C3PL Fundamentals (Phần 2)

mariothoang

Member

Newbie

Join Date: Feb 2020
Posts: 45

23-03-2020, 08:21 PM

Configure Control Policies

Các chính sách kiểm soát được sử dụng để ra lệnh những hành động nào nên được thực hiện để đáp ứng với các sự kiện đã chỉ định. Chính sách này chứa một hoặc nhiều quy tắc liên kết một lớp điều khiển với một hoặc nhiều hành động. Các hành động mà bạn có thể định cấu hình trong một quy tắc là cụ thể cho chính sự kiện. Nói cách khác, bạn sẽ có một hành động MAB áp dụng cho một sự kiện dot1x. Các chính sách kiểm soát thường kiểm soát xác thực danh tính cuối và các dịch vụ áp dụng cho phiên hoặc giao diện. Hình 2-50 cho thấy hệ thống phân cấp này và mối quan hệ giữa các thành phần của chính sách.
Chúng tôi sẽ tạo một chính sách điều khiển tận dụng các lớp điều khiển được tạo trong phần trước và sau đó áp dụng chính sách này cho một loạt các giao diện trên công tắc:

Step 1. Configure a control policy that will be applied to all 802.1X/MAB-enabled interfaces:

Code:

C3850(config-service-template)#policy-map type control subscriber DOT1X-DEFAULT

Step 2. Configure actions for when session starts.

Cấu hình sau đây sẽ cho phép 802.1X và MAB chạy đồng thời, gán mức ưu tiên cao hơn cho 802.1X so với MAB. Hãy ghi nhớ, đây chỉ là để minh họa khả năng chạy MAB và 802.1X cùng một lúc; chúng tôi không khuyến nghị điều này cho môi trường sản xuất.

Code:

[FONT=Calibri][FONT=Times New Roman]C3850(config-event-control-policymap)#event session-started match-all [/FONT][/FONT]
[FONT=Calibri][FONT=Times New Roman]C3850(config-class-control-policymap)#10 class always do-all [/FONT][/FONT]
[FONT=Calibri][FONT=Times New Roman]C3850(config-action-control-policymap)#10 authenticate using dot1x priority 10 [/FONT][/FONT]
[FONT=Calibri][FONT=Times New Roman]C3850(config-action-control-policymap)#20 authenticate using mab priority 20[/FONT][/FONT]

Step 3. Configure actions for policy violations:

Code:

[FONT=Calibri][FONT=Times New Roman]C3850(config-action-control-policymap)#event violation match-all [/FONT][/FONT]
[FONT=Calibri][FONT=Times New Roman]C3850(config-class-control-policymap)#10 class always do-all [/FONT][/FONT]
[FONT=Calibri][FONT=Times New Roman]C3850(config-action-control-policymap)#10 restrict[/FONT][/FONT]

Step 4. Configure the switch to attempt to authenticate (using 802.1X) an endpoint when a supplicant is detected on the endpoint:

Code:

[FONT=Calibri][FONT=Times New Roman]C3850(config-action-control-policymap)#event agent-found match-all [/FONT][/FONT]
[FONT=Calibri][FONT=Times New Roman]C3850(config-class-control-policymap)#10 class always do-all [/FONT][/FONT]
[FONT=Calibri][FONT=Times New Roman]C3850(config-action-control-policymap)#10 authenticate using dot1x[/FONT][/FONT]

Step 5. Configure the action for 802.1X authentication failures, or when there is a lack of ISE PSNs (RADIUS servers) available:

Code:

[FONT=Calibri][FONT=Times New Roman]C3850(config-action-control-policymap)#event authentication-failure match-all[/FONT][/FONT]
[FONT=Calibri][FONT=Times New Roman]C3850(config-class-control-policymap)#10 class AAA-DOWN do-all [/FONT][/FONT]
[FONT=Calibri][FONT=Times New Roman]C3850(config-action-control-policymap)#10 authorize [/FONT][/FONT]
[FONT=Calibri][FONT=Times New Roman]C3850(config-action-control-policymap)#20 activate service-template CRITICAL C3850(config-action-control-policymap)#30 terminate dot1x [/FONT][/FONT]
[FONT=Calibri][FONT=Times New Roman]C3850(config-action-control-policymap)#40 terminate mab [/FONT][/FONT]
[FONT=Calibri][FONT=Times New Roman]C3850(config-action-control-policymap)#20 class DOT1X-FAILED do-all C3850(config-action-control-policymap)#10 authenticate using mab[/FONT][/FONT]

Applying Control Policy to the Interfaces

Bây giờ chính sách đã được tạo, nó cần được áp dụng cho các giao diện lớp truy cập, với lệnh servicepolicy. Không phải tất cả các khía cạnh của cấu hình 802.1X đều được hoàn thành trong C3PL, vì vậy một số mục cấu hình sẽ xảy ra tại các giao diện riêng biệt.
Step 1. Apply control policy to the interface range:

Code:

[FONT=Calibri][FONT=Times New Roman]C3850(config)#interface range GigabitEthernet 1/0/1 – 24 [/FONT][/FONT]
[FONT=Calibri][FONT=Times New Roman]C3850(config-if-range)#description Dot1X Enabled Ports [/FONT][/FONT]
[FONT=Calibri][FONT=Times New Roman]C3850(config-if-range)#switchport host
C3850(config-if-range)#service-policy type control subscriber DOT1X-DEFAULT[/FONT][/FONT]

Step 2. Apply the remaining interface configuration:

Code:

[FONT=Calibri][FONT=Times New Roman]C3850(config-if-range)#authentication periodic [/FONT][/FONT]
[FONT=Calibri][FONT=Times New Roman]C3850(config-if-range)#authentication timer reauthenticate server [/FONT][/FONT]
[FONT=Calibri][FONT=Times New Roman]C3850(config-if-range)#mab C3850(config-if-range)#ip access-group DEFAULT-ACL in [/FONT][/FONT]
[FONT=Calibri][FONT=Times New Roman]C3850(config-if-range)#access-session host-mode multi-auth [/FONT][/FONT]
[FONT=Calibri][FONT=Times New Roman]C3850(config-if-range)#no access-session closed C3850(config-if-range)#dot1x timeout tx-period 10 [/FONT][/FONT]
[FONT=Calibri][FONT=Times New Roman]C3850(config-if-range)#access-session port-control auto [/FONT][/FONT]
[FONT=Calibri][FONT=Times New Roman]C3850(config-if-range)#no shutdown[/FONT][/FONT]

Last edited by mariothoang; 23-03-2020, 08:25 PM.

Tags: None

Announcement

C3PL Fundamentals (Phần 2)

C3PL Fundamentals (Phần 2)