Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
AUF DIESER SEITE
 

Konfigurieren von Cisco ISE- und Juniper EX-Switches für 802.1X-basierte Authentifizierung

Informationen zu diesem Beispiel für eine Netzwerkkonfiguration

Dieses Netzwerkkonfigurationsbeispiel (NCE) zeigt Ihnen, wie Sie Cisco Identity Services Engine 2.X (Cisco ISE) und Juniper EX-Switches für die IEEE 802.1X-basierte Authentifizierung konfigurieren.

Übersicht

Im Lieferumfang der Cisco ISE 2.X sind viele vorimportierte Profile für Netzwerkgeräte enthalten, für Juniper jedoch keines. Netzwerkgeräteprofile geben an, wie MAC-Radius, dot1x-Authentifizierung, VLAN- und ACL-Zuweisung sowie CoA-Funktionen gehandhabt werden sollen.

Mit Cisco ISE können Sie Netzwerkgeräteprofile im XML-Format importieren und so die Integration mit jedem Netzwerkgerät nach IEEE 802.1X-Standard ermöglichen. In diesem Beispiel erfahren Sie, wie Sie das Netzwerkgeräteprofil von Juniper importieren und Einstellungen konfigurieren, um eine IEEE 802.1X-basierte Authentifizierung mit Cisco ISE- und Juniper EX-Switches zuzulassen.

Topologie

In diesem Beispiel verwenden wir die folgende Netzwerktopologie Abbildung 1:

Abbildung 1: Beispieltopologie Example Topology

Hier finden Sie weitere Details zu den in diesem Beispiel verwendeten Hardware- und Softwarekomponenten:

Gerät

Softwareversion

Rolle

Juniper EX2300-C-12P

Junos 18.2R1-S1

Switch und Authentifikator

Cisco ISE

2.4.0.357 Patch2-18080100

RADIUS-Server

Polycom VVX 310 IP-Telefon

SIP/5.5.1.11526/22-Nov-16 15:05

Bittsteller (MAC-Radius)

Windows 10 Professional

Alle empfohlenen Patches vom 22.08.2018

Bittsteller (Dot1x)

Netzwerkdrucker

k. A.

Bittsteller (MAC-Radius)

Juniper Mist AP43

0.6.18981

Bittsteller (MAC-Radius)

Alle Benutzer und Endpunkte werden in der internen Cisco ISE-Datenbank gespeichert.

Informationen zur Integration externer Benutzerdatenbanken wie Microsoft Active Directory, LDAP und zertifikatsbasierte Authentifizierung finden Sie im Cisco Identity Services Engine Administrator Guide, Version 2.4.

Schritt-für-Schritt-Anleitung

Importieren des kabelgebundenen Geräteprofils von Juniper

Angenommen, Sie haben Cisco ISE in Ihrem Netzwerk eingerichtet, müssen Sie als Erstes ein Juniper EX-Switch-Geräteprofil hinzufügen.

  1. Laden Sie das neueste Juniper EX Switch-Geräteprofil für Cisco ISE herunter (validiert mit Cisco ISE 2.7).
  2. Wählen Sie in der Cisco ISE Administration > Network Resources > Network Device Profiles (Verwaltung Netzwerkressourcen Netzwerkgeräteprofile aus.
  3. Klicken Sie auf Importieren und wählen Sie das Juniper EX-Switch-Geräteprofil aus, das Sie in Schritt 1 heruntergeladen haben. Nachdem Sie das Juniper-Netzwerkgeräteprofil importiert haben, wird es in der Liste der Cisco ISE-Netzwerkgeräteprofile als Juniper_Wired aufgeführt.

Hinzufügen von EX-Switches zum Juniper Geräteprofil

Sie können Ihre EX-Switches einzeln oder als IP-Adressbereich hinzufügen.

  1. Wählen Sie in Cisco ISE Administration > Network Resources > Network Devices (Verwaltung Netzwerkressourcen Netzwerkgeräte) aus.
  2. Wählen Sie im Bildschirm Netzwerkgerät das Juniper_Wired Geräteprofil aus.
  3. Geben Sie einen Namen und eine IP-Adresse für Ihren EX-Switch ein. Wenn Sie mehrere EX-Switches hinzufügen, können Sie einen IP-Adressbereich angeben.
  4. Geben Sie ein RADIUS-Kennwort an. Dies benötigen Sie später bei der Konfiguration der EX-Switches.

Berechtigungsprofile anlegen

Mit Autorisierungsprofilen können Sie Benutzern oder Endpunkten unterschiedliche Attribute zuweisen. Sie können das VLAN anhand des Namens oder der VLAN-ID ändern. Sie können auch einen Firewall-Filter zuweisen, den Sie bereits auf dem Switch konfiguriert haben. In diesem Beispiel erstellen wir vier Berechtigungsprofile:

  • Juniper_VoIP_VLAN_500

  • Juniper_VoIP_VLAN_100

  • Juniper_VoIP_VLAN_100_ACL

  • Juniper_VoIP_VLAN_100_dACL

Das erste Profil legt das VoIP-VLAN mithilfe des Attributs Juniper-VoIP-VLAN auf 500 fest.

  1. Wählen Sie in Cisco ISE Policy > Results (Richtlinie Ergebnisse) und dann im linken Bereich Authorization > Authorization Profiles (Autorisierungs- Autorisierungsprofile) aus.
  2. Benennen Sie das Profil Juniper_VoIP_VLAN_500.
  3. Legen Sie die VLAN-ID/den VLAN-Namen auf 500fest.
  4. Klicken Sie auf Hinzufügen.

Das zweite Autorisierungsprofil legt das Daten-VLAN mithilfe des Standardattributs RADIUS für die VLAN-ID auf 100 fest.

  1. Wählen Sie in der Cisco ISE Policy > Results (Richtlinie Ergebnisse) und dann im linken Bereich Authorization > Authorization Profiles (Autorisierungs- Autorisierungsprofile) aus.

  2. Benennen Sie das Profil Juniper_VoIP_VLAN_100.

  3. Legen Sie die VLAN-ID/den VLAN-Namen auf 100fest.

  4. Klicken Sie auf Hinzufügen.

Das dritte Profil setzt das Daten-VLAN auf 100 und wendet einen lokalen Firewall-Filter/ACL auf den Supplicant an. Dieser Firewall-Filter/diese Firewall-ACL muss bereits auf dem Switch konfiguriert sein. Der Firewall-Filter/die Firewall-ACL wird mit dem standardmäßigen Filter-ID-Radiusattribut angewendet. Geben Sie den Namen des lokalen Filters ein, der auf dem Switch konfiguriert ist.

  1. Wählen Sie in der Cisco ISE Policy > Results (Richtlinie Ergebnisse) und dann im linken Bereich Authorization > Authorization Profiles (Autorisierungs- Autorisierungsprofile) aus.

  2. Benennen Sie das Profil Juniper_VoIP_VLAN_100_ACL.

  3. Legen Sie unter "Allgemeine Aufgaben" die ACL (Filter-ID) auf "deny-all" fest.

  4. Legen Sie die VLAN-ID/den VLAN-Namen auf 100fest.

  5. Klicken Sie auf Hinzufügen.

Das vierte Autorisierungsprofil legt das Daten-VLAN auf 100 fest und wendet einen dynamischen/herunterladbaren Firewall-Filter/ACL auf den Supplicant an. Dieser Firewall-Filter/diese ACL wird dynamisch erstellt, sodass Sie ihn nicht lokal auf dem Switch konfigurieren müssen. Dieses Autorisierungsprofil verwendet das Attribut Juniper-Switching-Filter.

Hinweis:

Die Syntax und der Funktionsumfang unterscheiden sich von den regulären Junos-Firewall-Filtern/ACLs. Mehrere Einträge werden durch Kommas getrennt. Weitere Informationen zur Syntax finden Sie unter Juniper-Switching-Filter VSA-Übereinstimmungsbedingungen und -aktionen .

Erstellen von Endpunktidentitätsgruppen

Endgeräte, wie z. B. IP-Telefone, können in Endpunktidentitätsgruppen gruppiert werden, um die Anwendung gemeinsamer Attribute, z. B. VoIP-VLAN, zu erleichtern.

  1. Wählen Sie in der Cisco ISE Administration > Groups > Endpoint Identity Groups aus.
  2. Klicken Sie auf Hinzufügen.
  3. Geben Sie unter Endpoint Identity Group (Endpunktidentitätsgruppe) einen Namen und eine Beschreibung ein.
  4. Klicken Sie auf Senden.

Hinzufügen von Endpunkten

Das Polycom IP-Telefon in dieser Konfiguration ist nicht für die dot1x-Authentifizierung konfiguriert. Stattdessen setzen wir auf MAC RADIUS und MAC Authentication Bypass (MAB).

  1. Wählen Sie in der Cisco ISE Context Visibility > Endpoints (Kontextsichtbarkeit Endgeräte) aus.
  2. Klicken Sie auf +.
  3. Fügen Sie die MAC-Adresse des IP-Telefons hinzu, und weisen Sie ihm eine Richtliniengruppe zu.
  4. Klicken Sie auf Speichern.

Erstellen von Benutzeridentitätsgruppen

Mit Benutzeridentitätsgruppen können Sie bestimmte Attribute auf Benutzer anwenden, die Mitglieder der Gruppe sind. In diesem Beispiel erstellen wir drei neue Benutzeridentitätsgruppen:

  • VLAN_100_User_ID_Group

  • VLAN_100_ACL_User_ID_Group

  • VLAN_100_dACL_User_ID_Group

  1. Wählen Sie in Cisco ISE Administration > Groups > User Identity Groups (Verwaltung Gruppen Benutzeridentitätsgruppen aus.
  2. Klicken Sie auf Hinzufügen.
  3. Geben Sie einen Namen für die Benutzeridentitätsgruppe ein und klicken Sie auf Senden.

Benutzer hinzufügen

In diesem Beispiel erstellen wir drei lokale Benutzer mit den Namen user1, user2 und user3. Jeder Benutzer wird einer anderen Benutzeridentitätsgruppe zugewiesen.

  1. Wählen Sie in Cisco ISE Administration >Identity Management (Verwaltung Identitätsverwaltung) aus.
  2. Klicken Sie auf Hinzufügen.
  3. Geben Sie einen Namen und ein Login-Passwort ein.
  4. Wählen Sie in der Dropdown-Liste Benutzergruppen die Benutzeridentitätsgruppe aus, die Sie dem neuen Benutzer zuweisen möchten.

    In diesem Beispiel weisen wir die neuen Benutzer diesen Benutzeridentitätsgruppen zu:

    • user1 bis VLAN_100_User_ID_Group

    • user2 auf VLAN_100_ACL_User_ID_Group

    • user3 auf VLAN_100_dACL_User_ID_Group

Hier ist eine Übersicht über die drei Benutzer, die wir gerade erstellt haben:

Festlegen von Authentifizierungsrichtlinien

Die Authentifizierungsrichtlinie enthält standardmäßig drei Einträge.

Die vordefinierten MAB- und dot1x-Regeln haben Bedingungen, die an das Netzwerkgeräteprofil gebunden sind. Wenn Anforderungen von einem Juniper-Gerät kommen, verwendet der Switch automatisch die im Juniper-Netzwerkgeräteprofil konfigurierten Attribute, um eine MAB- und dot1x-Anforderung zu authentifizieren. Die Authentifizierungsrichtlinie mit dem Namen "Standard" enthält eine standardmäßige Netzwerkzugriffsrichtlinie für zulässige Protokolle. Diese Netzwerkzugriffsrichtlinie ist mit EX-Switches von Juniper kompatibel.

In diesem Beispiel verwenden wir die Standardauthentifizierungsrichtlinie.

  1. Wählen Sie Policy > Policy Sets (Richtlinie Richtliniensätze) aus.
  2. Klicken Sie ganz rechts neben dem Standardrichtliniensatz auf > , und wählen Sie in der Dropdown-Liste die Option Standardnetzwerkzugriff aus.

Cisco ISE Standard-Netzwerkzugriffsprofil

Hier ist die Cisco ISE-Konfiguration für das Standard-Netzwerkzugriffsprofil für Juniper EX-Switches.

Festlegen von Autorisierungsrichtlinien

Die Reihenfolge der Autorisierungsrichtlinien ist wichtig und kann je nach Einrichtung variieren. Stellen Sie sicher, dass Sie keine allgemeineren Regeln über den Regeln haben, die Sie erstellen möchten, da sie sonst nicht übereinstimmen.

In diesem Beispiel erstellen wir vier neue Regeln mit jeweils drei Bedingungen:

  • VLAN 500 für IP-Telefone von Polycom, die mit EX-Switches von Juniper verbunden sind

  • VLAN 100 für dot1x-Benutzer, die mit Juniper EX-Switches verbunden sind

  • VLAN 100 mit ACL für dot1x-Benutzer, die mit Juniper EX-Switches verbunden sind

  • VLAN 100 mit dACL für dot1x-Benutzer, die mit Juniper EX-Switches verbunden sind

  1. Erweitern Sie Autorisierungsrichtlinie und klicken Sie auf die Schaltfläche + in der oberen linken Ecke des Bildschirms.
  2. Geben Sie einen Namen für die Regel ein, VLAN 500 for Polycom IP Phones connected to Juniper EX Switchesz. B. .
  3. Klicken Sie auf Bedingung , um das Condition Studio zu öffnen.
  4. Ziehen Sie per Drag & Drop aus der Bibliothek auf der linken Seite in den Editor auf der rechten Seite. Erstellen Sie die verschiedenen Attribute, die Sie abgleichen möchten.
  5. Wenn Sie fertig sind, klicken Sie nicht auf Speichern. Klicken Sie stattdessen auf die Schaltfläche VERWENDEN in der unteren rechten Ecke.

Hier ist ein Beispiel für das Conditions Studio:

Analysieren wir diese vier neuen Regeln. Jede Regel hat drei Bedingungen. Die ersten beiden Bedingungen sind identisch, aber die dritte Bedingung stimmt mit einem anderen Attribut überein. Eine Regel wird nur dann auf einen Port angewendet, wenn alle drei Bedingungen erfüllt sind.

Regel

Wenn der Endpunkt

Dann weist der Switch den Port/Supplicant zu

VLAN 500 für IP-Telefone von Polycom, die mit EX-Switches von Juniper verbunden sind

Besteht die Netzwerkzugriffsauthentifizierung UND die Anforderung von einem Juniper EX-Switch kommt UND sich der Endpunkt in der Polycom-IP-Phone-Gruppe befindet

Sprach-VLAN 500

VLAN 100 für dot1x-Benutzer, die mit Juniper EX-Switches verbunden sind

Besteht die Netzwerkzugriffsauthentifizierung UND die Anforderung von einem Juniper EX-Switch kommt UND der Endpunkt befindet sich im VLAN_100_User_ID_Group

Daten-VLAN 100

VLAN 100 mit ACL für dot1x-Benutzer, die mit Juniper EX-Switches verbunden sind

Besteht die Netzwerkzugriffsauthentifizierung UND die Anforderung von einem Juniper EX-Switch kommt UND der Endpunkt befindet sich im VLAN_100_ACL_User_ID_Group

Daten-VLAN 100 und eine ACL

VLAN 100 mit dACL für dot1x-Benutzer, die mit Juniper EX-Switches verbunden sind

Besteht die Netzwerkzugriffsauthentifizierung UND die Anforderung von einem Juniper EX-Switch kommt UND der Endpunkt befindet sich im VLAN_100_dACL_User_ID_Group

Daten-VLAN 100 und eine dynamische/herunterladbare ACL

Konfigurieren einer Cisco ISE-Richtlinie zum Aktivieren des Gastzugriffs

Für Anwendungsfälle mit Gastzugriff, die das Cisco ISE-Gastportal betreffen, unterstützen Juniper EX-Switches Juniper-CWA-Redirect-URL VSA zusammen mit einer speziellen Filter-ID-JNPR_RSVD_FILTER_CWA, um unbekannte Gastclients an das Cisco ISE-Portal umzuleiten. Das folgende Diagramm zeigt den Ablauf des Gastzugriffs mit Cisco ISE:

Hier sehen Sie die Konfiguration des Juniper EX-Switches für dieses Szenario:

So konfigurieren Sie eine Cisco ISE-Richtlinie, um den Gastzugriff zu ermöglichen:

  1. Wählen Sie in Cisco ISE Policy Sets > Wired Access (Richtliniensätze Kabelgebundener Zugriff) aus.
  2. Vergewissern Sie sich, dass die WIRED MAB-Authentifizierungsrichtlinie für den Datenspeicher auf Interne Endpunkte festgelegt ist, und fahren Sie bei Wenn Benutzer nicht gefunden und Wenn Prozess fehlgeschlagen fort.
  3. Erstellen Sie zwei Autorisierungsrichtlinien. Wenn der Client (MAC) bereits in der GuestEndpoints-Identitätsgruppe registriert ist, sendet die Cisco ISE die Meldung "Zugriff zulassen". Andernfalls sendet die Cisco ISE ein CWA-Umleitungsattribut, um den Client in das Cisco ISE-Gastportal zu verschieben.

    Im Folgenden finden Sie ein Beispiel für die Konfiguration des Wired-Autorisierungsprofils für die Gastumleitung.

    Hinweis:

    Sie müssen eine statische IP-Adresse anstelle des FQDN konfigurieren, damit der CWA-Filter funktioniert. Alternativ können Sie einen Juniper-Switching-Filter mit einer FQDN-basierten Umleitungs-URL verwenden.
  4. Überprüfen Sie die Konfiguration in der EX-Switch-CLI:

    Sobald sich der Client bei der Cisco ISE authentifiziert hat, sendet die Cisco ISE ein CoA. Bei erneuter Authentifizierung zeigt die CLI-Ausgabe für den EX-Switch eine erfolgreiche MAC-Authentifizierung an:

Konfigurieren eines farblosen Ports mithilfe von IETF-Egress-VLAN-ID-Attributen

Mit Junos 20.4 und höher können Sie Switch-Ports automatisch in Zugriffs-/Trunk-Ports konfigurieren und mehrere VLANs basierend auf der RADIUS-Antwort (Cisco ISE) zuweisen. Sie können beispielsweise eine gemeinsame Portkonfiguration auf dem Switch haben und diese dann basierend auf der Identität eines verbundenen Geräts, wie z. B. eines Mist AP, eines Druckers oder eines Unternehmenslaptops, automatisch neu konfigurieren.

Hier ist ein Beispiel für einen Trunk-Port, der für Mist AP mit einem nicht getaggten nativen VLAN für die Verwaltung konfiguriert ist:

Standardmäßig ist der Port als Zugriffsport mit aktiviertem 802.1X und MAC-Radius konfiguriert.

Hier erfahren Sie, wie Sie eine neue Profiler-Richtlinie in der Cisco ISE erstellen, um Mist APs basierend auf Mist MAC-OUI automatisch zu profilieren. Die Profiler-Richtlinie sendet die vollständige Switch-Portkonfiguration (Trunk, mit nativem VLAN 51 und allen anderen erforderlichen VLANs).

  1. Wählen Sie Policy > Profiling > Profiling Policies > Create New (Neu erstellen) aus.
  2. Erstellen Sie zwei Regeln mit Radius_Calling_Station_ID_STARTSWITH 5c-5b-35 oder d2-20-b0, um die aktuellen Mist MAC-OUIs anzugeben.
  3. Speichern Sie Ihre Profilerrichtlinie.
  4. Navigieren Sie zu Ihrer Profilerrichtlinie, und fügen Sie eine weitere Autorisierungsregel hinzu:

    Das Berechtigungsprofil sieht wie folgt aus:

Wie sind wir auf all die oben genannten Zahlen gekommen? Wir haben die folgende Formel verwendet:

  1. Erstellen Sie Hexadezimalwerte für jedes VLAN, das Sie in access-accept pushen möchten. Das Hexadezimalformat ist 0x31000005. Die ersten sieben Zeichen können entweder 0x31000 (getaggt) oder 0x32000 (nicht getaggt) sein. Die letzten drei Zeichen sind die tatsächliche VLAN-ID, die in Hexadezimalwerte konvertiert wurde. Sie können einen Dezimal-zu-Hexadezimal-Konverter verwenden, um den Hexadezimalwert zu ermitteln. Um beispielsweise das nicht getaggte VLAN 51 zu senden, lautet der Wert 0x32000033.

  2. Nachdem Sie diesen Hexadezimalwert eingegeben haben, konvertieren Sie den gesamten Wert wieder in Dezimalzahl. Sie können diesen Hexidezimal-zu-Dezimal-Konverter verwenden, um den Dezimalwert herauszufinden.

    Wenn Sie in diesem Beispiel 0x32000033 in Dezimalzahlen konvertieren, ist der Wert 52428851.

  3. Konfigurieren Sie das Cisco ISE-Autorisierungsprofil mit dem Dezimalwert.

  4. Schließen Sie einen Mist AP an und überprüfen Sie die Ausgabe:

Konfigurieren des 802.1X-Protokolls auf dem EX-Switch

Konfigurieren von Windows 10

  1. Drücken Sie die Windows-Taste auf Ihrer Tastatur und suchen Sie nach services.msc.
  2. Klicken Sie mit der rechten Maustaste, um den Wired Autoconfig-Dienst zu aktivieren.
  3. Wählen Sie Systemsteuerung > Netzwerk- und Freigabecenter > Ändern Sie die Adaptereinstellungen.
  4. Klicken Sie mit der rechten Maustaste auf den Adapter, der für Ihre kabelgebundene Verbindung verwendet wird, und wählen Sie Eigenschaften.
  5. Klicken Sie auf die Registerkarte Authentifizierung, wählen Sie Microsoft Protected EAP aus, und klicken Sie dann auf Einstellungen.
  6. Deaktivieren Sie das Kontrollkästchen, um das Serveridentitätszertifikat zu überprüfen.
    VORSICHT:

    Dies dient nur zu Testzwecken. Deaktivieren Sie dies niemals in der Produktion. Stellen Sie Ihren Kunden stets vertrauenswürdige CA-Zertifizierungen zur Verfügung. In einer Produktionsumgebung sollten Sie das Cisco ISE-Zertifikat installieren. Weitere Informationen finden Sie im Cisco Identity Services Engine Administrator Guide, Version 2.4.

    Klicken Sie auf OK.

  7. Sie kehren zum Fenster Ethernet-Eigenschaften zurück. Klicken Sie auf Zusätzliche Einstellungen.
  8. Wählen Sie Benutzerauthentifizierung aus und klicken Sie auf Anmeldeinformationen speichern.
  9. Geben Sie den Benutzernamen und das Kennwort ein, z. B. user1, user2 oder user3.
  10. Klicken Sie auf OK.

Testen und Validieren

Überprüfen des Authentifizierungsstatus des IP-Telefons

  1. Nachdem Sie das IP-Telefon an Port ge-0/0/0 angeschlossen haben, führen Sie den show dot1x interface ge-0/0/0 Befehl aus, um zu überprüfen, ob es mit der MAC-Authentifizierungsumgehung authentifiziert wurde.
  2. Führen Sie den show dot1x interface ge-0/0/0 detail Befehl aus, um die detaillierte Ausgabe anzuzeigen und zu überprüfen, ob Sie MAC Radius zur Authentifizierung des IP-Telefons verwenden.
  3. Führen Sie den show ethernet-switching interface ge-0/0/0 Befehl aus, um zu überprüfen, ob Cisco ISE das Sprach-VLAN 500 als getaggtes VLAN auf Port ge-0/0/0 angewendet hat.
  4. Führen Sie den show lldp neighbors interface ge-0/0/0 Befehl aus, um die LLDP-Ausgabe anzuzeigen und zu überprüfen, ob das IP-Telefon das getaggte VLAN 500 für Sprache verwendet.
  5. Überprüfen Sie den Authentifizierungsstatus in der Cisco ISE. Wählen Sie Operations > Live Logs (Vorgänge Live-Protokolle) aus.
  6. Wählen Sie Operations > Live Sessions (Vorgänge Live-Sitzungen) aus.

Überprüfen von Verbindungen zu Windows 10-Clients

Verifizieren von Benutzer 1

  1. Geben Sie die dot1x-Anmeldeinformationen in Windows für Benutzer1 ein und verbinden Sie den PC mit dem IP-Telefon. Vergewissern Sie sich, dass user1 authentifiziert ist:
  2. Vergewissern Sie sich, dass die Cisco ISE das Daten-VLAN 100 auf Port ge-0/0/0 angewendet hat:
  3. Zeigen Sie die Cisco ISE-Protokolle an. Wählen Sie Operations > Live Logs (Vorgänge Live-Protokolle) aus.
  4. Auswählen von Vorgängen > Live-Sitzungen

Verifizieren von Benutzer 2

  1. Ändern Sie die Anmeldeinformationen in Windows in user2.
  2. Vergewissern Sie sich, dass Benutzer2 authentifiziert ist.
  3. Stellen Sie sicher, dass die Cisco ISE Daten-VLAN 100 und auch den lokal konfigurierten Firewall-Filter/die ACL mit dem Namen deny_all angewendet hat.
  4. Zeigen Sie die Cisco ISE-Protokolle an. Wählen Sie Operations -> Live Logs (Vorgänge - Live-Protokolle) aus. Beachten Sie die unterschiedliche Autorisierungsrichtlinie, die für Benutzer2, Daten-VLAN 100 + ACL-deny_all, gilt.
  5. Wählen Sie Operations > Live Sessions (Vorgänge Live-Sitzungen) aus.

Verifizieren von Benutzer 3

  1. Ändern Sie die Anmeldeinformationen in Windows in user3.
  2. Stellen Sie sicher, dass user3 authentifiziert ist.
  3. Vergewissern Sie sich, dass die Cisco ISE das Daten-VLAN 100 und einen dynamischen/herunterladbaren Firewall-Filter/eine ACL auf den Supplicant angewendet hat.
  4. Stellen Sie sicher, dass der Firewallfilter für den Supplicant aktiv ist. Die Bedingungen sollten in dieser Reihenfolge angegeben werden:

    • t0 ist der erste Term

    • T1 ist der zweite Term

    • Der T-Begriff ohne t-Name ist der letzte Begriff, der den gesamten Datenverkehr zulässt.

  5. Zeigen Sie die Cisco ISE-Protokolle an. Wählen Sie Operations > Live Logs (Vorgänge Live-Protokolle) aus. Beachten Sie die abweichende Autorisierungsrichtlinie, die für user3 gilt, Daten-VLAN 100 + dACL.
  6. Wählen Sie Operations > Live Sessions (Vorgänge Live-Sitzungen) aus.
  7. Stellen Sie sicher, dass user3 authentifiziert ist.
  8. Zeigen Sie das Cisco ISE-Protokoll an. Wählen Sie Vorgänge > Live-Sitzungen > CoA-Aktionen anzeigen > Sitzungsbeendigung für Benutzer3 aus.
  9. Klicken Sie auf CoA-Aktionen und Sitzungsbeendigung anzeigen.
  10. Vergewissern Sie sich, dass die Sitzung von user3 beendet wurde.

Überprüfen der getrennten CoA-Sitzung mit Port Bounce

  1. Vergewissern Sie sich, dass das IP-Telefon authentifiziert ist. (0004f228b69d1)
  2. Zeigen Sie das Cisco ISE-Protokoll an. Wählen Sie Vorgänge > Live-Sitzungen > CoA-Aktionen > Sitzungsbeendigung für IP-Telefon anzeigen aus.
  3. Klicken Sie auf Show CoA Actions (CoA-Aktionen anzeigen ) und wählen Sie dann Session termination with port bounce (Sitzungsbeendigung mit Port-Bounce) aus.
  4. Führen Sie den Befehl show dot1x interface aus, und beachten Sie, dass jetzt alle Sitzungen beendet werden, da der Port zurückgewiesen wurde.