恢弘志士之气,不宜妄自菲薄。这篇文章主要讲述Cisco ISE 交换机AAA认证方式和全局&接口配置相关的知识,希望能为你提供帮助。
认证方式常见的入网认证技术主要有三种:802.1X、MAB、WebAuth
?802.1X
802.1x协议是基于Client/Server的访问控制和认证协议。它可以限制未经授权的用户/设备通过接入端口(access port)访问LAN/WLAN。在获得交换机或LAN提供的各种业务之前,802.1x对连接到交换机端口上的用户/设备进行认证。在认证通过之前,802.1x只允许EAPoL(基于局域网的扩展认证协议)数据通过设备连接的交换机端口;认证通过以后,正常的数据可以顺利地通过以太网端口
?MAB
【Cisco ISE 交换机AAA认证方式和全局&接口配置】MAB即Mac Address Bypass,MAC地址认证。前面提到的802.1X和WebAuth的认证方式,都需要被认证终端输入指定的帐号和密码,但对于一些哑设备来说,这是无法实现的,例如网络打印机、IP电话等,MAB认证方式正是为这些设备的认证而推出的。MAB的认证过程为:一个设备接入网络之中,接入网络设备将获取到该设备的MAC地址,并自行发起校验,后台的Radius服务器会校验系统中是否已预置了该MAC地址,如果已有,则通知接入网络设备放行该终端,若没有,则拒绝该设备的网络接入
?WebAuth
WebAuth也被称为WebPortal认证,其实现过程为:用户认证前无论访问任何地址,都会被重定向到一个指定的页面(称为Portal即门户页面),需要在这个Portal页面上输入帐号密码进行认证,认证通过后方可顺利上网。与802.1X相比,其后台依旧是Radius协议,只是与用户交互的部分由EAPoL变成了Http
全局配置1、激活3A,同时将免3A认证部署在交换机VTY/console接口
目的是哪天忘记密码了、文档丢失了仍然可以通过console来访问而不至于重置
aaa new-model
aaa authentication login protect line none
line vty 0 4
login authentication protect
2、使用radius协议,指定3A服务器以及组名
radius server ISE-MAster #ISE-Master组名字自定义,方便后续调用
address ipve 10.1.1.10
key cisco
aaa group server radius ISE-Master
server name ISE-Master
3、SNMPV3配置
#创建SNMPV3组SNMP-GROUP,安全级别选择最高的priv,即认证、完整性检查、加密均部署使用
snmp-server group SNMP-Group v3 priv
#创建用于认证的用户SNMP-User,隶属于SNMP-Group
#启用完整性,password为cisco
#启用加密,password为Cisco
snmp-server user SNMP-User SNMP-Group v3 auth md5 cisco priv des Cisco
激活SNMP-Trap
snmp-server enable traps
#指定SNMP管理中心和使用的版本即认证用户
snmp-server host 10.1.1.10 version 3 priv SNMP-User
其中trap激活后可以追踪的功能比较丰富
4、创建设备组
5、交换机注册到ISE
创建组
创建设备
认证服务器
SNMP信息
6、配置802.1x认证、授权、审计
aaa authentication dot1x default group ISE-Master
aaa authorization network default group ISE-Master
aaa accounting dot1x default start-stop group ISE-Master
do sh run | sec aaa
7、启用CoA,灵活授权
aaa server radius dynamic-author
client 10.1.1.10 server-key cisco
8、全局启用802.1x
全局802.1x使能后,后续具体的接口配置也要开启才算有效,未开启的不进行AAA认证,
dot1x system-auth-control
9、参数配置
#激活IP地址追踪
ip device tracking
如果不配置ip device tracking情况
如果配置ip device tracking情况
#对应6:接入请求中加入服务类字节(区分不同认证)
#对应8:在请求中发送请求设备的IP地址
radius-server attribute 6 on-for-login-auth
radius-server attribute 8 include-in-access-req
#超过3*5=15秒服务器没有响应标记radius服务器失效
radius-ser dead-criteria time 5 tries 3
#厂商私有属性,不配置可能导致DACL失效
radius-server vsa send accounting
radius-server vsa sned authenticaion
10、默认流量放行ACL
没有认证的可以做什么
接口配置1、常规配置
#配置VLAN和端口快速
int g1/0/9
description TO-TP phone
switchport access vlan 20
switchport mode access
spanning-tree portfast
#下列为高可用部分
#结合#超过3*5=15秒服务器没有响应标记radius服务器失效形成高可用
#当3A服务器故障时,使用本地授权VLAN20,
authentication event server dead action authorize vlan 20
#当3A服务器恢复则重新执行准入(先关闭接口)
authentication event server alive actionn reinitialize
#激活接口认证
authentication port-conrol auto
#开启dot1x有MAB认证
dot1x pae authenticator
mab
2、open认证
#启用认证open,搭配列表ACL-DEFAULT使用
authentication open
ip access-group ACL-DEFAULT in
3、主机模式
#配置认证模式为host-mode,有4种认证
authentication host-mode multi-auth
#配置惩罚机制为restrict
authentication violation restric
4种不同主机模式释义
4、语音和数据VLAN
5、认证轮询
#先执行MAB后执行802.1X,认证一个即可,若都通过优先使用802.1x
authentication orader mab dot1x
authentication priority dot1x mab
authentication event fail action next-method
除上述外其他认证的功能列表
推荐阅读
- PowerShell小技巧(通过Powershell 发送消息给企业微信机器人)
- 阿里云云原生一体化数仓入选 2022数博会“十佳大数据案例”
- 客快物流大数据项目(Docker容器命令)
- Hyper-V 虚拟机实时迁移配置
- 代码实现MNLM | word embedding开山之作
- #云原生征文# docker数据卷与DockerFile学习
- 图分析的22种算法与图形理解
- 大厂是怎么实践装饰器模式的()
- 跳过Maven 打包时的测试,如何跳过Maven 打包测试