Cisco ISE 交换机AAA认证方式和全局&接口配置_AAA认证方式

认证方式

常见的入网认证技术主要有三种:802.1X、MAB、WebAuth

​802.1X

802.1x协议是基于Client/Server的访问控制和认证协议。它可以限制未经授权的用户/设备通过接入端口(access port)访问LAN/WLAN。在获得交换机或LAN提供的各种业务之前,802.1x对连接到交换机端口上的用户/设备进行认证。在认证通过之前,802.1x只允许EAPoL(基于局域网的扩展认证协议)数据通过设备连接的交换机端口;认证通过以后,正常的数据可以顺利地通过以太网端口

​MAB

MAB即Mac Address Bypass,MAC地址认证。前面提到的802.1X和WebAuth的认证方式,都需要被认证终端输入指定的帐号和密码,但对于一些哑设备来说,这是无法实现的,例如网络打印机、IP电话等,MAB认证方式正是为这些设备的认证而推出的。MAB的认证过程为:一个设备接入网络之中,接入网络设备将获取到该设备的MAC地址,并自行发起校验,后台的Radius服务器会校验系统中是否已预置了该MAC地址,如果已有,则通知接入网络设备放行该终端,若没有,则拒绝该设备的网络接入

​WebAuth

WebAuth也被称为WebPortal认证,其实现过程为:用户认证前无论访问任何地址,都会被重定向到一个指定的页面(称为Portal即门户页面),需要在这个Portal页面上输入帐号密码进行认证,认证通过后方可顺利上网。与802.1X相比,其后台依旧是Radius协议,只是与用户交互的部分由EAPoL变成了Http

全局配置

1、激活3A,同时将免3A认证部署在交换机VTY/console接口

目的是哪天忘记密码了、文档丢失了仍然可以通过console来访问而不至于重置

aaa new-model
aaa authentication login protect line none
line vty 0 4
login authentication protect

Cisco ISE 交换机AAA认证方式和全局&接口配置_AAA认证方式_02

2、使用radius协议,指定3A服务器以及组名

radius server ISE-MAster #ISE-Master组名字自定义,方便后续调用
address ipve 10.1.1.10
key cisco

aaa group server radius ISE-Master
server name ISE-Master

 

Cisco ISE 交换机AAA认证方式和全局&接口配置_准入控制_03

3、SNMPV3配置

#创建SNMPV3组SNMP-GROUP,安全级别选择最高的priv,即认证、完整性检查、加密均部署使用
snmp-server group SNMP-Group v3 priv

#创建用于认证的用户SNMP-User,隶属于SNMP-Group
#启用完整性,password为cisco
#启用加密,password为Cisco
snmp-server user SNMP-User SNMP-Group v3 auth md5 cisco priv des Cisco

激活SNMP-Trap
snmp-server enable traps

#指定SNMP管理中心和使用的版本即认证用户
snmp-server host 10.1.1.10 version 3 priv SNMP-User

其中trap激活后可以追踪的功能比较丰富

Cisco ISE 交换机AAA认证方式和全局&接口配置_思科802.1x交换机配置_04

Cisco ISE 交换机AAA认证方式和全局&接口配置_思科802.1x交换机配置_05

Cisco ISE 交换机AAA认证方式和全局&接口配置_思科802.1x交换机配置_06

4、创建设备组

Cisco ISE 交换机AAA认证方式和全局&接口配置_AAA配置_07

5、交换机注册到ISE

创建组

Cisco ISE 交换机AAA认证方式和全局&接口配置_AAA认证方式_08

创建设备

Cisco ISE 交换机AAA认证方式和全局&接口配置_AAA配置_09

认证服务器

Cisco ISE 交换机AAA认证方式和全局&接口配置_准入控制_10

SNMP信息

Cisco ISE 交换机AAA认证方式和全局&接口配置_AAA配置_11

 6、配置802.1x认证、授权、审计

aaa authentication dot1x default group ISE-Master
aaa authorization network default group ISE-Master
aaa accounting dot1x default start-stop group ISE-Master

Cisco ISE 交换机AAA认证方式和全局&接口配置_AAA认证方式_12

do sh run | sec aaa

Cisco ISE 交换机AAA认证方式和全局&接口配置_准入控制_13

7、启用CoA,灵活授权

aaa server radius dynamic-author 
client 10.1.1.10 server-key cisco

Cisco ISE 交换机AAA认证方式和全局&接口配置_准入控制_14

8、全局启用802.1x

全局802.1x使能后,后续具体的接口配置也要开启才算有效,未开启的不进行AAA认证,

dot1x system-auth-control

Cisco ISE 交换机AAA认证方式和全局&接口配置_思科802.1x交换机配置_15

9、参数配置

#激活IP地址追踪
ip device tracking

Cisco ISE 交换机AAA认证方式和全局&接口配置_AAA认证方式_16

如果不配置ip device tracking情况

  • IP a进行认证后,ACL变成IP ANY ANY,我修改了IP变成b不认证即可通过

Cisco ISE 交换机AAA认证方式和全局&接口配置_AAA配置_17

如果配置ip device tracking情况

  • ACL仅仅放行A IP地址

Cisco ISE 交换机AAA认证方式和全局&接口配置_AAA配置_18

#对应6:接入请求中加入服务类字节(区分不同认证)
#对应8:在请求中发送请求设备的IP地址
radius-server attribute 6 on-for-login-auth
radius-server attribute 8 include-in-access-req

Cisco ISE 交换机AAA认证方式和全局&接口配置_思科802.1x交换机配置_19

#超过3*5=15秒服务器没有响应标记radius服务器失效
radius-ser dead-criteria time 5 tries 3

#厂商私有属性,不配置可能导致DACL失效
radius-server vsa send accounting
radius-server vsa sned authenticaion

Cisco ISE 交换机AAA认证方式和全局&接口配置_AAA认证方式_20

10、默认流量放行ACL

没有认证的可以做什么

Cisco ISE 交换机AAA认证方式和全局&接口配置_准入控制_21

接口配置

1、常规配置

#配置VLAN和端口快速 
int g1/0/9
description TO-TP phone
switchport access vlan 20
switchport mode access
spanning-tree portfast
#下列为高可用部分
#结合#超过3*5=15秒服务器没有响应标记radius服务器失效形成高可用
#当3A服务器故障时,使用本地授权VLAN20,
authentication event server dead action authorize vlan 20
#当3A服务器恢复则重新执行准入(先关闭接口)
authentication event server alive actionn reinitialize

#激活接口认证
authentication port-conrol auto
#开启dot1x有MAB认证
dot1x pae authenticator
mab

Cisco ISE 交换机AAA认证方式和全局&接口配置_准入控制_22

Cisco ISE 交换机AAA认证方式和全局&接口配置_AAA认证方式_23

2、open认证

#启用认证open,搭配列表ACL-DEFAULT使用
authentication open
ip access-group ACL-DEFAULT in

Cisco ISE 交换机AAA认证方式和全局&接口配置_ISE安全设备_24

Cisco ISE 交换机AAA认证方式和全局&接口配置_准入控制_25

Cisco ISE 交换机AAA认证方式和全局&接口配置_AAA配置_26

3、主机模式

#配置认证模式为host-mode,有4种认证
authentication host-mode multi-auth
#配置惩罚机制为restrict
authentication violation restric

Cisco ISE 交换机AAA认证方式和全局&接口配置_AAA认证方式_27

4种不同主机模式释义

Cisco ISE 交换机AAA认证方式和全局&接口配置_准入控制_28

Cisco ISE 交换机AAA认证方式和全局&接口配置_准入控制_29

Cisco ISE 交换机AAA认证方式和全局&接口配置_ISE安全设备_30

Cisco ISE 交换机AAA认证方式和全局&接口配置_ISE安全设备_31

4、语音和数据VLAN

Cisco ISE 交换机AAA认证方式和全局&接口配置_思科802.1x交换机配置_32

5、认证轮询

#先执行MAB后执行802.1X,认证一个即可,若都通过优先使用802.1x
authentication orader mab dot1x
authentication priority dot1x mab
authentication event fail action next-method

除上述外其他认证的功能列表

Cisco ISE 交换机AAA认证方式和全局&接口配置_AAA认证方式_33