Configurar a política de autorização com base no atributo vlan-id no ISE

Opções de download

  • PDF     (184.0 KB)
    Ver no Adobe Reader em vários dispositivos
  • ePub     (183.7 KB)
    Ver em vários aplicativos no iPhone, iPad, Android, Sony Reader ou Windows Phone
  • Mobi (Kindle)     (125.9 KB)
    Ver no dispositivo Kindle ou no aplicativo Kindle em vários dispositivos
Atualizado:25 de novembro de 2021
ID do documento:217586

Linguagem imparcial

O conjunto de documentação deste produto faz o possível para usar uma linguagem imparcial. Para os fins deste conjunto de documentação, a imparcialidade é definida como uma linguagem que não implica em discriminação baseada em idade, deficiência, gênero, identidade racial, identidade étnica, orientação sexual, status socioeconômico e interseccionalidade. Pode haver exceções na documentação devido à linguagem codificada nas interfaces de usuário do software do produto, linguagem usada com base na documentação de RFP ou linguagem usada por um produto de terceiros referenciado. Saiba mais sobre como a Cisco está usando a linguagem inclusiva.

Sobre esta tradução

A Cisco traduziu este documento com a ajuda de tecnologias de tradução automática e humana para oferecer conteúdo de suporte aos seus usuários no seu próprio idioma, independentemente da localização. Observe que mesmo a melhor tradução automática não será tão precisa quanto as realizadas por um tradutor profissional. A Cisco Systems, Inc. não se responsabiliza pela precisão destas traduções e recomenda que o documento original em inglês (link fornecido) seja sempre consultado.

    Introduction

    Este artigo descreve as etapas para configurar a política de autorização do ISE com base no atributo de ID da VLAN enviado do NAD. Esse recurso está disponível somente com o IBNS 2.0.

    Caso de uso

    Os clientes desejam preencher a ID da VLAN configurada na interface de acesso e usá-la posteriormente para fornecer acesso ao ISE.

    Configuration Steps

    lado NAD

    1. Configure o switch para enviar atributos de raio da VLAN na solicitação de acesso.

    Device# configure terminal
Device(config)# access-session attributes filter-list list TEST
Device(config-com-filter-list)# vlan-id
Device(config-com-filter-list)# exit
Device(config)# access-session accounting attributes filter-spec include list TEST
Device(config)# access-session authentication attributes filter-spec include list TEST
Device(config)# end

    NOTE: Você pode receber um aviso ao inserir o comando "access-session accounting attribute filter-spec include list TEST" para aceitar a migração para o IBNS 2.

    Switch(config)#access-session accounting attributes filter-spec include list TEST
This operation will permanently convert all relevant authentication commands to their CPL control-policy equivalents. As this conversion is irreversible and will disable the conversion CLI 'authentication display [legacy|new-style]', you are strongly advised to back up your current configuration before proceeding. 
Do you wish to continue? [yes]:

    Consulte o guia a seguir para obter mais detalhes: guia de configuração dos atributos de raio de ID de VLAN

    lado ISE

    1. Crie uma política de autenticação com base nas suas necessidades (MAB/DOT1X).

    2. A política de autorização incluirá o próximo tipo de condição, certifique-se de corresponder à sintaxe exata

    Radius·Tunnel-Private-Group-ID EQUALS (tag=1)

    Exemplo:

    Para um VLAN-ID = 77

    Screen Shot 2021-11-25 at 2.57.17 p.m.

    Teste

    lado NAD

    
Switch#sh run interface Tw1/0/3 
Building configuration...

Current configuration : 336 bytes
!
interface TwoGigabitEthernet1/0/3
 switchport access vlan 77
 switchport mode access
 device-tracking attach-policy DT_POLICY
 access-session host-mode multi-host
 access-session closed
 access-session port-control auto
 mab
 dot1x pae authenticator
 spanning-tree portfast
 service-policy type control subscriber POLICY_Tw1/0/3
end

Switch#
    
Switch#sh auth sess inter Tw1/0/3 details 
            Interface:  TwoGigabitEthernet1/0/3
               IIF-ID:  0x1FA6B281
          MAC Address:  c85b.768f.51b4
         IPv6 Address:  Unknown
         IPv4 Address:  10.4.18.167
            User-Name:  C8-5B-76-8F-51-B4
               Status:  Authorized
               Domain:  DATA
       Oper host mode:  multi-host
     Oper control dir:  both
      Session timeout:  N/A
    Common Session ID:  33781F0A00000AE958E57C9D
      Acct Session ID:  0x0000000e
               Handle:  0x43000019
       Current Policy:  POLICY_Tw1/0/3


Local Policies:
        Service Template: DEFAULT_LINKSEC_POLICY_SHOULD_SECURE (priority 150)
      Security Policy:  Should Secure

Server Policies:


Method status list:
       Method           State
          mab           Authc Success

Switch#

    lado ISE

    Screen Shot 2021-11-25 at 3.07.20 p.m.

    Screen Shot 2021-11-25 at 3.07.52 p.m.

    Histórico de revisões

    Revisão Data de publicação Comentários
    1.0
    25-Nov-2021
    Versão inicial
    TAC Authored

    Colaborado por engenheiros da Cisco

    • Jonathan Casillas Gutierrez
      Technical Consulting Engineer

    Este documento lhe foi útil?

    FeedbackFeedback

    Contate a Cisco

    Este documento se refere a estes produtos