단일 호스트 및 다중 도메인 시나리오에 대한 IBNS 2.0 구성

소개

이 문서에서는 단일 호스트 및 다중 도메인 시나리오에 대해 IBNS(Identity Based Networking Services 2.0)를 구성하는 방법에 대해 설명합니다.

사전 요구 사항

요구 사항

다음 주제에 대한 지식을 보유하고 있으면 유용합니다.

• EAPoL(Extensible Authentication Protocol over Local Area Network)
• Radius 프로토콜
• Cisco Identity Services Engine 버전 2.0

사용되는 구성 요소

이 문서의 정보는 다음 소프트웨어 및 하드웨어 버전을 기반으로 합니다.

• Cisco Identity Service Engine 버전 2.0 패치 2
• Windows 7 OS를 사용하는 엔드포인트
• Cisco IOS® 15.2(4)E1이 포함된 Cisco 스위치 3750X
• Cisco switch 3850 with 03.02.03.SE
• Cisco IP Phone 9971

이 문서의 정보는 특정 랩 환경의 디바이스를 토대로 작성되었습니다. 이 문서에 사용된 모든 디바이스는 초기화된(기본) 컨피그레이션으로 시작되었습니다. 현재 네트워크가 작동 중인 경우 모든 명령의 잠재적인 영향을 미리 숙지하시기 바랍니다.

구성

컨피그레이션 이론

IBNS 2.0을 활성화하려면 Cisco 스위치에서 권한 모드로 명령을 실행해야 합니다.

#authentication display new-style

다음과 같은 명령을 사용하여 IBNS 2.0용 switchport를 구성합니다.

 access-session host-mode {single-host | multi-domain | multi-auth | multi-host}
 access-session port-control auto
 dot1x pae authenticator
 {mab}
 service-policy type control subscriber TEST

이러한 명령은 인터페이스에서 dot1x 인증을 활성화하고, 선택적으로 MAB(MAC Authentication Bypass)를 활성화합니다. 새 구문을 사용할 때는 access-session으로 시작하는 명령을 사용합니다. 이러한 명령의 목적은 이전 구문을 사용하는 명령과 동일합니다(authentication 키워드로 시작). 인터페이스에 사용할 수 있는 policy-map을 지정하려면 service-policy를 적용합니다.

언급된 정책 맵은 인증 중에 스위치(인증자)의 동작을 정의합니다. 예를 들어 인증 실패 시 발생할 수 있는 작업을 지정할 수 있습니다. 각 이벤트에 대해 아래에 구성된 클래스 맵에서 일치하는 이벤트의 유형에 따라 여러 작업을 구성할 수 있습니다. 예를 들어, 표시된 대로 목록을 확인합니다(policy-map TEST4). 이 정책이 적용되는 인터페이스에 연결된 dot1x 엔드포인트가 실패하면 DOT1X_FAILED에 정의된 작업이 실행됩니다. MAB_FAILED 및 DOT1X_FAILED와 같은 클래스에 동일한 동작을 지정하려는 경우 기본 클래스 - class-map always를 사용할 수 있습니다.

policy-map type control subscriber TEST4
(...)
 event authentication-failure match-first
  10 class DOT1X_FAILED do-until-failure
   10 terminate dot1x
(...)
  40 class always do-until-failure
   10 terminate mab
   20 terminate dot1x
   30 authentication-restart 60
(...)

IBNS 2.0에 사용되는 정책 맵에는 항상 유형 제어 가입자가 있어야 합니다.

다음과 같은 방법으로 사용 가능한 이벤트 목록을 볼 수 있습니다.

Switch(config-event-control-policymap)#event ?
  aaa-available                 aaa-available event
  absolute-timeout              absolute timeout event
  agent-found                   agent found event
  authentication-failure        authentication failure event
  authentication-success        authentication success event
  authorization-failure         authorization failure event
  authorization-success         authorization success event
  identity-update               identity update event
  inactivity-timeout            inactivity timeout event
  remote-authentication-failure authentication failure event
  remote-authentication-success authentication remote success event
  remote-update update          from remote device
  session-disconnected          session disconnected event
  session-started               session started event
  tag-added                     tag to apply event
  tag-removed                   tag to remove event
  template-activated            template activated event
  template-activation-failed    template activation failed event
  template-deactivated          template deactivated event
  template-deactivation-failed  template deactivation failed event
  timer-expiry                  timer-expiry event
  violation                     session violation event

이벤트 컨피그레이션에서는 클래스를 평가할 수 있는 방법을 정의할 수 있습니다.

Switch(config-event-control-policymap)#event authentication-failure ?
  match-all    Evaluate all the classes
  match-first  Evaluate the first class

클래스 맵에 대해 유사한 옵션을 정의할 수 있지만, 여기에서 클래스가 일치하는 경우 작업을 실행할 수 있는 방법을 지정할 수 있습니다.

Switch(config-class-control-policymap)#10 class always ?
  do-all            Execute all the actions
  do-until-failure  Execute actions until one of them fails
  do-until-success  Execute actions until one of them is successful

새로운 스타일 dot1x 구성의 마지막 부분(선택 사항)은 class-map입니다. 또한 제어 가입자를 입력할 수 있으며, 특정 동작 또는 트래픽을 확인하는 데 사용됩니다. 클래스 맵 조건 평가를 위한 요구 사항을 구성합니다. 모든 조건이 일치해야 하거나, 어떤 조건도 일치해야 하거나, 어떤 조건도 일치하지 않도록 지정할 수 있습니다.

Switch(config)#class-map type control subscriber ?
  match-all   TRUE if everything matches in the class-map
  match-any   TRUE if anything matches in the class-map
  match-none  TRUE if nothing matches in the class-map

다음은 dot1x 인증 실패 일치를 위해 사용되는 class-map의 예입니다.

class-map type control subscriber match-all DOT1X_FAILED
 match method dot1x
 match result-type method dot1x authoritative

대부분의 경우 service-template이 사용 중인 경우 CoA(Change of Authorization)에 대한 컨피그레이션을 추가해야 합니다.

aaa server radius dynamic-author
 client 10.48.17.232 server-key cisco 

단일 호스트 시나리오

네트워크 다이어그램

설정

Cisco IOS 15.2(4)E1을 사용하는 Catalyst 3750X에서 테스트한 단일 호스트 시나리오에 기본 802.1X 구성이 필요합니다. Windows 네이티브 서 플리 컨 트 및 Cisco AnyConnect로 테스트 된 시나리오.

aaa new-model
!
aaa group server radius tests
 server name RAD-1
!
aaa authentication dot1x default group tests
aaa authorization network default group tests
!
dot1x system-auth-control
!
policy-map type control subscriber TEST
 event session-started match-all
  10 class always do-until-failure
   10 authenticate using dot1x priority 10
!
interface GigabitEthernet1/0/21
 switchport access vlan 613
 switchport mode access
 access-session host-mode single-host
 access-session port-control auto
 dot1x pae authenticator
 service-policy type control subscriber TEST
!
radius server RAD-1
 address ipv4 10.48.17.232 auth-port 1812 acct-port 1813
 key cisco

다중 도메인에 대한 시나리오

네트워크 다이어그램

설정

IP Phone(Cisco IP Phone 9971)에 대한 PoE(Power over Ethernet) 요구 사항으로 인해 Catalyst 3850 with Cisco IOS 03.02.03.SE에서 다중 도메인 시나리오를 테스트했습니다. 

aaa new-model
!
aaa group server radius tests
 server name RAD-1
!
aaa authentication dot1x default group tests
aaa authorization network default group tests
!
aaa server radius dynamic-author
 client 10.48.17.232 server-key cisco
!
dot1x system-auth-control
!
class-map type control subscriber match-all DOT1X
 match method dot1x
!
class-map type control subscriber match-all DOT1X_FAILED
 match method dot1x
 match result-type method dot1x authoritative
!
class-map type control subscriber match-all DOT1X_NO_RESP
 match method dot1x
 match result-type method dot1x agent-not-found
!
class-map type control subscriber match-all MAB
 match method mab
!
class-map type control subscriber match-all MAB_FAILED
 match method mab
 match result-type method mab authoritative
!
policy-map type control subscriber TEST4
 event session-started match-all
  10 class always do-until-failure
   10 authenticate using dot1x priority 10
   20 authenticate using mab priority 20
 event authentication-failure match-first
  10 class DOT1X_FAILED do-until-failure
   10 terminate dot1x
  20 class MAB_FAILED do-until-failure
   10 terminate mab
   20 authenticate using dot1x priority 10
  30 class DOT1X_NO_RESP do-until-failure
   10 terminate dot1x
   20 authentication-restart 60
  40 class always do-until-failure
   10 terminate mab
   20 terminate dot1x
   30 authentication-restart 60
 event agent-found match-all
  10 class always do-until-failure
   10 terminate mab
   20 authenticate using dot1x priority 10
 event authentication-success match-all
  10 class always do-until-failure
   10 activate service-template DEFAULT_LINKSEC_POLICY_SHOULD_SECURE
!
interface GigabitEthernet1/0/1
 switchport access vlan 613
 switchport mode access
 switchport voice vlan 612
 access-session host-mode multi-domain
 access-session port-control auto
 mab
 dot1x pae authenticator
 spanning-tree portfast
 service-policy type control subscriber TEST4
!
radius-server attribute 6 on-for-login-auth
radius-server attribute 8 include-in-access-req
radius-server attribute 25 access-request include
radius-server vsa send cisco-nas-port
!
radius server RAD-1
 address ipv4 10.48.17.232 auth-port 1812 acct-port 1813
 key cisco

다음을 확인합니다.

구성이 올바르게 작동하는지 확인하려면 이 섹션을 활용하십시오.

확인을 위해 모든 스위치포트의 세션을 나열하려면 다음 명령을 사용합니다.

show access-session 

 단일 스위치 포트에서 세션에 대한 세부 정보를 볼 수도 있습니다.

show access-session interface [Gi 1/0/1] {detail} 

문제 해결

이 섹션에서는 설정 문제 해결을 위해 사용할 수 있는 정보를 제공합니다.

802.1X 관련 문제를 해결하려면 디버그를 활성화할 수 있습니다(Cisco IOS XE 16.3.2부터 시작).

set platform software trace smd switch active R0 radius debug
set platform software trace smd switch active R0 dot1x-all debug
set platform software trace smd switch active R0 auth-mgr-all debug
set platform software trace smd switch active R0 epm-all debug

 명령 show platform software trace level smd switch active R0은 현재 활성 디버그를 보여줍니다. 

 디버그를 비활성화하려면 모두 디버그 해제 또는 플랫폼 소프트웨어 추적 smd 스위치 활성 R0 <sub-component> 알림을 사용할 수 있습니다.

 생성된 로그를 표시하려면 다음 명령을 사용할 수 있습니다. show platform software trace message smd switch active R0.

 이전 Cisco IOS에서는 레거시 명령을 사용하여 디버그를 활성화할 수 있습니다. 

debug mab all
debug dot1x all
debug pre all* 

 * 선택적으로, debug pre의 경우 이벤트 및/또는 규칙만 사용하여 출력을 IBNS 2.0 관련 정보로 제한할 수 있습니다.