Tweet
Như bạn sẽ nhớ lại từ phần trước, CWA cuối cùng là kết quả ủy quyền của MAB; do đó, khi định cấu hình bộ chuyển mạch Cisco Catalyst để truy cập mạng an toàn, bạn chỉ cần định cấu hình nó cho Dot1x và MAB. Tất cả các phần ưa thích khác của giải pháp ISE, chẳng hạn như truy cập của khách, lên máy bay và định hình, tất cả sẽ xảy ra thông qua mặt phẳng điều khiển RADIUS.
Bạn đã thêm tất cả các NAD vào USE trước đó trong chương. Vì vậy, giờ đây, thời gian để cấu hình các thiết bị mạng đó để xác thực với ISN PSN.
Định cấu hình chuyển mạch Cisco Catalyst
Cisco khởi đầu là một công ty mạng, dẫn đầu thế giới về việc cung cấp các bộ định tuyến đa phương tiện và ngay sau đó dẫn đầu thế giới về chuyển mạch mạng. Do đó, sẽ không có gì ngạc nhiên khi biết rằng Cisco có phần lớn thị phần để chuyển đổi cơ sở hạ tầng.
Chà, vì vị trí dẫn đầu thị trường lâu đời đó, một số người có thể nghĩ rằng Cisco nên dựa vào vòng nguyệt quế của mình và không đổi mới với việc chuyển đổi nữa. Chà, đó không phải là phong cách của Cisco. Mặc dù Cisco có nhiều cổng được cấu hình cho 802.1X trên thế giới hơn bất kỳ nhà cung cấp nào khác, nhưng họ vẫn luôn làm cho trải nghiệm xác thực tốt hơn và giàu tính năng hơn.
Cùng với đó là một chút nhầm lẫn về việc phiên bản nào hỗ trợ các tính năng mới, v.v. Vâng, chúng tôi sẽ cố gắng và làm rõ điều đó cho bạn ở đây, ngay bây giờ.
Các thiết bị chuyển mạch của Cisco đang trải qua một quá trình phát triển khi truy cập mạng. Do đó, chúng ta nên phân loại các khả năng chuyển đổi thành một vài nhóm để giữ cho nó dễ dàng. Đây không phải là điều khoản chính thức: đây là những Aaron Aaron-isms.
Phần này bao gồm cấu hình toàn cầu của tất cả các thiết bị chuyển mạch không phải là C3PL tham gia với Cisco ISE. Nói cách khác, phần này tập trung vào cấu hình của cả nhóm iOS cổ điển và nhóm iOS mới hơn. Công tắc C3PL sẽ được đề cập trong một phần riêng biệt.
Configure Certificates on Switch
Trong hệ thống truy cập an toàn, công tắc thực hiện chuyển hướng URL để xác thực web cũng như chuyển hướng lưu lượng truy cập khám phá từ tư thế sang Nút dịch vụ chính sách.
Thực hiện chuyển hướng URL tại thiết bị (cạnh) truy cập Lớp 2 là một cải tiến lớn so với các giải pháp NAC trước đây yêu cầu thiết bị nắm bắt lưu lượng truy cập web và thực hiện chuyển hướng đến trang xác thực web, đơn giản hóa việc triển khai cho cả xác thực web và quy trình phát hiện tác nhân tư thế . Công tắc sẽ cần được cấu hình để chuyển hướng lưu lượng HTTP không được mã hóa cũng như lưu lượng HTTP được mã hóa (HTTPS).
Từ chế độ cấu hình toàn cầu trên công tắc:
Bước 1. Đặt tên miền DNS trên công tắc. Cisco IOS không cho phép các chứng chỉ hoặc thậm chí các khóa tự tạo được tạo và cài đặt mà không cần xác định tên miền DNS trước trên thiết bị.
Bước 2. Tạo các khóa được sử dụng cho HTTPS.
Enable the Switch HTTP/HTTPS server
Máy chủ HTTP / S được nhúng trong Cisco IOS sẽ được sử dụng để lấy lưu lượng HTTP từ người dùng và chuyển hướng trình duyệt của người dùng đó đến cổng Xác thực Web tập trung hoặc cổng thông tin đăng ký thiết bị hoặc thậm chí đến cổng quản lý thiết bị di động. Hàm tương tự này được sử dụng để chuyển hướng lưu lượng truy cập của tác nhân tư thế đến Nút dịch vụ chính sách.
Step 1. Enable the HTTP server in global configuration mode.
Step 2. Enable the HTTP secure server.
Type ip http secure-server at the global configuration prompt. Many organizations will want to ensure that this redirection process that is using the switch’s internal HTTP server is decoupled from the management of the switch itself. This may be accomplished by running the following two commands from global configuration mode:
Global AAA Commands
Có một số lệnh để nhập ở cấp cấu hình toàn cầu, chẳng hạn như kích hoạt hệ thống con AAA và thêm các máy chủ RADIUS vào chuyển đổi.
Step 1. Enable AAA on the access switch(es).
By default, the AAA “subsystem” of the Cisco switch is disabled. Prior to enabling the AAA subsystem, none of the required commands will be available in the configuration.
Step 2. Create an authentication method for 802.1X. An authentication method is required to instruct the switch on which group of RADIUS servers to use for 802.1X authentication requests.
Step 3. Create an authorization method for 802.1X.
Phương thức được tạo trong Bước 2 sẽ cho phép nhận dạng người dùng / thiết bị (tên người dùng / mật khẩu hoặc chứng chỉ) được xác thực bởi máy chủ RADIUS; tuy nhiên, chỉ cần có thông tin xác thực là không đủ. Phải có sự cho phép là tốt. Ủy quyền là những gì xác định rằng người dùng hoặc thiết bị thực sự được phép truy cập mạng và mức độ truy cập nào thực sự được cho phép.
Step 4. Create an accounting method for 802.1X.
Các gói kế toán RADIUS cực kỳ hữu ích và trong nhiều trường hợp là bắt buộc. Các loại gói này sẽ giúp đảm bảo rằng máy chủ RADIUS (Cisco ISE) biết trạng thái chính xác của cổng chuyển đổi và điểm cuối. Nếu không có các gói kế toán, Cisco ISE sẽ chỉ có kiến thức về giao tiếp xác thực và ủy quyền. Các gói kế toán cung cấp thông tin về thời điểm kết thúc phiên trực tiếp, cũng như các quyết định cục bộ được thực hiện bởi công tắc (chẳng hạn như gán Vlan AuthFail, v.v.).
Nếu công tắc hỗ trợ Cảm biến thiết bị, dữ liệu cảm biến sẽ được gửi đến ISE bằng cấu hình kế toán RADIUS.
Step 5. Configure periodic RADIUS accounting updates.
Các gói kế toán RADIUS định kỳ cho phép Cisco ISE theo dõi phiên nào vẫn còn hoạt động trên mạng. Lệnh này sẽ gửi cập nhật định kỳ bất cứ khi nào có thông tin mới. Nó cũng sẽ gửi cập nhật định kỳ một lần mỗi 24 giờ (1440 phút) để cho ISE thấy rằng phiên này vẫn còn tồn tại.
Global RADIUS Commands
Ở đây chúng tôi có một sự khác biệt nhỏ giữa các thiết bị chuyển mạch IOS cổ điển và iOS 15.x. Sự khác biệt chính tồn tại bởi vì nhóm iOS mới hơn đang có được sự hỗ trợ cho cơ sở hạ tầng IPv6, trong khi nhóm iOS cổ điển bị giới hạn ở IPv4.
Bạn đã thêm tất cả các NAD vào USE trước đó trong chương. Vì vậy, giờ đây, thời gian để cấu hình các thiết bị mạng đó để xác thực với ISN PSN.
Định cấu hình chuyển mạch Cisco Catalyst
Cisco khởi đầu là một công ty mạng, dẫn đầu thế giới về việc cung cấp các bộ định tuyến đa phương tiện và ngay sau đó dẫn đầu thế giới về chuyển mạch mạng. Do đó, sẽ không có gì ngạc nhiên khi biết rằng Cisco có phần lớn thị phần để chuyển đổi cơ sở hạ tầng.
Chà, vì vị trí dẫn đầu thị trường lâu đời đó, một số người có thể nghĩ rằng Cisco nên dựa vào vòng nguyệt quế của mình và không đổi mới với việc chuyển đổi nữa. Chà, đó không phải là phong cách của Cisco. Mặc dù Cisco có nhiều cổng được cấu hình cho 802.1X trên thế giới hơn bất kỳ nhà cung cấp nào khác, nhưng họ vẫn luôn làm cho trải nghiệm xác thực tốt hơn và giàu tính năng hơn.
Cùng với đó là một chút nhầm lẫn về việc phiên bản nào hỗ trợ các tính năng mới, v.v. Vâng, chúng tôi sẽ cố gắng và làm rõ điều đó cho bạn ở đây, ngay bây giờ.
Các thiết bị chuyển mạch của Cisco đang trải qua một quá trình phát triển khi truy cập mạng. Do đó, chúng ta nên phân loại các khả năng chuyển đổi thành một vài nhóm để giữ cho nó dễ dàng. Đây không phải là điều khoản chính thức: đây là những Aaron Aaron-isms.
- Classic IOS: Nhóm này bao gồm các phiên bản iOS 12.2 (55) SE. Hãy nghĩ về nó như một công việc tuyệt vời, rất ổn định và giàu tính năng so với các thiết bị chuyển mạch không phải của Cisco, nhưng vẫn còn thiếu một số tiến bộ mới hơn trong xác thực mạng, định hình và TrustSec. Đây vẫn là các công tắc phổ biến nhất mà chúng ta thấy trong quá trình triển khai Truy cập an toàn, chúng đã được thử và đúng và rất khó. Bởi vì họ không có các khả năng định hình nâng cao, chẳng hạn như Cảm biến thiết bị, chúng tôi định cấu hình chúng cho bỏ phiếu SNMP từ ISE.
- Newer IOS: Nhóm này bao gồm các hương vị IOS 15.x và 16.x và các đối tác IOS-XE của họ. Các nền tảng này thêm một số tính năng và chức năng đáng kinh ngạc như Cảm biến thiết bị cho phép định hình quy mô lớn. Với khả năng của Bộ cảm biến thiết bị, công tắc sẽ thu thập các thuộc tính định hình cục bộ và gửi chúng đến ISE trong gói kế toán RADIUS. Với khả năng này, chúng tôi sẽ không định cấu hình chuyển đổi cho bỏ phiếu SNMP và chúng tôi phải định cấu hình nó để thu thập các thuộc tính định hình. Nhìn chung, kiểu cấu hình trên các công tắc này giống như các công tắc iOS cổ điển, nhưng có một số khác biệt do các khả năng tiên tiến hơn.
- C3PL: Có một kiểu cấu hình thay thế trên các thiết bị chuyển mạch IOS mới hơn tuân theo kiểu cấu hình Ngôn ngữ chính sách phân loại chung (C3PL) của Cisco. Điều này cung cấp một số tính năng xác thực rất hấp dẫn và tiên tiến, cũng như một kiểu cấu hình rất khác rất mạnh mẽ nhưng đôi khi có thể gây nhầm lẫn cho những người chưa sử dụng nó. Tuy nhiên, những người bắt đầu sử dụng phong cách cấu hình này cuối cùng lại yêu thích nó và hiếm khi muốn quay lại các phương pháp cấu hình cổ điển. Tại thời điểm viết, đây là loại triển khai ít phổ biến nhất, nhưng nó đang trở nên phổ biến.
Phần này bao gồm cấu hình toàn cầu của tất cả các thiết bị chuyển mạch không phải là C3PL tham gia với Cisco ISE. Nói cách khác, phần này tập trung vào cấu hình của cả nhóm iOS cổ điển và nhóm iOS mới hơn. Công tắc C3PL sẽ được đề cập trong một phần riêng biệt.
Configure Certificates on Switch
Trong hệ thống truy cập an toàn, công tắc thực hiện chuyển hướng URL để xác thực web cũng như chuyển hướng lưu lượng truy cập khám phá từ tư thế sang Nút dịch vụ chính sách.
Thực hiện chuyển hướng URL tại thiết bị (cạnh) truy cập Lớp 2 là một cải tiến lớn so với các giải pháp NAC trước đây yêu cầu thiết bị nắm bắt lưu lượng truy cập web và thực hiện chuyển hướng đến trang xác thực web, đơn giản hóa việc triển khai cho cả xác thực web và quy trình phát hiện tác nhân tư thế . Công tắc sẽ cần được cấu hình để chuyển hướng lưu lượng HTTP không được mã hóa cũng như lưu lượng HTTP được mã hóa (HTTPS).
Từ chế độ cấu hình toàn cầu trên công tắc:
Bước 1. Đặt tên miền DNS trên công tắc. Cisco IOS không cho phép các chứng chỉ hoặc thậm chí các khóa tự tạo được tạo và cài đặt mà không cần xác định tên miền DNS trước trên thiết bị.
Code:
Type ip domain-name domain-name at the global configuration prompt
Code:
Type crypto key generate rsa general-keys mod 2048 at the global configuration prompt.
Máy chủ HTTP / S được nhúng trong Cisco IOS sẽ được sử dụng để lấy lưu lượng HTTP từ người dùng và chuyển hướng trình duyệt của người dùng đó đến cổng Xác thực Web tập trung hoặc cổng thông tin đăng ký thiết bị hoặc thậm chí đến cổng quản lý thiết bị di động. Hàm tương tự này được sử dụng để chuyển hướng lưu lượng truy cập của tác nhân tư thế đến Nút dịch vụ chính sách.
Step 1. Enable the HTTP server in global configuration mode.
Code:
Type ip http server at the global configuration prompt.
Type ip http secure-server at the global configuration prompt. Many organizations will want to ensure that this redirection process that is using the switch’s internal HTTP server is decoupled from the management of the switch itself. This may be accomplished by running the following two commands from global configuration mode:
Code:
ip http active-session-modules none ip http secure-active-session-modules none
Có một số lệnh để nhập ở cấp cấu hình toàn cầu, chẳng hạn như kích hoạt hệ thống con AAA và thêm các máy chủ RADIUS vào chuyển đổi.
Step 1. Enable AAA on the access switch(es).
By default, the AAA “subsystem” of the Cisco switch is disabled. Prior to enabling the AAA subsystem, none of the required commands will be available in the configuration.
Code:
C3560X(config)#aaa new-model
Code:
C3560X(config)#aaa authentication dot1x default group radius
Phương thức được tạo trong Bước 2 sẽ cho phép nhận dạng người dùng / thiết bị (tên người dùng / mật khẩu hoặc chứng chỉ) được xác thực bởi máy chủ RADIUS; tuy nhiên, chỉ cần có thông tin xác thực là không đủ. Phải có sự cho phép là tốt. Ủy quyền là những gì xác định rằng người dùng hoặc thiết bị thực sự được phép truy cập mạng và mức độ truy cập nào thực sự được cho phép.
Code:
C3560X(config)#aaa authorization network default group radius
Các gói kế toán RADIUS cực kỳ hữu ích và trong nhiều trường hợp là bắt buộc. Các loại gói này sẽ giúp đảm bảo rằng máy chủ RADIUS (Cisco ISE) biết trạng thái chính xác của cổng chuyển đổi và điểm cuối. Nếu không có các gói kế toán, Cisco ISE sẽ chỉ có kiến thức về giao tiếp xác thực và ủy quyền. Các gói kế toán cung cấp thông tin về thời điểm kết thúc phiên trực tiếp, cũng như các quyết định cục bộ được thực hiện bởi công tắc (chẳng hạn như gán Vlan AuthFail, v.v.).
Nếu công tắc hỗ trợ Cảm biến thiết bị, dữ liệu cảm biến sẽ được gửi đến ISE bằng cấu hình kế toán RADIUS.
Code:
C3560X(config)#aaa accounting dot1x default start-stop group radius
Các gói kế toán RADIUS định kỳ cho phép Cisco ISE theo dõi phiên nào vẫn còn hoạt động trên mạng. Lệnh này sẽ gửi cập nhật định kỳ bất cứ khi nào có thông tin mới. Nó cũng sẽ gửi cập nhật định kỳ một lần mỗi 24 giờ (1440 phút) để cho ISE thấy rằng phiên này vẫn còn tồn tại.
Code:
C3560X(config)#aaa accounting update newinfo periodic 1440
Ở đây chúng tôi có một sự khác biệt nhỏ giữa các thiết bị chuyển mạch IOS cổ điển và iOS 15.x. Sự khác biệt chính tồn tại bởi vì nhóm iOS mới hơn đang có được sự hỗ trợ cho cơ sở hạ tầng IPv6, trong khi nhóm iOS cổ điển bị giới hạn ở IPv4.