伊势 C3PL交换机最精准双色球预测专家

在此博客文章中,我将介绍一种称为思科通用分类策略语言(C3PL)的另一种为ISE最精准双色球预测专家交换机的方法。我已经对此最精准双色球预测专家了解了一段时间,但我承认直到最近我才真正尝试学习它。如果您阅读IBNS 2.0部署指南 这里 ,这本令人生畏的指南长达65页,读起来就像一本典型的手册。我最终阅读了Jamey Heary和Aaron Woland的 思科ISE BYOD第二版 他们用4页精美地将其分解,使我成为“ Team C3PL”。

要注意的一件事是,几乎所有全局交换机最精准双色球预测专家在大多数情况下都将保持不变。 最大的变化是我们如何最精准双色球预测专家交换端口本身以及如何应用策略。如果您想知道为什么我们甚至还需要另一种方式来最精准双色球预测专家交换端口,那么让我们先来看一下如何为ISE最精准双色球预测专家现有的交换端口: 

当将其乘以给定交换机上的交换机端口数量以及其行为方式时,上面的最精准双色球预测专家相当庞大。 


例如:
-首次尝试通过802.1x进行身份验证
-802.1x超时后,尝试通过MAB进行身份验证
-优先于MAB的802.1x
-定期重新验证服务器
-如果RADIUS服务器已失效,请重新初始化为VLAN 100并重新初始化端口上的Voice VLAN。
-等等等等 

这很有意义,并且已经为我们服务了一段时间,但是它不是很动态,而且最精准双色球预测专家膨胀是真实的,正如您从我的实验室的上述屏幕快照中可以看到的那样。

那么C3PL给您带来了什么,您无法摆脱以前的最精准双色球预测专家?

  • 它使我们能够根据指定条件和事件,根据会话中的事件动态定义动作。如果条件或事件不匹配,它甚至不会尝试采取您定义的特定类型的操作。不同事件和条件的列表非常强大。 
  • 优化-最精准双色球预测专家可以在内存中存在一次,并可以多次调用。 
  • 不像以前的最精准双色球预测专家样式那样以串行方式运行。例如,您可以同时运行802.1x和MAB,但指定首选的身份验证方法(802.1x)。这可以改善最终用户的体验,因为他们无需等待10秒即可使802.1x发生故障,甚至无需启动MAB。
  • 如果RADIUS失败,则用于控制访问的模板(例如关键ACL),而不仅仅是将其转储到VLAN中。 

为了激活交换机上的C3PL最精准双色球预测专家,我建议您清除ISE端口最精准双色球预测专家并发出以下全局exec命令: 身份验证显示新样式

注意:如果您在此之前未清除端口,它将所有现有的ISE端口最精准双色球预测专家转换为单独的C3PL策略,并且如果计划在交换机上创建单个一致的策略,则不希望它自动创建一个端口。每个端口的策略。  

 

C3PL政策剖析

查看该策略,您会发现它看起来有点像QoS MQC,乍一看可能有点令人头疼。 让我们分解控制策略:

1.控制等级 -在这里,您最初指定需要引起触发控制策略的条件。这样想: 如果您正在查看ISE中的策略集,这将是ISE要选择要使用的特定策略集时需要匹配的顶级条件。 使用控件类,可以指定所有匹配语句是全部,部分还是不全部为真。创建类后,可以在许多不同条件下进行匹配或不匹配。

控件类的基本结构如下:

类映射类型控制订户{match-all |任意搭配|不匹配} 班级名称
{比赛|不匹配} 条件

这是非常简单的逻辑,如下面的屏幕快照所示,您可以对自己可以匹配的内容非常感兴趣。

这么多的选择!实际上,我们可能会坚持使用一个非常静态的模板,但是我绝对可以看到自己根据匹配的SGT创建策略来做一些非常有趣的事情。 

现在,我将创建一个与关闭的RADIUS服务器匹配的控件类:

类映射类型控制订户匹配-任何AAA-DOWN
匹配结果类型aaa超时

上面的屏幕快照显示了最精准双色球预测专家上述最精准双色球预测专家时您拥有的许多其他选项中的一些。

现在,我们将为802.1x身份验证失败创建一个控件类: 

类映射类型控制订户全部匹配DOT1X-FAILED
匹配方法dot1x
匹配结果类型方法dot1x权威

在类映射的第一行中,我指定它需要匹配 所有 类映射中要触发的条件。然后在match语句中,我告诉它必须匹配802.1x方法类型 失败。  

我认为让C3PL引起很多人欢迎的一件事是,有太多不同的选择。在大多数情况下,您将做一个漂亮的静态最精准双色球预测专家,但只是为了让您对所拥有的一些不错的选择有所了解,请看下面的屏幕截图。有这么多的选项,如果您尝试新的东西,最终可能会最精准双色球预测专家错误的东西,但这就是测试最精准双色球预测专家的地方。在下面,我们可以为一些有趣的触发器轻松指定在webauth或mab上的匹配,成功的身份验证等。 

 

2.创建控制策略- 您在步骤1中创建的控件类在控件策略中使用。控件类是事件,它导致要评估的控制策略并根据类映射中的事件定义要采取的措施。您可以采取的行动取决于发生的事件类型。 

这种写法是动作是数字并按顺序执行。您在此控制策略中使用以前创建的控件类映射。控制策略的结构方式:

  • 首先,您创建策略映射并指定事件:
    策略映射类型控制订户 名称
    事件 事件类型 {全部匹配|比赛第一} 
    注意:match-all和match-first之间的区别在于,使用match-all可以评估定义的所有类,而使用match-first则只能评估匹配的第一个类。
  • 接下来,您可以指定类以及如何处理操作:
    类{ 班级名称 |总是} {全部|直到失败做直到成功}
    注意:在这里,您可以指定在步骤1中创建的类名,也可以始终指定以确保控件类映射始终匹配。对于上述最精准双色球预测专家中的第二个参数,您可以让它执行您指定的所有操作,所有操作直到失败,或者全部执行直到成功。 
  • 接下来,您指定要采取的措施,包括对违反政策采取的措施:
    数 <动作类型> <附加参数>
    在这里,您可以指定要采取的措施,包括激活模板或策略,身份验证类型和优先级,授权会话,通知会话权限,设置计时器以及取消会话授权以及许多其他参数,具体取决于什么。您要论证的类型。 

假设我要创建以下最精准双色球预测专家:

  • 在端口上同时运行802.1x和MAB,但首选802.1x 
  • 如果802.1x身份验证失败,则回退到MAB
  • 如果RADIUS服务器已关闭,请根据我定义的关键ACL进行访问

首先,我将从创建关键ACL开始: 

ip访问列表扩展ACL-ALLOW
允许任何IP


然后,我将该ACL添加到服务模板中:

服务模板至关重要
访问组ACL-ALLOW

注意:此ACL可以像您希望的那样具有限制性或自由性。关键是为您的组织精心制作。

接下来,我们将创建控制策略:

策略映射类型控制订户DOT1X-DEFAULT <-创建控制策略

事件会话开始的全部匹配 <-说明如果会话开始,请匹配我们定义的以下所有内容。
10课总是做的一切 <-在会话开始后匹配所有内容并执行所有操作
10使用dot1x优先级10进行身份验证 <-操作是使用dot1x进行身份验证,优先级为10
20使用mab优先级进行身份验证20 <-行动是使用优先级为20的MAB进行身份验证-如果成功通过dot1x身份验证,则优先级低于成功的dot1x身份验证。

事件违规匹配 <-指定在发生控件违规时要采取的新操作
10课总是做的一切 <- 会话开始后匹配所有内容并执行所有操作
10个限制 <-操作是丢弃违规数据包并生成系统日志

事件代理找到所有匹配项 <-该事件是如果检测到802.1x请求者
10课总是做的一切 <- Do 所有 the actions
10使用dot1x进行身份验证 <-操作是使用802.1x进行身份验证

在上面,我们说过要同时尝试802.1x和MAB身份验证,但优先级是802.1x是首选的身份验证方法。如果存在冲突,则丢弃数据包。如果检测到802.1x请求者, 

事件身份验证-全部失败 <-现在该事件是身份验证失败
10级AAA-DOWN全功能 <-与我们在步骤1中最精准双色球预测专家的AAA-DOWN类匹配
10授权 <-授权访问
20激活服务模板至关重要 <-应用CRITICAL的服务模板
30终止dot1x <-停止尝试使用802.1x进行身份验证
40个终止单克隆抗体 <-停止尝试使用MAB进行身份验证
20级DOT1X-FAILED do-all <-与我们的DOT1X-FAILED类匹配
10使用mab进行身份验证 <-后退至使用MAB进行身份验证

上面在交换机的运行最精准双色球预测专家中看起来像这样:

 

 

2.在接口上应用控制策略- 我将通过界面的必要命令:

接口范围g1 / 0 / 1-24
交换端口主机
交换端口访问VLAN 100
服务策略类型控制订户DOT1X-DEFAULT
定期认证
验证计时器重新验证服务器
单抗
访问会话主机模式多重身份验证
dot1x超时tx周期10
访问会话端口控制自动

现在,当您查看交换端口最精准双色球预测专家时,与我发布的第一个交换端口最精准双色球预测专家相比,它更小,更紧凑。 

 

如果您带走了我实验室中用于测试的所有其他随机其他最精准双色球预测专家,则将更加严格: 

 

 

要注意的一件事是,当您将最精准双色球预测专家更改为新样式时,您会注意到,如果发出命令 显示身份验证会话界面 x / x / x 详情 , 不起作用。当您最精准双色球预测专家新样式时,该命令已更改,现在您将使用 显示访问会话界面 x / x / x 细节 如下所示:


有关深夜C3PL的阅读,请随时阅读以下内容: IBNS 2.0部署指南