Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
NESTA PÁGINA
 

Configure os switches Cisco ISE e Juniper EX para autenticação baseada em 802.1X

Sobre este exemplo de configuração de rede

Este exemplo de configuração de rede (NCE) mostra como configurar o Cisco Identity Services Engine 2.X (Cisco ISE) e os switches EX da Juniper para autenticação baseada em IEEE 802.1X.

Visão geral

O Cisco ISE 2.X vem com muitos perfis de dispositivos de rede pré-importados, mas não vem com um para a Juniper. Os perfis de dispositivos de rede especificam como lidar com MAC Radius, autenticação do ponto1x, atribuição de VLAN e ACL e recursos de CoA.

O Cisco ISE permite que você importe perfis de dispositivos de rede no formato XML, permitindo a integração com qualquer dispositivo de rede padrão IEEE 802.1X. Este exemplo mostra como importar o perfil do dispositivo de rede da Juniper e configurar configurações para permitir a autenticação baseada em IEEE 802.1X com switches Cisco ISE e Juniper EX.

Topologia

Neste exemplo, usamos a seguinte topologia de rede Figura 1:

Figura 1: Topologia Example Topology de exemplo

Veja mais detalhes sobre os componentes de hardware e software usados neste exemplo:

Dispositivo

Versão do software

Papel

Juniper EX2300-C-12P

Junos 18.2R1-S1

Switch e autenticador

Cisco ISE

2.4.0.357 Patch2-18080100

Servidor RADIUS

Telefone IP Polycom VVX 310

SIP/5.5.1.11526/22-Nov-16 15:05

Suplicante (MAC Radius)

Profissional do Windows 10

Todos os patches recomendados a partir de 2018-08-22

Suplicante (Dot1x)

Impressora de rede

N/A

Suplicante (MAC Radius)

Juniper Mist AP43

0.6.18981

Suplicante (MAC Radius)

Todos os usuários e endpoints estão armazenados no banco de dados interno do Cisco ISE.

Para a integração externa do banco de dados de usuários, como Microsoft Active Directory, LDAP e Autenticação baseada em certificados, consulte o Guia de administrador de mecanismos de serviços de identidade cisco, versão 2.4.

Procedimento passo a passo

Importe o perfil do dispositivo com fio da Juniper

Supondo que você tenha o Cisco ISE em funcionamento em sua rede, a primeira coisa que você precisará fazer é adicionar um perfil de dispositivo de switch EX da Juniper.

  1. Baixe o perfil mais recente do dispositivo de switch EX da Juniper para Cisco ISE (validado com Cisco ISE 2.7).
  2. No Cisco ISE, escolha a administração > recursos de rede > perfis de dispositivos de rede.
  3. Clique em Importar e selecione o perfil do dispositivo do switch EX da Juniper que você baixou na etapa 1. Assim que você importar o perfil do dispositivo de rede da Juniper, ele será listado na lista de perfis de dispositivos de rede ISE da Cisco como Juniper_Wired.

Adicione switches EX ao perfil do dispositivo da Juniper

Você pode adicionar seus switches EX individualmente ou como uma faixa de endereço IP.

  1. No Cisco ISE, escolha a administração > recursos de rede > dispositivos de rede.
  2. Na tela do dispositivo de rede, selecione o perfil Juniper_Wired dispositivo.
  3. Dê um nome e endereço IP para o seu switch EX. Se você estiver adicionando vários switches EX, você pode especificar uma faixa de endereço IP.
  4. Especifique uma senha RADIUS. Você precisará disso mais tarde ao configurar os switches EX.

Crie perfis de autorização

Os perfis de autorização permitem que você aplique diferentes atributos aos usuários ou endpoints. Você pode alterar a VLAN pelo nome ou pelo VLAN ID. Você também pode atribuir um filtro de firewall que já configurou no switch. Neste exemplo, criamos quatro perfis de autorização:

  • Juniper_VoIP_VLAN_500

  • Juniper_VoIP_VLAN_100

  • Juniper_VoIP_VLAN_100_ACL

  • Juniper_VoIP_VLAN_100_dACL

O primeiro perfil define o VLAN VoIP para 500 usando o atributo Juniper-VoIP-VLAN.

  1. No Cisco ISE, escolha os resultados de > de políticas e, em seguida, do painel esquerdo, escolha perfis de autorização > autorização.
  2. Nomeie o perfil Juniper_VoIP_VLAN_500.
  3. Definir o ID/Nome da VLAN para 500.
  4. Clique em Adicionar.

O segundo perfil de autorização define o Data VLAN para 100 usando o atributo RADIUS padrão para ID VLAN.

  1. No Cisco ISE, escolha os resultados de > de políticas e, em seguida, do painel esquerdo, escolha perfis de autorização > autorização.

  2. Nomeie o perfil Juniper_VoIP_VLAN_100.

  3. Definir o ID/Nome da VLAN para 100.

  4. Clique em Adicionar.

O terceiro perfil define o Data VLAN para 100 e aplica um filtro de firewall local/ACL ao suplicante. Este filtro de firewall/ACL já deve estar configurado no switch. O filtro de firewall/ACL é aplicado usando o atributo padrão de raio de ID de filtro. Digite o nome do filtro local configurado no switch.

  1. No Cisco ISE, escolha os resultados de > de políticas e, em seguida, do painel esquerdo, escolha perfis de autorização > autorização.

  2. Nomeie o perfil Juniper_VoIP_VLAN_100_ACL.

  3. Em tarefas comuns, definir ACL (Filter-ID) para negar tudo.

  4. Definir o ID/Nome da VLAN para 100.

  5. Clique em Adicionar.

O quarto perfil de autorização define o Data VLAN para 100 e aplica um filtro de firewall/ACL dinâmico/baixado ao suplicante. Este filtro de firewall/ACL é criado dinamicamente para que você não precise configurá-lo localmente no switch. Este perfil de autorização usa o atributo Juniper-Switching-Filter.

Nota:

A sintaxe e os conjuntos de recursos diferem dos filtros/ACLs de firewall Junos regulares. Várias entradas são separadas por vírgulas. Veja as condições e ações do vsa match com filtro de comutação da Juniper para obter informações sobre a sintaxe.

Criar grupos de identidade de endpoint

Endpoints, como telefones IP, podem ser agrupados em grupos de identidade de endpoint para facilitar a aplicação de atributos comuns, por exemplo, VoIP VLAN.

  1. No Cisco ISE, escolha grupos de > administração > grupos de identidade de endpoint.
  2. Clique em Adicionar.
  3. Digite um nome e descrição no Endpoint Identity Group.
  4. Clique em Enviar.

Adicionar endpoints

O Ip Phone da Polycom nesta configuração não está configurado para autenticação dot1x. Em vez disso, contamos com MAC RADIUS e MAC Authentication Bypass (MAB).

  1. No Cisco ISE, escolha a visibilidade de contexto > endpoints.
  2. Clique em +.
  3. Adicione o endereço MAC do IP Phone e atribua-o a um grupo de políticas.
  4. Clique em Salvar.

Criar grupos de identidade de usuário

Os grupos de identidade do usuário permitem que você aplique atributos específicos aos usuários que são membros do grupo. Neste exemplo, criamos três novos grupos de identidade de usuário:

  • VLAN_100_User_ID_Group

  • VLAN_100_ACL_User_ID_Group

  • VLAN_100_dACL_User_ID_Group

  1. No Cisco ISE, escolha a administração > grupos > grupos de identidade do usuário.
  2. Clique em Adicionar.
  3. Insira um nome para o Grupo de Identidade do Usuário e clique em Enviar.

Adicionar usuários

Neste exemplo, criamos três usuários locais chamados user1, user2 e user3. Cada usuário é atribuído a um grupo de identidade de usuário diferente.

  1. No Cisco ISE, escolha o Gerenciamento de entidades > Administração.
  2. Clique em Adicionar.
  3. Digite um nome e senha de login.
  4. Na lista de quedas de grupos de usuários, escolha o Grupo de identidade do usuário que você deseja atribuir ao novo usuário.

    Neste exemplo, atribuímos os novos usuários a esses grupos de identidade de usuário:

    • usuário1 a VLAN_100_User_ID_Group

    • usuário2 a VLAN_100_ACL_User_ID_Group

    • usuário3 a VLAN_100_dACL_User_ID_Group

Apresentamos aqui uma visão geral dos três usuários que acabamos de criar:

Definir políticas de autenticação

A política de autenticação contém três entradas por padrão.

As regras de MAB e dot1x predefinidas têm condições que estão vinculadas ao perfil do dispositivo de rede. Quando as solicitações vêm de um dispositivo da Juniper, o switch usa automaticamente os atributos configurados no perfil do dispositivo de rede da Juniper para autenticar uma solicitação MAB e ponto1x. A política de autenticação chamada Default contém uma política de acesso de rede padrão para protocolos permitidos. Essa política de acesso à rede é compatível com os switches EX da Juniper.

Neste exemplo, usamos a política de autenticação padrão.

  1. Escolha os conjuntos de políticas > políticas.
  2. Clique em > à extrema direita do conjunto de políticas padrão e escolha o acesso padrão da rede na caixa de quedas.

Perfil de acesso à rede padrão cisco ISE

Aqui está a configuração ISE da Cisco para o perfil padrão de acesso à rede para switches EX da Juniper.

Definir políticas de autorização

A ordem das políticas de autorização é importante e pode variar dependendo da sua configuração. Certifique-se de não ter regras mais gerais acima das regras que você está prestes a criar, caso contrário, elas não corresponderão.

Neste exemplo, criamos quatro novas regras, cada uma com três condições:

  • VLAN 500 para telefones IP Polycom conectados aos switches EX da Juniper

  • VLAN 100 para usuários dot1x conectados aos switches EX da Juniper

  • VLAN 100 com ACL para usuários dot1x conectados aos switches EX da Juniper

  • VLAN 100 com dACL para usuários dot1x conectados aos switches EX da Juniper

  1. Expanda a política de autorização e clique no botão + no canto superior esquerdo da tela.
  2. Insira um nome para a regra, por exemplo VLAN 500 for Polycom IP Phones connected to Juniper EX Switches.
  3. Clique em condições para abrir o Condition Studio.
  4. Arraste e solte da biblioteca do lado esquerdo para o editor do lado direito. Crie os diferentes atributos que deseja combinar.
  5. Quando terminar, não clique em Salvar. Em vez disso, clique no botão USE no canto inferior direito.

Aqui está um exemplo do Conditions Studio:

Vamos analisar essas quatro novas regras. Cada regra tem três condições. As duas primeiras condições são as mesmas, mas a terceira condição corresponde a um atributo diferente. Uma regra só é aplicada a uma porta quando todas as três condições forem atendidas.

Regra

Se o endpoint

Em seguida, o switch atribui a porta/suplicante a

VLAN 500 para telefones IP Polycom conectados aos switches EX da Juniper

Aprova a autenticação de acesso à rede E a solicitação vem de um switch EX da Juniper E o endpoint está no grupo Polycom-IP-Phone

Voz VLAN 500

VLAN 100 para usuários dot1x conectados aos switches EX da Juniper

Aprova a autenticação de acesso à rede E a solicitação vem de um switch EX da Juniper E o endpoint está no VLAN_100_User_ID_Group

VLAN 100 de dados

VLAN 100 com ACL para usuários dot1x conectados aos switches EX da Juniper

Aprova a autenticação de acesso à rede E a solicitação vem de um switch EX da Juniper E o endpoint está no VLAN_100_ACL_User_ID_Group

Data VLAN 100 e ACL

VLAN 100 com dACL para usuários dot1x conectados aos switches EX da Juniper

Aprova a autenticação de acesso à rede E a solicitação vem de um switch EX da Juniper e o endpoint está no VLAN_100_dACL_User_ID_Group

Data VLAN 100 e uma ACL dinâmica/baixada

Configure uma política ISE da Cisco para permitir o acesso aos convidados

Para casos de uso de acesso a convidados envolvendo o portal convidado Cisco ISE, os switches EX da Juniper oferecem suporte ao Juniper-CWA-Redirect-URL VSA, juntamente com uma JNPR_RSVD_FILTER_CWA especial de Id de filtro para redirecionar clientes convidados desconhecidos para o portal Cisco ISE. O diagrama a seguir descreve o fluxo de acesso dos convidados com o Cisco ISE:

Aqui está a configuração do switch EX da Juniper para este cenário:

Veja como configurar uma política ISE da Cisco para permitir o acesso aos convidados:

  1. No Cisco ISE, escolha Conjuntos de políticas > acesso com fio.
  2. Verifique se a política de autenticação de MAB cabeada está definida para endpoints internos para a loja de dados e continue para se o usuário não for encontrado e se o processo falhar.
  3. Crie duas políticas de autorização. Se o cliente (MAC) já estiver registrado no GuestEndpoints Identity Group, o Cisco ISE enviará uma mensagem de "Acesso de permissão". Caso contrário, a Cisco ISE enviará um atributo de redirecionamento de CWA para levar o cliente ao portal de convidados Cisco ISE.

    Aqui está um exemplo da configuração do perfil de autorização para o Guest Redirect Wired.

    Nota:

    Você precisará configurar um endereço IP estático em vez do FQDN para que o filtro CWA funcione. Como alternativa, você pode usar um filtro de comutação da Juniper com uma URL de redirecionamento baseada em FQDN.
  4. Verifique a configuração no CLI do switch EX:

    Assim que o cliente autenticar com o Cisco ISE, o Cisco ISE envia um CoA. Após a re-autenticação, a saída CLI para o switch EX mostra uma autenticação MAC bem sucedida:

Configure uma porta incolor usando atributos IETF Egresso-VLAN-ID

Com o Junos 20.4 ou superior, você pode configurar automaticamente as portas do switch em portas de acesso/tronco e atribuir várias VLANs com base na resposta RADIUS (Cisco ISE). Por exemplo, você pode ter uma configuração de porta comum no switch e depois reconfigurá-lo automaticamente com base na identidade de um dispositivo de conexão, como um MIST AP, uma impressora ou um laptop corporativo.

Aqui está um exemplo de uma porta-tronco configurada para o Mist AP com uma VLAN nativa não registrada para gerenciamento:

Por padrão, a porta é configurada como uma porta de acesso com 802.1X e MAC-Radius habilitados.

Veja como criar uma nova política de profiler no Cisco ISE para auto-perfilar Os APs da Mist com base no Mist MAC-OUI. A política do profiler enviará a configuração completa da porta do switch (tronco, com vlan 51 nativo e todas as outras etiquetas VLAN necessárias).

  1. Escolha políticas > perfilamento > políticas de perfil > criar novas.
  2. Crie duas regras usando Radius_Calling_Station_ID_STARTSWITH 5c-5b-35 ou d2-20-b0 para especificar as OUIs Mist MAC atuais.
  3. Reserve sua política de profiler.
  4. Navegue até sua política de profiler e adicione outra regra de autorização:

    O perfil de autorização é assim:

Como conseguimos todos os números acima? Usamos a seguinte fórmula:

  1. Crie valores hex para cada VLAN que você deseja promover o acesso aceito. O formato hex é 0x31000005. Os sete primeiros caracteres podem ser 0x31000 (marcados) ou 0x32000 (não registrados). Os últimos três caracteres são o ID VLAN real convertido em hex. Você pode usar um conversor decimal para hexadimamal para descobrir o valor hexadecimal. Por exemplo, para enviar VLAN 51 sem registro, o valor é 0x32000033.

  2. Assim que você inserir esse valor hex, converta todo o valor de volta em decimais. Você pode usar este Hexidecimal para converter decimais para descobrir o valor decimais.

    Neste exemplo, se você converter 0x32000033 para decimais, o valor será 52428851.

  3. Configure o perfil de autorização cisco ISE usando o valor decimais.

  4. Conecte um AP da Mist e verifique a saída:

Configure o protocolo 802.1X no switch EX

Configure o Windows 10

  1. Pressione a chave do Windows em seu teclado e pesquise por serviços.msc.
  2. Clique no clique certo para habilitar o serviço de autoconfiamento com fio.
  3. Escolha o painel de controle > a rede e a central de compartilhamento > mudar as configurações do adaptador.
  4. Clique com o clique certo no adaptador usado para sua conexão com fio e selecione Propriedades.
  5. Clique na guia autenticação , selecione o Microsoft Protected EAP e clique em Configurações.
  6. Libere a caixa de verificação para verificar o certificado de identidade do servidor.
    CUIDADO:

    Isso é apenas para fins de teste. Nunca desabilitar isso na produção. Provisione sempre seus clientes com certificações de CA confiáveis. Em um ambiente de produção, você deve instalar o certificado CISCO ISE. Consulte o guia de administrador de mecanismos de serviços de identidade da Cisco, versão 2.4.

    Clique em OK.

  7. Você é devolvido à janela Ethernet Properties. Clique em Configurações adicionais.
  8. Selecione a autenticação do usuário e clique em Salvar credenciais.
  9. Digite o nome de usuário e a senha, por exemplo, usuário1, user2 ou user3.
  10. Clique em OK.

Teste e validação

Verificar o status de autenticação de telefone IP

  1. Depois de conectar o telefone IP à porta ge-0/0/0, execute o show dot1x interface ge-0/0/0 comando para verificar se ele é autenticado usando MAC Authentication Bypass.
  2. Execute o show dot1x interface ge-0/0/0 detail comando para visualizar a saída detalhada e verificar se você está usando o MAC Radius para autenticar o IP Phone.
  3. Execute o show ethernet-switching interface ge-0/0/0 comando para verificar se o Cisco ISE aplicou o Voice VLAN 500 como uma VLAN com tags na porta ge-0/0/0.
  4. Execute o show lldp neighbors interface ge-0/0/0 comando para visualizar a saída LLDP e verificar se o telefone IP está usando o VLAN 500 com tags para voz.
  5. Verifique o status de autenticação no Cisco ISE. Escolha as operações > logs ao vivo.
  6. Escolha as operações > sessões ao vivo.

Verificar conexões com clientes Windows 10

Verificar usuário 1

  1. Insira as credenciais do ponto1x no Windows para o usuário1 e conecte o PC ao IP Phone. Verifique se o usuário1 é autenticado:
  2. Verifique se o Cisco ISE aplicou dados VLAN 100 para porta ge-0/0/0:
  3. Veja os logs ISE da Cisco. Escolha operações > logs ao vivo.
  4. Escolha operações > sessões ao vivo

Verifique o usuário 2

  1. Altere as credenciais do Windows para o usuário2.
  2. Verifique se o usuário2 é autenticado.
  3. Verifique se o Cisco ISE aplicou dados VLAN 100 e também aplicou o filtro de firewall/ACL configurado localmente chamado deny_all.
  4. Veja os logs ISE da Cisco. Escolha as operações > logs ao vivo. Observe a política de autorização diferente aplicada para o usuário2, Data VLAN 100 + ACL deny_all.
  5. Escolha as operações > sessões ao vivo.

Verificar usuário 3

  1. Altere as credenciais do Windows para o usuário3.
  2. Verifique se o usuário3 é autenticado.
  3. Verifique se o Cisco ISE aplicou dados VLAN 100 e também aplicou um filtro de firewall/ACL dinâmico/baixado ao suplicante.
  4. Verifique se o filtro de firewall está ativo para o suplicante. Os termos devem estar nesta ordem:

    • t0 é o primeiro termo

    • t1 é o segundo termo

    • Termo T sem nome t é o último termo para permitir que todo o tráfego

  5. Veja os logs ISE da Cisco. Escolha operações > logs ao vivo. Observe a política de autorização diferente aplicada para o usuário3, Data VLAN 100 + dACL.
  6. Escolha as operações > sessões ao vivo.
  7. Verifique se o usuário3 é autenticado.
  8. Veja o log CISCO ISE. Escolha as operações > sessões ao vivo > Mostrar ações de CoA > terminação da sessão para o usuário3.
  9. Clique em Mostrar ações de CoA e terminação da sessão.
  10. Verifique se a sessão do usuário3 foi terminada.

Verifique a desconexão da sessão da CoA com o salto da porta

  1. Verifique se o telefone IP é autenticado. (0004f228b69d1)
  2. Veja o log CISCO ISE. Escolha as operações > sessões ao vivo > mostrar ações de CoA > terminação de sessão para TELEFONE IP.
  3. Clique em Mostrar ações de CoA e escolha a rescisão da sessão com o salto da porta.
  4. Execute o comando show dot1x interface e observe que todas as sessões estão terminadas porque a porta foi saltada.