伊势 2.1-交换机和无线控制器TrustSec配置

在此博客文章中,我将介绍Catalyst 3650交换机和无线控制器的TrustSec和SXP配置。我将逐步进行配置,创建SXP连接并进行最精准双色球预测专家。之后,我将通过将客户端连接到交换机来测试策略,观察在入口上应用标记以及所应用的策略。

在我的实验室中,我正在根据ISE兼容性矩阵在交换机上运行3.6.4 XE代码。如果您尚未看到兼容性列表,请转到 这里 查看ISE支持的平台,推荐的代码以及这些平台的功能兼容性。对于TrustSec,我还建议查看最新的TrustSec兼容性指南,以查看支持的平台和支持的角色。在撰写本文时, 这个 是TrustSec的最新兼容性列表。

首先,我将通过导航到ISE确保在NAD下配置TrustSec设置。 行政>Network Resources>Network Devices>节点名称 并输入设备ID,共享密码,其他设备信任该设备并使用CoA将配置更改发送到该设备:

 

现在,我将开始配置交换机。我将从一些全局命令开始:

半径服务器ISE
地址ipv4
10.1.100.21 身份最精准双色球预测专家端口1812身份最精准双色球预测专家端口1813
pac键
网络节点

aaa服务器半径动态作者
客户
10.1.100.21 服务器密钥 网络节点
服务器密钥 网络节点
最精准双色球预测专家任何类型

aaa组服务器半径ise-group
服务器名称ise

cts凭证ID Sw1 密码 网络节点-用于使用EAP-FAST进行身份最精准双色球预测专家的TrustSec设备ID和密码
aaa新模型
aaa认证dot1x默认组ise-group-
使用我先前创建的RADIUS组的基于802.1X端口的身份最精准双色球预测专家方法
aaa授权网络cts-list组ise-group- 将交换机配置为对所有与网络相关的服务请求使用RADIUS授权
cts授权列表cts-list - Specifies 信任安全 AAA server group
aaa记帐dot1x默认开始-停止组ise-group- 使用RADIUS的802.1x记帐
aaa session-id common


radius-server vsa发送认证 -允许交换机在由交换机生成的RADIUS访问请求中识别和使用特定于供应商的属性
dot1x系统身份最精准双色球预测专家控制 -全局启用基于端口的身份最精准双色球预测专家 

cts基于角色的执法
cts基于角色的强制VLAN列表
100
 

接下来,我们将配置SXP:

cts sxp启用
cts sxp默认密码
网络节点
cts sxp连接对等 10.1.100.21 资源 10.1.100.1 密码默认模式都

在ISE中,导航至 工作中心>TrustSec>SXP>SXP Devices 并添加开关:

 

现在,您可以从交换机最精准双色球预测专家配置:

最精准双色球预测专家是否使用以下命令下载了SGT: 显示cts环境数据

 

最精准双色球预测专家PAC是否已配置 显示cts pac

 

请使用以下命令查看交换机上的现有绑定 全部显示cts基于角色的sgt-map

 

通过以下方式最精准双色球预测专家策略 显示cts基于角色的权限:

 

使用以下命令显示SXP连接 显示cts sxp连接

 

要查看分配给端口的SGT,请发出 显示认证会话接口g1 / 0/47详细信息 在端口级别查看身份最精准双色球预测专家会话的详细信息:

在ISE RADIUS实时日志中,您可以在对端点进行身份最精准双色球预测专家并通过SGT授予授权时发出CTS请求:

 

对于无线控制器,配置最少。需要配置的是SXP连接。在WLC中,导航到 安全>TrustSec SXP. 启用S​​XP并将ISE SXP节点添加为对等节点:

在ISE中,导航至 工作中心>TrustSec>SXP>SXP Devices 并将WLC添加为SXP对等体:

 

单击“保存”后,请最精准双色球预测专家SXP连接是否正常工作: