Tweet
Bây giờ chúng tôi sở hữu tất cả các yếu tố để xây dựng chính sách của chúng tôi, vì vậy, hãy tạo ra một chính sách hoàn toàn mới để sử dụng trong ví dụ của chúng tôi.
Step 1. Navigate to Work Centers > Network Access > Policy Sets.
Step 2. Click the + sign to add a new policy set above the Default set.
Step 3. Name the new set Differentiated Access.
Step 4. Click the + sign to add a condition that differentiates this policy set from the default set.
Step 5. Using the condition Editor, choose Device > Device Type Starts with All Device Types#Switches, as shown in Figure 2-69.
Điều này có nghĩa là tất cả các yêu cầu RADIUS đến có nguồn gốc từ một NAD trong Công tắc NDG sẽ sử dụng bộ chính sách mới này.
Step 6. Click Save.
Step 7. Select Default Network Access from the Allowed Protocols/Server Sequence dropdown list, as shown in Figure 2-70, and then click Save.
Step 8. Click the > symbol to expand the Differentiated Access policy set, and then expand the authentication policy.
Step 9. Create a new authentication policy for wired or wireless MAB that uses the Internal Endpoints identity store and is set to CONTINUE if the user is not found, as shown in Figure 2-71.
Step 10. Insert a new row below the MAB rule.
Step 11. Name the policy Dot1X and use Wired_802.1X OR Wireless_802.1X as the conditions, with All_User_ID_Stores.
Step 12. Change the default rule to DenyAccess, which limits this policy to MAB and 802.1X authentications only.
Hình 2-71 cho thấy chính sách xác thực đã hoàn thành.
Bây giờ mở rộng phần Chính sách ủy quyền và thêm quy tắc trên quy tắc mặc định có tên PCI Users.
Step 13. Select the AD-Employee_PCI compound condition created earlier.
Step 14. Select the PCI Users authorization profile from the Profiles drop-down list.
Step 15. Select the PCI_Servers SGT from the Security Groups drop-down list, as shown in Figure 2-72.
Step 16. Insert a new rule below the PCI Users role named Employees.
Step 17. Select the AD-Employees condition that you created earlier, along with the Employee authorization profile and the Employees SGT, as shown in Figure 2-72.
Step 18. Click Save.
Xin chúc mừng, bạn vừa tạo một bộ chính sách mới cho tất cả các xác thực đến từ NAD trong Công tắc NDG để xác thực 802.1X đối với tất cả các cửa hàng nhận dạng người dùng; chỉ định một dACL, Vlan và SGT cho các nhân viên là thành viên của nhóm PCI và thực thi mã hóa Lớp 2 trên cùng những người dùng đó. Tất cả các nhân viên khác không phải là thành viên của nhóm PCI sẽ được chỉ định mã hóa dACL, Vlan và SGT khác nhau và lớp 2 sẽ được đề xuất nhưng không bắt buộc. Bất kỳ yêu cầu xác thực khác sẽ bị từ chối.
Có một điều còn thiếu. Phải làm gì với tất cả những thiết bị không xác thực và cần sử dụng MAB? Để giải quyết các thiết bị đó:
Step 1. Insert one more authorization rules at the top of our authorization policy.
Step 2. Name that rule MAB Devices to Default VLAN.
Step 3. Add a condition for Wired_MAB, and authorization profile of PermitAccess and an SGT of Unknown.
Đây không phải là một chính sách bảo mật tốt, chỉ là thứ gì đó sẽ ngăn không cho Truy cập từ chối gửi đến các thiết bị. Bằng cách cho phép các thiết bị đó vào mạng, bạn đang cho phép cấu hình hoạt động. Khi bạn xây dựng các chính sách cụ thể hơn cho các thiết bị được phép trong mạng của mình, bạn cũng sẽ muốn đảm bảo rằng bạn giới hạn các thiết bị không xác định và nơi chúng có thể đến, hoặc thậm chí từ chối truy cập vào các thiết bị không xác định khi bạn nhập đầy đủ giai đoạn thực thi triển khai của bạn.
Step 4. Click Save
Figure 2-72 shows the authorization policy.
Step 1. Navigate to Work Centers > Network Access > Policy Sets.
Step 2. Click the + sign to add a new policy set above the Default set.
Step 3. Name the new set Differentiated Access.
Step 4. Click the + sign to add a condition that differentiates this policy set from the default set.
Step 5. Using the condition Editor, choose Device > Device Type Starts with All Device Types#Switches, as shown in Figure 2-69.
Điều này có nghĩa là tất cả các yêu cầu RADIUS đến có nguồn gốc từ một NAD trong Công tắc NDG sẽ sử dụng bộ chính sách mới này.
Step 6. Click Save.
Step 7. Select Default Network Access from the Allowed Protocols/Server Sequence dropdown list, as shown in Figure 2-70, and then click Save.
Step 8. Click the > symbol to expand the Differentiated Access policy set, and then expand the authentication policy.
Step 9. Create a new authentication policy for wired or wireless MAB that uses the Internal Endpoints identity store and is set to CONTINUE if the user is not found, as shown in Figure 2-71.
Step 10. Insert a new row below the MAB rule.
Step 11. Name the policy Dot1X and use Wired_802.1X OR Wireless_802.1X as the conditions, with All_User_ID_Stores.
Step 12. Change the default rule to DenyAccess, which limits this policy to MAB and 802.1X authentications only.
Hình 2-71 cho thấy chính sách xác thực đã hoàn thành.
Bây giờ mở rộng phần Chính sách ủy quyền và thêm quy tắc trên quy tắc mặc định có tên PCI Users.
Step 13. Select the AD-Employee_PCI compound condition created earlier.
Step 14. Select the PCI Users authorization profile from the Profiles drop-down list.
Step 15. Select the PCI_Servers SGT from the Security Groups drop-down list, as shown in Figure 2-72.
Step 16. Insert a new rule below the PCI Users role named Employees.
Step 17. Select the AD-Employees condition that you created earlier, along with the Employee authorization profile and the Employees SGT, as shown in Figure 2-72.
Step 18. Click Save.
Xin chúc mừng, bạn vừa tạo một bộ chính sách mới cho tất cả các xác thực đến từ NAD trong Công tắc NDG để xác thực 802.1X đối với tất cả các cửa hàng nhận dạng người dùng; chỉ định một dACL, Vlan và SGT cho các nhân viên là thành viên của nhóm PCI và thực thi mã hóa Lớp 2 trên cùng những người dùng đó. Tất cả các nhân viên khác không phải là thành viên của nhóm PCI sẽ được chỉ định mã hóa dACL, Vlan và SGT khác nhau và lớp 2 sẽ được đề xuất nhưng không bắt buộc. Bất kỳ yêu cầu xác thực khác sẽ bị từ chối.
Có một điều còn thiếu. Phải làm gì với tất cả những thiết bị không xác thực và cần sử dụng MAB? Để giải quyết các thiết bị đó:
Step 1. Insert one more authorization rules at the top of our authorization policy.
Step 2. Name that rule MAB Devices to Default VLAN.
Step 3. Add a condition for Wired_MAB, and authorization profile of PermitAccess and an SGT of Unknown.
Đây không phải là một chính sách bảo mật tốt, chỉ là thứ gì đó sẽ ngăn không cho Truy cập từ chối gửi đến các thiết bị. Bằng cách cho phép các thiết bị đó vào mạng, bạn đang cho phép cấu hình hoạt động. Khi bạn xây dựng các chính sách cụ thể hơn cho các thiết bị được phép trong mạng của mình, bạn cũng sẽ muốn đảm bảo rằng bạn giới hạn các thiết bị không xác định và nơi chúng có thể đến, hoặc thậm chí từ chối truy cập vào các thiết bị không xác định khi bạn nhập đầy đủ giai đoạn thực thi triển khai của bạn.
Step 4. Click Save
Figure 2-72 shows the authorization policy.