Configure los conmutadores Cisco ISE y Juniper EX para la autenticación basada en 802.1X
Acerca de este ejemplo de configuración de red
Este ejemplo de configuración de red (NCE) muestra cómo configurar los conmutadores Cisco Identity Services Engine 2.X (Cisco ISE) y Juniper EX para la autenticación basada en IEEE 802.1X.
Visión general
Cisco ISE 2.X viene con muchos perfiles de dispositivos de red preimportados, pero no viene con uno para Juniper. Los perfiles de dispositivo de red especifican cómo manejar el radio MAC, la autenticación dot1x, la asignación de VLAN y ACL, y las funciones de CoA.
Cisco ISE le permite importar perfiles de dispositivos de red en formato XML, lo que permite la integración con cualquier dispositivo de red estándar IEEE 802.1X. En este ejemplo, se muestra cómo importar el perfil de dispositivo de red de Juniper y configurar los ajustes para permitir la autenticación basada en IEEE 802.1X con los conmutadores Cisco ISE y Juniper EX.
Topología
En este ejemplo, usamos la siguiente topología de red Figura 1:
Aquí hay más detalles sobre los componentes de hardware y software usados en este ejemplo:
Dispositivo |
Versión del software |
Rol |
---|---|---|
Juniper EX2300-C-12P |
Junos 18.2R1-S1 |
Conmutador y autenticador |
Cisco ISE |
2.4.0.357 Parche2-18080100 |
Servidor RADIUS |
Teléfono IP Polycom VVX 310 |
SIP/5.5.1.11526/22-nov-16 15:05 |
Suplicante (radio MAC) |
Windows 10 Professional |
Todos los parches recomendados a partir de 2018-08-22 |
Suplicante (Dot1x) |
Impresora de red |
N/A |
Suplicante (radio MAC) |
Juniper Mist AP43 |
0.6.18981 |
Suplicante (radio MAC) |
Todos los usuarios y puntos finales se almacenan en la base de datos interna de Cisco ISE.
Para la integración de bases de datos de usuarios externos, como Microsoft Active Directory, LDAP y autenticación basada en certificados, consulte la Guía del administrador de Cisco Identity Services Engine, versión 2.4.
Procedimiento paso a paso
- Importar el perfil de dispositivo cableado de Juniper
- Agregar conmutadores EX al perfil de dispositivo de Juniper
- Crear perfiles de autorización
- Crear grupos de identidades de extremo
- Agregar puntos de conexión
- Crear grupos de identidades de usuario
- Agregar usuarios
- Establecer políticas de autenticación
- Establecer políticas de autorización
- Configurar una política ISE de Cisco para habilitar el acceso de invitados
- Configurar un puerto incoloro mediante los atributos IETF Egress-VLAN-ID
- Configurar el protocolo 802.1X en el conmutador EX
- Configurar Windows 10
Importar el perfil de dispositivo cableado de Juniper
Suponiendo que tiene Cisco ISE funcionando en su red, lo primero que deberá hacer es agregar un perfil de dispositivo de conmutador EX de Juniper.
Agregar conmutadores EX al perfil de dispositivo de Juniper
Puede agregar sus conmutadores EX individualmente o como un rango de direcciones IP.
Crear perfiles de autorización
Los perfiles de autorización permiten aplicar diferentes atributos a usuarios o extremos. Puede cambiar la VLAN por nombre o por ID de VLAN. También puede asignar un filtro de firewall que ya haya configurado en el conmutador. En este ejemplo, creamos cuatro perfiles de autorización:
Juniper_VoIP_VLAN_500
Juniper_VoIP_VLAN_100
Juniper_VoIP_VLAN_100_ACL
Juniper_VoIP_VLAN_100_dACL
El primer perfil establece la VLAN de VoIP en 500 mediante el atributo Juniper-VoIP-VLAN.
El segundo perfil de autorización establece la VLAN de datos en 100 mediante el atributo RADIUS estándar para el ID de VLAN.
En Cisco ISE, elija Policy > Results y, a continuación, en el panel izquierdo, elija Authorization > Authorization Profiles (Perfiles de autorización autorización).
Asigne un nombre al perfil Juniper_VoIP_VLAN_100.
Establezca el ID o nombre de VLAN en 100.
Haga clic en Agregar.
El tercer perfil establece la VLAN de datos en 100 y aplica un filtro de firewall local/ACL al suplicante. Este filtro de firewall/ACL ya debe estar configurado en el conmutador. El filtro de firewall/ACL se aplica mediante el atributo Filter-ID radius estándar. Escriba el nombre del filtro local configurado en el conmutador.
En Cisco ISE, elija Policy > Results y, luego, en el panel izquierdo, elija Authorization > Authorization Profiles (Perfiles de autorización autorización).
Asigne un nombre al perfil Juniper_VoIP_VLAN_100_ACL.
En Tareas comunes, establezca ACL (ID de filtro) en Denegar todo.
Establezca el ID o nombre de VLAN en 100.
Haga clic en Agregar.
El cuarto perfil de autorización establece la VLAN de datos en 100 y aplica un filtro de firewall/ACL dinámico/descargable al suplicante. Este filtro de firewall/ACL se crea dinámicamente, por lo que no es necesario configurarlo localmente en el conmutador. Este perfil de autorización utiliza el atributo Juniper-Switching-Filter.
La sintaxis y los conjuntos de funciones difieren de los filtros o ACL normales del firewall de Junos. Varias entradas están separadas por comas. Consulte Condiciones y acciones de coincidencia de VSA de Juniper-Switching-Filter para obtener información sobre la sintaxis.
Crear grupos de identidades de extremo
Los puntos de conexión, como los teléfonos IP, se pueden agrupar en grupos de identidad de punto de conexión para facilitar la aplicación de atributos comunes, por ejemplo, VLAN VoIP.
Agregar puntos de conexión
El teléfono IP de Polycom en esta configuración no está configurado para la autenticación dot1x. En su lugar, confiamos en MAC RADIUS y MAC Authentication Bypass (MAB).
Crear grupos de identidades de usuario
Los grupos de identidades de usuario permiten aplicar atributos específicos a los usuarios que son miembros del grupo. En este ejemplo, creamos tres nuevos grupos de identidades de usuario:
VLAN_100_User_ID_Group
VLAN_100_ACL_User_ID_Group
VLAN_100_dACL_User_ID_Group
Agregar usuarios
En este ejemplo, creamos tres usuarios locales llamados user1, user2 y user3. Cada usuario se asigna a un grupo de identidad de usuario diferente.
Aquí hay una descripción general de los tres usuarios que acabamos de crear:
Establecer políticas de autenticación
La directiva de autenticación contiene tres entradas de forma predeterminada.
Las reglas MAB y dot1x predefinidas tienen condiciones vinculadas al perfil de dispositivo de red. Cuando las solicitudes provienen de un dispositivo Juniper, el conmutador utiliza automáticamente los atributos configurados en el perfil de dispositivo de red de Juniper para autenticar una solicitud MAB y dot1x. La directiva de autenticación denominada Predeterminada contiene una directiva de acceso a la red predeterminada para los protocolos permitidos. Esta política de acceso a la red es compatible con los conmutadores EX de Juniper.
En este ejemplo, usamos la directiva de autenticación predeterminada.
Perfil de acceso a red predeterminado de Cisco ISE
Esta es la configuración de Cisco ISE para el perfil de acceso a la red predeterminado para conmutadores EX de Juniper.
Establecer políticas de autorización
El orden de las directivas de autorización es importante y puede variar en función de su configuración. Asegúrese de no tener reglas más generales por encima de las reglas que está a punto de crear, de lo contrario no coincidirán.
En este ejemplo, creamos cuatro reglas nuevas, cada una con tres condiciones:
VLAN 500 para teléfonos IP Polycom conectados a conmutadores EX de Juniper
VLAN 100 para usuarios dot1x conectados a conmutadores EX de Juniper
VLAN 100 con ACL para usuarios dot1x conectados a conmutadores EX de Juniper
VLAN 100 con dACL para usuarios dot1x conectados a conmutadores EX de Juniper
- Expanda Política de autorización y haga clic en el botón + en la esquina superior izquierda de la pantalla.
- Escriba un nombre para la regla, por ejemplo, VLAN 500 for Polycom IP Phones connected to Juniper EX Switches.
- Haga clic en condición para abrir Condition Studio.
- Arrastre y suelte desde la biblioteca en el lado izquierdo hasta el editor en el lado derecho. Cree los diferentes atributos en los que desea coincidir.
- Cuando haya terminado, no haga clic en Guardar. En su lugar, haga clic en el botón USAR en la esquina inferior derecha.
Este es un ejemplo de Conditions Studio:
Analicemos estas cuatro nuevas reglas. Cada regla tiene tres condiciones. Las dos primeras condiciones son las mismas, pero la tercera condición coincide con un atributo diferente. Una regla se aplica a un puerto sólo cuando se cumplen las tres condiciones.
Regla |
Si el extremo |
A continuación, el conmutador asigna el puerto/suplicante a |
---|---|---|
VLAN 500 para teléfonos IP Polycom conectados a conmutadores EX de Juniper |
Pasa la autenticación de acceso a la red Y la solicitud proviene de un conmutador EX de Juniper Y el punto de conexión está en el grupo Polycom-IP-Phone |
VLAN de voz 500 |
VLAN 100 para usuarios dot1x conectados a conmutadores EX de Juniper |
Pasa la autenticación de acceso a la red Y la solicitud proviene de un conmutador EX de Juniper Y el punto de conexión está en el VLAN_100_User_ID_Group |
VLAN de datos 100 |
VLAN 100 con ACL para usuarios dot1x conectados a conmutadores EX de Juniper |
Pasa la autenticación de acceso a la red Y la solicitud proviene de un conmutador EX de Juniper Y el punto de conexión está en el VLAN_100_ACL_User_ID_Group |
VLAN de datos 100 y ACL |
VLAN 100 con dACL para usuarios dot1x conectados a conmutadores EX de Juniper |
Pasa la autenticación de acceso a la red Y la solicitud proviene de un conmutador EX de Juniper Y el punto de conexión está en el VLAN_100_dACL_User_ID_Group |
VLAN de datos 100 y una ACL dinámica/descargable |
Configurar una política ISE de Cisco para habilitar el acceso de invitados
Para casos de uso de acceso de invitados que involucran el portal de invitados de Cisco ISE, los conmutadores EX de Juniper admiten VSA Juniper-CWA-Redirect-URL junto con un JNPR_RSVD_FILTER_CWA especial de Filter-Id para redirigir clientes invitados desconocidos al portal de Cisco ISE. El siguiente diagrama describe el flujo de acceso de invitados con Cisco ISE:
Esta es la configuración del conmutador EX de Juniper para este escenario:
Aquí se explica cómo configurar una política ISE de Cisco para habilitar el acceso de invitados:
Configurar un puerto incoloro mediante los atributos IETF Egress-VLAN-ID
Con Junos 20.4 y versiones posteriores, puede configurar automáticamente puertos de conmutación en puertos de acceso/troncalización y asignar varias VLAN según la respuesta RADIUS (Cisco ISE). Por ejemplo, puede tener una configuración de puerto común en el conmutador y, a continuación, reconfigurarla automáticamente en función de la identidad de un dispositivo que se conecta, como un punto de acceso de Mist, una impresora o un portátil corporativo.
Este es un ejemplo de un puerto troncal configurado para Mist AP con una VLAN nativa sin etiquetar para administración:
De forma predeterminada, el puerto está configurado como puerto de acceso con 802.1X y MAC-Radius habilitados.
Aquí se explica cómo crear una nueva política de generador de perfiles en Cisco ISE para crear automáticamente perfiles de puntos de acceso de Mist basados en Mist MAC-OUI. La política del generador de perfiles enviará la configuración completa del puerto del conmutador (troncal, con VLAN 51 nativa y todas las demás VLAN requeridas etiquetadas).
¿Cómo obtuvimos todos los números anteriores? Utilizamos la siguiente fórmula:
Cree valores hexadecimales para cada VLAN que desee insertar en access-accept. El formato hexadecimal es 0x31000005. Los primeros siete caracteres pueden ser 0x31000 (etiquetados) o 0x32000 (sin etiquetar). Los últimos tres caracteres son el ID de VLAN real convertido a hexadecimal. Puede usar un convertidor de decimal a hexadecimal para calcular el valor hexadecimal. Por ejemplo, para enviar la VLAN 51 sin etiquetar, el valor es 0x32000033.
Una vez que ingrese este valor hexadecimal, vuelva a convertir todo el valor a decimal. Puede usar este convertidor de hexadecimal a decimal para calcular el valor decimal.
En este ejemplo, si convierte 0x32000033 a decimal, el valor es 52428851.
Configure el perfil de autorización de Cisco ISE utilizando el valor decimal.
Conecte un AP de Mist y verifique el resultado:
Configurar el protocolo 802.1X en el conmutador EX
Configurar Windows 10
Pruebas y validación
- Verificar el estado de autenticación del teléfono IP
- Comprobar las conexiones a clientes de Windows 10
Verificar el estado de autenticación del teléfono IP
Comprobar las conexiones a clientes de Windows 10
- Verificar usuario 1
- Verificar usuario 2
- Verificar usuario 3
- Verificar la desconexión de la sesión de CoA con el rebote del puerto