSessionID 0A6A258E0000003500C9CFC3上的客戶端(b496.9126.decc)授權成功
dot1x-ev:[b496.9126.decc, Gig1/0/45]已收到客戶端0x26000007(b496.9126.decc)的授權成功>>>>授權成功
dot1x-ev:[b496.9126.decc, Gig1/0/45]傳送EAPOL資料包>>>>向客戶端傳送EAP成功
dot1x-packet:EAPOL資料包發射機 — 版本:0x3型別:0x0
dot1x-packet:長度:0x0004
dot1x-packet:EAP代碼:0x3 id:0xED長度:0x0004
dot1x-packet:[b496.9126.decc, Gig1/0/45] EAPOL資料包傳送到客戶端0x26000007