H3C交换机

与Cisco ISE功能对接操作指导

 

 

 

 

 

 

 

 

 

本文档中的信息可能变动，恕不另行通知。

目  录

1 简介

2 互通性分析

3 配置前提

4 802.1X认证对接配置举例

4.1 组网需求

4.2 使用版本

4.3 802.1X CHAP配置步骤与验证

4.3.1 配置Switch

4.3.2 配置ISE

4.3.3 验证配置

4.3.4 配置文件

4.4 802.1X PAP认证配置步骤与验证

4.4.1 配置Switch

4.4.2 配置ISE

4.4.3 验证配置

4.4.4 配置文件

4.5 802.1X EAP-MD5认证配置步骤与验证

4.5.1 配置Switch

4.5.2 配置ISE

4.5.3 验证配置

4.5.4 配置文件

4.6 802.1X EAP-PEAP/TTLS认证配置步骤与验证

4.6.1 配置Switch

4.6.2 配置ISE

4.6.3 验证配置

4.6.4 配置文件

4.7 802.1X EAP-TLS认证配置步骤与验证

4.7.1 配置Switch

4.7.2 配置ISE

4.7.3 配置Windows客户端

4.7.4 验证配置

4.7.5 配置文件

4.8 802.1X EAP-FAST认证配置步骤与验证

4.8.1 配置Switch

4.8.2 配置ISE

4.8.3 配置Cisco AnyConnect客户端

4.8.4 验证配置

4.8.5 配置文件

5 MAC地址认证对接配置举例

5.1 组网需求

5.2 使用版本

5.3 MAC地址认证配置步骤与验证

5.3.1 配置Switch

5.3.2 配置ISE

5.3.3 验证配置

5.4 配置文件

6 Portal认证对接配置举例

6.1 组网需求

6.2 使用版本

6.3 配置步骤

6.3.1 配置Switch

6.3.2 配置ISE

6.3.3 效果展示

6.4 配置文件

7 授权VLAN对接配置举例

7.1 组网需求

7.2 使用版本

7.3 授权VLAN配置步骤与验证

7.3.1 配置Switch

7.3.2 配置ISE

7.3.3 验证配置

7.4 配置文件

8 授权静态ACL对接配置举例

8.1 组网需求

8.2 使用版本

8.3 配置步骤

8.3.1 配置Switch

8.3.2 配置ISE

8.4 验证配置

8.5 配置文件

9 授权动态ACL对接配置举例

9.1 组网需求

9.2 使用版本

9.3 配置步骤

9.3.1 配置Switch

9.3.2 配置ISE

9.4 验证配置

9.5 配置文件

10 授权CAR对接配置举例

10.1 组网需求

10.2 使用版本

10.3 配置步骤

10.3.1 配置Switch

10.3.2 配置ISE

10.4 验证配置

10.5 配置文件

11 URL重定向对接配置举例

11.1 组网需求

11.2 使用版本

11.3 配置步骤

11.3.1 配置Switch

11.3.2 配置ISE

11.4 验证配置

11.5 配置文件

12 DAE对接配置举例

12.1 组网需求

12.2 使用版本

12.3 配置Switch

12.4 配置ISE

12.5 验证配置

12.5.1 重认证

12.6 配置文件

13 SSH登录时使用HWTACACS认证对接操作举例

13.1 组网需求

13.2 使用版本

13.3 配置步骤

13.3.1 配置Switch

13.3.2 配置ISE服务器

13.4 验证配置

13.4.1 配置SSH客户端

13.4.2 验证授权命令

13.4.3 查看服务器端相关日志

13.5 配置文件

14 使用LDAP账户认证对接配置举例

14.1 组网需求

14.2 使用版本

14.3 认证配置步骤与验证

14.3.1 配置Switch

14.3.2 配置ISE

14.3.3 验证配置

14.4 配置文件

15 终端识别Profiling对接配置举例

15.1 组网需求

15.2 使用版本

15.3 配置步骤

15.3.1 配置Switch

15.3.2 配置ISE

15.4 Windows上配置

15.4.1 安装lldp相关模块

15.4.2 打开lldp并验证效果

15.5 Profile相关配置

15.5.1 查看lldp信息

15.5.2 创建Profiling Policy

15.6 效果展示

15.7 配置文件

16 终端安全Posture Assessment对接配置举例

16.1 组网需求

16.2 使用版本

16.3 配置步骤

16.3.1 配置Switch

16.3.2 配置ISE

16.4 效果展示

16.4.1 Client Provisioning

16.4.2 Posture Assessment

16.5 配置文件

 

1 简介

本文档介绍H3C交换机与Cisco的认证服务器软件ISE的接入认证功能对接配置，包括：

·     802.1X认证对接配置举例

·     MAC地址认证对接配置举例

·     Portal认证对接配置举例

·     授权VLAN对接配置举例

·     授权静态ACL对接配置举例

·     授权动态ACL对接配置举例

·     授权CAR对接配置举例

·     授权User-Profile对接配置举例

·     授权CAR对接配置举例

·     重认证对接配置举例

·     URL重定向对接配置举例

·     DAE对接配置举例

·     SSH登录使用HWTACACS认证对接配置举例

·     使用LDAP账户认证对接配置举例

·     终端识别Profiling对接配置举例

·     终端安全Posture Assessment对接配置举例

 

2 互通性分析

表2-1 接入认证互通性分析

H3C	Cisco ISE	互通结论
802.1X CHAP认证	CHAP认证	可以互通
802.1X PAP认证	PAP认证	可以互通
802.1X EAP认证	EAP-MD5认证	可以互通
802.1X EAP认证	EAP-PEAP/TTLS认证	可以互通
802.1X EAP认证	EAP-TLS认证	可以互通
802.1X EAP认证	EAP-FAST认证	可以互通
MAC地址认证	MAC地址认证	可以互通
Portal认证	CWA认证	可以互通
授权VLAN	授权VLAN	可以互通
授权ACL	授权静态ACL	可以互通
授权ACL	授权动态ACL	可以互通
授权CAR属性	授权CAR	可以互通
授权URL重定向	URL重定向	可以互通
DAE	重认证	可以互通
SSH用户的HWTACACS认证	HWTACACS认证	可以互通
使用LDAP账户认证	LDAP账户认证	可以互通
-	终端识别Profiling	可以互通
-	终端安全Posture Assessment	可以互通

 

3 配置前提

本文档不严格与具体软、硬件版本对应，如果使用过程中与产品实际情况有差异，请以设备实际情况为准。

本文档中的配置均是在实验室环境下进行的配置和验证，配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置，为了保证配置效果，请确认现有配置和以下举例中的配置不冲突。

4 802.1X认证对接配置举例

4.1  组网需求

如图4-1所示，Client和ISE服务器通过Switch建立连接，设备管理员希望对Client进行802.1X认证，以控制其对网络资源的访问，具体要求如下：

·     采用Cisco ISE作为RADIUS服务器。

·     配置PAP、CHAP、EAP-MD5、EAP-TLS、EAP-PEAP、EAP-TTLS方式。

图4-1 802.1X认证配置组网图

 

4.2  使用版本

本配置举例所使用的设备型号及版本信息如下：

·     Switch：S5560X-R6618P27

·     认证服务器: Cisco ISE V2.4.0.357 patch 8

·     系统：Windows 10 21H2

·     认证客户端：iNode PC 7.3 (E513)

·     认证客户端：Cisco anyconnect 4.8.03052

4.3  802.1X CHAP配置步骤与验证

 

4.3.1  配置Switch

# 配置互通的VLAN和VLAN接口的IP地址。

<Switch> system-view

[Switch] vlan 2

[Switch-vlan2] quit

[Switch] interface Vlan-interface 2

[Switch-Vlan-interface2] ip address 2.2.2.29 255.255.255.0

[Switch-Vlan-interface2] quit

[Switch] vlan 3

[Switch-vlan3] quit

[Switch] interface Vlan-interface 3

[Switch-Vlan-interface3] ip address 3.3.3.29 255.255.255.0

[Switch-Vlan-interface3] quit

# 将端口GE1/0/2加入到指定VLAN。

[Switch] interface GigabitEthernet 1/0/2

[Switch-GigabitEthernet1/0/2] port switchcess vlan 3

[Switch-GigabitEthernet1/0/2] quit

# 开启全局802.1x认证。

[Switch] dot1x

# 配置802.1x认证的认证方法为CHAP。

[Switch] dot1x authentication-method CHAP

# 配置RADIUS方案。

<Switch> system-view

[Switch] radius scheme ise

# 配置RADIUS服务器地址和密钥，此密钥与ISE服务器的配置一致

[Switch-radius-ise] primary authentication 3.3.3.24 key simple expert

[Switch-radius-ise] primary accounting 3.3.3.24 key simple expert

[Switch-radius-ise] user-name-format keep-original

[Switch-radius-ise] quit

# 创建802.1X认证的域test.com，配置ISP域的AAA方法。

[Switch] domain test.com

[Switch-isp-test.com] authentication default radius-scheme ise

[Switch-isp-test.com] authorization default radius-scheme ise

[Switch-isp-test.com] accounting default radius-scheme ise

[Switch-isp-test.com] quit

# 将端口GE1/0/3加入到指定VLAN。

[Switch]interface Ten-GigabitEthernet 1/0/3

[Switch-GigabitEthernet1/0/3] port switchcess vlan 2

# 开启端口的802.1X认证功能，并设置域test.com为802.1X强制认证域。

[Switch-GigabitEthernet1/0/3] dot1x

[Switch-GigabitEthernet1/0/3] dot1x mandatory-domain test.com

4.3.2  配置ISE

(1)     登录ISE

在浏览器中输入ISE的管理IP地址，输入用户名密码，登录ISE页面。

图4-2 登录ISE

 

(2)     创建用户组和用户账号

# 创建用户组：选择[Administration/Identity Management/Groups/User Identity Groups]选项，点击<Add>按钮，创建名称为TC的新用户组。

图4-3 创建用户组

 

# 创建用户账号：选择[Administration/Identity Management/Identities/Users]选项，点击<Add>按钮，创建名称为king的新帐号，配置密码为king，绑定用户组TC。

图4-4 创建用户账号

 

(3)     添加Switch设备

在页面上方导航栏中选择[Administration/Network Resources/Network Devices]选项，点击<Add>按钮添加名称为SW001的新设备，配置IP地址为3.3.3.29，与switch指定的NAS-IP保持一致，配置密码expert，与设备上配置的与RADIUS服务器交互的密钥相同。

图4-5 添加Switch

 

(4)     配置认证协议

在页面上方导航栏中选择[Policy/Policy Elements/Results/Authentication/Allowed Protocols]选项，新建名称为AllowedProtocols-1024的认证协议服务，确认勾选Allow CHAP选项。

图4-6 新建认证协议服务

 

(5)     配置认证和授权策略

# 配置认证和授权策略：在页面上方导航栏中选择[Policy/Policy Sets]选项，点击Policy Sets下方的<＋>按钮，配置名称1x的认证和授权策略，并在Conditions栏中选择“Wired_Dot1x”，在Allowed Protocols/Server Sequence栏中选择Default Network Access。

图4-7 配置认证和授权策略1

 

# 点击上图“1x”后的<View>按钮，在Authorization Policy栏中新增一个名称为SimpleRule的授权策略，在Result Pofiles栏中选择选择“PermitAccess”。

图4-8 配置认证和授权策略2

 

4.3.3  验证配置

(1)     Windows上iNode连接情况

点击“More”，进入802.1X认证的属性页面。

图4-9 iNode连接页面

 

建议取消勾选“Upload version info”，点击<OK>。

图4-10 配置连接信息

 

输入服务器上配置的用户名和密码即可完成用户上线。

图4-11 iNode 802.1X连接成功

 

(2)     服务器显示情况

在页面上方导航栏中选择[Operations/RADIUS]，用户可以查看终端上线的Live Logs和Live Sessions。

图4-12 查看终端上线的Live Logs

 

点击Details栏按钮，查看Authentication Details，可以看到Authentication Protocol为CHAP/MD5等相关信息。

图4-13 查看Live Logs的Details

 

图4-14 查看终端上线的Live Sessions

 

(3)     设备上的显示情况

在设备上通过display dot1x connection可以查看802.1X用户的信息，可其中Username为802.1X的用户名（本例为king）。

<Switch> display dot1x connection

Total connections: 1

Slot ID: 1

User MAC address: 000c-2944-2de5

Access interface: GigabitEthernet1/0/3

Username: king

User access state: Successful

Authentication domain: ise

IPv4 address: 2.2.2.10

IPv4 address source: IP Source Guard

EAP packet identifier: 2

Authentication method: CHAP

AAA authentication method: RADIUS

Initial VLAN: 2

Authorization untagged VLAN: N/A

Authorization tagged VLAN list: N/A

Authorization VSI: N/A

Authorization microsegment ID: N/A

Authorization ACL number/name: N/A

Authorization dynamic ACL name: N/A

Authorization user profile: N/A

Authorization CAR: N/A

Authorization URL: N/A

Authorization IPv6 URL: N/A

Authorization temporary redirect: Disabled

Start accounting: Successful

Real-time accounting-update failures: 0

Termination action: Default

Session timeout period: N/A

Online from: 2022/09/26 15:09:04

Online duration: 0h 7m 55s

4.3.4  配置文件

#

 dot1x

 dot1x authentication-method chap

#

vlan 1

#

vlan 2

 description toClients

 arp snooping enable

#

vlan 3

 description toAAAserver

#

interface Vlan-interface1

#

interface Vlan-interface2

 description toClients

 ip address 2.2.2.29 255.255.255.0

#

interface Vlan-interface3

 description toAAAservers

 ip address 3.3.3.29 255.255.255.0

#

interface GigabitEthernet1/0/2

 port link-mode bridge

 port access vlan 3

#

interface GigabitEthernet1/0/3

 port link-mode bridge

 port access vlan 2

 dot1x

#

radius scheme ise

 primary authentication 3.3.3.24 key cipher $c$3$2oLOvHdRilTBlb6n1yh3/MoXN8z/RMbctQ==

 primary accounting 3.3.3.24 key cipher $c$3$fAhWH/rHm9hCcPq2PBWQa54YG9xKuQ1P0w==

 timer realtime-accounting 20 second

user-name-format keep-original

#

#

domain test.com

 authentication default radius-scheme ise

 authorization default radius-scheme ise

 accounting default radius-scheme ise

#

4.4  802.1X PAP认证配置步骤与验证

4.4.1  配置Switch

设备上只需要将认证方式修改为PAP，其它配置无需修改，具体请参考4.3.1  配置Switch。

[Switch] dot1x authentication-method PAP

4.4.2  配置ISE

服务器上确认Allowed Protocols勾选Allow PAP/ASCII，具体请参考4.3.2  配置ISE。

图4-15 确认勾选Allow PAP/ASCII

 

4.4.3  验证配置

(1)     在设备和服务器都配置好的情况下，在客户端使用iNode客户端，输入服务器上配置的用户名和密码即可完成用户上线。

(2)     用户上线后服务器显示如图4-16所示。

图4-16 用户上线后服务器显示

 

(3)     用户上线后设备显示

在设备上通过display dot1x connection可以查看802.1X用户的信息，可以看到上线用户的Authentication methodzi字段已更改为PAP。其余信息不变。

<Switch> display dot1x connection

Total connections: 1

Slot ID: 1

User MAC address: 000c-2944-2de5

Access interface: GigabitEthernet1/0/3

Username: king

User access state: Successful

Authentication domain: ise

IPv4 address: 2.2.2.10

IPv4 address source: IP Source Guard

EAP packet identifier: 2

Authentication method: PAP

AAA authentication method: RADIUS

Initial VLAN: 2

Authorization untagged VLAN: N/A

Authorization tagged VLAN list: N/A

Authorization VSI: N/A

Authorization microsegment ID: N/A

Authorization ACL number/name: N/A

Authorization dynamic ACL name: N/A

Authorization user profile: N/A

Authorization CAR: N/A

Authorization URL: N/A

Authorization IPv6 URL: N/A

Authorization temporary redirect: Disabled

Start accounting: Successful

Real-time accounting-update failures: 0

Termination action: Default

Session timeout period: N/A

Online from: 2022/09/26 15:40:08

Online duration: 0h 1m 16s

4.4.4  配置文件

#

 dot1x

 dot1x authentication-method pap

#

vlan 1

#

vlan 2

 description toClients

 arp snooping enable

#

vlan 3

 description toAAAserver

#

interface Vlan-interface1

#

interface Vlan-interface2

 description toClients

 ip address 2.2.2.29 255.255.255.0

#

interface Vlan-interface3

 description toAAAservers

 ip address 3.3.3.29 255.255.255.0

#

interface GigabitEthernet1/0/2

 port link-mode bridge

 port access vlan 3

#

interface GigabitEthernet1/0/3

 port link-mode bridge

 port access vlan 2

 dot1x

#

radius scheme ise

 primary authentication 3.3.3.24 key cipher $c$3$2oLOvHdRilTBlb6n1yh3/MoXN8z/RMbctQ==

 primary accounting 3.3.3.24 key cipher $c$3$fAhWH/rHm9hCcPq2PBWQa54YG9xKuQ1P0w==

 timer realtime-accounting 20 second

 user-name-format keep-original

#

#

domain test.com

 authentication default radius-scheme ise

 authorization default radius-scheme ise

 accounting default radius-scheme ise

#

4.5  802.1X EAP-MD5认证配置步骤与验证

4.5.1  配置Switch

设备上只需要将认证方式修改为EAP，其它配置无需修改，具体请参考4.3.1  配置Switch。

[Switch] dot1x authentication-method EAP

4.5.2  配置ISE

服务器上确认Allowed Protocols勾选Allow EAP-MD5，具体请参考4.3.2  配置ISE。

图4-17 确认勾选Allow EAP-MD5

 

4.5.3  验证配置

(1)     在设备和服务器都配置好的情况下，在客户端使用iNode客户端，输入服务器上配置的用户名和密码即可完成用户上线。

(2)     用户上线后服务器显示如图4-18。

图4-18 用户上线后服务器显示

 

(3)     用户上线后设备显示

在设备上通过display dot1x connection可以查看802.1X用户的信息，可其中Username为802.1X的用户名（本例为king）。

<Switch> display dot1x connection

Total connections: 1

Slot ID: 1

User MAC address: 000c-2944-2de5

Access interface: GigabitEthernet1/0/3

Username: king

User access state: Successful

Authentication domain: ise

IPv4 address: 2.2.2.10

IPv4 address source: IP Source Guard

EAP packet identifier: 108

Authentication method: EAP

AAA authentication method: RADIUS

Initial VLAN: 2

Authorization untagged VLAN: N/A

Authorization tagged VLAN list: N/A

Authorization VSI: N/A

Authorization microsegment ID: N/A

Authorization ACL number/name: N/A

Authorization dynamic ACL name: N/A

Authorization user profile: N/A

Authorization CAR: N/A

Authorization URL: N/A

Authorization IPv6 URL: N/A

Authorization temporary redirect: Disabled

Start accounting: Successful

Real-time accounting-update failures: 0

Termination action: Default

Session timeout period: N/A

Online from: 2022/09/26 15:43:51

Online duration: 0h 0m 8s

4.5.4  配置文件

#

 dot1x

 dot1x authentication-method eap

#

vlan 1

#

vlan 2

 description toClients

 arp snooping enable

#

vlan 3

 description toAAAserver

#

interface Vlan-interface1

#

interface Vlan-interface2

 description toClients

 ip address 2.2.2.29 255.255.255.0

#

interface Vlan-interface3

 description toAAAservers

 ip address 3.3.3.29 255.255.255.0

#

interface GigabitEthernet1/0/2

 port link-mode bridge

 port access vlan 3

#

interface GigabitEthernet1/0/3

 port link-mode bridge

 port access vlan 2

 dot1x

#

radius scheme ise

 primary authentication 3.3.3.24 key cipher $c$3$2oLOvHdRilTBlb6n1yh3/MoXN8z/RMbctQ==

 primary accounting 3.3.3.24 key cipher $c$3$fAhWH/rHm9hCcPq2PBWQa54YG9xKuQ1P0w==

 timer realtime-accounting 20 second

 user-name-format keep-original

#

#

domain test.com

 authentication default radius-scheme ise

 authorization default radius-scheme ise

 accounting default radius-scheme ise

#

4.6  802.1X EAP-PEAP/TTLS认证配置步骤与验证

下述配置以不要求客户端证书，服务器端使用了ISE自带的自签名证书来举例。

4.6.1  配置Switch

设备上确认认证方式配置为EAP，其它配置无需修改，具体请参考4.3.1  配置Switch。

[Switch] dot1x authentication-method EAP

4.6.2  配置ISE

服务器上确认使用的Allowed Protocols勾选Allow PEAP/Allow EAP-TTLS相关选项，具体请参考4.3.2  配置ISE。

图4-19 确认勾选Allow PEAP/Allow EAP-TTLS相关选项

4.6.3  验证配置

(1)     iNode配置及显示情况

点击“More”，进入802.1X认证的属性页面。

图4-20 802.1X客户端认证

 

认证类型“Authentication Type”勾选“PEAP”或“EAP-TTLS”，点击<OK>。

图4-21 勾选认证方式为PEAP

 

图4-22 勾选认证方式为EAP-TTLS

 

认证通过后，显示效果跟其他EAP认证方式相同。

(2)     用户上线后服务器显示如图4-23、图4-24。

图4-23 认证方式为PEAP时用户上线后服务器显示

 

图4-24 认证方式为EAP-TTLS时用户上线后服务器显示

 

(3)     用户上线后设备显示

在设备上通过display dot1x connection可以查看802.1X用户的信息，可其中Username为802.1X的用户名（本例为king）。

<Switch> display dot1x connection

Total connections: 1

Slot ID: 1

User MAC address: 000c-2944-2de5

Access interface: GigabitEthernet1/0/3

Username: king

User access state: Successful

Authentication domain: ise

IPv4 address: 2.2.2.10

IPv4 address source: IP Source Guard

EAP packet identifier: 108

Authentication method: EAP

AAA authentication method: RADIUS

Initial VLAN: 2

Authorization untagged VLAN: N/A

Authorization tagged VLAN list: N/A

Authorization VSI: N/A

Authorization microsegment ID: N/A

Authorization ACL number/name: N/A

Authorization dynamic ACL name: N/A

Authorization user profile: N/A

Authorization CAR: N/A

Authorization URL: N/A

Authorization IPv6 URL: N/A

Authorization temporary redirect: Disabled

Start accounting: Successful

Real-time accounting-update failures: 0

Termination action: Default

Session timeout period: N/A

Online from: 2022/09/26 15:43:51

Online duration: 0h 0m 8s

4.6.4  配置文件

#

 dot1x

 dot1x authentication-method eap

#

vlan 1

#

vlan 2

 description toClients

 arp snooping enable

#

vlan 3

 description toAAAserver

#

interface Vlan-interface1

#

interface Vlan-interface2

 description toClients

 ip address 2.2.2.29 255.255.255.0

#

interface Vlan-interface3

 description toAAAservers

 ip address 3.3.3.29 255.255.255.0

#

interface GigabitEthernet1/0/2

 port link-mode bridge

 port access vlan 3

#

interface GigabitEthernet1/0/3

 port link-mode bridge

 port access vlan 2

 dot1x

#

radius scheme ise

 primary authentication 3.3.3.24 key cipher $c$3$2oLOvHdRilTBlb6n1yh3/MoXN8z/RMbctQ==

 primary accounting 3.3.3.24 key cipher $c$3$fAhWH/rHm9hCcPq2PBWQa54YG9xKuQ1P0w==

 timer realtime-accounting 20 second

 user-name-format keep-original

#

#

domain test.com

 authentication default radius-scheme ise

 authorization default radius-scheme ise

 accounting default radius-scheme ise

#

4.7  802.1X EAP-TLS认证配置步骤与验证

本文档以Windows Server作为第三方CA来签发证书为例，Windows Server及CA服务等安装配置请参考其他文档。

4.7.1  配置Switch

设备上确认认证方式为EAP，其它配置无需修改，具体请参考4.3.1  配置Switch。

[Switch] dot1x authentication-method EAP

4.7.2  配置ISE

(1)     服务器上确认Allowed Protocols勾选Allow EAP-TLS，服务器上的其他配置请参考4.3.2  配置ISE。

图4-25 确认勾选Allow EAP-TLS

 

(2)     下载并安装根证书

打开Windows Server证书服务Web界面，并点击“下载CA证书、证书链或CRL”。Windows server证书服务的具体安装配置请参考Windows server相关文档。

图4-26 下载CA证书、证书链或CRL

 

点击“下载CA证书”。

图4-27 下载CA证书

 

将证书命令为certnew-root.cer。

图4-28 命名下载的证书

 

登录ISE页面，在页面上方导航栏中选择[Administration/System/Certificates/Certificate Management/Trusted Certificates]选项，点击“Import”，添加证书。

图4-29 打开添加证书页面

 

点击<Choose File>选择并上传刚下载的根证书，并点击<Submit>确认。

图4-30 选择并上传刚下载的根证书

 

可以看到刚上传的根证书如下图列表中红框所示。

图4-31 查看导入的根证书

 

(3)     申请并安装个人证书

在ISE页面上方导航栏中选择[Administration/System/Certificates/Certificate Management/Certificate Siging Requests]选项，按照如下步骤，生成CSR。

图4-32 选择multi-use，并补充其他信息

 

图4-33 页面底端点击Generate

 

图4-34 点击Export

 

点击弹窗中的<Export>生成文件ISE24MultiUse.pem，打开如下，复制全部内容。

图4-35 生成证书文件

 

打开Windows Server证书服务Web界面，点击“申请证书”。

图4-36 申请证书

 

点击“高级证书申请”。

图4-37 申请高级证书

 

点击“使用base64编码的CMC或PKCS #10文件提交一个证书申请，或使用base64编码的PKCS #7 文件续订证书申请”。

图4-38 申请证书类别

 

将刚复制的证书文件的内容粘贴到“保存的申请”下侧框内，选择“证书模板”，并点击<提交>。

图4-39 提交一个证书申请

 

选择“Base 64 编码”，点击“下载证书”，并重命名为certnew-server.cer。

图4-40 下载证书

 

在ISE页面上方导航栏中选择[Administration/System/Certificates/Certificate Management/Certificate Siging Requests]选项，勾选刚才创建的CSR，点击<Bind Certificate>绑定证书。

图4-41 绑定证书

 

选择并上传之前下载的个人证书certnew-server.cer，如图勾选“EAP Authentication”等，并点击<Submit>确认。

图4-42 选择并上传之前下载的个人证书

 

可以看到刚导入的个人证书如下图列表中的红框。

图4-43 查看导入的认证证书

 

4.7.3  配置Windows客户端

(1)     安装根证书

在Windows客户端中双击打开上一节下载的根证书certnew-root.cer，点击<Install Certificate>安装证书。

图4-44 安装证书

 

在向导页面中选择“Current User”，并点击<Next>。

图4-45 选择Current User

 

勾选“Place all cerfiticates in the following store”，并在“Cerfiticates store”中选择“Trusted Root Certification Authorities”，点击<Next>。

图4-46 选择Trusted Root Certification Authorities

 

点击<Finish>。

图4-47 完成导入

 

弹窗安全警告中选择<Yes>。

图4-48 安全警告

 

导入成功。

图4-49 导入证书成功

 

(2)     申请并安装用户证书

在Windows客户端上用IE浏览器打开Windows Server CA证书服务网址https://IP/certsrv，点击“申请证书”。

图4-50 申请证书

 

点击“高级证书申请”。

图4-51 提交高级证书申请

 

点击“创建并向此CA提交一个申请”。

图4-52 申请证书类别

 

在弹窗中点击<Yes>。

图4-53 弹窗确认

 

填写相关信息，并提交。

图4-54 高级证书申请

 

在弹窗中点击<Yes>。

图4-55 弹窗确认

 

点击“安装此证书”。

图4-56 安装证书

 

证书安装成功。

图4-57 成功安装证书

 

(3)     选择iNode客户端认证方式

点击“More”，进入802.1X认证的属性页面。

图4-58 802.1X客户端认证

 

点击“Advanced”页签勾选“Enable advanced authentication”，选择“Authentication Type”为“EAP-TLS”，选择“Certificate Options”为“Client Certificate”。

图4-59 选择EAP-TLS认证方式

 

进入“Select Client Certificate”页面，选择之前导入的客户端证书，点击“OK”，完成客户端证书选择。

图4-60 选择客户端证书

 

4.7.4  验证配置

(1)     iNode客户端登录上线

点击<Connect>，发起802.1X认证。

图4-61 点击connect

 

用户上线成功。

图4-62 上线成功

 

(2)     用户上线后服务器显示

图4-63 EAP-TLS认证方式上线后服务器显示

 

(3)     用户上线后设备显示

在设备上通过display dot1x connection可以查看802.1X用户的信息，可其中Username为802.1X的用户名（本例为king）。

<Switch> display dot1x connection

Total connections: 1

Slot ID: 1

User MAC address: 000c-2944-2de5

Access interface: GigabitEthernet1/0/3

Username: king

User access state: Successful

Authentication domain: ise

IPv4 address: 2.2.2.10

IPv4 address source: IP Source Guard

EAP packet identifier: 227

Authentication method: EAP

AAA authentication method: RADIUS

Initial VLAN: 2

Authorization untagged VLAN: N/A

Authorization tagged VLAN list: N/A

Authorization VSI: N/A

Authorization microsegment ID: N/A

Authorization ACL number/name: N/A

Authorization dynamic ACL name: N/A

Authorization user profile: N/A

Authorization CAR: N/A

Authorization URL: N/A

Authorization IPv6 URL: N/A

Authorization temporary redirect: Disabled

Start accounting: Successful

Real-time accounting-update failures: 0

Termination action: Default

Session timeout period: N/A

Online from: 2022/09/28 15:17:15

Online duration: 0h 0m 7s

4.7.5  配置文件

#

 dot1x

 dot1x authentication-method eap

#

vlan 1

#

vlan 2

 description toClients

 arp snooping enable

#

vlan 3

 description toAAAserver

#

interface Vlan-interface1

#

interface Vlan-interface2

 description toClients

 ip address 2.2.2.29 255.255.255.0

#

interface Vlan-interface3

 description toAAAservers

 ip address 3.3.3.29 255.255.255.0

#

interface GigabitEthernet1/0/2

 port link-mode bridge

 port access vlan 3

#

interface GigabitEthernet1/0/3

 port link-mode bridge

 port access vlan 2

 dot1x

#

radius scheme ise

 primary authentication 3.3.3.24 key cipher $c$3$2oLOvHdRilTBlb6n1yh3/MoXN8z/RMbctQ==

 primary accounting 3.3.3.24 key cipher $c$3$fAhWH/rHm9hCcPq2PBWQa54YG9xKuQ1P0w==

 timer realtime-accounting 20 second

 user-name-format keep-original

#

#

domain test.com

 authentication default radius-scheme ise

 authorization default radius-scheme ise

 accounting default radius-scheme ise

#

4.8  802.1X EAP-FAST认证配置步骤与验证

4.8.1  配置Switch

设备上确认认证方式为EAP。

[Switch] dot1x authentication-method EAP

建议在交换机连接客户端的对应接口上关闭802.1X的组播触发功能和在线用户握手功能。

[Switch-GigabitEthernet1/0/3]undo dot1x handshake

[Switch-GigabitEthernet1/0/3]undo dot1x multicast-trigger

其它配置无需修改，具体请参考4.3.1  配置Switch。

4.8.2  配置ISE

服务器上确认Allowed Protocols勾选Allow EAP-FAST相关选项，请参考4.3.2  配置ISE。

图4-64 确认勾选Allow EAP-FAST相关选项

 

4.8.3  配置Cisco AnyConnect客户端

以predeploy或者webdeploy方式安装Cisco AnyConnect客户端，webdeploy方式可以参考下图中选中“Network”为“wired”，并选择“Manage Networks”。

图4-65 选择有线连接

 

弹窗中点击<Add>。

图4-66 添加Cisco AnyConnect客户端

 

弹窗中填写相关信息。

图4-67 配置Cisco AnyConnect客户端

 

4.8.4  验证配置

(1)     客户端连接

连接之前创建的network，填写用户名密码，点击<OK>。

图4-68 客户端发起连接

 

弹窗中点击<Trust>。

图4-69 弹窗选择信任

 

连接成功。

图4-70 成功连接

 

(2)     用户上线后服务器显示情况

图4-71 用户上线后服务器显示

 

(3)     用户上线后设备显示

在设备上通过display dot1x connection可以查看802.1X用户的信息，可其中Username为802.1X的用户名（本例为king）。

<Switch> display dot1x connection

Total connections: 1

Slot ID: 1

User MAC address: 000c-2944-2de5

Access interface: GigabitEthernet1/0/3

Username: king

User access state: Successful

Authentication domain: ise

IPv4 address: 2.2.2.10

IPv4 address source: IP Source Guard

EAP packet identifier: 227

Authentication method: EAP

AAA authentication method: RADIUS

Initial VLAN: 2

Authorization untagged VLAN: N/A

Authorization tagged VLAN list: N/A

Authorization VSI: N/A

Authorization microsegment ID: N/A

Authorization ACL number/name: N/A

Authorization dynamic ACL name: N/A

Authorization user profile: N/A

Authorization CAR: N/A

Authorization URL: N/A

Authorization IPv6 URL: N/A

Authorization temporary redirect: Disabled

Start accounting: Successful

Real-time accounting-update failures: 0

Termination action: Default

Session timeout period: N/A

Online from: 2022/09/28 15:17:15

Online duration: 0h 0m 7s

4.8.5  配置文件

#

 dot1x

 dot1x authentication-method eap

#

vlan 1

#

vlan 2

 description toClients

 arp snooping enable

#

vlan 3

 description toAAAserver

#

interface Vlan-interface1

#

interface Vlan-interface2

 description toClients

 ip address 2.2.2.29 255.255.255.0

#

interface Vlan-interface3

 description toAAAservers

 ip address 3.3.3.29 255.255.255.0

#

interface GigabitEthernet1/0/2

 port link-mode bridge

 port access vlan 3

#

interface GigabitEthernet1/0/3

 port link-mode bridge

 port access vlan 2

 dot1x

 undo dot1x handshake

 undo dot1x multicast-trigger

#

#

radius scheme ise

 primary authentication 3.3.3.24 key cipher $c$3$2oLOvHdRilTBlb6n1yh3/MoXN8z/RMbctQ==

 primary accounting 3.3.3.24 key cipher $c$3$fAhWH/rHm9hCcPq2PBWQa54YG9xKuQ1P0w==

 timer realtime-accounting 20 second

 user-name-format keep-original

#

#

domain test.com

 authentication default radius-scheme ise

 authorization default radius-scheme ise

 accounting default radius-scheme ise

#

5 MAC地址认证对接配置举例

5.1  组网需求

如图5-1所示，Client和ISE服务器通过Switch建立连接，设备管理员希望对Client进行MAC地址认证，以控制其对网络资源的访问，具体要求如下：

·     采用Cisco ISE作为RADIUS服务器。

·     配置MAC地址认证的用户名和密码。

图5-1 MAC认证配置组网图

 

5.2  使用版本

本配置举例所使用的设备型号及版本信息如下：

·     Switch：S5560X-R6618P27

·     认证服务器: Cisco ISE V2.4.0.357 patch 8

·     系统：Windows 10 21H2

·     认证客户端：iNode PC 7.3 (E513)

5.3  MAC地址认证配置步骤与验证

 

5.3.1  配置Switch

# 将端口GE1/0/3加入到指定的VLAN，并开启MAC地址认证功能。

[Switch-GigabitEthernet1/0/3] port access vlan 2

[Switch-GigabitEthernet1/0/3] MAC-authentication

[Switch-GigabitEthernet1/0/3] quit

# 指定MAC地址认证用户的认证域test.com。

[Switch] MAC-authentication domain test.com

# 配置MAC地址认证所使用的的用户名密码格式，ise上所加的用户需与此处保持一致。缺省情况下，使用用户的MAC地址作为用户名与密码，其中字母为小写，且不带连字符。

[Switch] mac-authentication user-name-format mac-address with-hyphen uppercase

# 开启全局MAC地址认证，缺省情况下，设备采用PAP认证方法进行MAC地址认证。

[Switch] MAC-authentication

5.3.2  配置ISE

(1)     查看终端信息

查看终端Windows连接交换机的物理口的MAC地址。

图5-2 查看终端mac地址

 

(2)     创建用户账号

在ISE页面上方导航栏中选择[Administration/Identity Management/Identities/Users]选项，点击<Add>按钮，创建名称为00-0C-29-44-2D-E5的用户账号，配置密码为00-0C-29-44-2D-E5。

图5-3 创建用户

 

注意，也可以在Endpoint中添加需要认证的终端，本文档不以此种情况举例，可参考下图。

图5-4 Add Endpoint

 

(3)     配置认证协议

在ISE页面上方导航栏中选择[Policy/Policy Elements/Results/Authentication/Allowed Protocols]选项，新建名称为AllowedProtocols2022的allowed protocols。在Authentication Bypass栏中勾选Process Host Lookup选项，在Authentication Protocols栏中确认勾选PAP/ASCII选项。

图5-5 配置认证协议

 

(4)     配置Network Switch Profile

复制Cisco Network Switch Profiles，并参考下图修改，勾选Check Password提升安全性。

图5-6 配置Network Switch Profile

 

(5)     配置认证和授权策略

在ISE页面上方导航栏中选择[Policy/Policy Sets]选项，点击Policy Sets下方的<＋>按钮，配置名称MAC Authentication的认证和授权策略，并配置Conditions为Wired_MAB。

图5-7 新建认证和授权策略

 

5.3.3  验证配置

(1)     用户上线后服务器显示情况

在设备和服务器都配置好的情况下，在客户端Ping服务器即可完成用户上线。

图5-8 用户上线后服务器显示

 

(2)     用户上线后设备的显示信息

通过在设备上执行display mac-authentication connection可以看到上线用户的信息。

<Switch> display mac-authentication connection

Total connections: 1

Slot ID: 1

User MAC address: 000c-2944-2de5

Access interface: GigabitEthernet1/0/3

Username: 00-0C-29-44-2D-E5

User access state: Successful

Authentication domain: test.com

IPv4 address: 2.2.2.10

IPv4 address source: IP Source Guard

Initial VLAN: 2

Authorization untagged VLAN: N/A

Authorization tagged VLAN: N/A

Authorization VSI: N/A

Authorization microsegment ID: N/A

Authorization ACL number/name: N/A

Authorization dynamic ACL name: N/A

Authorization user profile: N/A

Authorization CAR: N/A

Authorization URL: N/A

Authorization IPv6 URL: N/A

Authorization temporary redirect: Disabled

Start accounting: Successful

Real-time accounting-update failures: 0

Termination action: Default

Session timeout period: N/A

Offline detection: 300 sec (command-configured)

Online from: 2022/10/12 17:48:35

Online duration: 0h 8m 9s

Port-down keep online: Disabled (offline)

5.4  配置文件

#

 mac-authentication domain test.com

 mac-authentication user-name-format mac-address with-hyphen uppercase

#

#

vlan 2

 description toClients

 arp snooping enable

#

vlan 3

 description toAAAserver

#

interface Vlan-interface2

 description toClients

 ip address 2.2.2.29 255.255.255.0

#

interface Vlan-interface3

 description toAAAservers

 ip address 3.3.3.29 255.255.255.0

#

interface GigabitEthernet1/0/2

 port link-mode bridge

 port access vlan 3

#

interface GigabitEthernet1/0/3

 port link-mode bridge

 port access vlan 2

MAC-authentication

#

radius scheme ise

 primary authentication 3.3.3.24 key cipher $c$3$2oLOvHdRilTBlb6n1yh3/MoXN8z/RMbctQ==

 primary accounting 3.3.3.24 key cipher $c$3$fAhWH/rHm9hCcPq2PBWQa54YG9xKuQ1P0w==

 user-name-format keep-original

#

#

domain test.com

 authentication default radius-scheme ise

 authorization default radius-scheme ise

 accounting default radius-scheme ise

#

6 Portal认证对接配置举例

以CWA(Centralized Web Authentication)为例。

6.1  组网需求

如图6-1所示，Client和ISE服务器通过Switch建立连接，设备管理员希望对Client进行Portal认证，以控制其对网络资源的访问，具体要求：采用ISE作为RADIUS服务器和Portal服务器。

图6-1 Portal认证配置组网图

 

6.2  使用版本

本配置举例所使用的设备型号及版本信息如下：

·     Switch：S5560X-R6618P27

·     认证服务器: Cisco ISE V2.4.0.357 patch 8

·     系统：Windows 10 21H2

·     认证客户端：iNode PC 7.3 (E513)

6.3  配置步骤

 

6.3.1  配置Switch

配置ACL，使得终端只能访问CWA、DNS服务器等必要地址。

[Switch]acl number 3000

[Switch-acl-ipv4-adv-3000]dis th

#

acl advanced 3000

 rule 0 permit ip destination 3.3.3.24 0

 rule 2 permit ip destination 3.3.3.12 0

 rule 6 permit ip destination 2.2.2.0 0.0.0.255

#

Return

CWA以MAC地址认证为基础，相关内容请参考MAC地址认证相关章节。

6.3.2  配置ISE

CWA以MAC地址认证为基础，相关内容请参考MAC地址认证相关章节。

(1)     创建Authorization Profile

在ISE页面上方导航栏中选择[Policy/Policy Elements/Results/Authorization/Authorization Profiles]选项，新建Authorization Profile，命名为CWA-redirect-hhh，勾选Web Redirection (CWA, MDM, NSP, CPP)，选择Centralized Web Auth。

图6-2 新建Authorization Profile

 

勾选并填入将与终端关联的ACL 3000。

图6-3 填写ACL

 

(2)     创建Policy Set

在ISE页面上方导航栏中选择[Policy/Policy Sets]选项，新建一个Policy Set命名为CWA_hhh，Conditions选择Wired_MAB。

图6-4 创建Policy Set

 

点击Authorization Policy下方的<＋>按钮，新建2个Authorization Policy，Redirection用于终端打开页面重定向到CWA页面，PortalAuth用于在CWA页面输入用户名密码，认证通过后，拿到新的授权。

图6-5 新建Authorization Policy

 

6.3.3  效果展示

(1)     重定向到CWA页面

终端打开浏览器，随机访问页面，被重定向到CWA页面。

图6-6 重定向到CWA页面

 

输入用户名密码，点击<Sign On>。

图6-7 输入用户名密码

 

点击<Continue>。

图6-8 点击继续

 

(2)     通过认证

图6-9 通过认证

 

(3)     交换机上显示情况

交换机上display mac-authentication connection可以看到ISE下发的授权情况，上面的连接为之前已经通过CWA页面认证的连接，没有特殊的网络限制。下面的连接为另一个终端，在CWA认证前，通过MAC地址认证，拿到了CWA页面及ACL授权。

图6-10 交换机上显示

 

(4)     ISE上显示情况

ISE上日志可以看到，终端通过MAC地址认证拿到CWA-redirect-hhh授权，在CWA页面认证通过后，ISE下发COA重认证，而后拿到PermitAccess授权。

图6-11 ISE日志显示

 

6.4  配置文件

#

 mac-authentication domain test.com

 mac-authentication user-name-format mac-address with-hyphen uppercase

#

#

vlan 2

 description toClients

 arp snooping enable

#

vlan 3

 description toAAAserver

#

interface Vlan-interface2

 description toClients

 ip address 2.2.2.29 255.255.255.0

#

interface Vlan-interface3

 description toAAAservers

 ip address 3.3.3.29 255.255.255.0

#

interface GigabitEthernet1/0/2

 port link-mode bridge

 port access vlan 3

#

interface GigabitEthernet1/0/3

 port link-mode bridge

 port access vlan 2

MAC-authentication

#

radius scheme ise

 primary authentication 3.3.3.24 key cipher $c$3$2oLOvHdRilTBlb6n1yh3/MoXN8z/RMbctQ==

 primary accounting 3.3.3.24 key cipher $c$3$fAhWH/rHm9hCcPq2PBWQa54YG9xKuQ1P0w==

 user-name-format keep-original

#

#

domain test.com

 authentication default radius-scheme ise

 authorization default radius-scheme ise

 accounting default radius-scheme ise

#

7 授权VLAN对接配置举例

7.1  组网需求

如图7-1所示，Client和ISE服务器通过Switch建立连接，设备管理员希望对Client进行802.1X认证或者MAC地址认证，以控制其对网络资源的访问，具体要求如下：

·     采用Cisco ISE作为RADIUS服务器。

·     通过ISE授权下发VLAN，初始VLAN为100，目标授权VLAN 2。

图7-1 授权VLAN组网图

 

7.2  使用版本

本配置举例所使用的设备型号及版本信息如下：

·     Switch：S5560X-R6618P27

·     认证服务器: Cisco ISE V2.4.0.357 patch 8

·     系统：Windows 10 21H2

·     认证客户端：iNode PC 7.3 (E513)

7.3  授权VLAN配置步骤与验证

7.3.1  配置Switch

MAC地址认证用户，Swtich上的配置请参考5.3.1  配置Switch。

802.1X认证用户，Swtich上的配置请参考4.3.1  配置Switch。

为验证效果，可以配置DHCP服务器。

7.3.2  配置ISE

MAC地址认证用户，服务器上的配置请参考5.3.2  配置ISE。

802.1X认证用户，服务器上的配置请参考4.3.2  配置ISE。

(1)     配置Authorization Profile

在ISE页面上选择[Policy/Policy Elements/Results/Authorization/Authorization Profiles]选项，点击<Add>按钮，在Authorization Profile栏中配置名称为VLAN-X，在Network Switch Profile下拉框中选择跟Network Switchs中添加的交换机相同的类型，在Common Tasks栏中勾选VLAN属性并输入VLAN编号2。

图7-2 配置授权VLAN

 

注意，如果需要下发VLAN格式中需要包含空格的话，在Common Tasks的vlan中填入网页会报错，可以在Advanced Attributes Settings中选择对应字段填入，参考下图。VLAN格式的具体规则请参考产品文档。文档后续配置还是以vlan2为例。

图7-3 在Advanced Attributes Settings中填入VLAN信息

 

(2)     配置认证和授权策略

在ISE页面上选择[Policy/Policy Sets]选项，在对应的Result Pofiles栏中选择“VLAN2”。

图7-4 配置认证和授权策略

 

7.3.3  验证配置

(1)     服务器端显示

在页面上方导航栏中选择[Operations/RADIUS]，用户可以查看终端上线的Live Logs和Live Sessions等信息。

图7-5 用户上线后服务器显示1

 

图7-6 用户上线后服务器显示2

 

(2)     设备端显示（以802.1X认证为例）

在设备上通过display dot1x connection命令可以查看上线802.1X用户的信息。其中Authorization untagged VLAN字段显示成功下发的授权VLAN。

<Switch> display dot1x connection

Total connections: 1

Slot ID: 1

User MAC address: 000c-2944-2de5

Access interface: GigabitEthernet1/0/3

Username: king

User access state: Successful

Authentication domain: test.com

IPv4 address: 2.2.2.18

IPv4 address source: IP Source Guard

EAP packet identifier: 108

Authentication method: EAP

AAA authentication method: RADIUS

Initial VLAN: 100

Authorization untagged VLAN: 2

Authorization tagged VLAN list: N/A

Authorization VSI: N/A

Authorization microsegment ID: N/A

Authorization ACL number/name: N/A

Authorization dynamic ACL name: N/A

Authorization user profile: N/A

Authorization CAR: N/A

Authorization URL: N/A

Authorization IPv6 URL: N/A

Authorization temporary redirect: Disabled

Start accounting: Successful

Real-time accounting-update failures: 0

Termination action: Default

Session timeout period: N/A

Online from: 2022/09/29 17:58:14

Online duration: 0h 4m 6s

(3)     连通性验证

授权成功，终端加入到vlan2，通过DHCP拿到IP地址。显示如下：

Ethernet adapter AAAuser:

   Connection-specific DNS Suffix    :

   Description                       : Intel(R) 82574L Gigabit Network Connection

   Physical Address                  : 00-0C-29-44-2D-E5

   DHCP Enabled                      : Yes

   Autoconfiguration Enabled         : Yes

   IPv4 Address                      : 2.2.2.18(Preferred)

   Subnet Mask                       : 255.255.255.0

   Lease Obtained                    : 30 September 2022 17:00:41

   Lease Expires                     : 10 October 2022 17:00:40

   Default Gateway                   : 2.2.2.29

   DHCP Server                       : 2.2.2.29

   DNS Servers                       : 3.3.3.12

   NetBIOS over Tcpip                : Enabled

 

并可以跟跟其他系统正常联通。

PS C:\Windows\system32> tracert 3.3.3.24

 

Tracing route to 3.3.3.24 over a maximum of 30 hops

 

  1     1 ms     1 ms     1 ms  2.2.2.29

  2     1 ms    <1 ms    <1 ms  3.3.3.24

7.4  配置文件

#

 dot1x

 dot1x authentication-method eap

#

vlan 1

#

vlan 2

 description toClients

 arp snooping enable

#

vlan 3

 description toAAAserver

#

interface Vlan-interface1

#

interface Vlan-interface2

 description toClients

 ip address 2.2.2.29 255.255.255.0

#

interface Vlan-interface3

 description toAAAservers

 ip address 3.3.3.29 255.255.255.0

#

interface GigabitEthernet1/0/2

 port link-mode bridge

 port access vlan 3

#

interface GigabitEthernet1/0/3

 port link-mode bridge

 port access vlan 2

 dot1x

#

radius scheme ise

 primary authentication 3.3.3.24 key cipher $c$3$2oLOvHdRilTBlb6n1yh3/MoXN8z/RMbctQ==

 primary accounting 3.3.3.24 key cipher $c$3$fAhWH/rHm9hCcPq2PBWQa54YG9xKuQ1P0w==

 timer realtime-accounting 20 second

 user-name-format keep-original

#

#

domain test.com

 authentication default radius-scheme ise

 authorization default radius-scheme ise

 accounting default radius-scheme ise

#

 dhcp enable

 dhcp server forbidden-ip 2.2.2.29

#

dhcp server ip-pool Pool1

 gateway-list 2.2.2.29

 network 2.2.2.0 mask 255.255.255.0

 dns-list 3.3.3.12

 expired day 10

#

8 授权静态ACL对接配置举例

8.1  组网需求

如图8-1所示，Client和ISE服务器通过Switch建立连接，设备管理员希望对Client进行802.1X认证或者MAC地址认证或Portal认证，以控制其对网络资源的访问，具体要求如下：

·     采用Cisco ISE作为RADIUS服务器。

·     通过ISE授权下发ACL编号。

图8-1 授权ACL组网图

 

8.2  使用版本

本配置举例所使用的设备型号及版本信息如下：

·     Switch：S5560X-R6618P27

·     认证服务器: Cisco ISE V2.4.0.357 patch 8

·     系统：Windows 10 21H2

·     认证客户端：iNode PC 7.3 (E513)

8.3  配置步骤

8.3.1  配置Switch

MAC地址认证用户，Swtich上的配置请参考5.3.1  配置Switch。

802.1X认证用户，Swtich上的配置请参考4.3.1  配置Switch。

授权静态ACL时，该ACL必须在设备上已经创建才会生效。

# 在设备上创建ACL，并配置规则。

[Switch] acl advanced 3200

[Switch-acl-ipv4-adv-3200] rule 0 deny ip destination 3.3.3.12 0

8.3.2  配置ISE

MAC地址认证用户，服务器上的配置请参考5.3.2  配置ISE。

802.1X认证用户，服务器上的配置请参考4.3.2  配置ISE。

(1)     配置Authorization Profile

在ISE页面上选择[Policy/Policy Elements/Results/Authorization/Authorization Profiles]选项，点击<Add>按钮，在Authorization Profile栏中配置名称为Dynamic_ACL ID，在Network Switch Profile下拉框中选择跟Network Switchs中添加的交换机相同的类型，在Advanced Attributes Settings中添加Filter-ID为3200。

图8-2 在Advanced Attributes Settings中填入Filter-ID信息

 

注：Filter-ID 取值为数字，则按照ACL Number处理，取值不全为数字，则按照User Profile处理。

(2)     配置Policy

在ISE页面上选择[Policy/Policy Sets]选项，在相应的policy中修改Results Profiles为刚创建的Dynamic_ACL ID。

图8-3 修改Policy

 

8.4  验证配置

用户使用不同认证方式上线（MAC地址认证、802.1X认证、Portal认证）。

(1)     用户上线后服务器上显示。

图8-4 用户上线后服务器显示

 

(2)     用户上线后设备上显示

可以看到服务器下发的ACL成功下发到设备上。

<Switch> display dot1x connection

Total connections: 1

Slot ID: 1

User MAC address: 000c-2944-2de5

Access interface: GigabitEthernet1/0/3

Username: king

User access state: Successful

Authentication domain: test.com

IPv4 address: 2.2.2.1

IPv4 address source: IP Source Guard

EAP packet identifier: 100

Authentication method: EAP

AAA authentication method: RADIUS

Initial VLAN: 2

Authorization untagged VLAN: N/A

Authorization tagged VLAN list: N/A

Authorization VSI: N/A

Authorization microsegment ID: N/A

Authorization ACL number/name: 3200

Authorization dynamic ACL name: N/A

Authorization user profile: N/A

Authorization CAR: N/A

Authorization URL: N/A

Authorization IPv6 URL: N/A

Authorization temporary redirect: Disabled

Start accounting: Successful

Real-time accounting-update failures: 0

Termination action: Default

Session timeout period: N/A

Online from: 2021/01/08 16:21:32

Online duration: 0h 6m 51s

8.5  配置文件

#

 dot1x

 dot1x authentication-method eap

#

vlan 1

#

vlan 2

 description toClients

 arp snooping enable

#

vlan 3

 description toAAAserver

#

interface Vlan-interface1

#

interface Vlan-interface2

 description toClients

 ip address 2.2.2.29 255.255.255.0

#

interface Vlan-interface3

 description toAAAservers

 ip address 3.3.3.29 255.255.255.0

#

interface GigabitEthernet1/0/2

 port link-mode bridge

 port access vlan 3

#

interface GigabitEthernet1/0/3

 port link-mode bridge

 port access vlan 2

 dot1x

#

radius scheme ise

 primary authentication 3.3.3.24 key cipher $c$3$2oLOvHdRilTBlb6n1yh3/MoXN8z/RMbctQ==

 primary accounting 3.3.3.24 key cipher $c$3$fAhWH/rHm9hCcPq2PBWQa54YG9xKuQ1P0w==

 timer realtime-accounting 20 second

 user-name-format keep-original

#

#

domain test.com

 authentication default radius-scheme ise

 authorization default radius-scheme ise

 accounting default radius-scheme ise

#

9 授权动态ACL对接配置举例

9.1  组网需求

如图9-1所示，Client和ISE服务器通过Switch建立连接，设备管理员希望对Client进行802.1X认证或者MAC地址认证或Portal认证，以控制其对网络资源的访问，具体要求如下：

·     采用Cisco ISE作为RADIUS服务器。

·     通过ISE授权下发动态ACL信息。

图9-1 授权ACL组网图

 

9.2  使用版本

本配置举例所使用的设备型号及版本信息如下：

·     Switch：S5560X-R6618P27

·     认证服务器: Cisco ISE V2.4.0.357 patch 8

·     系统：Windows 10 21H2

·     认证客户端：iNode PC 7.3 (E513)

9.3  配置步骤

9.3.1  配置Switch

MAC地址认证用户，Swtich上的配置请参考5.3.1  配置Switch。

802.1X认证用户，Swtich上的配置请参考4.3.1  配置Switch。

9.3.2  配置ISE

MAC地址认证用户，服务器上的配置请参考5.3.2  配置ISE。

802.1X认证用户，服务器上的配置请参考4.3.2  配置ISE。

(1)     配置Authorization Profile

在ISE页面上选择[Policy/Policy Elements/Results/Authorization/Authorization Profiles]选项，点击<Add>按钮，在Authorization Profile栏中配置名称为Downloadable_ACL，在Network Switch Profile下拉框中选择跟Network Switchs中添加的交换机相同的类型，在Advanced Attributes Settings中添加H3C-AV-Pair，并填入aclrule?same?test?1?1?1?protocol=1?dst-ip=3.3.3.24/0.0.0.0?action=1，ACL具体格式说明请参考相关产品文档。

图9-2 在Advanced Attributes Settings中填入

 

 

(2)     配置Policy

在ISE页面上选择[Policy/Policy Sets]选项，在相应的policy中修改Results Profiles为刚创建的Downloadable_ACL

图9-3 修改Policy

 

9.4  验证配置

用户使用不同认证方式上线（MAC地址认证、802.1X认证、Portal认证）。

(1)     用户上线后服务器上显示。

图9-4 用户上线后服务器显示

 

(2)     用户上线后设备上显示

可以看到服务器下发的ACL成功下发到设备上。

<Switch> display dot1x connection

Total connections: 1

Slot ID: 1

User MAC address: 000c-2944-2de5

Access interface: GigabitEthernet1/0/3

Username: king

User access state: Successful

Authentication domain: test.com

IPv4 address: 2.2.2.1

IPv4 address source: IP Source Guard

EAP packet identifier: 217

Authentication method: EAP

AAA authentication method: RADIUS

Initial VLAN: 2

Authorization untagged VLAN: N/A

Authorization tagged VLAN list: N/A

Authorization VSI: N/A

Authorization microsegment ID: N/A

Authorization ACL number/name: N/A

Authorization dynamic ACL name: test

Authorization user profile: N/A

Authorization CAR: N/A

Authorization URL: N/A

Authorization IPv6 URL: N/A

Authorization temporary redirect: Disabled

Start accounting: Successful

Real-time accounting-update failures: 0

Termination action: Default

Session timeout period: N/A

Online from: 2021/01/08 18:59:52

Online duration: 0h 7m 56s

 

<Switch> display acl name test

Advanced IPv4 ACL named test, 1 rule,

This is a dynamic advanced IPv4 ACL

ACL's step is 5, start ID is 0

 rule 1 deny ip destination 3.3.3.24 0 (Dynamic)

9.5  配置文件

#

 dot1x

 dot1x authentication-method eap

#

vlan 1

#

vlan 2

 description toClients

 arp snooping enable

#

vlan 3

 description toAAAserver

#

interface Vlan-interface1

#

interface Vlan-interface2

 description toClients

 ip address 2.2.2.29 255.255.255.0

#

interface Vlan-interface3

 description toAAAservers

 ip address 3.3.3.29 255.255.255.0

#

interface GigabitEthernet1/0/2

 port link-mode bridge

 port access vlan 3

#

interface GigabitEthernet1/0/3

 port link-mode bridge

 port access vlan 2

 dot1x

#

radius scheme ise

 primary authentication 3.3.3.24 key cipher $c$3$2oLOvHdRilTBlb6n1yh3/MoXN8z/RMbctQ==

 primary accounting 3.3.3.24 key cipher $c$3$fAhWH/rHm9hCcPq2PBWQa54YG9xKuQ1P0w==

 timer realtime-accounting 20 second

 user-name-format keep-original

#

#

domain test.com

 authentication default radius-scheme ise

 authorization default radius-scheme ise

 accounting default radius-scheme ise

#

10 授权CAR对接配置举例

10.1  组网需求

如图10-1所示，Client和ISE服务器通过Switch建立连接，设备管理员希望对Client进行802.1X认证或者MAC地址认证，以控制其对网络资源的访问，具体要求如下：

·     采用Cisco ISE作为RADIUS服务器。

·     通过ISE授权下发CAR（Average input rate、Peak input rate、Average output rate、Peak output rate）。

图10-1 授权CAR组网图

 

10.2  使用版本

本配置举例所使用的设备型号及版本信息如下：

·     Switch：S5560X-R6618P27

·     认证服务器: Cisco ISE V2.4.0.357 patch 8

·     系统：Windows 10 21H2

·     认证客户端：iNode PC 7.3 (E513)

10.3  配置步骤

10.3.1  配置Switch

802.1X认证用户，Swtich上的配置请参考4.3.1  配置Switch。

10.3.2  配置ISE

(1)     添加字典

在ISE页面上选择[Policy/Policy Elements/Dictionaries]选项，依次选择“Dictionaries > RADIUS > RADIUS Vendors > H3C”，点击“Add”。

图10-2 添加字典

 

配置Output-Average-Rate，Data Type选择UINT32。

图10-3 配置Output-Average-Rate

 

创建名为Qos的authorization profile，在Advanced Attributes Settings中选择H3C-Out-Average-Rate和H3C-H3C-Input-Average-Rate，并填入相应的数值。

图10-4 配置authorization profile

 

在Policy中选择之前创建的authorization profile。

图10-5 配置policy set

 

10.4  验证配置

(1)     用户上线后服务器上显示如图10-6。

图10-6 用户上线后服务器显示

 

(2)     用户上线后设备上显示

在设备上通过display dot1x connection命令可以查看上线802.1X用户的信息。其中Authorization CAR字段显示成功下发授权CAR。

<Switch> display dot1x connection

Total connections: 1

Slot ID: 1

User MAC address: 000c-2944-2de5

Access interface: GigabitEthernet1/0/3

Username: king

User access state: Successful

Authentication domain: test.com

IPv4 address: 2.2.2.1

IPv4 address source: IP Source Guard

EAP packet identifier: 16

Authentication method: EAP

AAA authentication method: RADIUS

Initial VLAN: 2

Authorization untagged VLAN: N/A

Authorization tagged VLAN list: N/A

Authorization VSI: N/A

Authorization microsegment ID: N/A

Authorization ACL number/name: N/A

Authorization dynamic ACL name: N/A

Authorization user profile: N/A

Authorization CAR:

  Average input rate: 400000 bps

  Peak input rate: 400000 bps

  Average output rate: 800000 bps

  Peak output rate: 800000 bps

Authorization URL: N/A

Authorization IPv6 URL: N/A

Authorization temporary redirect: Disabled

Start accounting: Successful

Real-time accounting-update failures: 0

Termination action: Default

Session timeout period: N/A

Online from: 2021/01/09 14:24:42

Online duration: 1h 8m 46s

 

通过的终端Windows10使用iperf验证input限速效果。

图10-7 input限速效果

 

10.5  配置文件

#

 dot1x

 dot1x authentication-method eap

#

vlan 1

#

vlan 2

 description toClients

 arp snooping enable

#

vlan 3

 description toAAAserver

#

interface Vlan-interface1

#

interface Vlan-interface2

 description toClients

 ip address 2.2.2.29 255.255.255.0

#

interface Vlan-interface3

 description toAAAservers

 ip address 3.3.3.29 255.255.255.0

#

interface GigabitEthernet1/0/2

 port link-mode bridge

 port access vlan 3

#

interface GigabitEthernet1/0/3

 port link-mode bridge

 port access vlan 2

 dot1x

#

radius scheme ise

 primary authentication 3.3.3.24 key cipher $c$3$2oLOvHdRilTBlb6n1yh3/MoXN8z/RMbctQ==

 primary accounting 3.3.3.24 key cipher $c$3$fAhWH/rHm9hCcPq2PBWQa54YG9xKuQ1P0w==

 timer realtime-accounting 20 second

 user-name-format keep-original

#

#

domain test.com

 authentication default radius-scheme ise

 authorization default radius-scheme ise

 accounting default radius-scheme ise

#

11 URL重定向对接配置举例

11.1  组网需求

如图11-1所示，Client和ISE服务器通过Switch建立连接，设备管理员希望对Client进行802.1X认证，以控制其对网络资源的访问，具体要求如下：

·     采用ISE作为RADIUS服务器和Portal服务器。

·     用户采用802.1X认证，服务器授权下发URL重定向。

·     802.1X认证通过后，用户在客户端的游览器上输入任意IP地址会被重定向到URL中的Web页面。

图11-1 URL重定向对接配置组网图

 

11.2  使用版本

本配置举例所使用的设备型号及版本信息如下：

·     Switch：S5560X-R6618P27

·     认证服务器: Cisco ISE V2.4.0.357 patch 8

·     系统：Windows 10 21H2

·     认证客户端：iNode PC 7.3 (E513)

11.3  配置步骤

 

11.3.1  配置Switch

#设备上配置一条ACL放行URL中的IP地址。并且该条ACL需要在服务器上下发。Swtich上的其它配置请参考4.3.1  配置Switch。

[Switch] acl advanced 3300

[Switch-acl-ipv4-adv-3100] rule 1 permit ip destination 3.3.3.31 0

11.3.2  配置ISE

802.1X认证用户，服务器上的配置请参考4.3.2  配置ISE。

只需将“配置文件”的“属性”参考下图修改即可。

图11-2 创建Authorization Profile

 

11.4  验证配置

(1)     用户上线后服务器显示

图11-3 用户上线后服务器输出显示

 

(2)     用户上线后设备显示

在设备上通过display dot1x connection命令可以查看上线802.1X用户的信息。

<Switch> display dot1x connection

Total connections: 1

Slot ID: 1

User MAC address: 000c-2944-2de5

Access interface: GigabitEthernet1/0/3

Username: king

User access state: Successful

Authentication domain: test.com

IPv4 address: 2.2.2.10

IPv4 address source: IP Source Guard

EAP packet identifier: 117

Authentication method: CHAP

AAA authentication method: RADIUS

Initial VLAN: 2

Authorization untagged VLAN: N/A

Authorization tagged VLAN list: N/A

Authorization VSI: N/A

Authorization microsegment ID: N/A

Authorization ACL number/name: 3300

Authorization dynamic ACL name: N/A

Authorization user profile: N/A

Authorization CAR: N/A

Authorization URL: https://3.3.3.31

Authorization IPv6 URL: N/A

Authorization temporary redirect: Disabled

Start accounting: Successful

Real-time accounting-update failures: 0

Termination action: Default

Session timeout period: N/A

Online from: 2022/10/18 14:40:26

Online duration: 1h 39m 14s

用户在客户端的游览器上输入任意IP地址，会被重定向到URL中的Web页面。

11.5  配置文件

#

 dot1x

 dot1x authentication-method eap

#

vlan 1

#

vlan 2

 description toClients

 arp snooping enable

#

vlan 3

 description toAAAserver

#

interface Vlan-interface1

#

interface Vlan-interface2

 description toClients

 ip address 2.2.2.29 255.255.255.0

#

interface Vlan-interface3

 description toAAAservers

 ip address 3.3.3.29 255.255.255.0

#

interface GigabitEthernet1/0/2

 port link-mode bridge

 port access vlan 3

#

interface GigabitEthernet1/0/3

 port link-mode bridge

 port access vlan 2

 dot1x

#

radius scheme ise

 primary authentication 3.3.3.24 key cipher $c$3$2oLOvHdRilTBlb6n1yh3/MoXN8z/RMbctQ==

 primary accounting 3.3.3.24 key cipher $c$3$fAhWH/rHm9hCcPq2PBWQa54YG9xKuQ1P0w==

 timer realtime-accounting 20 second

 user-name-format keep-original

#

#

domain test.com

 authentication default radius-scheme ise

 authorization default radius-scheme ise

 accounting default radius-scheme ise

#

12 DAE对接配置举例

12.1  组网需求

如图12-1示，Client和ISE服务器通过Switch建立连接，设备管理员希望对Client进行认证（以802.1X认证为例），以控制其对网络资源的访问，具体要求如下：

·     采用Cisco ISE作为RADIUS服务器。

·     通过ISE下发DAE请求。

图12-1 DAE对接配置组网图

 

12.2  使用版本

本配置举例所使用的设备型号及版本信息如下：

·     Switch：S5560X-R6618P27

·     认证服务器: Cisco ISE V2.4.0.357 patch 8

·     系统：Windows 10 21H2

·     认证客户端：iNode PC 7.3 (E513)

12.3  配置Switch

Swtich上的基础配置请参考4.3.1  配置Switch。

设备上需要额外增加如下配置。

# 开启RADIUS DAE服务，并进入RADIUS DAE服务器视图。

[Switch] radius dynamic-author server

# 指定RADIUS DAE客户端，此IP是AAA服务器的IP，密钥是服务器上配置的radius共享密钥，port缺省为3799。

[Switch-radius-da-server] client ip 3.3.3.24 key simple expert

[Switch-radius-da-server] quit

12.4  配置ISE

服务器上的配置请参考4.3.2  配置ISE，并参考下图补充配置。

在ISE页面上选择[Administration/Network Resources/Network Devices/Network Devices]选项，确认ISE所添加的设备的CoA Port跟设备上的一致。

图12-2 确认Network Switchs CoA Port

 

 

12.5  验证配置

12.5.1  重认证

(1)     ISE上触发重认证

使用802.1X认证PAP/CHAP上线，在Live Sessions中点击Show CoA Actions后边的标志，选择Session reauthentication。

同样可以选择Session termination with port bounce、Session termination with port shutdown、Session termination来触发其他功能，本文档不再赘述。

图12-3 选择Session reauthentication

 

点击后页面右下角提示如下。

图12-4 点击后右下角提示

 

(2)     ISE上日志

Live Logs可以看到下发成功的日志。

表12-1 Live Logs日志

 

12.6  配置文件

#

 dot1x

 dot1x authentication-method eap

#

vlan 1

#

vlan 2

 description toClients

 arp snooping enable

#

vlan 3

 description toAAAserver

#

interface Vlan-interface1

#

interface Vlan-interface2

 description toClients

 ip address 2.2.2.29 255.255.255.0

#

interface Vlan-interface3

 description toAAAservers

 ip address 3.3.3.29 255.255.255.0

#

interface GigabitEthernet1/0/2

 port link-mode bridge

 port access vlan 3

#

interface GigabitEthernet1/0/3

 port link-mode bridge

 port access vlan 2

 dot1x

#

radius scheme ise

 primary authentication 3.3.3.24 key cipher $c$3$2oLOvHdRilTBlb6n1yh3/MoXN8z/RMbctQ==

 primary accounting 3.3.3.24 key cipher $c$3$fAhWH/rHm9hCcPq2PBWQa54YG9xKuQ1P0w==

 timer realtime-accounting 20 second

 user-name-format keep-original

#

#

domain test.com

 authentication default radius-scheme ise

 authorization default radius-scheme ise

 accounting default radius-scheme ise

#

13 SSH登录时使用HWTACACS认证对接操作举例

13.1  组网需求

如图13-1所示，设备管理员希望PC使用SSH登录Switch时，通过使用ISE服务器进行远程HWTACACS认证，登录Switch后，验证为level-15用户角色，并且使level-15用户角色执行display cpu-usage命令无效。

图13-1 HWTACACS认证组网图

 

13.2  使用版本

本配置举例所使用的设备型号及版本信息如下：

·     Switch：S5560X-R6618P27

·     认证服务器: Cisco ISE V2.4.0.357 patch 8

·     系统：Windows 10 21H2

·     认证客户端：iNode PC 7.3 (E513)

13.3  配置步骤

13.3.1  配置Switch

(1)     配置HWTACACS方案

# 创建名称为ise的HWTACACS方案并进入该方案视图。

<Switch> system-view

[Switch] hwtacacs scheme ise

# 配置认证/计费服务器IP地址为3.3.3.24，认证/授权、计费报文的共享密钥为expert。

[Switch-hwtacacs-ise] primary authorization 3.3.3.24 key simple expert

[Switch-hwtacacs-ise] primary authentication 3.3.3.24 key simple expert

[Switch-hwtacacs-ise] primary accounting 3.3.3.24 key simple expert

# 配置发送给HWTACACS服务器的用户名不携带ISP域名。

[Switch-radius-ise] user-name-format keep-original

(2)     配置ISP域

# 创建并进入名称为ise的ISP域。并将认证、授权和计费的方式配置为使用HWTACACS方案ise。

[Switch] domain ise

[Switch-isp-ise] authentication login hwtacacs-scheme ise

[Switch-isp-ise] authorization login hwtacacs-scheme ise

[Switch-isp-ise] accounting login none

[Switch-isp-ise] authorization command hwtacacs-scheme ise

[Switch-isp-ise] accounting command hwtacacs-scheme ise

[Switch-isp-ise] quit

# 配置系统缺省的ISP域ise，所有接入用户共用此缺省域的认证和计费方法。若用户登录时输入的用户名未携带ISP域名，则使用缺省域下的认证方法。

[Switch] domain default enable ise

(3)     配置SSH认证

# 生成RSA密钥对。

[Switch] public-key local create rsa

The range of public key modulus is (512 ~ 4096).

If the key modulus is greater than 512, it will take a few minutes.

Press CTRL+C to abort.

Input the modulus length [default = 1024]:

Generating Keys...

...

Create the key pair successfully.

# 生成DSA密钥对。

[Switch] public-key local create dsa

The range of public key modulus is (512 ~ 2048).

If the key modulus is greater than 512, it will take a few minutes.

Press CTRL+C to abort.

Input the modulus length [default = 1024]:

Generating Keys...

........

Create the key pair successfully.

# 使能SSH服务器功能。                              

[Switch] ssh server enable

# 设置SSH客户端登录用户界面的认证方式为scheme，并使能命令行授权功能、命令行审计功能。

[Switch] line vty 0 63

[Switch-line-vty0-63] authentication-mode scheme

[Switch-line-vty0-63] command authorization

[Switch-line-vty0-63] command accounting

[Switch-line-vty0-63] quit

# 使能缺省用户角色授权功能

[Switch] role default-role enable

13.3.2  配置ISE服务器

(1)     创建用户账号

在页面上方导航栏中选择[Work Centers/Switch Administration/Identities/Users]选项，点击<Add>按钮，创建名称为king的新帐号，配置密码为king。

图13-2 创建用户账号

 

(2)     添加Switch设备

在页面上方导航栏中选择[Switch Administration/Network Resources/Network Switchs]选项，点击<Add>按钮，添加名称为5560x的新设备，配置IP地址为3.3.3.29，勾选TACACS Authentication Settings栏，配置密码expert。

图13-3 添加Switch设备

 

(3)     配置认证协议

# 配置认证协议：在页面上方导航栏中选择[Switch Administration/Policy Elements/Results/Allowed Protocols]选项，确认默认的策略“Default Switch Admin”协议勾选情况。

图13-4 配置认证协议

 

# 配置TACACS授权用户角色：在页面上方导航栏中选择[Switch Administration/Policy Elements/Results/TACACS Profiles]选项，点击<Add>按钮，新建名称为名称为TACACSProfile1的命令集，配置Default Privilege为level15。

图13-5 配置授权用户角色

 

# 配置TACACS授权命令行集合：在页面上方导航栏中选择[Switch Administration/Policy Elements/Results/TACACS Command Sets]选项，点击<Add>按钮新建名称为CommandSet1的命令集，配置不允许执行命令display cpu-usage；在Commands栏中勾选Permit any commandthat is mot listed below，允许执行其他命令。

图13-6 配置授权命令行集合

 

(4)     配置认证和授权策略

# 新建认证策略：在页面上方导航栏中选择[Switch Administration/Switch Admin Policy Sets]选项，点击<＋>按钮新建。

图13-7 新建认证策略

 

# 设置认证策略和授权策略：点击上图认证策略a后面的<View>按钮，在Authorization Policy 中新建，并指定授权策略下发TACACS角色和TACACS命令集。

图13-8 设置认证策略和授权策略

 

(5)     开启设备管理服务

# To activate ISE Nodes for Switch Administration，

选择[Work Centers/Switch Administration/Overview/ Deployment] 选项，确认选中了需要的node

图13-9 Deployment页面

 

13.4  验证配置

13.4.1  配置SSH客户端

 

# 安装PuTTY 0.76软件。

# 打开PuTTY.exe程序，点击“Session”功能区：

·     在“Host Name（or IP address）”文本框中输入SSH服务器的IP地址。

·     在“Port”文本框中输入SSH协议端口号22。

·     在“Connection type”区域选择SSH协议。

# 单击<Open>按钮。

 

# 如果弹出图13-10所示“PuTTY Security Alert”对话框，请根据实际情况做出选择。本例中选择信任该服务器，则单击“Yes”按钮。

图13-10 SSH客户端登录界面（一）

 

# 如果弹出图13-11所示“PuTTY Security Alert”对话框，请根据实际情况做出选择。本例中选择信任该主机密钥，则单击“Yes”按钮。

图13-11 SSH客户端登录界面（二）

 

# 在如下登录界面中输入用户名“king”和密码“king”，即可成功登录设备。

login as: king

[email protected]'s password:

******************************************************************************

* Copyright (c) 2004-2021 New H3C Technologies Co., Ltd. All rights reserved.*

* Without the owner's prior written consent,                                 *

* no decompiling or reverse-engineering shall be allowed.                    *

******************************************************************************

<Switch>

13.4.2  验证授权命令

角色15允许访问的命令，比如display memory可以正常访问；deny的命令display cpu-usage无法访问，提示Permission denied。

[Switch]display memory

Memory statistics are measured in KB:

Slot 1:

             Total      Used      Free    Shared   Buffers    Cached   FreeRatio

Mem:       2036432    785096   1251336         0      1472    258008       62.0%

-/+ Buffers/Cache:    525616   1510816

Swap:            0         0         0

LowMem:    1651408    400692   1250716        --        --        --       75.7%

HighMem:    385024    384404       620        --        --        --        0.2%

 

[Switch]display cpu-usage

Permission denied.

 

输入display users可以看到目前登录的用户角色为level-15。

[Switch]display users

  Idx  Line     Idle       Time              Pid     Type

+ 10   VTY 0    00:00:00   Oct 17 20:11:40   105288  SSH

 

Following are more details.

VTY 0   :

        User name: king

        User role list: level-15

        Location: 55.73.134.88

13.4.3  查看服务器端相关日志

选择页面上方的[Work Centers/Switch Administration/Overview/TACACA Livelog]中可以看到认证相关的日志。

图13-12 TACACA Livelog

 

图13-13 设备输入display cpu-usage命令被阻止

 

图13-14 TACACS登录成功

 

13.5  配置文件

#

hwtacacs scheme ise

primary authentication 3.3.3.24 key cipher $c$3$wUwB4o8ka2I7ajzobLbwHsYtDKub7VhEdA==

 primary authorization 3.3.3.24 key cipher $c$3$/Eh17X/LhZiOsed29CU4/fKGEtpwjCT6Pg==

 primary accounting 3.3.3.24 key cipher $c$3$SkVBs/z9WNAvWzgTNx1mZSs0reEKR+7EOQ==

 user-name-format without-domain

#

domain ise

 authentication login hwtacacs-scheme ise

 authorization login hwtacacs-scheme ise

 accounting login none

 authorization command hwtacacs-scheme ise

 accounting command hwtacacs-scheme ise

#

public-key local create rsa

#

public-key local create dsa

#

ssh server enable

#

role default-role enable

#

line vty 0 31

 authentication-mode scheme

 command authorization

 command accounting

#

14 使用LDAP账户认证对接配置举例

14.1  组网需求

如图14-1所示，Client和ISE服务器及LDAP服务器（Windows Server）通过Switch建立连接，设备管理员希望对Client进行802.1X认证，以控制其对网络资源的访问，具体要求如下：

·     采用Cisco ISE作为RADIUS服务器。

·     采用Windows Server中的用户名密码。

图14-1 LDAP认证配置组网图

 

14.2  使用版本

本配置举例所使用的设备型号及版本信息如下：

·     Switch：S5560X-R6618P27

·     认证服务器: Cisco ISE V2.4.0.357 patch 8

·     系统：Windows 10 21H2

·     认证客户端：iNode PC 7.3 (E513)

LDAP服务器：Windows Server 2012R2

14.3  认证配置步骤与验证

 

14.3.1  配置Switch

设备上确认认证方式配置为EAP，后续以认证方式PEAP (EAP-GTC)举例，其他配置请参考4.3.1  配置Switch。

[Switch] dot1x authentication-method EAP

14.3.2  配置ISE

(1)     新建External Identity Sources

在页面上方导航栏中选择[Administration/Identity Management/ External Identity Sources/LDAP]选项，点击<Add>按钮，创建名称为LDAP_Identity_Source456的LDAP Identity Source。

图14-2 新建External Identity Sources

 

为保证安全性，以LDAPS方式连接LDAP server举例，在Connection标签页，填入ldap server的Hostname/IP，LDAPS端口号为636，若以LDAP方式连接，端口号为389。在ldap server获取其他参数填入其他位置，具体请参考Windows Server相关手册。

图14-3 修改Connection标签页参数

 

点击<Test Bind to Server>，可以看到已经成功连接上。

图14-4 连接成功

 

(2)     配置认证协议

在页面上方导航栏中选择[Policy/Policy Elements/Results/Authentication/Allowed Protocols]选项，新建名称为1x_EAP-PEAP-GTC，并确保勾选EAP-GTC。

图14-5 配置认证协议

 

(3)     配置认证和授权策略

在页面上方导航栏中选择[Policy/Policy Sets]选项，点击Policy Sets下方的<＋>按钮，配置名称1x-id through LDAPS的认证和授权策略。

图14-6 图1-18 新建Policy

 

图14-7     Use LDAP_Identity_Source456

 

14.3.3  验证配置

(1)     Windows客户端上使用iNode登录

在iNode填入已经在Windows Server已经创建好的用户名密码，在Properties中选择Authentication Type为PEAP，Sub-Type为GTC。

图14-8 iNode登录

 

(2)     用户上线后服务器日志显示

图14-9 用户上线后服务器日志显示

 

(3)     用户上线后设备的显示信息

通过在设备上执行display dot1x connection可以看到上线用户的信息。

<Switch> display dot1x connection

Total connections: 1

Slot ID: 1

User MAC address: 000c-295b-8151

Access interface: GigabitEthernet1/0/21

Username: [email protected]

User access state: Successful

Authentication domain: test.com

IPv4 address: 2.2.2.2

IPv4 address source: IP Source Guard

EAP packet identifier: 200

Authentication method: EAP

AAA authentication method: RADIUS

Initial VLAN: 2

Authorization untagged VLAN: N/A

Authorization tagged VLAN list: N/A

Authorization VSI: N/A

Authorization microsegment ID: N/A

Authorization ACL number/name: N/A

Authorization dynamic ACL name: N/A

Authorization user profile: N/A

Authorization CAR: N/A

Authorization URL: N/A

Authorization IPv6 URL: N/A

Authorization temporary redirect: Disabled

Start accounting: Successful

Real-time accounting-update failures: 0

Termination action: Default

Session timeout period: N/A

Online from: 2022/12/13 15:33:10

Online duration: 0h 1m 17s

14.4  配置文件

#

 dot1x

 dot1x authentication-method eap

#

vlan 1

#

vlan 2

 description toClients

 arp snooping enable

#

vlan 3

 description toAAAserver

#

interface Vlan-interface1

#

interface Vlan-interface2

 description toClients

 ip address 2.2.2.29 255.255.255.0

#

interface Vlan-interface3

 description toAAAservers

 ip address 3.3.3.29 255.255.255.0

#

interface GigabitEthernet1/0/2

 port link-mode bridge

 port access vlan 3

#

interface GigabitEthernet1/0/3

 port link-mode bridge

 port access vlan 2

 dot1x

#

radius scheme ise

 primary authentication 3.3.3.24 key cipher $c$3$2oLOvHdRilTBlb6n1yh3/MoXN8z/RMbctQ==

 primary accounting 3.3.3.24 key cipher $c$3$fAhWH/rHm9hCcPq2PBWQa54YG9xKuQ1P0w==

 timer realtime-accounting 20 second

 user-name-format keep-original

#

#

domain test.com

 authentication default radius-scheme ise

 authorization default radius-scheme ise

 accounting default radius-scheme ise

#

15 终端识别Profiling对接配置举例

通过SNMP+LLDP识别终端配置举例。

15.1  组网需求

如图15-1所示，Client和ISE服务器通过Switch建立连接，设备管理员希望对Client进行终端识别。

图15-1 终端识别Profiling对接配置组网图

 

15.2  使用版本

本配置举例所使用的设备型号及版本信息如下：

·     Switch：S5560X-R6618P27

·     认证服务器: Cisco ISE V2.4.0.357 patch 8

·     系统：Windows 10 21H2

·     认证客户端：iNode PC 7.3 (E513)

15.3  配置步骤

 

15.3.1  配置Switch

创建SNMP团体并配置设备支持的SNMP版本，Swtich上的其他配置请参考4.3.1  配置Switch。

[Switch] snmp-agent community read simple public

[Switch] snmp-agent sys-info version all

15.3.2  配置ISE

(1)     配置探针

在页面上方导航栏中选择[Work Centers/Profiler/Node Config/Profiling Configuraton]选项，打开相关的属性探针，打开SNMPQUERY。

图15-2 配置探针

 

(2)     配置SNMP

在页面上方导航栏中选择[Work Centers/Profiler/Network Devices]选项，选中对应的交换机，在SNMP Settings填写相关配置，保证ISE能够获取交换机SNMP信息。

图15-3 填写SNMP Settings

 

15.4  Windows上配置

15.4.1  安装lldp相关模块

Win10上在线或离线安装lldp相关模块，确保Windows能够发出lldp报文，并被交换机接收。

以离线安装为例，下载WindowsTH-RSAT_WS2016-x64.msu（https://download.microsoft.com/download/1/D/8/1D8B5022-5477-4B9A-8104-6A71FF9D98AB/WindowsTH-RSAT_WS2016-x64.msu），以文件放到C:\Downloads为例。

管理员权限打开cmd，输入如下命令：

MKDIR C:\Downloads\RSAT

MKDIR C:\Downloads\RSAT\x64

expand -f:* C:\Downloads\WindowsTH-RSAT_WS2016-x64.msu C:\Downloads\RSAT\x64

进入C:\Downloads\RSAT\x64，并输入命令Dism.exe /Online /Add-Package /PackagePath:".\WindowsTH-KB2693643-x64.cab"，等待安装成功。

15.4.2  打开lldp并验证效果

在CMD中输入命令，打开lldp，Enable-NetLldpAgent -NetAdapterName "AAAuser"

图15-4 Win10（vmware虚拟机）发出lldp报文

 

图15-5 交换机上收集到相关lldp信息

 

15.5  Profile相关配置

15.5.1  查看lldp信息

之前配置SNMP章节可以看到最小间隔10分钟，等待后，在endpoint classification中找到对应的endpoint，点击查看信息，可以看到已经关联了lldp信息。

图15-6 Endpoint展示lldp信息

 

15.5.2  创建Profiling Policy

创建Profiling Policy，如果endpoint的lldpChassisId字段包含00:0c:29字段的话，就将Certainty Factor增加500，最小满足500，也即只要endpoint满足这个条件，就把他们划到一个组。

注意，如果endpoint可以匹配其他Profiler Policy，并且Certainty Factor比这个500高的话，endpoint最终最终会显示最高Certainty Factor的Profiling Policy。

图15-7 新建Profiling Policy

 

 

15.6  效果展示

图15-8 Endpoint Profile显示vmware-lldpChassisId

 

图15-9 EndPointSource显示为SNMPQuery Probe

 

15.7  配置文件

#

 snmp-agent

 snmp-agent community read cipher $c$3$KaeEzejbDaABoVp8gpCZyK8F7+BvOlj2jQ==

 snmp-agent sys-info version all

#

其他配置请参考相应的认证方式。

16 终端安全Posture Assessment对接配置举例

16.1  组网需求

如图16-1所示，Client和ISE服务器通过Switch建立连接，设备管理员希望对Client进行Posture Assessment

图16-1 终端安全Posture Assessment对接配置组网图

 

16.2  使用版本

本配置举例所使用的设备型号及版本信息如下：

·     Switch：S5560X-R6618P27

·     认证服务器: Cisco ISE V2.4.0.357 patch 8

·     系统：Windows 10 21H2

·     认证客户端：iNode PC 7.3 (E513)

16.3  配置步骤

 

16.3.1  配置Switch

本举例以802.1X环境为例，Swtich上的配置请参考4.3.1  配置Switch。

16.3.2  配置ISE

(1)     上传Client provision所需资源

在页面上方导航栏中选择[Work Centers/Posture/Client Provisioning/Resources]选项，点击“Add”，选择Agent resources from local disk上传电脑本地文件，如果ise服务器可以连接互联网的话，也可以选择from cisco site。

相关文件可通过CISCO网站等方式获取。

图16-2 上传文件

 

所上传的文件如红框所示

图16-3 已上传文件的展示

 

(2)     创建Posture Agent Profile Settings

在页面上方导航栏中选择[Work Centers/Posture/Client Provisioning/Resources]选项，新建Posture Agent Profile Settings，并命名为PostureAgentProfile。

为方便调试，可以使能Enable Rescan Button选项。这个配置是下发给anyconnect作为配置文件使用的。

图16-4 新建Posture Agent Profile Settings

 

注意填写标星的选项，本例中填了ISE的IP地址。

图16-5 填写标星的选项

 

(3)     创建AnyConnect Configuration

新建AnyConnect Configuration，命名为AnyConnect Configuration-4.8，* ISE Posture中关联前边创建的PostureAgentProfile，Compliance Module关联上传的文件AnyConnectComplianceModuleWindows 4.3.2503.6145。

图16-6 AnyConnect Configuration相关配置

 

(4)     创建Client Provisioning Policy

在页面上方导航栏中选择[Work Centers/Posture/Client Provisioning/Client Provisioning Policy]选项，选择之前创建的AnyConnect Configuration-4.8。

图16-7 新建Client Provisioning Policy

 

(5)     创建posture policy element

在页面上方导航栏中选择[Work Centers/Posture/Policy Elements/Condition/Application]选项，以检测notepad是否运行为例，在application中新建，并命名为notepad_process_running。

图16-8 新建 Application Condition

 

(6)     创建Remediation

在页面上方导航栏中选择[Work Centers/Posture/Policy Elements/Remediations/Launch Program]选项，在Launch Program Remediations中新建并命名为notepad_Launch_Program_Remediation。

图16-9 新建Remediation

 

(7)     创建Requirement

在页面上方导航栏中选择[Work Centers/Posture/Policy Elements/Remediations/Requirements]选项，创建Requirement关联上之前创建的condition及Remediation。

图16-10 新建Requirement

 

(8)     创建Posture Policy

在页面上方导航栏中选择[Work Centers/Posture/Posture Policy]选项，新建Posture Policy，因为之前上传了AnyConnectComplianceModuleWindows 4.3.2503.6145，这儿Compliance Module选择4.x or later，Other Conditions选上之前创建的notepad_running。

图16-11 创建Posture Policy

 

(9)     创建Authorization Profile

在页面上方导航栏中选择[Policy/Policy Elements/Results/Authorization/Authorization Profiles]选项，新建1个Authorization Profile用于Client provision，也就是终端在合规状态未知或者不合规的时候，将终端的网页访问重定向到cpp页面，用于下载anyconnect客户端。如下图，命名为CPP-redirect，并关联上ACL，使得终端可以访问cpp页面。

图16-12 新建Authorization Profile

 

(10)     创建Policy Set

在页面上方导航栏中选择[Work Centers/Posture/Policy Sets]选项，新建Policy Set，并命名为Secure Mobility。

图16-13 新建Policy Set

 

新建3个Authorization Policy，使得合规状态未知及不合规状态下只能访问cpp页面，合规状态下授予permitaccess完全访问的权限。

图16-14 新建Authorization Policy

 

16.4  效果展示

16.4.1  Client Provisioning

终端连接成功802.1X，浏览器访问随机页面跳转到Client Provisioning Portal。

图16-15 Client Provisioning Portal

 

图16-16 Click start and wait a while

 

图16-17 点击Click here to download and install AnyConnect

 

图16-18 下载软件包并打开

 

图16-19 Connect anyway

 

图16-20 等待安装成功

 

16.4.2  Posture Assessment

安装成功后自动运行，点击Connect anyway。

图16-21 点击Connect anyway

 

根据之前Posture Policy等配置，Anyconnect在检测到notepad.exe没打开的情况下，会自动打开notepad.exe。配置的其他optional检测项可以选择<Skip All>。

图16-22 自动打开notepad.Exe

 

图16-23 anyconnect检测为compliant

 

图16-24 Anyconnect scan summary

 

回顾ISE上的日志，可以看到终端一开始拿到Secure Mobility >> unknown的授权CPP-redirect，在终端安装成功anyconnect并检测通过后，ISE自动下发coa重认证，因为此时终端已是合规状态，终端拿到了Secure Mobility >> compliant下的授权。

图16-25 Live logs

 

图16-26 posture status changed触发Reauthentication

 

16.5  配置文件

#

 dot1x

 dot1x authentication-method eap

#

vlan 1

#

vlan 2

 description toClients

 arp snooping enable

#

vlan 3

 description toAAAserver

#

interface Vlan-interface1

#

interface Vlan-interface2

 description toClients

 ip address 2.2.2.29 255.255.255.0

#

interface Vlan-interface3

 description toAAAservers

 ip address 3.3.3.29 255.255.255.0

#

interface GigabitEthernet1/0/2

 port link-mode bridge

 port access vlan 3

#

interface GigabitEthernet1/0/3

 port link-mode bridge

 port access vlan 2

 dot1x

#

radius scheme ise

 primary authentication 3.3.3.24 key cipher $c$3$2oLOvHdRilTBlb6n1yh3/MoXN8z/RMbctQ==

 primary accounting 3.3.3.24 key cipher $c$3$fAhWH/rHm9hCcPq2PBWQa54YG9xKuQ1P0w==

 timer realtime-accounting 20 second

 user-name-format keep-original

#

#

domain test.com

 authentication default radius-scheme ise

 authorization default radius-scheme ise

 accounting default radius-scheme ise

#