溫馨提示×

您好,登錄后才能下訂單哦!

密碼登錄×
登錄注冊(cè)×
其他方式登錄
點(diǎn)擊 登錄注冊(cè) 即表示同意《億速云用戶服務(wù)條款》

Cisco ISE + Windows Server 2008 實(shí)驗(yàn)

發(fā)布時(shí)間:2020-07-14 07:56:04 來源:網(wǎng)絡(luò) 閱讀:12741 作者:arckyli 欄目:網(wǎng)絡(luò)管理

     實(shí)驗(yàn)說明:此實(shí)驗(yàn)參考生產(chǎn)環(huán)境中某部分環(huán)境搭建而成,此環(huán)境Windows Server 2008用于登錄用戶、MAC等賬號(hào)的認(rèn)證,Cisco ISE用于認(rèn)證授權(quán)等,無線部分利用VMWLC + Cisco 1702AP測(cè)試測(cè)試。因?yàn)闉閷?shí)驗(yàn)環(huán)境,整體網(wǎng)絡(luò)架構(gòu)所有節(jié)點(diǎn)為單點(diǎn);Cisco ISE部分功能沒有應(yīng)用上,如測(cè)試PC端的補(bǔ)丁、防毒補(bǔ)丁、設(shè)備認(rèn)證等(此部分在生產(chǎn)環(huán)境上實(shí)施),下圖為此實(shí)驗(yàn)的網(wǎng)絡(luò)架構(gòu)圖。

    Windows AD:  172.16.1.199 

    Cisco VMISE: 172.16.1.103

    CISCO VMWLC: 172.16.1.201

    另外要說明的是,在生產(chǎn)環(huán)境中,無線AC建議不要使用Vlan 1作為管理Vlan。

Cisco ISE + Windows Server 2008 實(shí)驗(yàn)

1.Windwos Server 2008設(shè)定管理部分
   1.1 Windows Server安裝AD / DNS 并設(shè)定Domain: vmwlc.com,服務(wù)器名稱為VMAD.VMWLC.COM(172.16.1.199)
   1.2 Windows AD設(shè)定五個(gè)OU以及userGroup:


    • iseGroup1: 用于802.1X授權(quán)用戶存放單元,userGroup設(shè)定為isegroup;

    • iseGroup2: 用于交換機(jī)登錄授權(quán)用戶存入單元,權(quán)限為Priv1,userGroup設(shè)定為isegroup02;

    • NetDeviceManager: 用于交換機(jī)登錄授權(quán)用戶存入單元,權(quán)限為Priv15,userGroup設(shè)定為NetDeviceManager;

    • MACAddress :用于MAB授權(quán)MAC      Address存入授權(quán)單元,userGroup設(shè)定為MacAddressGroup,MACAddress格式為00-00-00-00-00-00;

    • iseWebGroup: 用于無線網(wǎng)絡(luò)WEB授權(quán)用戶存放單元,userGroup設(shè)定為isewebGroup;

   1.3 添加ISEDNS Domain防問:ISE103.VMWLC.COM (172.16.1.103) / ISE104.VMWLC.COM (172.16.1.104);
   1.4 Windows Server安裝IIS,并設(shè)定http/https兩協(xié)議都可以互相通信,目的為ISE提供證書申請(qǐng);
2. CISCO ISE設(shè)定管理部分
  2.1 ISE添加至WindowsAD并設(shè)定DNS

Cisco ISE + Windows Server 2008 實(shí)驗(yàn)

     上圖為ISE加入Windows Domain圖  

Cisco ISE + Windows Server 2008 實(shí)驗(yàn)

     上圖為ISE 加入Windows Domain后所產(chǎn)生Authentication Domains 信息

Cisco ISE + Windows Server 2008 實(shí)驗(yàn)

       上圖為Windows DNS解析名稱與IP設(shè)定
   2.2 ISE添加Windows AD Group,所有網(wǎng)絡(luò)設(shè)備認(rèn)證、MAB、802.1X等認(rèn)證授權(quán)等用戶全部來自于Windows AD userGroup,如下圖:
   Cisco ISE + Windows Server 2008 實(shí)驗(yàn)

3. 網(wǎng)絡(luò)設(shè)備認(rèn)證、授權(quán)設(shè)定
   3.1 交換機(jī)部分
      aaa aaa new-model
       aaa authentication login nocon linenone
       aaa authentication login vty group radius local
       aaa authorization exec vty group radius local
       aaa authorization network default group radius
       aaa accounting exec vty start-stop group radius
       radius-server host 172.16.1.103 key cisco(此設(shè)備間通信認(rèn)證密碼由用戶自定義)
       line vty 0 4
       authorization exec vty
       login authentication vty
   3.2 Cisco ISE設(shè)定部分

  • ISE NetworkDevice 管理需增加NeworkDeviceGroup以及添加設(shè)備,DeviceGroup分兩部分:

    a.設(shè)備類類型分組;

    b.區(qū)域分組,分組目的是為授權(quán)可以不同設(shè)備類型以及區(qū)域群組做授權(quán),如下圖設(shè)備組以及區(qū)域組設(shè)定:

Cisco ISE + Windows Server 2008 實(shí)驗(yàn)

  • ISE NetworkDevice添加被管理設(shè)備并分配至不同設(shè)備組,如下圖:

Cisco ISE + Windows Server 2008 實(shí)驗(yàn)

  • 設(shè)定用戶防問交換機(jī)的Authention Policy,名稱為Switch_Authen->條件:Device type EQUALS     Device Type#All Device Type#2960G Group(此Group為已經(jīng)定義好的NetworkDeviceGroup)->協(xié)議:DefaultNetworkAccess->用戶為:ISE-03(即是已經(jīng)加入Winows AD域名稱),如下圖:

Cisco ISE + Windows Server 2008 實(shí)驗(yàn)

  • 設(shè)定用戶防問交換的Authorization Policy,分別設(shè)定Swich_Author_Priv1與Switch_Author_Priv15兩個(gè)條件,如下圖:

Cisco ISE + Windows Server 2008 實(shí)驗(yàn)

   上圖為Swich_Author_Priv1授權(quán)圖, Advanced AttributesSettings: Cisco:cisco-av-pri =  priv-lvl=1
   Cisco ISE + Windows Server 2008 實(shí)驗(yàn)

  上圖為Swich_Author_Priv1授權(quán)圖,Advanced Attributes Settings: Cisco:cisco-av-pri =  priv-lvl=15

  • 分別設(shè)定用戶防問網(wǎng)絡(luò)設(shè)備的Switch_Author_1與Swith_Author_15的Authorization Policy,如下圖:

Cisco ISE + Windows Server 2008 實(shí)驗(yàn)

  上圖為用戶防問網(wǎng)絡(luò)設(shè)備的Authorization Policy,其中usergroup:iserGroup02條為Switch_Author_Priv1為的只有priv 1 權(quán)限,NetDeviceManager條件為Switch_Author_Priv15權(quán)限為priv 15,如下圖:

Cisco ISE + Windows Server 2008 實(shí)驗(yàn)   Cisco ISE + Windows Server 2008 實(shí)驗(yàn)

   Cisco ISE + Windows Server 2008 實(shí)驗(yàn)


4.ISE MAB認(rèn)證、授權(quán)設(shè)定部分
  4.1 網(wǎng)絡(luò)交換機(jī)設(shè)定部分

  • 在交換機(jī)上啟用 Radius Radius 認(rèn)證 ,以下為配置內(nèi)容

    aaa new-model

    aaa authentication dot1x default group radius

    aaa authorization network default group radius

    aaa accounting dot1x default start-stop group radius

    aaa server radius dynamic-author

    client 172.16.1.103 server-keycisco

    ip device tracking

    dot1x system-auth-control

    radius-server attribute 6 on-for-login-auth

    radius-server attribute 8 include-in-access-req

    radius-server attribute 25 access-request include

    radius-server dead-criteria time 5 tries 3

    radius-server host 172.16.1.103 auth-port1812 acct-port 1813

    radius-server key cisco

    radius-server vsa send accounting

    radius-server vsa send authentication

 

  • 在連接AP交換機(jī)端口G1/0/13上啟用 MAB和Dot1X認(rèn)證,配置如下:

    interface GigabitEthernet1/0/17

    switchport access vlan 11

    switchport mode access

    ip access-group ACL-DEFAULT in

    authentication event fail action next-method

    authentication event server dead action authorize vlan 12

    authentication event server alive action reinitialize

    authentication host-mode multi-auth

    authentication open

    authentication order dot1x mab

    authentication priority dot1x mab

    authentication port-control auto

    authentication violation restrict

    mab

    dot1x pae authenticator

    spanning-tree portfast

 

  • 設(shè)定基本的ACL: ACL-DEFAULT,配置如下:

    ip access-list extended ACL-DEFAULT

    permit udp any eq bootpc any eq bootps

    permit udp any any eq domain

    permit icmp any any

    permit udp any any eq tftp

    deny   ip any any

 

  4.2 ISE設(shè)定部分

  • Policy選項(xiàng)結(jié)果內(nèi)設(shè)定Authorization     Profile為Wifi_MAB_Guest_Autor(有線網(wǎng)絡(luò)與無線網(wǎng)絡(luò)設(shè)定原理一樣),DACLName: PERMIT_ALL_TRAFFIC,Vlan: ID/11即是交換機(jī)上所設(shè)定的vlanID

Cisco ISE + Windows Server 2008 實(shí)驗(yàn)

  • Authentication Policy 設(shè)定,條件設(shè)定為Wireless_MAB或是Wire_MAB,協(xié)議為DefaultNetworkAccess,用戶為用戶為:ISE-03(即是已經(jīng)加入Winows AD域名稱),如下圖:

Cisco ISE + Windows Server 2008 實(shí)驗(yàn)

  • Authorization Policy設(shè)定,條件為Windows     AD里的MacAddressGroup組內(nèi)mac     Address,條件為預(yù)設(shè)定的Wifi_MAB_Guest_Author,如下圖:

Cisco ISE + Windows Server 2008 實(shí)驗(yàn)

  • 下圖為已經(jīng)認(rèn)證授權(quán)通過的Wifi MAB記錄:

Cisco ISE + Windows Server 2008 實(shí)驗(yàn)

  • 下圖為有線用戶認(rèn)證授權(quán)通過的MAB信息,

       a.  獲取到相應(yīng)的VlanID: 11;
       b.  獲取到相應(yīng)的ACS ACL:xACSACLx-IP-PERMIT_ALL_TRAFFIC-56161e32;
       c.  分配至相應(yīng)的IP Address:172.16.5.137
       d.  MABAuthorization Success
  Cisco ISE + Windows Server 2008 實(shí)驗(yàn)

5. 有線/無線網(wǎng)絡(luò)802.1X MAB 認(rèn)證設(shè)定部分(有線部分802.1X認(rèn)證設(shè)定跟MAB基本一樣,不需要重新設(shè)定,以下部分只包括無線部分):
   5.1 無線控制器WLC設(shè)定部分(只部分控制器設(shè)定部分,不包括無線控制器的安裝以及AP設(shè)定部分)

  • 分別增加Radiu Authentication / Accounting,如下圖:

Cisco ISE + Windows Server 2008 實(shí)驗(yàn)

Cisco ISE + Windows Server 2008 實(shí)驗(yàn)

  • 增加SSID,并且設(shè)定如下:

Cisco ISE + Windows Server 2008 實(shí)驗(yàn)

Cisco ISE + Windows Server 2008 實(shí)驗(yàn)

Cisco ISE + Windows Server 2008 實(shí)驗(yàn)

Cisco ISE + Windows Server 2008 實(shí)驗(yàn)

  • AP設(shè)定,ap Mode: Flexconnect

Cisco ISE + Windows Server 2008 實(shí)驗(yàn)

Cisco ISE + Windows Server 2008 實(shí)驗(yàn)

 5.2 CISCO ISE設(shè)定部分

  • Policy先項(xiàng)結(jié)果內(nèi)設(shè)定Authentication     Allowed Protocols,名字為Dot1x_EAP_Authen,因只做Dot1x認(rèn)證,只選擇部分協(xié)議,如下圖:

Cisco ISE + Windows Server 2008 實(shí)驗(yàn)

  • Policy選項(xiàng)結(jié)果內(nèi)設(shè)定Authorization     Profile為Dot1x_EAP_Author(有線網(wǎng)絡(luò)與無線網(wǎng)絡(luò)設(shè)定原理一樣),DACLName: PERMIT_ALL_TRAFFIC,Vlan: ID/11即是交換機(jī)上所設(shè)定的vlanID

Cisco ISE + Windows Server 2008 實(shí)驗(yàn)

  • 設(shè)定用戶連接無線網(wǎng)絡(luò)Authentication Policy,名稱:Dot1x_EAP_Authen,條件為Wireless_802.1x和無線設(shè)備組,協(xié)議為Dot1x_EAP_Authen,用戶為用戶為:ISE-03(即是已經(jīng)加入Winows AD域名稱),如下圖:

Cisco ISE + Windows Server 2008 實(shí)驗(yàn)

  • 設(shè)定用戶連接無線網(wǎng)絡(luò)Authorization Policy,名稱為Dot1x_Author_WIFI,用戶為Windows AD     isegroup內(nèi)的所有用戶,條件為Dot1x_EAP_Author,如下圖:

Cisco ISE + Windows Server 2008 實(shí)驗(yàn)

  • 下圖為已經(jīng)認(rèn)證授權(quán)通過的Wifi MAB/ 802.1x記錄:

Cisco ISE + Windows Server 2008 實(shí)驗(yàn)

 

向AI問一下細(xì)節(jié)

免責(zé)聲明:本站發(fā)布的內(nèi)容(圖片、視頻和文字)以原創(chuàng)、轉(zhuǎn)載和分享為主,文章觀點(diǎn)不代表本網(wǎng)站立場,如果涉及侵權(quán)請(qǐng)聯(lián)系站長郵箱:is@yisu.com進(jìn)行舉報(bào),并提供相關(guān)證據(jù),一經(jīng)查實(shí),將立刻刪除涉嫌侵權(quán)內(nèi)容。

AI