伊势 dot1x的交换机配置

在此博客文章中,我将使用基本的第2层,第3层和dot1x配置来设置3650交换机。我将逐步介绍一些基本配置,并解释为什么要按原样进行配置。

我从一个完全未配置的开关开始,因此,我想使用用户名,SSH等对其进行配置:

conf
用户名管理员权限15密码networknode
启用密码networknode

ip域名securitydemo.net
IP域名查询
ip名称服务器10.1.100.40
主机名Sw1
加密密钥生成器
1024

ip ssh版本2
ip ssh认证重试2

vty 5 15行
传输输入ssh
本地登录

 

接下来,我将配置我的第3层配置。我还包括ISE服务器(10.1.100.21)的IP帮助程序地址,以便ISE可以收集其他DHCP分析信息:

IP路由

VLAN 10
名称MGMT
VLAN 50
名称USER_VLAN
VLAN 70
名称GUEST_VLAN
VLAN 100
名称SERVER_VLAN


接口VLAN 10
IP地址10.1.10.1 255.255.255.0
ip helper-address 10.1.100.21
不关门

接口VLAN 50
IP地址10.1.50.1 255.255.255.0
ip helper-address 10.1.100.21
不关门

接口VLAN 70
IP地址10.1.70.1 255.255.255.0
ip helper-address 10.1.100.21
不关门

接口VLAN 100
IP地址10.1.100.1 255.255.255.0
ip helper-address 10.1.100.21
不关门

ip路由0.0.0.0 0.0.0.0 10.1.10.99<- 
这是我的ASA 5506的内部接口

ip ftp源接口vlan100
ip tftp源接口vlan100

 

对于直接连接到我的服务器和ASA的端口,我将从没有限制的基础配置开始。在生产环境中,通常已经设置了策略,可以使用d0t1x和分析来限制它,但是在我的实验室中,我还没有设置任何策略,因此我需要这些服务器和ASA才能继续访问:

接口范围g1 / 0 / 1-6
交换端口
交换端口模式中继
交换端口中继本机VLAN 10
生成树Portfast中继

不关门

我配置的下一件事是DHCP。在生产环境中,通常会看到DHCP集中在服务器上,我也可以轻松地在实验室中这样做。我只需要添加第二个ip helper地址即可使其工作,但是为了简单起见,我将继续在交换机上本地配置它:

ip dhcp排除地址10.1.10.1 10.1.10.100
ip dhcp排除地址10.1.50.1 10.1.50.100
ip dhcp排除地址10.1.70.1 10.1.70.100
ip dhcp排除地址10.1.100.1 10.1.100.100


ip dhcp池VLAN10
网络10.1.10.0 255.255.255.0
dns服务器10.1.100.40
<-- My AD server
默认路由器10.1.10.1

ip dhcp池VLAN50
网络10.1.50.0 255.255.255.0
dns服务器10.1.100.40
默认路由器10.1.50.1

ip dhcp池VLAN70

网络10.1.70.0 255.255.255.0
dns服务器10.1.100.40
默认路由器10.1.70.1


ip dhcp池VLAN100
网络10.1.100.0 255.255.255.0
dns服务器10.1.100.40
默认路由器10.1.100.1

 

接下来,我们将配置AAA命令,该命令基本上会将ISE配置为交换机上的RADIUS服务器,并且它应将ISE用于网络AAA。我还将交换机配置为向ISE发送某些RADIUS属性。 注意:ISE使用端口1812和1813进行身份验证和计费。已知较旧的RADIUS设备将端口1645和1646用于这些端口。 伊势情况并非如此: 

aaa新模型

半径服务器ISE
地址ipv4 10.1.100.21 auth-port 1812 acct-port 1813

关键网络节点 <-这是我们添加此NAD时在ISE上配置的共享密钥

半径服务器死标准尝试3<- 设置条件以确定何时认为RADIUS服务器不可用。使用此配置,交换机将动态尝试3次
半径服务器死区时间30 <-设置不发送RADIUS服务器请求的分钟数。 

aaa组服务器半径ise-group
服务器名称ise<- 
我们将这行配置回了几行。如果您有多个ISE节点,则将它们全部添加到此RADIUS组中

aaa身份验证登录控制台本地 <-现在暂时将控制台登录保持本地状态
aaa身份验证登录vty本地 <-现在也保持本地VTY登录
aaa身份验证启用默认启用
aaa授权exec默认本地
<-现在将EXEC模式保持在本地
aaa认证dot1x缺省组ise-group <-指定使用我们的RADIUS组进行dot1x身份验证
aaa授权执行程序vty本地 <-现在将EXEC VTY授权保留在本地
aaa授权网络默认组ise-group <-指定我们的RADIUS组以进行网络授权
aaa授权auth-proxy默认组ise-group<- VLAN / ACL分配必需
aaa accounting dot1x默认的起止组ise-group <-为dot1x计费指定我们的RADIUS组
aaa计费auth-proxy默认启动-停止组ise-group <- 为可下载的动态ACL和VLAN启用计费
 

aaa session-id common
aaa会计更新定期5 <-每5分钟定期更新一次会计信息

aaa服务器半径动态作者 <-与客户端交互时,这使ISE可以充当AAA服务器
客户10.1.100.21 <-使用您在ISE中设置的相同密码
服务器密钥网络节点 <-您可能不需要使用您的IOS版本来执行此操作,但是我注意到在XE 3.07.01E中,我必须在服务器密钥中添加这条额外的单独行

radius-server vsa发送计费 <-通知交换机发送会计供应商特定的属性
radius-server vsa发送认证 <-通知交换机发送认证供应商特定的属性
注意:要查看供应商特定属性的列表,请查看此列表 这里
radius-server属性6用于登录验证 <-用于标识此RADIUS请求用于的服务类型
radius-server属性6支持多个<- 支持每个RADIUS配置文件的多个服务类型值
半径服务器属性8 include-in-access-req <- 这是为了send the IP address of a user to the RADIUS server in the access request. 
radius-server属性25访问请求包括<- 这是为了 在访问请求中包括class属性,该属性指定授权操作
radius-server属性31 mac格式ietf大写 <- 这是为了specify the MAC address in the Calling Station ID. I recommend using IETF on this one
radius-server属性31发送nas-port-detail <-这包括呼叫站ID中的所有NAS端口详细信息

ip radius source-interface VLAN 100

圈养门户旁路<-仅在将3650用作无线控制器时,才可能需要这样做。我将在WLC配置文章中进一步解释该命令。dot1x系统身份验证控制 <-全局启用802.1x SystemAuthControl(基于端口的身份验证)

既然我已经完成了RADIUS配置,我将添加SNMP,日志记录和其他配置,以为ISE提供有关连接到此交换机的端点的更多详细信息。

我想将交换机配置为发送MAC通知,系统日志记录和SNMP,以便ISE分析器能够收集有关网络端点的信息:

mac地址表通知更改
mac地址表通知mac-move

mac地址表通知更改间隔0
认证移动许可 <-在任何启用身份验证的端口(MAB,802.1X或Web-Auth)之间的交换机上启用MAC移动
SNMP服务器启用陷阱Mac通知更改移动阈值
snmp-server enable捕获mac通知更改

snmp-server启用snmp linkdown链接
snmp-server主机10.1.100.21版本2c networknode mac-notification

snmp-server社区networknode ro<- 
这是我们先前在ISE中配置的SNMP社区字符串
没有snmp服务器组networknode v1

snmp-server trap-source vlan100
snmp-server source-interface通知vlan100
lldp运行


记录origin-id ip<- 这指定发送接口的IP地址将用作消息来源标识符
日志记录源vlan100
日志记录主机10.1.100.21传输udp端口20514
日志监视器信息


没有ip dhcp监听信息选项 <-禁止交换机将选项82添加到数据包中,然后再转发给ISE。如果启用此选项,它将把零值的giaddr字段发送到ISE。 
ip dhcp监听
ip dhcp监听 VLAN 10,50,70,100


epm记录 <- 在交换机上设置标准日志记录功能,以支持对ISE功能进行可能的故障排除/记录
ip设备跟踪 <-这允许交换机维护IP设备跟踪表。您必须启用此功能才能使用基于Web的身份验证
ip设备跟踪探针use-svi <-这会将with配置为发送不符合RFC的ARP探针。 IP源不是0.0.0.0,而是主机所在VLAN中的SVI。如果是Windows计算机,它将不再看到RFC 5227定义的探针,因此不会标记潜在的重复IP

设备传感器计费 <-此命令可将传感器协议数据添加到帐户记录中,并在检测到新传感器数据时启用其他计费事件的生成。 
设备传感器通知所有更改 <-在给定会话的上下文中,为所有TLV更改启用客户端通知和记帐事件,无论是接收到新的TLV还是接收到具有新值的先前接收的TLV。 

为了使Web身份验证在交换机上具有URL重定向,必须在交换机上启用HTTP / HTTP。您还需要在交换机上定义ACL本地默认ACL:

ip http服务器
ip http安全服务器


ip访问列表扩展ACL-DEFAULT
允许udp any eq bootpc any eq bootps
允许udp任何任何eq域
允许icmp任何
允许icmp任何
允许udp任何任何eq tftp
允许tcp任何主机10.1.100.21 eq www
允许tcp任何主机10.1.100.21 eq 443
允许tcp任何主机10.1.100.21 eq 8443
拒绝  ip any any log


ip访问列表ext GUEST-REDIRECT
拒绝udp any eq bootpc any eq bootps
拒绝udp任何任何eq域

拒绝tcp any any eq 8443
拒绝tcp any any eq 8905

允许tcp任何eq 80
允许tcp any eq 443
拒绝ip any any


注意:此访客重定向ACL将用于我们的WebAuth重定向。无论此列表中的“允许”是什么,都将被重定向,因此为了使计算机获得IP地址,能够使用DNS并访问ISE,我们必须创建“ deny”语句。您可以通过将ISE与设备之间允许的端口配置为8443和8905(这将是WebAuth门户)来进一步锁定此端口。与您想到ACL时相比,ACL的逻辑有些倒退,但仅适用于交换机的WebAuth。 

我要做的最后一件事是配置将受到ISE保护的接口。在以下配置中, 我将对其进行分解,以解释我在端口级别配置的内容:
 

接口范围g1 / 0 / 7-48
说明ISE dot1x端口
交换端口访问VLAN 70
切换端口模式访问

生成树portfast
生成树bpduguard启用

在端口配置下,以下命令集启用通过RADIUS会话超时的重新认证:
身份验证事件失败操作下一个方法
身份验证事件服务器无效操作重新初始化VLAN 50

身份验证事件服务器无效操作授权语音
验证计时器重新验证服务器
身份验证计时器不活动服务器

以下命令允许语音和多个端点在同一物理访问端口上:
身份验证主机模式多身份验证

此命令在AAA响应之前启用预验证访问,该响应取决于端口ACL:
认证开放

这些命令在此处指定IOS Flex-Auth身份验证应首先执行802.1X,然后再执行MAB:
认证顺序dot1x 单抗
认证优先级dot1x 单抗

这些命令在接口上启用基于端口的身份验证:
身份验证端口控制自动
认证违规限制

此命令在接口上启用重新认证:
定期认证

此命令在接口上启用MAC身份验证旁路(MAB):
单抗

此命令在接口中启用802.1x身份验证:
dot1x pae验证器

此命令将重传周期设置为10秒:
dot1x超时tx周期10

这些命令为在接口上添加和删除的MAC启用SNMP陷阱:
添加了snmp trap mac-notification更改
删除了snmp trap mac-notification更改

我们在接口上配置默认ACL,该接口将在ISE服务器中添加dACL:
ip访问组ACL-DEFAULT中



 

最后,最终配置应类似于以下内容:

用户名管理员权限15密码networknode
启用密码networknode


ip域名securitydemo.net
主机名Sw1
加密密钥生成器
1024


ip ssh版本2
ip ssh认证重试2

vty 5 15行
传输输入ssh
本地登录


IP路由

VLAN 10
名称MGMT
VLAN 50
名称USER_VLAN
VLAN 70
名称GUEST_VLAN
VLAN 100
名称SERVER_VLAN


接口VLAN 10
IP地址10.1.10.1 255.255.255.0
ip helper-address 10.1.100.21
不关门

接口VLAN 50
IP地址10.1.50.1 255.255.255.0
ip helper-address 10.1.100.21
不关门

接口VLAN 70
IP地址10.1.70.1 255.255.255.0
ip helper-address 10.1.100.21
不关门

接口VLAN 100
IP地址10.1.100.1 255.255.255.0
ip helper-address 10.1.100.21
不关门

ip路由0.0.0.0 0.0.0.0 10.1.10.99<- 
这是我的ASA 5506的内部接口

ip ftp源接口vlan100
ip tftp源接口vlan100


接口范围g1 / 0 / 1-6
交换端口
交换端口模式中继
交换端口中继本机VLAN 10
生成树Portfast中继

不关门

ip dhcp排除地址10.1.10.1 10.1.10.100
ip dhcp排除地址10.1.50.1 10.1.50.100
ip dhcp排除地址10.1.70.1 10.1.70.100
ip dhcp排除地址10.1.100.1 10.1.100.100


ip dhcp池VLAN10
网络10.1.10.0 255.255.255.0
dns服务器10.1.100.40
<-- My AD server
默认路由器10.1.10.1

ip dhcp池VLAN50
网络10.1.50.0 255.255.255.0
dns服务器10.1.100.40
默认路由器10.1.50.1

ip dhcp池VLAN70

网络10.1.70.0 255.255.255.0
dns服务器10.1.100.40
默认路由器10.1.70.1


ip dhcp池VLAN100
网络10.1.100.0 255.255.255.0
dns服务器10.1.100.40
默认路由器10.1.100.1

aaa新模型

半径服务器ISE
地址ipv4 10.1.100.21 auth-port 1812 acct-port 1813

关键网络节点
 

半径服务器死标准尝试3
半径服务器死区时间30

aaa组服务器半径ise-group
服务器名称ise

aaa身份验证登录控制台本地
aaa身份验证登录vty本地

aaa身份验证启用默认启用
aaa授权exec默认本地
aaa认证dot1x缺省组ise-group
aaa授权执行程序vty本地
aaa授权网络默认组ise-group
aaa授权auth-proxy默认组ise-group
aaa accounting dot1x默认的起止组ise-group
aaa计费auth-proxy默认启动-停止组ise-group

aaa session-id common
aaa会计更新定期5

aaa服务器半径动态作者

客户10.1.100.21
服务器密钥网络节点

radius-server vsa发送计费
radius-server vsa发送认证
radius-server属性6用于登录验证

radius-server属性6支持多个
半径服务器属性8 include-in-access-req
radius-server属性25访问请求包括

radius-server属性31 mac格式ietf大写
radius-server属性31发送nas-port-detail

ip radius source-interface VLAN 100


圈养门户旁路
系统身份验证控制


mac地址表通知更改
mac地址表通知mac-move

snmp-server启用snmp linkdown链接
snmp-server主机10.1.100.21版本2c networknode mac-notification
snmp-server社区networknode ro
没有snmp服务器组networknode v1

snmp-server trap-source vlan100
snmp-server source-interface通知vlan100
lldp运行


记录origin-id ip
日志记录源vlan100
日志记录主机10.1.100.21传输udp端口20514
日志监视器信息


没有ip dhcp监听信息选项
ip dhcp监听
ip dhcp监听 VLAN 10,50,70,100

epm记录

ip设备跟踪
ip设备跟踪探针use-svi

设备传感器计费
设备传感器通知所有更改

ip http服务器
ip http安全服务器

ip访问列表分机ACL-DEFAULT
拒绝udp any eq bootpc any eq bootps
拒绝udp任何任何eq域

拒绝tcp any any eq 8443
拒绝tcp any any eq 8905

允许tcp任何eq 80
允许tcp any eq 443
拒绝ip any any


接口范围g1 / 0 / 7-48
说明ISE dot1x端口
交换端口访问VLAN 70
切换端口模式访问

生成树portfast
生成树bpduguard启用

身份验证事件失败操作下一个方法
身份验证事件服务器无效操作重新初始化VLAN 50

身份验证事件服务器无效操作授权语音
验证计时器重新验证服务器
身份验证计时器不活动服务器
身份验证主机模式多身份验证

认证开放
认证顺序dot1x 单抗
认证优先级dot1x 单抗
身份验证端口控制自动

认证违规限制
定期认证
单抗
dot1x pae验证器

dot1x超时tx周期10
添加了snmp trap mac-notification更改
删除了snmp trap mac-notification更改

ip访问组ACL-DEFAULT中