1. Настройка Cisco ISE
В данном примере используется версия 1.1.3
Создать группу для коммутаторов: Wired
Administration - Network Resources - Network Device Groups - Groups - All Device Types
Добавить коммутатор в хранилище и прикрепить к группе Wired
Administration - Network Resources - Network Devices
Из обязательных полей для заполнения: Name, IP Address, Device Type, Authentication Settings (Shared Secret)
Создать Identity Group, в которую будут входить пользователи: test-user-group
Administration - Identity Management - Groups - User Identity Groups
Добавить пользователя test-user и прикрепить его к группе test-user-group
Administration - Identity Management - Identities - Users
Добавить Downloadable ACL: test-user-DACL
Policy - Policy Elements - Results - Authorization - Downloadable ACLs
Добавить Authorization Profile: test-user-profile
Policy - Policy Elements - Results - Authorization - Authorization Profiles
В нем указать DACL Name, который мы создали выше и VLAN
Создаем Authorization Policy для пользователей, входящих в нашу группу
Policy - Authorization
2. Настройка коммутатора - в режиме глобальной конфигурации (config)#
Включить AAA
aaa new-model
aaa authentication dot1x default group radius
aaa authorization network default group radius
aaa accounting dot1x default start-stop group radius
Включить CoA (Change of Authorization)
Даннаая функция дает возможность radius серверу быть инициатором обмена сообщениями и обновлять политику на NAD, основываясь на определнных критериях, условиях
aaa server radius dynamic-author
client 192.168.1.100 server-key cisco
Настроить, чтобы NAD отправлял vendor-specific attributes (VSA) на Cisco ISE во время аутентификации и аккаунтинга.
radius-server vsa send authentication
radius-server vsa send accounting
Настройка VSA
radius-server attribute 6 on-for-login-auth
radius-server attribute 8 include-in-access-req
radius-server attribute 25 access-request include
ip radius source-interface vlanX
Включить работу dACL
ip device tracking
Могуть быть проблемы с АРМ под Windows 7, для этого необходимо добавить еще одну команду:
ip device tracking probe use-svi
Enforcement Policy Module (EPM) необходима для корректной работы dACL и Web аутентификации
epm logging
Включить 802.1x на коммутаторе
dot1x system-auth-control
Добавить радиус сервер (Cisco ISE - PSN)
radius-server host 172.16.3.100 auth-port 1812 acct-port 1813 key cisco
3. Настройка интерфейса на коммутаторе, к которому подключен АРМ (config-if)#
interface GigabitEthernet1/0/5
authentication order dot1x mab
authentication priority dot1x mab
authentication periodic
dot1x pae authenticator (коммутатор в роли Authenticator, не Supplicant)
dot1x timeout tx-period 10
5. Проверка
В Cisco ISE: Operations - Authentications
На коммутаторе
В данном примере используется версия 1.1.3
Создать группу для коммутаторов: Wired
Administration - Network Resources - Network Device Groups - Groups - All Device Types
Добавить коммутатор в хранилище и прикрепить к группе Wired
Administration - Network Resources - Network Devices
Из обязательных полей для заполнения: Name, IP Address, Device Type, Authentication Settings (Shared Secret)
Создать Identity Group, в которую будут входить пользователи: test-user-group
Administration - Identity Management - Groups - User Identity Groups
Administration - Identity Management - Identities - Users
Добавить Downloadable ACL: test-user-DACL
Policy - Policy Elements - Results - Authorization - Downloadable ACLs
Добавить Authorization Profile: test-user-profile
Policy - Policy Elements - Results - Authorization - Authorization Profiles
В нем указать DACL Name, который мы создали выше и VLAN
Создаем Authorization Policy для пользователей, входящих в нашу группу
Policy - Authorization
2. Настройка коммутатора - в режиме глобальной конфигурации (config)#
Включить AAA
aaa new-model
aaa authentication dot1x default group radius
aaa authorization network default group radius
aaa accounting dot1x default start-stop group radius
Включить CoA (Change of Authorization)
Даннаая функция дает возможность radius серверу быть инициатором обмена сообщениями и обновлять политику на NAD, основываясь на определнных критериях, условиях
aaa server radius dynamic-author
client 192.168.1.100 server-key cisco
Настроить, чтобы NAD отправлял vendor-specific attributes (VSA) на Cisco ISE во время аутентификации и аккаунтинга.
radius-server vsa send authentication
radius-server vsa send accounting
Настройка VSA
radius-server attribute 6 on-for-login-auth
radius-server attribute 8 include-in-access-req
radius-server attribute 25 access-request include
ip radius source-interface vlanX
Включить работу dACL
ip device tracking
Могуть быть проблемы с АРМ под Windows 7, для этого необходимо добавить еще одну команду:
ip device tracking probe use-svi
Enforcement Policy Module (EPM) необходима для корректной работы dACL и Web аутентификации
epm logging
Включить 802.1x на коммутаторе
dot1x system-auth-control
Добавить радиус сервер (Cisco ISE - PSN)
radius-server host 172.16.3.100 auth-port 1812 acct-port 1813 key cisco
3. Настройка интерфейса на коммутаторе, к которому подключен АРМ (config-if)#
interface GigabitEthernet1/0/5
authentication order dot1x mab
authentication priority dot1x mab
authentication periodic
dot1x pae authenticator (коммутатор в роли Authenticator, не Supplicant)
dot1x timeout tx-period 10
authentication port-control auto
4. Настройка встроенного supplicant на АРМ
5. Проверка
В Cisco ISE: Operations - Authentications
На коммутаторе
Комментариев нет:
Отправить комментарий