实验说明:此实验参考生产环境中某部分环境搭建而成,此环境Windows Server 2008用于登录用户、MAC等账号的认证,Cisco ISE用于认证授权等,无线部分利用VMWLC + Cisco 1702AP测试测试。因为为实验环境,整体网络架构所有节点为单点;Cisco ISE部分功能没有应用上,如测试PC端的补丁、防毒补丁、设备认证等(此部分在生产环境上实施),下图为此实验的网络架构图。
Windows AD: 172.16.1.199
Cisco VMISE: 172.16.1.103
CISCO VMWLC: 172.16.1.201
另外要说明的是,在生产环境中,无线AC建议不要使用Vlan 1作为管理Vlan。
1.Windwos Server 2008设定管理部分
1.1 Windows Server安装AD / DNS 并设定Domain: vmwlc.com,服务器名称为VMAD.VMWLC.COM(172.16.1.199)
1.2 Windows AD设定五个OU以及userGroup:
iseGroup1: 用于802.1X授权用户存放单元,userGroup设定为isegroup;
iseGroup2: 用于交换机登录授权用户存入单元,权限为Priv1,userGroup设定为isegroup02;
NetDeviceManager: 用于交换机登录授权用户存入单元,权限为Priv15,userGroup设定为NetDeviceManager;
MACAddress :用于MAB授权MAC Address存入授权单元,userGroup设定为MacAddressGroup,MACAddress格式为00-00-00-00-00-00;
iseWebGroup: 用于无线网络WEB授权用户存放单元,userGroup设定为isewebGroup;
1.3 添加ISEDNS Domain防问:ISE103.VMWLC.COM (172.16.1.103) / ISE104.VMWLC.COM (172.16.1.104);
1.4 Windows Server安装IIS,并设定http/https两协议都可以互相通信,目的为ISE提供证书申请;
2. CISCO ISE设定管理部分
2.1 ISE添加至WindowsAD并设定DNS
上图为ISE加入Windows Domain图
上图为ISE 加入Windows Domain后所产生Authentication Domains 信息
上图为Windows DNS解析名称与IP设定
2.2 ISE添加Windows AD Group,所有网络设备认证、MAB、802.1X等认证授权等用户全部来自于Windows AD userGroup,如下图:
3. 网络设备认证、授权设定
3.1 交换机部分
aaa aaa new-model
aaa authentication login nocon linenone
aaa authentication login vty group radius local
aaa authorization exec vty group radius local
aaa authorization network default group radius
aaa accounting exec vty start-stop group radius
radius-server host 172.16.1.103 key cisco(此设备间通信认证密码由用户自定义)
line vty 0 4
authorization exec vty
login authentication vty
3.2 Cisco ISE设定部分
ISE NetworkDevice 管理需增加NeworkDeviceGroup以及添加设备,DeviceGroup分两部分:
a.设备类类型分组;
b.区域分组,分组目的是为授权可以不同设备类型以及区域群组做授权,如下图设备组以及区域组设定:
ISE NetworkDevice添加被管理设备并分配至不同设备组,如下图:
设定用户防问交换机的Authention Policy,名称为Switch_Authen->条件:Device type EQUALS Device Type#All Device Type#2960G Group(此Group为已经定义好的NetworkDeviceGroup)->协议:DefaultNetworkAccess->用户为:ISE-03(即是已经加入Winows AD域名称),如下图:
设定用户防问交换的Authorization Policy,分别设定Swich_Author_Priv1与Switch_Author_Priv15两个条件,如下图:
上图为Swich_Author_Priv1授权图, Advanced AttributesSettings: Cisco:cisco-av-pri = priv-lvl=1
上图为Swich_Author_Priv1授权图,Advanced Attributes Settings: Cisco:cisco-av-pri = priv-lvl=15
分别设定用户防问网络设备的Switch_Author_1与Swith_Author_15的Authorization Policy,如下图:
上图为用户防问网络设备的Authorization Policy,其中usergroup:iserGroup02条为Switch_Author_Priv1为的只有priv 1 权限,NetDeviceManager条件为Switch_Author_Priv15权限为priv 15,如下图:
4.ISE MAB认证、授权设定部分
4.1 网络交换机设定部分
在交换机上启用 Radius Radius 认证 ,以下为配置内容
aaa new-model
aaa authentication dot1x default group radius
aaa authorization network default group radius
aaa accounting dot1x default start-stop group radius
aaa server radius dynamic-author
client 172.16.1.103 server-keycisco
ip device tracking
dot1x system-auth-control
radius-server attribute 6 on-for-login-auth
radius-server attribute 8 include-in-access-req
radius-server attribute 25 access-request include
radius-server dead-criteria time 5 tries 3
radius-server host 172.16.1.103 auth-port1812 acct-port 1813
radius-server key cisco
radius-server vsa send accounting
radius-server vsa send authentication
在连接AP交换机端口G1/0/13上启用 MAB和Dot1X认证,配置如下:
interface GigabitEthernet1/0/17
switchport access vlan 11
switchport mode access
ip access-group ACL-DEFAULT in
authentication event fail action next-method
authentication event server dead action authorize vlan 12
authentication event server alive action reinitialize
authentication host-mode multi-auth
authentication open
authentication order dot1x mab
authentication priority dot1x mab
authentication port-control auto
authentication violation restrict
mab
dot1x pae authenticator
spanning-tree portfast
设定基本的ACL: ACL-DEFAULT,配置如下:
ip access-list extended ACL-DEFAULT
permit udp any eq bootpc any eq bootps
permit udp any any eq domain
permit icmp any any
permit udp any any eq tftp
deny ip any any
4.2 ISE设定部分
Policy选项结果内设定Authorization Profile为Wifi_MAB_Guest_Autor(有线网络与无线网络设定原理一样),DACLName: PERMIT_ALL_TRAFFIC,Vlan: ID/11即是交换机上所设定的vlanID
Authentication Policy 设定,条件设定为Wireless_MAB或是Wire_MAB,协议为DefaultNetworkAccess,用户为用户为:ISE-03(即是已经加入Winows AD域名称),如下图:
Authorization Policy设定,条件为Windows AD里的MacAddressGroup组内mac Address,条件为预设定的Wifi_MAB_Guest_Author,如下图:
下图为已经认证授权通过的Wifi MAB记录:
下图为有线用户认证授权通过的MAB信息,
a. 获取到相应的VlanID: 11;
b. 获取到相应的ACS ACL:xACSACLx-IP-PERMIT_ALL_TRAFFIC-56161e32;
c. 分配至相应的IP Address:172.16.5.137
d. MABAuthorization Success
5. 有线/无线网络802.1X MAB 认证设定部分(有线部分802.1X认证设定跟MAB基本一样,不需要重新设定,以下部分只包括无线部分):
5.1 无线控制器WLC设定部分(只部分控制器设定部分,不包括无线控制器的安装以及AP设定部分)
分别增加Radiu Authentication / Accounting,如下图:
增加SSID,并且设定如下:
AP设定,ap Mode: Flexconnect
5.2 CISCO ISE设定部分
Policy先项结果内设定Authentication Allowed Protocols,名字为Dot1x_EAP_Authen,因只做Dot1x认证,只选择部分协议,如下图:
Policy选项结果内设定Authorization Profile为Dot1x_EAP_Author(有线网络与无线网络设定原理一样),DACLName: PERMIT_ALL_TRAFFIC,Vlan: ID/11即是交换机上所设定的vlanID
设定用户连接无线网络Authentication Policy,名称:Dot1x_EAP_Authen,条件为Wireless_802.1x和无线设备组,协议为Dot1x_EAP_Authen,用户为用户为:ISE-03(即是已经加入Winows AD域名称),如下图:
设定用户连接无线网络Authorization Policy,名称为Dot1x_Author_WIFI,用户为Windows AD isegroup内的所有用户,条件为Dot1x_EAP_Author,如下图:
下图为已经认证授权通过的Wifi MAB/ 802.1x记录: