Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
SUR CETTE PAGE
 

Configurer les commutateurs Cisco ISE et Juniper EX pour l’authentification 802.1X

À propos de cet exemple de configuration réseau

Cet exemple de configuration réseau (NCE) vous montre comment configurer les commutateurs Cisco Identity Services Engine 2.X (Cisco ISE) et Juniper EX pour l’authentification basée sur IEEE 802.1X.

Aperçu

Cisco ISE 2.X est fourni avec de nombreux profils de périphériques réseau préimportés, mais pas pour Juniper. Les profils d’équipement réseau spécifient comment gérer le rayon MAC, l’authentification dot1x, l’attribution de VLAN et d’ACL et les fonctionnalités CoA.

Cisco ISE vous permet d’importer des profils de périphériques réseau au format XML, permettant l’intégration avec n’importe quel périphérique réseau standard IEEE 802.1X. Cet exemple vous montre comment importer le profil de périphérique réseau Juniper et configurer les paramètres pour autoriser l’authentification IEEE 802.1X avec les commutateurs Cisco ISE et Juniper EX.

Topologie

Dans cet exemple, nous utilisons la topologie de réseau suivante Figure 1 :

Figure 1 : Exemple de topologie Example Topology

Voici plus de détails sur les composants matériels et logiciels utilisés dans cet exemple :

Appareil

Version du logiciel

Rôle

Juniper EX2300-C-12P

Junos 18.2R1-S1

Commutateur et authentificateur

Cisco ISE

2.4.0.357 Patch2-18080100

Serveur RADIUS

Téléphone IP Polycom VVX 310

SIP/5.5.1.11526/22-Nov-16 15 :05

Suppliant (MAC Radius)

Windows 10 Professionnel

Tous les correctifs recommandés au 2018-08-22

Suppliant (Dot1x)

Imprimante réseau

S.O.

Suppliant (MAC Radius)

Juniper Mist AP43

0.6.18981

Suppliant (MAC Radius)

Tous les utilisateurs et points de terminaison sont stockés dans la base de données interne Cisco ISE.

Pour l’intégration de bases de données d’utilisateurs externes telles que Microsoft Active Directory, LDAP et l’authentification basée sur les certificats, reportez-vous au Guide de l’administrateur de Cisco Identity Services Engine, version 2.4.

Procédure étape par étape

Importer le profil d’appareil filaire Juniper

En supposant que Cisco ISE soit opérationnel sur votre réseau, vous devez d’abord ajouter un profil de commutateur EX Juniper.

  1. Téléchargez le dernier profil de périphérique de commutateur Juniper EX pour Cisco ISE (validé avec Cisco ISE 2.7).
  2. Dans Cisco ISE, choisissez Administration > Ressources réseau > Profils de périphériques réseau.
  3. Cliquez sur Importer et sélectionnez le profil de commutateur Juniper EX que vous avez téléchargé à l’étape 1. Une fois le profil de périphérique réseau Juniper importé, il sera répertorié dans la liste des profils de périphériques réseau Cisco ISE en tant que Juniper_Wired.

Ajouter des commutateurs EX au profil d’appareil Juniper

Vous pouvez ajouter vos commutateurs EX individuellement ou sous forme de plage d’adresses IP.

  1. Dans Cisco ISE, choisissez Administration > Network Resources > Network Devices (Ressources réseau périphériques réseau).
  2. Dans l’écran Périphérique réseau, sélectionnez le profil de périphérique Juniper_Wired.
  3. Indiquez le nom et l’adresse IP de votre commutateur EX. Si vous ajoutez plusieurs commutateurs EX, vous pouvez spécifier une plage d’adresses IP.
  4. Spécifiez un mot de passe RADIUS. Vous en aurez besoin ultérieurement lors de la configuration des commutateurs EX.

Créer des profils d’autorisation

Les profils d’autorisation vous permettent d’appliquer différents attributs aux utilisateurs ou aux points de terminaison. Vous pouvez modifier le VLAN par son nom ou par ID de VLAN. Vous pouvez également affecter un filtre de pare-feu que vous avez déjà configuré sur le commutateur. Dans cet exemple, nous créons quatre profils d’autorisation :

  • Juniper_VoIP_VLAN_500

  • Juniper_VoIP_VLAN_100

  • Juniper_VoIP_VLAN_100_ACL

  • Juniper_VoIP_VLAN_100_dACL

Le premier profil définit le VLAN VoIP sur 500 à l’aide de l’attribut Juniper-VoIP-VLAN.

  1. Dans Cisco ISE, choisissez Policy > Results, puis dans le volet gauche, choisissez Authorization > Authorization Authorization Profiles.
  2. Nommez le profil Juniper_VoIP_VLAN_500.
  3. Définissez l’ID/Nom du VLAN sur 500.
  4. Cliquez sur Ajouter.

Le deuxième profil d’autorisation définit le VLAN de données sur 100 à l’aide de l’attribut RADIUS standard pour l’ID de VLAN.

  1. Dans Cisco ISE, choisissez Policy > Results, puis dans le volet gauche, choisissez Authorization > Authorization Authorization Profiles.

  2. Nommez le profil Juniper_VoIP_VLAN_100.

  3. Définissez l’ID/Nom du VLAN sur 100.

  4. Cliquez sur Ajouter.

Le troisième profil définit le VLAN de données sur 100 et applique un filtre/ACL de pare-feu local au demandeur. Ce filtre/ACL de pare-feu doit déjà être configuré sur le commutateur. Le filtre/ACL du pare-feu est appliqué à l’aide de l’attribut Filter-ID radius standard. Entrez le nom du filtre local configuré sur le commutateur.

  1. Dans Cisco ISE, choisissez Policy > Results, puis dans le volet gauche, choisissez Authorization > Authorization Authorization Profiles.

  2. Nommez le profil Juniper_VoIP_VLAN_100_ACL.

  3. Sous Tâches courantes, définissez ACL (Filter-ID) sur refuser tout.

  4. Définissez l’ID/Nom du VLAN sur 100.

  5. Cliquez sur Ajouter.

Le quatrième profil d’autorisation définit le VLAN de données sur 100 et applique un filtre de pare-feu/ACL dynamique/téléchargeable au demandeur. Ce filtre/ACL de pare-feu est créé dynamiquement, vous n’avez donc pas besoin de le configurer localement sur le commutateur. Ce profil d’autorisation utilise l’attribut Juniper-Switching-Filter.

Note:

La syntaxe et les ensembles de fonctionnalités diffèrent des filtres/ACL de pare-feu Junos classiques. Les entrées multiples sont séparées par des virgules. Reportez-vous à la section Conditions et actions de correspondance VSA de Juniper-Switching-Filter pour plus d’informations sur la syntaxe.

Créer des groupes d’identité de point de terminaison

Les points de terminaison, tels que les téléphones IP, peuvent être regroupés dans des groupes d’identité de points de terminaison pour faciliter l’application d’attributs communs, par exemple, VLAN VoIP.

  1. Dans Cisco ISE, choisissez Administration > Groups > Endpoint Identity Groups (Groupes d’identité de point de terminaison).
  2. Cliquez sur Ajouter.
  3. Entrez un nom et une description sous Groupe d’identité du point de terminaison.
  4. Cliquez sur Envoyer.

Ajouter des points de terminaison

Le téléphone IP Polycom de cette configuration n’est pas configuré pour l’authentification dot1x. Au lieu de cela, nous nous appuyons sur MAC RADIUS et MAC Authentication Bypass (MAB).

  1. Dans Cisco ISE, choisissez Context Visibility > Endpoints.
  2. Cliquez sur +.
  3. Ajoutez l’adresse MAC du téléphone IP et attribuez-lui un groupe de stratégies.
  4. Cliquez sur Enregistrer.

Créer des groupes d’identité utilisateur

Les groupes d’identité utilisateur vous permettent d’appliquer des attributs spécifiques aux utilisateurs qui sont membres du groupe. Dans cet exemple, nous créons trois nouveaux groupes d’identité utilisateur :

  • VLAN_100_User_ID_Group

  • VLAN_100_ACL_User_ID_Group

  • VLAN_100_dACL_User_ID_Group

  1. Dans Cisco ISE, choisissez Groupes > d’administration > Groupes d’identité utilisateur.
  2. Cliquez sur Ajouter.
  3. Entrez un nom pour le groupe d’identité utilisateur et cliquez sur Envoyer.

Ajouter des utilisateurs

Dans cet exemple, nous créons trois utilisateurs locaux nommés utilisateur1, utilisateur2 et utilisateur3. Chaque utilisateur est affecté à un groupe d’identité d’utilisateur différent.

  1. Dans Cisco ISE, choisissez Administration >Gestion des identités.
  2. Cliquez sur Ajouter.
  3. Entrez un nom et un mot de passe de connexion.
  4. Dans la liste déroulante Groupes d’utilisateurs, choisissez le groupe d’identité utilisateur que vous souhaitez attribuer au nouvel utilisateur.

    Dans cet exemple, nous affectons les nouveaux utilisateurs aux groupes d’identité utilisateur suivants :

    • utilisateur1 à VLAN_100_User_ID_Group

    • utilisateur2 à VLAN_100_ACL_User_ID_Group

    • utilisateur3 à VLAN_100_dACL_User_ID_Group

Voici un aperçu des trois utilisateurs que nous venons de créer :

Définir les stratégies d’authentification

La stratégie d’authentification contient trois entrées par défaut.

Les règles MAB et dot1x prédéfinies ont des conditions liées au profil de périphérique réseau. Lorsque les demandes proviennent d’un appareil Juniper, le commutateur utilise automatiquement les attributs configurés dans le profil d’équipement réseau Juniper pour authentifier une demande MAB et dot1x. La stratégie d’authentification nommée Par défaut contient une stratégie d’accès réseau par défaut pour les protocoles autorisés. Cette politique d’accès au réseau est compatible avec les commutateurs EX de Juniper.

Dans cet exemple, nous utilisons la stratégie d’authentification par défaut.

  1. Choisissez Stratégie > Jeux de stratégies.
  2. Cliquez > à l’extrême droite du jeu de stratégies par défaut et choisissez Accès réseau par défaut dans la liste déroulante.

Profil d’accès réseau par défaut Cisco ISE

Voici la configuration Cisco ISE du profil d’accès réseau par défaut des commutateurs Juniper EX.

Définir des stratégies d’autorisation

L’ordre des stratégies d’autorisation est important et peut varier en fonction de votre configuration. Assurez-vous de ne pas avoir de règles plus générales au-dessus des règles que vous êtes sur le point de créer, sinon elles ne correspondront pas.

Dans cet exemple, nous créons quatre nouvelles règles, chacune avec trois conditions :

  • VLAN 500 pour téléphones IP Polycom connectés aux commutateurs EX de Juniper

  • VLAN 100 pour les utilisateurs dot1x connectés aux commutateurs Juniper EX

  • VLAN 100 avec ACL pour les utilisateurs dot1x connectés aux commutateurs EX de Juniper

  • VLAN 100 avec dACL pour les utilisateurs dot1x connectés aux commutateurs Juniper EX

  1. Développez Stratégie d’autorisation et cliquez sur le bouton + dans le coin supérieur gauche de l’écran.
  2. Entrez un nom pour la règle, par exemple, VLAN 500 for Polycom IP Phones connected to Juniper EX Switches.
  3. Cliquez sur condition pour ouvrir Condition Studio.
  4. Faites glisser et déposez de la bibliothèque sur le côté gauche vers l’éditeur sur le côté droit. Créez les différents attributs sur lesquels vous souhaitez faire correspondre.
  5. Lorsque vous avez terminé, ne cliquez pas sur Enregistrer. Au lieu de cela, cliquez sur le bouton USE dans le coin inférieur droit.

Voici un exemple de Conditions Studio :

Analysons ces quatre nouvelles règles. Chaque règle comporte trois conditions. Les deux premières conditions sont identiques, mais la troisième correspond à un attribut différent. Une règle n’est appliquée à un port que lorsque les trois conditions sont remplies.

Règle

Si le point de terminaison

Ensuite, le commutateur affecte le port/demandeur à

VLAN 500 pour téléphones IP Polycom connectés aux commutateurs EX de Juniper

Réussit l’authentification d’accès réseau ET la demande provient d’un commutateur Juniper EX ET le point de terminaison est dans le groupe Polycom-IP-Phone

VLAN vocal 500

VLAN 100 pour les utilisateurs dot1x connectés aux commutateurs Juniper EX

Réussit l’authentification d’accès réseau ET la demande provient d’un commutateur Juniper EX ET le point de terminaison est dans le VLAN_100_User_ID_Group

VLAN de données 100

VLAN 100 avec ACL pour les utilisateurs dot1x connectés aux commutateurs EX de Juniper

Réussit l’authentification d’accès réseau ET la demande provient d’un commutateur Juniper EX ET le point de terminaison est dans le VLAN_100_ACL_User_ID_Group

VLAN de données 100 et ACL

VLAN 100 avec dACL pour les utilisateurs dot1x connectés aux commutateurs Juniper EX

Réussit l’authentification d’accès réseau ET la demande provient d’un commutateur Juniper EX ET le point de terminaison est dans le VLAN_100_dACL_User_ID_Group

VLAN 100 de données et ACL dynamique/téléchargeable

Configurer une stratégie Cisco ISE pour activer l’accès invité

Pour les cas d’utilisation d’accès invité impliquant le portail invité Cisco ISE, les commutateurs Juniper EX prennent en charge Juniper-CWA-Redirect-URL VSA ainsi qu’un JNPR_RSVD_FILTER_CWA Filter-Id spécial pour rediriger les clients invités inconnus vers le portail Cisco ISE. Le diagramme suivant décrit le flux d’accès invité avec Cisco ISE :

Voici la configuration du commutateur Juniper EX pour ce scénario :

Voici comment configurer une stratégie Cisco ISE pour activer l’accès invité :

  1. Dans Cisco ISE, choisissez Policy Sets > Wired Access (Ensembles de politiques accès filaire).
  2. Vérifiez que la stratégie d’authentification MAB WIRED est définie sur Points de terminaison internes pour le magasin de données et Continuer pour Si l’utilisateur est introuvable et Si le processus échoue.
  3. Créez deux stratégies d’autorisation. Si le client (MAC) est déjà enregistré dans le groupe d’identité GuestEndpoints, Cisco ISE enverra un message « Autoriser l’accès ». Sinon, Cisco ISE enverra un attribut CWA Redirect pour déplacer le client vers le portail invité Cisco ISE.

    Voici un exemple de configuration du profil d’autorisation de redirection invité.

    Note:

    Vous devrez configurer une adresse IP statique au lieu du nom de domaine complet pour que le filtre CWA fonctionne. Vous pouvez également utiliser un filtre de commutation Juniper avec une URL de redirection basée sur le nom de domaine complet.
  4. Vérifiez la configuration dans l’interface de ligne de commande du commutateur EX :

    Une fois que le client s’authentifie auprès de Cisco ISE, Cisco ISE envoie un CoA. Lors de la réauthentification, la sortie CLI du commutateur EX indique une authentification MAC réussie :

Configuration d’un port incolore à l’aide des attributs IETF Egress-VLAN-ID

Avec Junos 20.4 et versions ultérieures, vous pouvez configurer automatiquement les ports de commutation en ports d’accès/jonction et attribuer plusieurs VLAN en fonction de la réponse RADIUS (Cisco ISE). Par exemple, vous pouvez avoir une configuration de port commune sur le commutateur, puis le reconfigurer automatiquement en fonction de l’identité d’un périphérique connecté, tel qu’un point d’accès Mist, une imprimante ou un ordinateur portable d’entreprise.

Voici un exemple de port trunk configuré pour Mist AP avec un VLAN natif non étiqueté pour la gestion :

Par défaut, le port est configuré comme port d’accès avec 802.1X et MAC-Radius activés.

Voici comment créer une nouvelle stratégie de profileur dans Cisco ISE pour profiler automatiquement les points d’accès Mist basés sur Mist MAC-OUI. La stratégie du profileur enverra la configuration complète du port du commutateur (trunk, avec le vlan natif 51 et tous les autres VLAN requis balisés).

  1. Choisissez Stratégie > Profilage > Stratégies de profilage > Créer nouveau.
  2. Créez deux règles à l’aide des Radius_Calling_Station_ID_STARTSWITH 5c-5b-35 ou d2-20-b0 pour spécifier les oui Mist MAC actuels.
  3. Enregistrez votre stratégie de profileur.
  4. Accédez à votre stratégie de profileur et ajoutez une autre règle d’autorisation :

    Le profil d’autorisation ressemble à ceci :

Comment avons-nous obtenu tous les chiffres ci-dessus ? Nous avons utilisé la formule suivante :

  1. Créez des valeurs hexadécimales pour chaque VLAN que vous souhaitez pousser dans l’acceptation-accès. Le format hexadécimal est 0x31000005. Les sept premiers caractères peuvent être 0x31000 (balisés) ou 0x32000 (non étiquetés). Les trois derniers caractères sont l’ID VLAN réel converti en hexadécimal. Vous pouvez utiliser un convertisseur décimal en hexadécimal pour déterminer la valeur hexadécimale. Par exemple, pour envoyer un VLAN 51 non étiqueté, la valeur est 0x32000033.

  2. Une fois que vous avez entré cette valeur hexadécimale, reconvertissez la valeur entière en décimale. Vous pouvez utiliser ce convertisseur hexadécimal en décimal pour déterminer la valeur décimale.

    Dans cet exemple, si vous convertissez 0x32000033 en décimale, la valeur est 52428851.

  3. Configurez le profil d’autorisation Cisco ISE à l’aide de la valeur décimale.

  4. Branchez un point d’accès Mist et vérifiez la sortie :

Configuration du protocole 802.1X sur le commutateur EX

Configurer Windows 10

  1. Appuyez sur la touche Windows de votre clavier et recherchez services.msc.
  2. Cliquez avec le bouton droit de la souris pour activer le service de configuration automatique filaire.
  3. Choisissez Panneau de configuration > Centre Réseau et partage > Modifier les paramètres de la carte.
  4. Faites un clic droit sur l’adaptateur utilisé pour votre connexion filaire et sélectionnez Propriétés.
  5. Cliquez sur l’onglet Authentification , sélectionnez Microsoft Protected EAP, puis cliquez sur Paramètres.
  6. Désactivez la case à cocher pour vérifier le certificat d’identité du serveur.
    ATTENTION:

    Ceci est à des fins de test uniquement. Ne désactivez jamais cette option en production. Fournissez toujours à vos clients des certifications d’autorité de certification de confiance. Dans un environnement de production, vous devez installer le certificat Cisco ISE. Reportez-vous au Guide de l’administrateur de Cisco Identity Services Engine, version 2.4.

    Cliquez sur OK.

  7. Vous revenez à la fenêtre Propriétés d’Ethernet. Cliquez sur Paramètres supplémentaires.
  8. Sélectionnez Authentification utilisateur et cliquez sur Enregistrer les informations d’identification.
  9. Entrez le nom d’utilisateur et le mot de passe, par exemple utilisateur1, utilisateur2 ou utilisateur3.
  10. Cliquez sur OK.

Tests et validation

Vérifier l’état d’authentification du téléphone IP

  1. Après avoir connecté le téléphone IP au port ge-0/0/0, exécutez la commande pour vérifier qu’il est authentifié à l’aide du contournement de l’authentification show dot1x interface ge-0/0/0 MAC.
  2. Exécutez la commande pour afficher la show dot1x interface ge-0/0/0 detail sortie détaillée et vérifier que vous utilisez MAC Radius pour authentifier le téléphone IP.
  3. Exécutez la show ethernet-switching interface ge-0/0/0 commande pour vérifier que Cisco ISE a appliqué Voice VLAN 500 en tant que VLAN balisé sur le port ge-0/0/0.
  4. Exécutez la commande pour afficher la sortie LLDP et vérifier que le téléphone IP utilise le VLAN 500 balisé pour la show lldp neighbors interface ge-0/0/0 voix.
  5. Vérifiez l’état d’authentification dans Cisco ISE. Choisissez Operations > Live Logs.
  6. Choisissez Opérations > Sessions en direct.

Vérifier les connexions aux clients Windows 10

Vérifier l’utilisateur 1

  1. Entrez les informations d’identification dot1x dans Windows pour user1 et connectez le PC au téléphone IP. Vérifiez que user1 est authentifié :
  2. Vérifiez que Cisco ISE a appliqué Data VLAN 100 au port ge-0/0/0 :
  3. Affichez les journaux Cisco ISE. Choisissez Operations > Live Logs.
  4. Choisissez les opérations > sessions en direct

Vérifier l’utilisateur 2

  1. Remplacez les informations d’identification dans Windows par user2.
  2. Vérifiez que user2 est authentifié.
  3. Vérifiez que Cisco ISE a appliqué Data VLAN 100 et a également appliqué le filtre/ACL de pare-feu configuré localement appelé deny_all.
  4. Affichez les journaux Cisco ISE. Choisissez Operations -> Live Logs (Opérations Live Logs). Notez la politique d’autorisation différente appliquée pour user2, Data VLAN 100 + ACL deny_all.
  5. Choisissez Opérations > Sessions en direct.

Vérifier l’utilisateur 3

  1. Remplacez les informations d’identification dans Windows par user3.
  2. Vérifiez que user3 est authentifié.
  3. Vérifiez que Cisco ISE a appliqué Data VLAN 100 et a également appliqué un filtre de pare-feu/ACL dynamique/téléchargeable au demandeur.
  4. Vérifiez que le filtre de pare-feu est actif pour le demandeur. Les termes doivent être dans l’ordre suivant :

    • t0 est le premier terme

    • T1 est le deuxième terme

    • Le terme T sans nom t est le dernier terme à autoriser tout le trafic

  5. Affichez les journaux Cisco ISE. Choisissez Operations > Live Logs. Notez la politique d’autorisation différente appliquée pour l’utilisateur3, Données VLAN 100 + dACL.
  6. Choisissez Opérations > Sessions en direct.
  7. Vérifiez que user3 est authentifié.
  8. Affichez le journal Cisco ISE. Choisissez Operations > Live Sessions > Show CoA Actions > Session termination for user3.
  9. Cliquez sur Afficher les actions CoA et la fin de session.
  10. Vérifiez que la session utilisateur3 est terminée.

Vérifier la déconnexion de session CoA avec rebond de port

  1. Vérifiez que le téléphone IP est authentifié. (0004f228b69d1)
  2. Affichez le journal Cisco ISE. Choisissez Opérations > Sessions en direct > Afficher les actions CoA > la fin de session pour le téléphone IP.
  3. Cliquez sur Show CoA Actions (Afficher les actions CoA ), puis choisissez Session termination with port bounce.
  4. Exécutez la commande show dot1x interface et notez que toutes les sessions sont maintenant terminées car le port a été renvoyé.