Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

将思科 ISE 和瞻博网络 EX 交换机配置为基于 802.1X 的身份验证

关于此网络配置示例

此网络配置示例 (NCE) 向您展示如何配置思科身份服务引擎 2.X (Cisco ISE) 和瞻博网络 EX 交换机以进行基于 IEEE 802.1X 的身份验证。

概述

思科 ISE 2.X 附带了许多预导入的网络设备配置文件,但瞻博网络没有随附配置文件。网络设备配置文件指定如何处理 MAC 半径、dot1x 身份验证、VLAN 和 ACL 分配以及 CoA 功能。

思科 ISE 允许您以 XML 格式导入网络设备配置文件,从而实现与任何 IEEE 802.1X 标准网络设备的集成。此示例说明如何导入瞻博网络设备配置文件,并配置设置以允许使用思科 ISE 和瞻博网络 EX 交换机进行基于 IEEE 802.1X 的身份验证。

拓扑

在此示例中,我们使用以下网络拓扑 图 1

图 1:示例拓扑 Example Topology

以下是有关此示例中使用的硬件和软件组件的更多详细信息:

装置

软件版本

作用

瞻博网络 EX2300-C-12P

Junos 18.2R1-S1

交换机和身份验证器

思科 ISE

2.4.0.357 补丁2-18080100

RADIUS 服务器

Polycom VVX 310 IP 电话

SIP/5.5.1.11526/22-11月-16 15:05

请求方(MAC 半径)

Windows 10 专业版

截至 2018-08-22 的所有推荐补丁

请求方 (Dot1x)

网络打印机

不适用

请求方(MAC 半径)

瞻博网络 Mist AP43

0.6.18981

请求方(MAC 半径)

所有用户和终端都存储在内部思科 ISE 数据库中。

对于外部用户数据库集成,例如 Microsoft Active Directory、LDAP 和基于证书的身份验证,请参阅 思科身份服务引擎管理员指南 2.4 版

分步过程

导入瞻博网络有线设备配置文件

假设您的网络已启动并运行思科 ISE,您需要做的第一件事就是添加瞻博网络 EX 交换机设备配置文件。

  1. 下载 适用于思科 ISE 的最新瞻博网络 EX 交换机设备配置文件 (通过思科 ISE 2.7 验证)。
  2. 在思科 ISE 中,选择管理>网络 资源>网络设备配置文件
  3. 单击 导入 并选择您在步骤 1 中下载的瞻博网络 EX 交换机设备配置文件。导入瞻博网络设备配置文件后,它将作为Juniper_Wired列在思科 ISE 网络设备配置文件列表中。

将 EX 交换机添加到瞻博网络设备配置文件

您可以单独添加 EX 交换机,也可以添加为 IP 地址范围。

  1. 在思科 ISE 中,选择管理>网络 资源>网络设备
  2. 在“网络设备”屏幕中,选择Juniper_Wired设备配置文件。
  3. 为您的 EX 交换机指定名称和 IP 地址。如果要添加多个 EX 交换机,可以指定 IP 地址范围。
  4. 指定 RADIUS 密码。稍后配置 EX 交换机时需要用到此信息。

创建授权配置文件

授权配置文件允许您将不同的属性应用于用户或端点。您可以按名称或 VLAN ID 更改 VLAN。您还可以分配已在交换机上配置的防火墙过滤器。在此示例中,我们创建四个授权配置文件:

  • Juniper_VoIP_VLAN_500

  • Juniper_VoIP_VLAN_100

  • Juniper_VoIP_VLAN_100_ACL

  • Juniper_VoIP_VLAN_100_dACL

第一个配置文件使用 Juniper-VoIP-VLAN 属性将 VoIP VLAN 设置为 500。

  1. 在思科 ISE 中,选择 策略>结果,然后从左侧窗格中选择授权 >授权配置文件
  2. 将配置文件 Juniper_VoIP_VLAN_500命名为 。
  3. 将 VLAN ID/名称设置为 500
  4. 单击 “添加”。

第二个授权配置文件使用 VLAN ID 的标准 RADIUS 属性将数据 VLAN 设置为 100。

  1. 在思科 ISE 中,选择 策略>结果,然后从左侧窗格中选择授权 >授权配置文件

  2. 将配置文件 Juniper_VoIP_VLAN_100命名为 。

  3. 将 VLAN ID/名称设置为 100

  4. 单击 “添加”。

第三个配置文件将数据 VLAN 设置为 100,并向请求方应用本地防火墙过滤器/ACL。必须在交换机上配置此防火墙过滤器/ACL。防火墙过滤器/ACL 使用标准过滤器 ID 半径属性应用。输入交换机上配置的本地过滤器的名称。

  1. 在思科 ISE 中,选择 策略>结果,然后从左侧窗格中选择授权 >授权配置文件

  2. 将配置文件 Juniper_VoIP_VLAN_100_ACL命名为 。

  3. 在“常见任务”下,将“ACL(筛选器 ID)”设置为 “全部拒绝”。

  4. 将 VLAN ID/名称设置为 100

  5. 单击 “添加”。

第四个授权配置文件将数据 VLAN 设置为 100,并向请求方应用动态/可下载的防火墙过滤器/ACL。此防火墙过滤器/ACL 是动态创建的,因此您无需在交换机上进行本地配置。此授权配置文件使用瞻博网络交换过滤器属性。

注意:

语法和功能集不同于常规 Junos 防火墙过滤器/ACL。多个条目用逗号分隔。有关语法的信息,请参阅 瞻博网络交换过滤器 VSA 匹配条件和操作

创建终端身份组

IP 电话等端点可以在端点身份组中组合在一起,以便更轻松地应用通用属性,例如 VoIP VLAN。

  1. 在思科 ISE 中,选择管理>组 >终端身份组
  2. 单击 “添加”。
  3. 终端身份组下输入名称和描述。
  4. 单击 提交

添加终端节点

此设置中的 Polycom IP 电话未配置 dot1x 身份验证。相反,我们依靠 MAC RADIUS 和 MAC 身份验证旁路 (MAB)。

  1. 在思科 ISE 中,选择 端点>上下文可见性
  2. 单击 +
  3. 添加 IP 电话的 MAC 地址并为其分配策略组。
  4. 单击 保存

创建用户身份组

用户身份组允许您将特定属性应用于属于组成员的用户。在此示例中,我们创建了三个新的用户身份组:

  • VLAN_100_User_ID_Group

  • VLAN_100_ACL_User_ID_Group

  • VLAN_100_dACL_User_ID_Group

  1. 在思科 ISE 中,选择管理>组 >用户身份组
  2. 单击 “添加”。
  3. 输入用户身份组的名称,然后单击 提交

添加用户

在此示例中,我们创建了三个本地用户,分别名为 user1、user2 和 user3。每个用户被分配到不同的用户身份组。

  1. 在思科 ISE 中,选择管理 >身份管理
  2. 单击 “添加”。
  3. 输入名称和登录密码。
  4. 从用户组下拉列表中,选择要分配给新用户的用户身份组。

    在此示例中,我们将新用户分配给以下用户身份组:

    • 用户 1 到VLAN_100_User_ID_Group

    • 用户 2 到 VLAN_100_ACL_User_ID_Group

    • 用户 3 到 VLAN_100_dACL_User_ID_Group

以下是我们刚刚创建的三个用户的概述:

设置身份验证策略

默认情况下,身份验证策略包含三个条目。

预定义的 MAB 和 dot1x 规则具有与网络设备配置文件关联的条件。当请求来自瞻博网络设备时,交换机会自动使用瞻博网络设备配置文件中配置的属性对 MAB 和 dot1x 请求进行身份验证。名为“默认”的身份验证策略包含允许的协议的默认网络访问策略。此网络访问策略与瞻博网络 EX 交换机兼容。

在此示例中,我们使用默认身份验证策略。

  1. 选择 策略>策略集
  2. 单击默认策略集最右侧的 > ,然后从下拉框中选择 默认网络访问

思科 ISE 默认网络访问配置文件

以下是瞻博网络 EX 交换机默认网络访问配置文件的思科 ISE 配置。

设置授权策略

授权策略的顺序很重要,可能因设置而异。请确保在要创建的规则之上没有更常规的规则,否则它们将不匹配。

在此示例中,我们创建了四个新规则,每个规则有三个条件:

  • VLAN 500,适用于连接到瞻博网络 EX 交换机的 Polycom IP 电话

  • VLAN 100,适用于连接到瞻博网络 EX 交换机的 dot1x 用户

  • 带 ACL 的 VLAN 100,适用于连接到瞻博网络 EX 交换机的 dot1x 用户

  • 带有 dACL 的 VLAN 100,适用于连接到瞻博网络 EX 交换机的 dot1x 用户

  1. 展开 授权策略 ,然后单击屏幕左上角的 + 按钮。
  2. 输入规则的名称,例如 VLAN 500 for Polycom IP Phones connected to Juniper EX Switches
  3. 单击 条件 以打开条件工作室。
  4. 从左侧的库拖放到右侧的编辑器。构建要匹配的不同属性。
  5. 完成后,不要单击“ 保存”。相反,请单击右下角的 “使用” 按钮。

下面是条件工作室的示例:

我们来分析一下这四条新规则。每个规则都有三个条件。前两个条件相同,但第三个条件在不同的属性上匹配。仅当满足所有三个条件时,才会将规则应用于端口。

规则

如果端点

然后交换机将端口/请求方分配给

VLAN 500,适用于连接到瞻博网络 EX 交换机的 Polycom IP 电话

通过网络访问身份验证,并且请求来自瞻博网络 EX 交换机,并且终端位于 Polycom-IP-Phone 组中

语音 VLAN 500

VLAN 100,适用于连接到瞻博网络 EX 交换机的 dot1x 用户

通过网络访问身份验证,并且请求来自瞻博网络 EX 交换机,并且端点位于VLAN_100_User_ID_Group

数据 VLAN 100

带 ACL 的 VLAN 100,适用于连接到瞻博网络 EX 交换机的 dot1x 用户

通过网络访问身份验证,并且请求来自瞻博网络 EX 交换机,并且端点位于VLAN_100_ACL_User_ID_Group

数据 VLAN 100 和 ACL

带有 dACL 的 VLAN 100,适用于连接到瞻博网络 EX 交换机的 dot1x 用户

通过网络访问身份验证,并且请求来自瞻博网络 EX 交换机,并且端点位于VLAN_100_dACL_User_ID_Group

数据 VLAN 100 和动态/可下载 ACL

配置思科 ISE 策略以启用访客访问

对于涉及思科 ISE 访客门户的访客访问用例,瞻博网络 EX 交换机支持瞻博网络 CWA-重定向网址 VSA 以及用于将未知访客客户端重定向到思科 ISE 门户的特殊过滤器 ID JNPR_RSVD_FILTER_CWA。下图概述了思科 ISE 的访客接入流程:

以下是此场景的瞻博网络 EX 交换机配置:

以下是配置思科 ISE 策略以启用访客访问的方法:

  1. 在思科 ISE 中,选择 有线接入>策略集
  2. 验证是否将“有线 MAB 身份验证策略”设置为数据存储的“内部终结点”,并为“如果未找到用户”和“如果进程失败”设置为继续”。
  3. 创建两个授权策略。如果客户端 (MAC) 已在访客终端身份组中注册,思科 ISE 将发送“允许访问”消息。否则,思科 ISE 将发送 CWA 重定向属性,以将客户端移动到思科 ISE 访客门户。

    下面是访客重定向有线授权配置文件配置的示例。

    注意:

    需要配置静态 IP 地址而不是 FQDN,CWA 筛选器才能正常工作。或者,您可以将瞻博网络交换过滤器与基于 FQDN 的重定向 URL 配合使用。

  4. 验证 EX 交换机 CLI 中的配置:

    客户端向思科 ISE 进行身份验证后,思科 ISE 会发送 CoA。重新进行身份验证后,EX 交换机的 CLI 输出显示成功的 MAC 身份验证:

使用 IETF 出口 VLAN-ID 属性配置无色端口

借助 Junos 20.4 及更高版本,您可以将交换机端口自动配置为接入/中继端口,并根据 RADIUS (Cisco ISE) 响应分配多个 VLAN。例如,您可以在交换机上设置通用端口配置,然后根据连接设备(如 Mist AP、打印机或公司笔记本电脑)的身份自动重新配置。

以下是为 Mist 接入点配置的中继端口示例,其中包含用于管理的未标记本机 VLAN:

默认情况下,该端口配置为启用了 802.1X 和 MAC-Radius 的接入端口。

下面介绍如何在思科 ISE 中创建新的探查器策略,以基于 Mist MAC-OUI 自动剖析 Mist 接入点。探查器策略将发送完整的交换机端口配置(中继、带本机 VLAN 51 和标记的所有其他必需 VLAN)。

  1. 选择 策略>分析>分析策略>新建。
  2. 使用 Radius_Calling_Station_ID_STARTSWITH 5c-5b-35 或 d2-20-b0 创建两个规则,以指定当前的 Mist MAC OUI。
  3. 保存探查器策略。
  4. 导航到探查器策略并添加另一个授权规则:

    授权配置文件如下所示:

我们是如何得到上述所有数字的?我们使用以下公式:

  1. 为要推送接入接受的每个 VLAN 创建十六进制值。十六进制格式为 0x31000005。前七个字符可以是0x31000(标记)或0x32000(未标记)。最后三个字符是转换为十六进制的实际 VLAN ID。您可以使用十进制到十六进制 转换器来确定十六进制 值。例如,要发送未标记的 VLAN 51,则该值为 0x32000033。

  2. 输入此十六进制值后,将整个值转换回十进制。您可以使用此十六进制 到十进制转换器来确定十进制 值。

    在此示例中,如果将0x32000033转换为十进制,则该值为 52428851。

  3. 使用十进制值配置思科 ISE 授权配置文件。

  4. 插入 Mist 接入点并验证输出:

在 EX 交换机上配置 802.1X 协议

配置 Windows 10

  1. 按键盘上的 Windows 键并搜索 services.msc。
  2. 右键单击以启用有线自动配置服务。
  3. 选择“ 控制面板”>“网络和共享中心”>更改适配器设置
  4. 右键单击用于有线连接的适配器,然后选择 属性
  5. 单击“ 身份验证 ”选项卡,选择“ Microsoft 保护的 EAP”,然后单击 “设置”。
  6. 清除该复选框以验证服务器身份证书。
    谨慎:

    这仅用于测试目的。切勿在生产中禁用此功能。始终为客户端配置受信任的 CA 认证。在生产环境中,应安装思科 ISE 证书。请参阅 《思科身份服务引擎管理员指南》2.4版

    单击“确定”。

  7. 您将返回到以太网属性窗口。单击 其他设置
  8. 选择 用户身份验证 ,然后单击 保存凭据
  9. 输入用户名和密码,例如用户 1、用户 2 或用户 3。
  10. 单击“确定”。

测试和验证

验证 IP 电话身份验证状态

  1. 将 IP 电话连接到端口 ge-0/0/0 后,运行命令以 show dot1x interface ge-0/0/0 验证它是否使用 MAC 身份验证绕过进行身份验证。
  2. show dot1x interface ge-0/0/0 detail运行命令以查看详细输出,并验证您是否正在使用 MAC Radius 对 IP 电话进行身份验证。
  3. 运行命令以 show ethernet-switching interface ge-0/0/0 验证思科 ISE 是否已将语音 VLAN 500 应用为端口 ge-0/0/0 上的标记 VLAN。
  4. show lldp neighbors interface ge-0/0/0运行命令以查看 LLDP 输出,并验证 IP 电话是否正在使用标记的 VLAN 500 进行语音。
  5. 验证思科 ISE 中的身份验证状态。选择 操作>实时日志
  6. 选择 实时会话>操作。

验证与 Windows 10 客户端的连接

验证用户 1

  1. 在 Windows 中输入用户 1 的 dot1x 凭据,并将 PC 连接到 IP 电话。验证用户 1 是否已通过身份验证:
  2. 验证思科 ISE 是否已将数据 VLAN 100 应用于端口 ge-0/0/0:
  3. 查看思科 ISE 日志。选择 操作>实时日志
  4. 选择 实时会话>操作

验证用户 2

  1. 将 Windows 中的凭据更改为用户 2。
  2. 验证用户 2 是否已通过身份验证。
  3. 验证思科 ISE 是否已应用数据 VLAN 100,并且还应用了名为 deny_all 的本地配置的防火墙过滤器/ACL。
  4. 查看思科 ISE 日志。选择 操作 ->实时日志。请注意应用于用户 2、数据 VLAN 100 + ACL deny_all的不同授权策略。
  5. 选择 实时会话>操作。

验证用户 3

  1. 将 Windows 中的凭据更改为用户 3。
  2. 验证用户 3 是否已通过身份验证。
  3. 验证思科 ISE 是否已应用数据 VLAN 100,并且还向请求方应用了动态/可下载的防火墙过滤器/ACL。
  4. 验证请求方的防火墙过滤器是否处于活动状态。条款应按以下顺序排列:
    • t0 是第一个项

    • T1 是第二项

    • 不带 T 名称的 T 项是允许所有流量的最后一个项

  5. 查看思科 ISE 日志。选择 操作>实时日志。请注意应用于用户 3、数据 VLAN 100 + dACL 的不同授权策略。
  6. 选择“操作”>“实时会话”。
  7. 验证用户 3 是否已通过身份验证。
  8. 查看思科 ISE 日志。选择 实时会话的操作>>显示 coA 操作>用户 3 的会话终止
  9. 单击 显示 CoA 操作和会话终止
  10. 验证 user3 会话是否已终止。

验证 CoA 会话是否通过端口退回断开连接

  1. 验证 IP 电话是否已通过身份验证。(0004f228b69d1)
  2. 查看思科 ISE 日志。选择 实时会话>操作>显示 CoA 操作> IP 电话的会话终止
  3. 单击 显示 CoA 操作 ,然后选择 端口退回的会话终止
  4. 运行命令 show dot1x interface 并注意所有会话现在都已终止,因为端口已退回。