Trustsec:配置网络设备准入控制(NDAC)

在本视频中,我们将在几个交换机之间配置Trustsec域,并实施网络设备准入控制(NDAC)


该视频的注释:

  • Trustsec域

    • 网络访问设备之间在此域内建立了信任关系

    • SGT和SGACL从受信任的源下载到网络设备

    • 使用NDAC,对网络设备进行身份验证并授权到Trustsec域中

    • 通过验证链接,它扩展了对SGT内联传播的信任

  • 那么ISE在这张图片中来自哪里?

    • 伊势是SGT定义,分发的中心点,并提供动态分类

    • 它是基于SGT的出口策略的中央存储库&以SGACL的形式从ISE推送策略

    • 它是用于端点和网络设备进入Trustsec域的身份验证服务器

  • NDAC如何工作?

    • 它使用基于802.1x端口的身份验证和EAP-FAST对网络进行身份验证并接收其PAC(受保护的访问凭据)

    • 有些设备(例如交换机)不支持EAP-FAST,而其他设备(例如ASA)则不支持,因此您必须手动下载并配置这些PAC

  • RADIUS EAP-FAST如何工作?

    • 网络设备请求PAC,并且PAC从RADIUS服务器(ISE)推送到网络设备

    • 使用该PAC,网络设备可以建立到ISE的安全TLS隧道

    • 然后将网络设备认证为ISE

    • (可选)您可以将Trustsec域配置为执行第2层加密,而这是在NDAC期间针对802.1AE加密进行协商的


构型

SEED设备配置

aaa new-model

radius server ise
address ipv4 10.1.100.21 auth-port 1812 acct-port 1813
pac key 0 伊势c0ld

aaa group server radius ise-group
 server name ise

aaa server radius dynamic-author
 client 10.1.100.21 server-key 伊势c0ld
auth-type any

aaa authentication dot1x default group ise-group
aaa authorization exec vty local 
aaa authorization configuration default group ise-group
aaa authorization network default group ise-group 
aaa accounting dot1x default start-stop group ise-group
aaa accounting system default start-stop group ise-group
aaa accounting update newinfo periodic 2440
aaa authorization network cts-list group ise-group

dot1x system-auth-control

cts authorization list cts-list

ip device tracking probe auto-source override
ip device tracking probe delay 10
ip radius source-interface Vlan100

access-session template monitor
access-session acl default passthrough
epm logging
radius-server attribute 6 on-for-login-auth
radius-server attribute 6 support-multiple
radius-server attribute 8 include-in-access-req
radius-server attribute 25 access-request include
radius-server attribute 31 mac format ietf upper-case
radius-server attribute 31 send nas-port-detail
radius-server dead-criteria time 5 tries 3
radius-server deadtime 30
cts credentials id Sw01 password 伊势c0ld
cts logging verbose

非种子设备配置

cts credentials id Sw021 password 伊势c0ld
cts logging verbose
aaa new-model
aaa authentication dot1x default group radius 
aaa authorization network cts-list group radius
aaa accounting dot1x default start-stop group radius
cts authorization list cts-list
radius-server vsa send authentication 
radius-server vsa send accounting 
aaa server radius dynamic-author
client 10.1.100.21 server-key 伊势c0ld
auth-type any
dot1x system-auth-control


两台交换机上的上行链路接口配置

interface g1/0/x
switchport mode trunk
cts dot1x
sap mode-list no-encap
propagate sgt
no shut


有用的显示命令

show cts server-list
show cts interface gig1/0/x
show cts environment-data
show cts pac
show cts credentials