Campus 802.1X sobre ISE v2.1
Como leer e interpretar las líneas
de comando
En el presente manual se usan las
siguientes convenciones para comandos a ingresar en la interfaz de lineas de
configuracion (CLI).
Comando para ingresar al modo de configuracion global:
configure terminal
Comando para especificar el valor de una varible:
ntp server 172.18.58.200
Comando cuya variable usted debe definir:
Class-map [highest class
name]
Comando para ingresar al modo de configuracion
privilegiado y campos universales imperativos :
Router>enable
Las comandos de configuracion muy largos y que ocupan
varias lineas se subrayan
police
rate 10000 pps burst 10000 packets conform-action
Las variables que se muestran como salida de respuesta
a peticiones en CLI son sombreadas
interface Van64
Nota Importante: Para este despliegue se debe contar con un Controlador de Dominio establecido al igual que una estructura básica de Directorio Activo. A su vez con un servicio de DNS local.
De igual manera, se debe haber preconfigurado Cisco ISE para integración con Active Directory.
_________________________________________________________________________________
Desplegando Servicio
802.1X sobre Cisco (ISE)
Ahora
Cisco ISE tiene configurada una línea base de configuración. Los próximos pasos
consisten en configurar una política de autorización y autenticación para
usuarios generales de la red y configurar los equipos de conmutación de red.
Proceso 1: Configurar MAC Authentication Bypass
MAB
permitirá a un dispositivo de usuario final específico pasar por alto el
proceso de autenticación. MAB por default este pre configurado en Cisco ISE.
Paso 1: Navegar
a traves de la ruta Policy > Authentication
Poliy.
Paso 2: Click sobre Edit. Cambiar el nombre, por ejemplo: AuthPolicy_MAB.
Paso 3: Ahora sobre el campo que contiene Internal Endpoints hacer click en el
simbolo “+”. Validar Figura27.
Paso 4: Una vez alli se despliega una nueva seccion. En
el campo If authentication failed optar
por Continue,
en el campo If user
not found elegir Continue
y en el campo If process failed
Drop. Validar
Figura27.
Paso 5: Click en
Save.
Figura27.: Configurando MAB,
Politica de Autenticacion
Proceso 2: Configurar Autenticación Dot1X para redes Cableadas e
Inalámbricas
Al igual que la política MAB, la opción Dot1X ya está
pre configurada.
Paso 1: Navegar
a traves de la ruta Policy >
Authentication Poliy.
Paso 2: Click sobre Edit. Cambiar el nombre, por ejemplo: AuthPolicy_Dot1X.
Paso 3: Ahora sobre el campo que contiene Internal Endpoints hacer click en el
simbolo “+”. Validar Figura28.
Paso 4: Una vez alli se despliega una nueva seccion.
El campo Identity Source debera ser
cambiado por el nombre del dominio, por ejemplo: SETRYS. En
el campo If authentication failed optar
por Reject,
en el campo If user
not found elegir Reject y en el campo If process failed Drop.
Validar Figura28.
Paso 5: Click en
Save.
Figura28.: Configurando Dot1X,
Politica de Autenticacion
Proceso 3: Configurar perfil de Autorización Dot1X para redes
Cableadas e Inalámbricas
Paso 1: Navegar
a traves de la ruta Policy > Policy
Elements > Result.
Paso 2: En el panel de la izquierda, desplegar la sección
de Authorization y allí click sobre Authorization Profiles.
Paso
3: Ahora sobre la
derecha en el campo, hacer click en +Add,
se desplegara un cuadro de dialogo donde en el campo Name colocar un nombre para el perfil, por ejemplo: Wired_Dot1X, y otra llamada Wireless_Dot1X.
Paso 4: En el campo Access Type elegir ACCESS_ACCEPT, en el campo Network Device Profile optar por Cisco y en
la sección Common Task marcar la
casilla DACL Name, además
de elegir la opción PERMIT_ALL_TRAFFIC, en el
campo de seleccion. Validar Figura 29.
Paso 5: Click en Save.
Paso6: Repetir nuevamente los pasos del 1
al 5. El nuevo perfil tendrá como nombre
Wireless_Dot1X.
Figura29.: Configurando Perfil de
Autorización, Politica de Autorización
Proceso 4: Configurar Autorización Dot1X para redes Cableadas e Inalámbricas
Paso 1: Navegar
a traves de la ruta Policy > Authorization
Poliy.
Paso 2: En la politica por default Enployee_Wired click sobre Edit. Cambiar el nombre, por ejemplo: Employee_Wired_BCOEXT y otra llamada Employee_Wireless_BCOEXT
Paso 3: Ahora sobre el campo Conditions elegir Wired_802.1X, en el
campo
Permitions hacer
click en el simbolo “+” y optar por
el perfil de autorizacion creado en el proceso anterior, Wired_Dot1X. Validar
Figura30.
Paso 4: Click en
Done y luego en Save.
Paso 5: Repetir el mismo proceso pero para redes inalámbricas
(Wireless_802.1X)
Líneas de
Comandos en equipos de red, Servicio 802.1X Cisco (ISE)
aaa new-model
aaa authentication dot1x
default group radius
aaa authorization
configuration default group radius
aaa accounting dot1x
default start-stop group radius
!
aaa server radius
dynamic-author
client 172.19.50.18 server-key setrys
auth-type any
!
aaa session-id common
ip device tracking
dot1x system-auth-control
interface GigabitEthernet0/2
switchport mode access
authentication event fail action next-method
authentication event server dead action
authorize vlan 40
authentication event server alive action
reinitialize
authentication host-mode multi-domain
authentication open
authentication order dot1x mab
authentication priority dot1x mab
authentication port-control auto
authentication periodic
authentication timer reauthenticate server
authentication timer inactivity 180
authentication violation restrict
mab
dot1x pae authenticator
dot1x timeout tx-period 10
spanning-tree portfast
spanning-tree bpdufilter enable
spanning-tree bpduguard enable
!
radius-server attribute 6
on-for-login-auth
radius-server attribute 8
include-in-access-req
radius-server attribute 25
access-request include
radius-server dead-criteria
time 5 tries 3
radius-server host 172.19.50.18
auth-port 1812
acct-port 1813
key setrys
radius-server vsa send accounting
radius-server vsa send
authentication
¿Cómo verificar Logs de Autenticaciones?
El administrador puede visualizar conexiones exitosas o fallidas de usuarios a la red.
Paso 1: Navegar a traves de la ruta Operations > Radius > Live Logs.
Paso 2: Click en el botón Refresh. Validar Figura31.
Referencias
Cisco Identity Services Engine Administrator Guide, Release 2.1. Marzo 2015.
Campus 802.1X Authentication. Technology Design Guide. Agosto 2014.
No hay comentarios:
Publicar un comentario