ISE. C3PL开关配置

在此博客文章中,我将以不同的方式进行不同的方式来为ISE配置交换机,称为Cisco Common Classification策略语言(C3PL)。我已经知道这一配置一段时间,但我会承认我并没有真正尝试学习它,直到最近。如果您读取了IBNS 2.0部署指南 这里 ,它非常令人生畏,令人渴望的65页长度长,像典型手册一样读。我最终阅读了jamey howsy和aaron woland的 Cisco ISE为BYOD第二版 他们在4页上漂亮地打破了它,让我走了“c3pl。”

有一件事是要意识到的是,几乎所有的全局交换机配置对于大多数情况都将保持不变。 大变化是我们如何配置SwitchPort本身以及如何应用策略。如果您想知道为什么我们需要具有替代的方式配置Switchport,请通过查看如何为ISE配置现有SwitchPort: 

当您通过给定交换机上的交换机数乘以时,上述配置非常大量,并且以顺序方式的行为方式。 


例如:
- 首先尝试使用802.1x进行身份验证
- 在802.1倍超时后,尝试用mAb进行身份验证
- 偏好802.1x通过mAb
- 定期重新修复服务器
- 如果RADIUS服务器已死,请重新初始化VLAN 100并重新初始化端口上的Voice VLAN。
- 等等等 

它是有道理的,它在一段时间内为我们提供了一段时间,但它不是非常动态,配置膨胀是真实的,因为你可以从我的实验室的上面的屏幕截图看。

那么C3PL带来了什么,你无法摆脱以前的配置?

  • 它使我们能够在响应于指定的条件和事件时基于会话中的事件动态定义动作。如果条件或事件不匹配,甚至不会尝试采取您定义的某些类型的操作。不同事件和条件的列表非常强大。 
  • 优化 - 配置可以存在于内存中并调用多次。 
  • 不像先前的配置样式以串行方式操作。例如,您可以同时运行802.1x和MAB,但指定首选身份验证方法(802.1x)。这可以改善最终用户体验,因为它们不必等待10秒以在MAB甚至开始之前失败8秒。
  • 如果RADIUS诸如关键ACL的RADIUS,则控制访问的模板,而不是仅将它们转储到VLAN中。 

要在交换机上激活C3PL配置,我建议清除ISE端口配置并发出以下全局exec命令: 身份验证显示新风格

注意:如果在此之前不清楚端口,则会将所有现有的ISE端口配置转换为单个C3PL策略,如果您计划在交换机上创建单一一致的策略,则不希望它自动创建一个每个端口的政策。  

 

C3PL政策的解剖

看着这个政策,你会注意到它看起来有点像QoS MQC,这首先看起来有点宣传。 让我们向下打破控制政策:

1.控制类 - 这是您最初指定需要被视为导致控制策略要触发的条件的位置。这样想: 如果您正在查看ISE中的策略,这将是需要与ISE匹配的顶级条件,以选择要使用的某个策略。 使用控件类,您可以指定All,某些或没有匹配语句是否为真。创建类后,您可以匹配或不匹配许多不同的条件。

对照类的基本结构是这样的:

类地图类型控制订户{匹配 - 全部|匹配 - 任何|匹配 - 无} 班级名称
{匹配|没有匹配} 使适应

这是一个非常简单的逻辑,你可以真的很有趣,你可以在下面的屏幕截图中看到你可以看到的东西。

这么多选择!实际上,我们可能会坚持一个非常静态的模板,但我绝对可以看到自己根据匹配的SGT创建一个策略,以做一些非常有趣的事情。 

现在,我将创建一个匹配的Radius服务器匹配的控制类:

类地图类型控制订户匹配 - 任何AAA-DOWN
匹配结果类型AAA - 超时

上面的屏幕截图显示配置上述配置时的其他一些选项。

现在我们将为802.1x身份验证创建一个控制类失败: 

类地图类型控制订户匹配 - 所有DOT1x-FAILED
匹配方法dot1x.
匹配结果类型方法dot1x权威

在类映射的初始行中,我指定它需要匹配 全部 类映射中的条件触发。然后在匹配语句中,我告诉它它必须匹配802.1x方法类型 fail. 

我认为邀请很多人与C3PL的一件事是有很多不同的选择。在大多数情况下,您将要做一个非常静态的配置,但只是为了让您了解一些您拥有的一些很酷的选择,请查看以下屏幕截图。使用这么多的选择,如果您尝试新的东西,您最终可以配置错误的事情,但这是您的配置应该进入播放的地方。在下文中,我们可以轻松在WebAuth或MAB上指定匹配,以便有一些有趣的触发器。 

 

2.创建控制策略 -  您在步骤1中创建的控制类用于控制策略。控制类是粘落要评估的控制策略并定义基于类映射中的事件的操作的事件。您可以采取的操作是特定于发生的事件。 

写入的方式是,操作是数字和顺序执行的。您在此控制策略中使用先前创建的控件类映射。控制策略结构的方式:

  • 首先您创建策略映射并指定事件:
    策略地图类型控制用户 名称
    事件 事件类型 {匹配 - 全部|匹配 - 先} 
    注意:匹配 - 全部和匹配 - 首先是与所有匹配项之间的不同,您可以评估您定义的所有类和使用匹配项,只需评估它匹配的第一类。
  • 接下来,您可以指定类以及如何处理操作:
    数字 班级 { 班级名称 |总是} {do-all | DO-DEAI-FAILLAGE | do-teat-success}
    注意:以下是您可以在步骤1中指定您创建的类名,也可以始终指定控制类映射始终匹配。对于上面的配置中的第二个参数,您可以执行它的所有操作,在其失败之前,所有这些操作,或者在其所有情况下都是成功的。 
  • 接下来,您指定要采取的操作,包括用于禁止政策违规行为的操作:
    数字 <动作类型> <额外的争论>
    在这里,您可以在其中指定要采取的操作,包括激活模板或策略,身份验证类型和优先级,授权会话,通知会话artibutes,设置计时器,并取消授权与多个其他参数一起提及会话,具体取决于什么您正在制作的论点类型。 

假设我想创建以下配置:

  • 同时在港口运行802.1x和mAb,但更喜欢802.1x 
  • 如果802.1x失败身份验证,则返回MAB
  • 如果RADIUS服务器已关闭,请基于I定义的关键ACL提供访问权限

首先,我将首先创建关键的ACL: 

IP访问列表扩展ACL允许
允许IP任何任何


然后我会将该ACL添加到服务模板:

服务模板至关重要
访问组ACL-允许

注意:此ACL可能是限制性或自由主义,如您所希望的那样。重点是为您的组织制作它。

接下来,我们将创建控制策略:

策略地图类型控制订户DOT1x默认 < - 创建控制策略

事件会话 - 开始匹配 - 全部 < - 指出,如果会话开始,则匹配我们定义的下面的所有内容。
10级始终做到所有 < - 在会话开始并执行所有操作后匹配所有操作
10使用dot1x优先级进行身份验证10 < - 操作是使用dot1x进行身份验证,优先级为10
20使用MAB优先级进行身份验证 < - 操作是使用MAB进行身份验证,优先级为20 - 如果两者都以通过身份验证,则使其优先级低于成功的DOT1X身份验证。

事件违规匹配 - 全部 < - 将控制违规发生时要采取的新动作
10级始终做到所有 <- 会话开始并执行所有操作后匹配所有操作
10限制 < - 动作是删除违反数据包并生成一个syslog

活动代理 - 找到匹配 - 全部 < - 事件是检测到802.1x的请求者
10级始终做到所有 <- Do all the actions
10使用dot1x进行身份验证 < - 操作是使用802.1x进行身份验证

在上文中,我们指定同时尝试802.1x和MAB身份验证,但优先级为802.1x是首选认证方法。如果存在违规,请删除数据包。如果检测到802.1X请求者, 

事件身份验证 - 失败匹配 - 全部 < - 现在该事件是身份验证失败
10级AAA-DOWN DO-全部 < - 匹配我们在步骤1中配置的我们类的AAA-Down
10授权 < - 授权访问权限
20激活服务模板至关重要 < - 应用关键的服务模板
30终止DOT1x. < - 停止尝试使用802.1x进行身份验证
40终止mab. < - 停止尝试使用MAB进行身份验证
20级DOT1x-失败的工作 < - 匹配我们的DOT1x-失败的类
10使用mAb进行身份验证 < - 用mAb进行验证

以上将在交换机的运行配置中如下所示:

 

 

2.在界面上应用控制策略 -  我将通过必要的界面命令:

界面范围G1 / 0 / 1-24
switchport host.
SwitchPort Access VLAN 100
服务策略类型控制订户DOT1X默认值
身份验证定期
身份验证计时器RealeuteNteary Server
m
访问 - 会话主机模式多-AUTH
DOT1X超时TX-周期10
访问会话端口控制自动

现在,当您查看SwitchPort配置时,与我发布的第一个SwitchPort配置相比,它更小且更紧密。 

 

如果你拿走了我在实验室的所有随机其他配置进行测试中,它会更加紧张: 

 

 

要注意的一件事是,当您将配置更改为新样式时,您会注意到如果您发出命令 显示身份验证会话界面 x / x / x 细节 , 不起作用。配置新样式时,该命令已更改,您现在会使用 显示访问 - 会话界面 x / x / x 细节 如下所示:


在C3PL上阅读更多的深夜阅读,请随时阅读以下内容: IBNS 2.0部署指南