将思科 ISE 和瞻博网络 EX 交换机配置为基于 802.1X 的身份验证
关于此网络配置示例
此网络配置示例 (NCE) 向您展示如何配置思科身份服务引擎 2.X (Cisco ISE) 和瞻博网络 EX 交换机以进行基于 IEEE 802.1X 的身份验证。
概述
思科 ISE 2.X 附带了许多预导入的网络设备配置文件,但瞻博网络没有随附配置文件。网络设备配置文件指定如何处理 MAC 半径、dot1x 身份验证、VLAN 和 ACL 分配以及 CoA 功能。
思科 ISE 允许您以 XML 格式导入网络设备配置文件,从而实现与任何 IEEE 802.1X 标准网络设备的集成。此示例说明如何导入瞻博网络设备配置文件,并配置设置以允许使用思科 ISE 和瞻博网络 EX 交换机进行基于 IEEE 802.1X 的身份验证。
拓扑
在此示例中,我们使用以下网络拓扑 图 1:
以下是有关此示例中使用的硬件和软件组件的更多详细信息:
装置 |
软件版本 |
作用 |
---|---|---|
瞻博网络 EX2300-C-12P |
Junos 18.2R1-S1 |
交换机和身份验证器 |
思科 ISE |
2.4.0.357 补丁2-18080100 |
RADIUS 服务器 |
Polycom VVX 310 IP 电话 |
SIP/5.5.1.11526/22-11月-16 15:05 |
请求方(MAC 半径) |
Windows 10 专业版 |
截至 2018-08-22 的所有推荐补丁 |
请求方 (Dot1x) |
网络打印机 |
不适用 |
请求方(MAC 半径) |
瞻博网络 Mist AP43 |
0.6.18981 |
请求方(MAC 半径) |
所有用户和终端都存储在内部思科 ISE 数据库中。
对于外部用户数据库集成,例如 Microsoft Active Directory、LDAP 和基于证书的身份验证,请参阅 思科身份服务引擎管理员指南 2.4 版。
分步过程
- 导入瞻博网络有线设备配置文件
- 将 EX 交换机添加到瞻博网络设备配置文件
- 创建授权配置文件
- 创建终端身份组
- 添加终端节点
- 创建用户身份组
- 添加用户
- 设置身份验证策略
- 设置授权策略
- 配置思科 ISE 策略以启用访客访问
- 使用 IETF 出口 VLAN-ID 属性配置无色端口
- 在 EX 交换机上配置 802.1X 协议
- 配置 Windows 10
导入瞻博网络有线设备配置文件
假设您的网络已启动并运行思科 ISE,您需要做的第一件事就是添加瞻博网络 EX 交换机设备配置文件。
将 EX 交换机添加到瞻博网络设备配置文件
您可以单独添加 EX 交换机,也可以添加为 IP 地址范围。
创建授权配置文件
授权配置文件允许您将不同的属性应用于用户或端点。您可以按名称或 VLAN ID 更改 VLAN。您还可以分配已在交换机上配置的防火墙过滤器。在此示例中,我们创建四个授权配置文件:
Juniper_VoIP_VLAN_500
Juniper_VoIP_VLAN_100
Juniper_VoIP_VLAN_100_ACL
Juniper_VoIP_VLAN_100_dACL
第一个配置文件使用 Juniper-VoIP-VLAN 属性将 VoIP VLAN 设置为 500。
第二个授权配置文件使用 VLAN ID 的标准 RADIUS 属性将数据 VLAN 设置为 100。
在思科 ISE 中,选择 策略>结果,然后从左侧窗格中选择授权 >授权配置文件。
将配置文件 Juniper_VoIP_VLAN_100命名为 。
将 VLAN ID/名称设置为 100。
单击 “添加”。
第三个配置文件将数据 VLAN 设置为 100,并向请求方应用本地防火墙过滤器/ACL。必须在交换机上配置此防火墙过滤器/ACL。防火墙过滤器/ACL 使用标准过滤器 ID 半径属性应用。输入交换机上配置的本地过滤器的名称。
在思科 ISE 中,选择 策略>结果,然后从左侧窗格中选择授权 >授权配置文件。
将配置文件 Juniper_VoIP_VLAN_100_ACL命名为 。
在“常见任务”下,将“ACL(筛选器 ID)”设置为 “全部拒绝”。
将 VLAN ID/名称设置为 100。
单击 “添加”。
第四个授权配置文件将数据 VLAN 设置为 100,并向请求方应用动态/可下载的防火墙过滤器/ACL。此防火墙过滤器/ACL 是动态创建的,因此您无需在交换机上进行本地配置。此授权配置文件使用瞻博网络交换过滤器属性。
语法和功能集不同于常规 Junos 防火墙过滤器/ACL。多个条目用逗号分隔。有关语法的信息,请参阅 瞻博网络交换过滤器 VSA 匹配条件和操作 。
创建终端身份组
IP 电话等端点可以在端点身份组中组合在一起,以便更轻松地应用通用属性,例如 VoIP VLAN。
添加终端节点
此设置中的 Polycom IP 电话未配置 dot1x 身份验证。相反,我们依靠 MAC RADIUS 和 MAC 身份验证旁路 (MAB)。
创建用户身份组
用户身份组允许您将特定属性应用于属于组成员的用户。在此示例中,我们创建了三个新的用户身份组:
VLAN_100_User_ID_Group
VLAN_100_ACL_User_ID_Group
VLAN_100_dACL_User_ID_Group
添加用户
在此示例中,我们创建了三个本地用户,分别名为 user1、user2 和 user3。每个用户被分配到不同的用户身份组。
以下是我们刚刚创建的三个用户的概述:
设置身份验证策略
默认情况下,身份验证策略包含三个条目。
预定义的 MAB 和 dot1x 规则具有与网络设备配置文件关联的条件。当请求来自瞻博网络设备时,交换机会自动使用瞻博网络设备配置文件中配置的属性对 MAB 和 dot1x 请求进行身份验证。名为“默认”的身份验证策略包含允许的协议的默认网络访问策略。此网络访问策略与瞻博网络 EX 交换机兼容。
在此示例中,我们使用默认身份验证策略。
思科 ISE 默认网络访问配置文件
以下是瞻博网络 EX 交换机默认网络访问配置文件的思科 ISE 配置。
设置授权策略
授权策略的顺序很重要,可能因设置而异。请确保在要创建的规则之上没有更常规的规则,否则它们将不匹配。
在此示例中,我们创建了四个新规则,每个规则有三个条件:
VLAN 500,适用于连接到瞻博网络 EX 交换机的 Polycom IP 电话
VLAN 100,适用于连接到瞻博网络 EX 交换机的 dot1x 用户
带 ACL 的 VLAN 100,适用于连接到瞻博网络 EX 交换机的 dot1x 用户
带有 dACL 的 VLAN 100,适用于连接到瞻博网络 EX 交换机的 dot1x 用户
- 展开 授权策略 ,然后单击屏幕左上角的 + 按钮。
- 输入规则的名称,例如 VLAN 500 for Polycom IP Phones connected to Juniper EX Switches。
- 单击 条件 以打开条件工作室。
- 从左侧的库拖放到右侧的编辑器。构建要匹配的不同属性。
- 完成后,不要单击“ 保存”。相反,请单击右下角的 “使用” 按钮。
下面是条件工作室的示例:
我们来分析一下这四条新规则。每个规则都有三个条件。前两个条件相同,但第三个条件在不同的属性上匹配。仅当满足所有三个条件时,才会将规则应用于端口。
规则 |
如果端点 |
然后交换机将端口/请求方分配给 |
---|---|---|
VLAN 500,适用于连接到瞻博网络 EX 交换机的 Polycom IP 电话 |
通过网络访问身份验证,并且请求来自瞻博网络 EX 交换机,并且终端位于 Polycom-IP-Phone 组中 |
语音 VLAN 500 |
VLAN 100,适用于连接到瞻博网络 EX 交换机的 dot1x 用户 |
通过网络访问身份验证,并且请求来自瞻博网络 EX 交换机,并且端点位于VLAN_100_User_ID_Group |
数据 VLAN 100 |
带 ACL 的 VLAN 100,适用于连接到瞻博网络 EX 交换机的 dot1x 用户 |
通过网络访问身份验证,并且请求来自瞻博网络 EX 交换机,并且端点位于VLAN_100_ACL_User_ID_Group |
数据 VLAN 100 和 ACL |
带有 dACL 的 VLAN 100,适用于连接到瞻博网络 EX 交换机的 dot1x 用户 |
通过网络访问身份验证,并且请求来自瞻博网络 EX 交换机,并且端点位于VLAN_100_dACL_User_ID_Group |
数据 VLAN 100 和动态/可下载 ACL |
配置思科 ISE 策略以启用访客访问
对于涉及思科 ISE 访客门户的访客访问用例,瞻博网络 EX 交换机支持瞻博网络 CWA-重定向网址 VSA 以及用于将未知访客客户端重定向到思科 ISE 门户的特殊过滤器 ID JNPR_RSVD_FILTER_CWA。下图概述了思科 ISE 的访客接入流程:
以下是此场景的瞻博网络 EX 交换机配置:
以下是配置思科 ISE 策略以启用访客访问的方法:
使用 IETF 出口 VLAN-ID 属性配置无色端口
借助 Junos 20.4 及更高版本,您可以将交换机端口自动配置为接入/中继端口,并根据 RADIUS (Cisco ISE) 响应分配多个 VLAN。例如,您可以在交换机上设置通用端口配置,然后根据连接设备(如 Mist AP、打印机或公司笔记本电脑)的身份自动重新配置。
以下是为 Mist 接入点配置的中继端口示例,其中包含用于管理的未标记本机 VLAN:
默认情况下,该端口配置为启用了 802.1X 和 MAC-Radius 的接入端口。
下面介绍如何在思科 ISE 中创建新的探查器策略,以基于 Mist MAC-OUI 自动剖析 Mist 接入点。探查器策略将发送完整的交换机端口配置(中继、带本机 VLAN 51 和标记的所有其他必需 VLAN)。
我们是如何得到上述所有数字的?我们使用以下公式:
为要推送接入接受的每个 VLAN 创建十六进制值。十六进制格式为 0x31000005。前七个字符可以是0x31000(标记)或0x32000(未标记)。最后三个字符是转换为十六进制的实际 VLAN ID。您可以使用十进制到十六进制 转换器来确定十六进制 值。例如,要发送未标记的 VLAN 51,则该值为 0x32000033。
输入此十六进制值后,将整个值转换回十进制。您可以使用此十六进制 到十进制转换器来确定十进制 值。
在此示例中,如果将0x32000033转换为十进制,则该值为 52428851。
使用十进制值配置思科 ISE 授权配置文件。
插入 Mist 接入点并验证输出: