ISEv2.1 – Múltiples Vlan – Profile y un SSID

Como leer e interpretar las líneas de comando

              En el presente manual se usan las siguientes convenciones para comandos a ingresar en la interfaz de lineas de configuracion (CLI).

Comando para ingresar al modo de configuracion global:

                 configure terminal

Comando para especificar el valor de una varible:

                 ntp server 172.18.58.200

Comando cuya variable usted debe definir:   

                 Class-map [highest class name]

Comando para ingresar al modo de configuracion privilegiado y campos universales imperativos        :

                 Router>enable

Las comandos de configuracion muy largos y que ocupan varias lineas se subrayan

                 police rate 10000 pps burst 10000 packets conform-action

Las variables que se muestran como salida de respuesta a peticiones en CLI son sombreadas

interface Van64   

 ip address 10.5.204.5 255.255.255.0

          En publicaciones anteriores habiamos comentado acerca de la autenticación y autorizacion de usuarios (ya sea de empleados o invitados) a través del ISE (1) o inclusive LDAP (2), pero que sucedería si hubiese un caso donde a través de un SSID o WLAN existiesen varios tipos o clases de usuarios a los que se le deben otorgar accesos muy específicos a nivel local, redes remotas e internet.

                 En lo consecutivo, visualizaremos un ejemplo práctico a fin de brindar una solución al caso planteado.

                 Muy importante, ya debemos en este punto, contar con un despliegue de ISEv2.X (3), alguna version de WLC 8.X (4) y configurados las Vlan, interfaces SVI y Scopes DHCP, lo que implica que una LAN ya halla sido desarrollada y planificada con anterioridad.

(1) Campus 802.1X sobre Cisco ISE v2.1 y Wireless Network para ISE v2.1 y vWLC 8.2.130.0

URL: https://librerianetworking.blogspot.com/2016/11/campus-8021x-sobre-cisco-ise-v21.html

URL: https://librerianetworking.blogspot.com/2016/11/wireless-network-para-ise-v2.html

(2) Wireless Network - Integración AD y LDAP - Cisco WLC 8.2.130.0

https://librerianetworking.blogspot.com/2016/12/wireless-network-integracion-ad-y-ldap.html

(3) Desplegando Cisco ISE v2.1

URL: https://librerianetworking.blogspot.com/2016/11/desplegando-cisco-ise-v21.html

(4) Despliegue Cisco Virtual Wireless LAN Controler (vWLC)

URL: https://librerianetworking.blogspot.com/2016/11/despliegue-cisco-virtual-wireless-lan.html

___________________________________________________________________________________

Nota Importante: Para este despliegue se debe contar con un Controlador de Dominio establecido al igual que una estructura básica de Directorio Activo. A su vez con un servicio de DNS local.
En este punto, les hago llegar ciertos link, donde la información se hace ver muy detallada:

Crear un Controlador de Dominio, Instalar Active Directory.

https://www.taringa.net/post/hazlo-tu-mismo/14626374/Crear-un-Controlador-de-Dominio-Instalar-Active-Directory.html

Windows Server 2012 (R2): Crear un Dominio – Instalación del Primer Controlador de Dominio

https://windowserver.wordpress.com/2014/11/26/windows-server-2012-r2-crear-un-dominio-instalacin-del-primer-controlador-de-dominio/
___________________________________________________________________________________

Proceso 1: Configurar interfaces en WLC.

Paso 1: Navegar en la ruta Controller > Interfaces. En la sección derecha hacer click en el botón New.

Paso 2: Configurar los valores de los campos correspondientes a la identificación de la ACL y sus reglas  Interface Name,... Validar el ejemplo de la Figura1.

En este punto se configuran las interfaces de red que se aplicaran a cada clase de usuario con el resto de la LAN.

Figura1.: Configurando Interfaces en WLC

Proceso 2: Configurar grupos de interfaces en WLC.

La idea de un grupo de interfaces, es que a través de la autenticación del usuario y su posterior autorización por parte del ISE, se le asignará una etiqueta al usuario que lo asignará una vlan específica. Es ésta etiqueta que interpretará el WLC a fin de colocar al host del usuario dentro del segmento de red al que debe pertenecer.

Paso 1: Navegar en la ruta Controller > Interfaces Groups. En la sección derecha hacer click en el botón Add Group.

Paso 2: Configurar los valores de los campos correspondientes a la identificación del grupo y descripción Interface Group Name y Description. Click en Add,... Validar el ejemplo de la Figura2.

Figura2.: Creando Grupo de Interfaces

Paso 3: En la nueva ventana es el menú desplegable Interface Nave, escoger la interfaz que formará parte de este grupo y hacer click sobre Add Interface. Repetir hasta que la última interfaz sea agregada. Validar la Figura 3.

Figura3.: Agregando interfaces al interface Groups

Proceso 3: Configurar la red inalámbrica o WLAN.

Paso 1: Navegar en la ruta WLANs > WLANs En la sección derecha hacer click en el botón New.

Paso 2: Configurar los valores de los campos correspondientes a la identificación de la Red Wifi y SSID, además en el campo Interface/Interfaces Groups(G) el cual asignara el direccionamiento y red a utilizar por el SSID. Es aquí donde colocaremos especial atención, en este campo optaremos por el grupo de interfaces ya creado anteriormente. Cisco en el diseño de la solución a optado por marcar el grupo de interfaces con el símbolo (G),... Validar Figura4.

Para el caso del ejemplo, autenticaremos al usuario via Dot1X e ISE como servidor Radius.

Figura4.: Creando Wlan y asociando el Interface Group

Proceso 3: Creando Perfil de Autorización en ISEv2.1.

            En el perfil de autorización se configura el ID de etiquetas que distinguirán al host del usuario y será utilizado por el WLC para asignarlo dentro de un segmento de red.

Paso 1: Navegar a través de la ruta Policy > Policy Elements > Result.

Paso 2: En el panel de la izquierda, desplegar la sección de Authorization y allí click sobre Authorization Profiles.

Paso 3: Ahora sobre la derecha en el campo, hacer click en +Add, se desplegara un cuadro de dialogo donde en el campo Name colocar un nombre para el perfil, por ejemplo: Acceso_Bronce_BYOD

Paso 4: En el campo Access Type elegir ACCESS_ACCEPT, en el campo Network Device Profile optar por Cisco y en la sección Common Task marcar la casilla DACL Name, además de elegir la opción ACL_Bronce_BYOD (lista de acceso descargable creada previamente), marcar el campo Vlan y llenar el campo ID/Name con el Tag de Vlan correspondiente, en este ejemplo optamos por 42. Validar Figura 5.

Paso 5: Click en Save.

Paso6: Repetir nuevamente los pasos del 1 al 5 mientras existan clases de usuarios a autorizar.

Figura5.: Creando Wlan y asociando el Interface Group

Proceso 4: Configurando regla de autorización para usuario.

Paso 1: Navegar a traves de la ruta Policy > Authorization Poliy.

Paso 2: En la política por default Enployee_Wired click sobre el menú desplegable de Edit. Hacer click sobre  Add New Rule Above. Agregar el nombre, por ejemplo: Bronce_BYOD_Wireless.

Paso 3: Ahora sobre el campo Conditions elegir las condiciones correspondientes de autorización, y en nuestro caso de ejemplo, el dispositivo del usuario debe estar registrado en el grupo EndPonits Dispositivo_BYOD, además la autenticación debe venir a través algún dispositivos de red inalámbrico WLC y autenticado el SSID via Dot1X  Wireless_802.1X, también dentro de las condiciones estipulamos que el usuario se vea en la necesidad de autenticarse y conectarse a través de su SSID correspondiente: Wlan_BEC_Colaboradores y por último que pertenezca a un grupo específico de Active Directory GSAR_Bronce.

Paso 4: En el campo Permitions hacer click en el simbolo “+” y optar por el perfil de autorizacion creado en el proceso anterior, Acceso_Bronce_BYOD. Validar Figura6.

Paso 5: Click en Done  y luego en Save.

Figura6.: Creando regla de autorización

Apéndice:

Figura7: Grupo “Dispositivos_BYOD” creado.  Ruta: Administration > Identity Management > Groups > Endpoint Identity Groups

Figura8: Condición de Autorización “Wlan_BEC_Colaboradores” creado.  Ruta: Policy > Policy Elements > Conditions > Authorization > Compound Conditions

Nota: El valor “8” es obtenido en la sección del WLC correspondiente al resumen WLANs y es denominado Wlan-ID

Figura9: Condición de Autorización “GASR_Bronce” creado.  Ruta: Policy > Policy Elements > Conditions > Authorization > Simple Conditions

Nota: El valor corresponde a uno de los grupos de seguridad que fueron asimilados en el despliegue del ISE y que forman parte del AD.

Referencias

Cisco Ejemplo de Configuracion de la autenticacion Web del regulador del Wireless LAN. Octubre 2016.

Cisco Identity Services Engine Administrator Guide, Release 2.1. Marzo 2015.

Cisco Autenticacion Web en el Controlador WLAN. Diciembre 2014

Campus 802.1X Authentication. Technology Design Guide. Agosto 2014.

Cisco Campus Wireless LAN. Technology Design Guide. Agosto 2014.

Cisco Virtual Wireless Controller Deployment Guide. Document ID 113677. Enero 2014.

Cisco Wireless Deployment Guide (SBA). Febrero 2013

Cisco Wireless LAN Advanced Guest Access Deployment Guide. Febrero 2013.