Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Configure los conmutadores Cisco ISE y Juniper EX para la autenticación basada en 802.1X

Acerca de este ejemplo de configuración de red

Este ejemplo de configuración de red (NCE) muestra cómo configurar los conmutadores Cisco Identity Services Engine 2.X (Cisco ISE) y Juniper EX para la autenticación basada en IEEE 802.1X.

Visión general

Cisco ISE 2.X viene con muchos perfiles de dispositivos de red preimportados, pero no viene con uno para Juniper. Los perfiles de dispositivo de red especifican cómo manejar el radio MAC, la autenticación dot1x, la asignación de VLAN y ACL, y las funciones de CoA.

Cisco ISE le permite importar perfiles de dispositivos de red en formato XML, lo que permite la integración con cualquier dispositivo de red estándar IEEE 802.1X. En este ejemplo, se muestra cómo importar el perfil de dispositivo de red de Juniper y configurar los ajustes para permitir la autenticación basada en IEEE 802.1X con los conmutadores Cisco ISE y Juniper EX.

Topología

En este ejemplo, usamos la siguiente topología de red Figura 1:

Figura 1: Ejemplo de topología Example Topology

Aquí hay más detalles sobre los componentes de hardware y software usados en este ejemplo:

Dispositivo

Versión del software

Rol

Juniper EX2300-C-12P

Junos 18.2R1-S1

Conmutador y autenticador

Cisco ISE

2.4.0.357 Parche2-18080100

Servidor RADIUS

Teléfono IP Polycom VVX 310

SIP/5.5.1.11526/22-nov-16 15:05

Suplicante (radio MAC)

Windows 10 Professional

Todos los parches recomendados a partir de 2018-08-22

Suplicante (Dot1x)

Impresora de red

N/A

Suplicante (radio MAC)

Juniper Mist AP43

0.6.18981

Suplicante (radio MAC)

Todos los usuarios y puntos finales se almacenan en la base de datos interna de Cisco ISE.

Para la integración de bases de datos de usuarios externos, como Microsoft Active Directory, LDAP y autenticación basada en certificados, consulte la Guía del administrador de Cisco Identity Services Engine, versión 2.4.

Procedimiento paso a paso

Importar el perfil de dispositivo cableado de Juniper

Suponiendo que tiene Cisco ISE funcionando en su red, lo primero que deberá hacer es agregar un perfil de dispositivo de conmutador EX de Juniper.

  1. Descargue el perfil de dispositivo de conmutador EX más reciente de Juniper para Cisco ISE (validado con Cisco ISE 2.7).
  2. En Cisco ISE, elija Administration > Network Resources > Network Device Profiles.
  3. Haga clic en Importar y seleccione el perfil de dispositivo del conmutador Juniper EX que descargó en el paso 1. Una vez que importe el perfil de dispositivo de red de Juniper, aparecerá en la lista de perfiles de dispositivos de red ISE de Cisco como Juniper_Wired.

Agregar conmutadores EX al perfil de dispositivo de Juniper

Puede agregar sus conmutadores EX individualmente o como un rango de direcciones IP.

  1. En Cisco ISE, elija Administration > Network Resources > Network Devices (Administración recursos de red).
  2. En la pantalla Dispositivo de red, seleccione el perfil de dispositivo Juniper_Wired.
  3. Proporcione un nombre y una dirección IP para el conmutador EX. Si va a agregar varios conmutadores EX, puede especificar un intervalo de direcciones IP.
  4. Especifique una contraseña RADIUS. Lo necesitará más adelante cuando configure los conmutadores EX.

Crear perfiles de autorización

Los perfiles de autorización permiten aplicar diferentes atributos a usuarios o extremos. Puede cambiar la VLAN por nombre o por ID de VLAN. También puede asignar un filtro de firewall que ya haya configurado en el conmutador. En este ejemplo, creamos cuatro perfiles de autorización:

  • Juniper_VoIP_VLAN_500

  • Juniper_VoIP_VLAN_100

  • Juniper_VoIP_VLAN_100_ACL

  • Juniper_VoIP_VLAN_100_dACL

El primer perfil establece la VLAN de VoIP en 500 mediante el atributo Juniper-VoIP-VLAN.

  1. En Cisco ISE, elija Policy > Results y, luego, en el panel izquierdo, elija Authorization > Authorization Profiles (Perfiles de autorización autorización).
  2. Asigne un nombre al perfil Juniper_VoIP_VLAN_500.
  3. Establezca el ID o nombre de VLAN en 500.
  4. Haga clic en Agregar.

El segundo perfil de autorización establece la VLAN de datos en 100 mediante el atributo RADIUS estándar para el ID de VLAN.

  1. En Cisco ISE, elija Policy > Results y, a continuación, en el panel izquierdo, elija Authorization > Authorization Profiles (Perfiles de autorización autorización).

  2. Asigne un nombre al perfil Juniper_VoIP_VLAN_100.

  3. Establezca el ID o nombre de VLAN en 100.

  4. Haga clic en Agregar.

El tercer perfil establece la VLAN de datos en 100 y aplica un filtro de firewall local/ACL al suplicante. Este filtro de firewall/ACL ya debe estar configurado en el conmutador. El filtro de firewall/ACL se aplica mediante el atributo Filter-ID radius estándar. Escriba el nombre del filtro local configurado en el conmutador.

  1. En Cisco ISE, elija Policy > Results y, luego, en el panel izquierdo, elija Authorization > Authorization Profiles (Perfiles de autorización autorización).

  2. Asigne un nombre al perfil Juniper_VoIP_VLAN_100_ACL.

  3. En Tareas comunes, establezca ACL (ID de filtro) en Denegar todo.

  4. Establezca el ID o nombre de VLAN en 100.

  5. Haga clic en Agregar.

El cuarto perfil de autorización establece la VLAN de datos en 100 y aplica un filtro de firewall/ACL dinámico/descargable al suplicante. Este filtro de firewall/ACL se crea dinámicamente, por lo que no es necesario configurarlo localmente en el conmutador. Este perfil de autorización utiliza el atributo Juniper-Switching-Filter.

Nota:

La sintaxis y los conjuntos de funciones difieren de los filtros o ACL normales del firewall de Junos. Varias entradas están separadas por comas. Consulte Condiciones y acciones de coincidencia de VSA de Juniper-Switching-Filter para obtener información sobre la sintaxis.

Crear grupos de identidades de extremo

Los puntos de conexión, como los teléfonos IP, se pueden agrupar en grupos de identidad de punto de conexión para facilitar la aplicación de atributos comunes, por ejemplo, VLAN VoIP.

  1. En Cisco ISE, elija Administration > Groups > Endpoint Identity Groups (Grupos identidad de punto final).
  2. Haga clic en Agregar.
  3. Escriba un nombre y una descripción en Grupo de identidad de punto de conexión.
  4. Haga clic en Enviar.

Agregar puntos de conexión

El teléfono IP de Polycom en esta configuración no está configurado para la autenticación dot1x. En su lugar, confiamos en MAC RADIUS y MAC Authentication Bypass (MAB).

  1. En Cisco ISE, elija Visibilidad del contexto > puntos finales.
  2. Haga clic en +.
  3. Agregue la dirección MAC del teléfono IP y asígnele un grupo de políticas.
  4. Haga clic en Guardar.

Crear grupos de identidades de usuario

Los grupos de identidades de usuario permiten aplicar atributos específicos a los usuarios que son miembros del grupo. En este ejemplo, creamos tres nuevos grupos de identidades de usuario:

  • VLAN_100_User_ID_Group

  • VLAN_100_ACL_User_ID_Group

  • VLAN_100_dACL_User_ID_Group

  1. En Cisco ISE, elija Administration > Groups > User Identity Groups.
  2. Haga clic en Agregar.
  3. Escriba un nombre para el grupo de identidades de usuario y haga clic en Enviar.

Agregar usuarios

En este ejemplo, creamos tres usuarios locales llamados user1, user2 y user3. Cada usuario se asigna a un grupo de identidad de usuario diferente.

  1. En Cisco ISE, elija Administration >Identity Management.
  2. Haga clic en Agregar.
  3. Introduzca un nombre y una contraseña de inicio de sesión.
  4. En la lista desplegable Grupos de usuarios, elija el grupo de identidad de usuario que desea asignar al nuevo usuario.

    En este ejemplo, asignamos los nuevos usuarios a estos grupos de identidades de usuario:

    • Usuario1 a VLAN_100_User_ID_Group

    • usuario2 a VLAN_100_ACL_User_ID_Group

    • usuario3 a VLAN_100_dACL_User_ID_Group

Aquí hay una descripción general de los tres usuarios que acabamos de crear:

Establecer políticas de autenticación

La directiva de autenticación contiene tres entradas de forma predeterminada.

Las reglas MAB y dot1x predefinidas tienen condiciones vinculadas al perfil de dispositivo de red. Cuando las solicitudes provienen de un dispositivo Juniper, el conmutador utiliza automáticamente los atributos configurados en el perfil de dispositivo de red de Juniper para autenticar una solicitud MAB y dot1x. La directiva de autenticación denominada Predeterminada contiene una directiva de acceso a la red predeterminada para los protocolos permitidos. Esta política de acceso a la red es compatible con los conmutadores EX de Juniper.

En este ejemplo, usamos la directiva de autenticación predeterminada.

  1. Elija Policy > Policy Sets (Conjuntos de directivas).
  2. Haga clic en > situado en el extremo derecho del conjunto de directivas predeterminado y elija Acceso a la red predeterminado en el cuadro desplegable.

Perfil de acceso a red predeterminado de Cisco ISE

Esta es la configuración de Cisco ISE para el perfil de acceso a la red predeterminado para conmutadores EX de Juniper.

Establecer políticas de autorización

El orden de las directivas de autorización es importante y puede variar en función de su configuración. Asegúrese de no tener reglas más generales por encima de las reglas que está a punto de crear, de lo contrario no coincidirán.

En este ejemplo, creamos cuatro reglas nuevas, cada una con tres condiciones:

  • VLAN 500 para teléfonos IP Polycom conectados a conmutadores EX de Juniper

  • VLAN 100 para usuarios dot1x conectados a conmutadores EX de Juniper

  • VLAN 100 con ACL para usuarios dot1x conectados a conmutadores EX de Juniper

  • VLAN 100 con dACL para usuarios dot1x conectados a conmutadores EX de Juniper

  1. Expanda Política de autorización y haga clic en el botón + en la esquina superior izquierda de la pantalla.
  2. Escriba un nombre para la regla, por ejemplo, VLAN 500 for Polycom IP Phones connected to Juniper EX Switches.
  3. Haga clic en condición para abrir Condition Studio.
  4. Arrastre y suelte desde la biblioteca en el lado izquierdo hasta el editor en el lado derecho. Cree los diferentes atributos en los que desea coincidir.
  5. Cuando haya terminado, no haga clic en Guardar. En su lugar, haga clic en el botón USAR en la esquina inferior derecha.

Este es un ejemplo de Conditions Studio:

Analicemos estas cuatro nuevas reglas. Cada regla tiene tres condiciones. Las dos primeras condiciones son las mismas, pero la tercera condición coincide con un atributo diferente. Una regla se aplica a un puerto sólo cuando se cumplen las tres condiciones.

Regla

Si el extremo

A continuación, el conmutador asigna el puerto/suplicante a

VLAN 500 para teléfonos IP Polycom conectados a conmutadores EX de Juniper

Pasa la autenticación de acceso a la red Y la solicitud proviene de un conmutador EX de Juniper Y el punto de conexión está en el grupo Polycom-IP-Phone

VLAN de voz 500

VLAN 100 para usuarios dot1x conectados a conmutadores EX de Juniper

Pasa la autenticación de acceso a la red Y la solicitud proviene de un conmutador EX de Juniper Y el punto de conexión está en el VLAN_100_User_ID_Group

VLAN de datos 100

VLAN 100 con ACL para usuarios dot1x conectados a conmutadores EX de Juniper

Pasa la autenticación de acceso a la red Y la solicitud proviene de un conmutador EX de Juniper Y el punto de conexión está en el VLAN_100_ACL_User_ID_Group

VLAN de datos 100 y ACL

VLAN 100 con dACL para usuarios dot1x conectados a conmutadores EX de Juniper

Pasa la autenticación de acceso a la red Y la solicitud proviene de un conmutador EX de Juniper Y el punto de conexión está en el VLAN_100_dACL_User_ID_Group

VLAN de datos 100 y una ACL dinámica/descargable

Configurar una política ISE de Cisco para habilitar el acceso de invitados

Para casos de uso de acceso de invitados que involucran el portal de invitados de Cisco ISE, los conmutadores EX de Juniper admiten VSA Juniper-CWA-Redirect-URL junto con un JNPR_RSVD_FILTER_CWA especial de Filter-Id para redirigir clientes invitados desconocidos al portal de Cisco ISE. El siguiente diagrama describe el flujo de acceso de invitados con Cisco ISE:

Esta es la configuración del conmutador EX de Juniper para este escenario:

Aquí se explica cómo configurar una política ISE de Cisco para habilitar el acceso de invitados:

  1. En Cisco ISE, elija Policy Sets > Wired Access (Conjuntos de políticas acceso por cable).
  2. Compruebe que la política de autenticación MAB de WIRED esté establecida en Extremos internos para el almacén de datos y Continuar para Si no se encuentra el usuario y Si el proceso falla.
  3. Cree dos directivas de autorización. Si el cliente (MAC) ya está registrado en el grupo de identidad GuestEndpoints, Cisco ISE enviará un mensaje de "Permitir acceso". De lo contrario, Cisco ISE enviará un atributo CWA Redirect para mover el cliente al portal de invitados de Cisco ISE.

    Este es un ejemplo de la configuración del perfil de autorización de Guest Redirect Cableled.

    Nota:

    Deberá configurar una dirección IP estática en lugar del FQDN para que funcione el filtro CWA. Como alternativa, puede usar un filtro de conmutación de Juniper con una URL de redireccionamiento basada en FQDN.

  4. Verifique la configuración en la CLI del conmutador EX:

    Una vez que el cliente se autentica con Cisco ISE, Cisco ISE envía un CoA. Tras la reautenticación, la salida de la CLI para el conmutador EX muestra una autenticación MAC correcta:

Configurar un puerto incoloro mediante los atributos IETF Egress-VLAN-ID

Con Junos 20.4 y versiones posteriores, puede configurar automáticamente puertos de conmutación en puertos de acceso/troncalización y asignar varias VLAN según la respuesta RADIUS (Cisco ISE). Por ejemplo, puede tener una configuración de puerto común en el conmutador y, a continuación, reconfigurarla automáticamente en función de la identidad de un dispositivo que se conecta, como un punto de acceso de Mist, una impresora o un portátil corporativo.

Este es un ejemplo de un puerto troncal configurado para Mist AP con una VLAN nativa sin etiquetar para administración:

De forma predeterminada, el puerto está configurado como puerto de acceso con 802.1X y MAC-Radius habilitados.

Aquí se explica cómo crear una nueva política de generador de perfiles en Cisco ISE para crear automáticamente perfiles de puntos de acceso de Mist basados en Mist MAC-OUI. La política del generador de perfiles enviará la configuración completa del puerto del conmutador (troncal, con VLAN 51 nativa y todas las demás VLAN requeridas etiquetadas).

  1. Elija Política > Generación de perfiles > Directivas de generación de perfiles > Crear nuevas.
  2. Cree dos reglas con Radius_Calling_Station_ID_STARTSWITH 5c-5b-35 o d2-20-b0 para especificar las OUI actuales de MAC de Mist.
  3. Guarde su política de generador de perfiles.
  4. Vaya a la política del generador de perfiles y agregue otra regla de autorización:

    El perfil de autorización tiene este aspecto:

¿Cómo obtuvimos todos los números anteriores? Utilizamos la siguiente fórmula:

  1. Cree valores hexadecimales para cada VLAN que desee insertar en access-accept. El formato hexadecimal es 0x31000005. Los primeros siete caracteres pueden ser 0x31000 (etiquetados) o 0x32000 (sin etiquetar). Los últimos tres caracteres son el ID de VLAN real convertido a hexadecimal. Puede usar un convertidor de decimal a hexadecimal para calcular el valor hexadecimal. Por ejemplo, para enviar la VLAN 51 sin etiquetar, el valor es 0x32000033.

  2. Una vez que ingrese este valor hexadecimal, vuelva a convertir todo el valor a decimal. Puede usar este convertidor de hexadecimal a decimal para calcular el valor decimal.

    En este ejemplo, si convierte 0x32000033 a decimal, el valor es 52428851.

  3. Configure el perfil de autorización de Cisco ISE utilizando el valor decimal.

  4. Conecte un AP de Mist y verifique el resultado:

Configurar el protocolo 802.1X en el conmutador EX

Configurar Windows 10

  1. Presione la tecla Windows en su teclado y busque services.msc.
  2. Haga clic con el botón derecho para habilitar el servicio de configuración automática por cable.
  3. Elija Panel de control > Centro de redes y recursos compartidos > Cambiar configuración del adaptador.
  4. Haga clic derecho en el adaptador utilizado para su conexión por cable y seleccione Propiedades.
  5. Haga clic en la pestaña Autenticación , seleccione Microsoft Protected EAP y, a continuación, haga clic en Configuración.
  6. Desactive la casilla para comprobar el certificado de identidad del servidor.
    CAUTELA:

    Esto es solo para fines de prueba. Nunca desactive esto en producción. Aprovisione siempre a sus clientes certificaciones de CA de confianza. En un entorno de producción, debe instalar el certificado Cisco ISE. Consulte la Guía del administrador de Cisco Identity Services Engine, versión 2.4.

    Haga clic en Aceptar.

  7. Volverá a la ventana Propiedades de Ethernet. Haga clic en Configuración adicional.
  8. Seleccione Autenticación de usuario y haga clic en Guardar credenciales.
  9. Escriba el nombre de usuario y la contraseña, por ejemplo, usuario1, usuario2 o usuario3.
  10. Haga clic en Aceptar.

Pruebas y validación

Verificar el estado de autenticación del teléfono IP

  1. Después de conectar el teléfono IP al puerto ge-0/0/0, ejecute el comando para verificar que está autenticado mediante la show dot1x interface ge-0/0/0 omisión de autenticación MAC.
  2. Ejecute el show dot1x interface ge-0/0/0 detail comando para ver el resultado detallado y comprobar que está utilizando MAC Radius para autenticar el teléfono IP.
  3. Ejecute el show ethernet-switching interface ge-0/0/0 comando para verificar que Cisco ISE ha aplicado Voice VLAN 500 como VLAN etiquetada en el puerto ge-0/0/0.
  4. Ejecute el show lldp neighbors interface ge-0/0/0 comando para ver la salida LLDP y comprobar que el teléfono IP está utilizando VLAN 500 etiquetada para voz.
  5. Verifique el estado de autenticación en Cisco ISE. Elija Operaciones > registros activos.
  6. Elija Operaciones > Sesiones en vivo.

Comprobar las conexiones a clientes de Windows 10

Verificar usuario 1

  1. Introduzca las credenciales dot1x en Windows para el usuario1 y conecte el equipo al teléfono IP. Compruebe que user1 está autenticado:
  2. Verifique que Cisco ISE haya aplicado Data VLAN 100 al puerto ge-0/0/0:
  3. Vea los registros de Cisco ISE. Elija Operaciones > registros activos.
  4. Elija operaciones > sesiones en vivo

Verificar usuario 2

  1. Cambie las credenciales de Windows a user2.
  2. Compruebe que user2 está autenticado.
  3. Verifique que Cisco ISE haya aplicado Data VLAN 100 y también haya aplicado el filtro de firewall configurado localmente / ACL llamado deny_all.
  4. Vea los registros de Cisco ISE. Elija Operaciones -> registros activos. Tenga en cuenta la diferente política de autorización aplicada para el usuario2, VLAN de datos 100 + ACL deny_all.
  5. Elija Operaciones > Sesiones en vivo.

Verificar usuario 3

  1. Cambie las credenciales en Windows a usuario3.
  2. Compruebe que user3 está autenticado.
  3. Verifique que Cisco ISE haya aplicado Data VLAN 100 y también haya aplicado un filtro de firewall dinámico/descargable/ACL al suplicante.
  4. Compruebe que el filtro de firewall esté activo para el suplicante. Los términos deben estar en este orden:
    • t0 es el primer término

    • T1 es el segundo término

    • El término t sin un nombre t es el último término que permite todo el tráfico

  5. Vea los registros de Cisco ISE. Elija Operaciones > registros activos. Tenga en cuenta la política de autorización diferente aplicada para el usuario3, VLAN de datos 100 + dACL.
  6. Elija Operaciones > Sesiones en vivo.
  7. Compruebe que user3 está autenticado.
  8. Vea el registro de Cisco ISE. Elija Operaciones > Sesiones en vivo > Mostrar acciones de CoA > Finalización de sesión para el usuario3.
  9. Haga clic en Mostrar acciones de CoA y finalización de sesión.
  10. Compruebe que la sesión de usuario3 ha finalizado.

Verificar la desconexión de la sesión de CoA con el rebote del puerto

  1. Verifique que el teléfono IP esté autenticado. (0004f228b69d1)
  2. Vea el registro de Cisco ISE. Elija Operaciones > sesiones en vivo > mostrar acciones de CoA > Terminación de sesión para teléfono IP.
  3. Haga clic en Mostrar acciones de CoA y, a continuación, seleccione Finalización de sesión con rebote de puerto.
  4. Ejecute el comando show dot1x interface y observe que todas las sesiones han finalizado porque el puerto rebotó.