使用ISE配置TrustSec (SGT)(内联标记)
目录
简介
本文档介绍如何使用身份服务引擎在Catalyst交换机和无线LAN控制器上配置和验证TrustSec。
先决条件
Cisco 建议您了解以下主题:
- Cisco TrustSec (CTS)组件的基础知识
- Catalyst交换机的CLI配置基础知识
- 思科无线局域网控制器(WLC)的GUI配置基础知识
- 使用身份服务引擎(ISE)配置的体验
要求
您的网络中必须部署思科ISE,最终用户在连接到无线或有线网络时必须使用802.1x(或其他方法)向思科ISE进行身份验证。思科ISE会在其流量向您的无线网络进行身份验证后为其分配安全组标记(SGT)。
在我们的示例中,最终用户被重定向到思科ISE自带设备(BYOD)门户,并调配了证书,因此他们可以在完成BYOD门户步骤后,使用可扩展身份验证协议-传输层安全(EAP-TLS)安全地访问无线网络。
使用的组件
本文档中的信息基于下列硬件和软件版本:
- 思科身份服务引擎,版本2.4
- Cisco Catalyst 3850交换机,版本3.7.5E
- Cisco WLC版本8.5.120.0
- 本地模式下的Cisco Aironet无线接入点
在部署Cisco TrustSec之前,验证您的Cisco Catalyst交换机和/或Cisco WLC+AP型号+软件版本是否支持以下功能:
- TrustSec/安全组标记
- 内联标记(如果不是,您可以使用SXP而不是内联标记)
- 静态IP到SGT映射(如果需要)
- 静态子网到SGT的映射(如果需要)
- 静态VLAN至SGT映射(如果需要)
本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始(默认)配置。如果您的网络处于活动状态,请确保您了解所有命令的潜在影响。
配置
网络图
在本示例中,如果数据包来自顾问,则WLC将其标记为SGT 15;如果数据包来自员工,则标记为+ SGT 7。
如果数据包从SGT 15到SGT 8(顾问无法访问标记为SGT 8的服务器),交换机将拒绝这些数据包。
如果数据包从SGT 7到SGT 8,交换机允许这些数据包(员工可以访问标记为SGT 8的服务器)。
目标
允许任何人访问GuestSSID。
允许顾问访问EmployeeSSID,但访问受限。
允许员工以完全访问权限访问EmployeeSSID。
| 设备 | IP 地址 | VLAN |
| ISE | 10.201.214.230 | 463 |
| Catalyst 交换机 | 10.201.235.102 | 1115 |
| WLC | 10.201.214.229 | 463 |
| 访问点 | 10.201.214.138 | 455 |
| 名称 | 用户名 | AD组 | SG | SGT |
| Jason Smith | jsmith | 顾问 | BYOD顾问 | 15 |
| 莎莉·史密斯 | ssmith | 员工 | BYOD员工 | 7 |
| 不适用 | 不适用 | 不适用 | TrustSec设备 | 2 |
配置
在ISE上配置TrustSec
将Cisco ISE配置为TrustSec AAA服务器
配置并验证在Cisco ISE添加为RADIUS设备
配置和验证WLC添加为Cisco ISE中的TrustSec设备
输入您的SSH登录凭证。这使Cisco ISE部署静态IP到SGT映射至交换机。
您在Cisco ISE Web GUI中创建这些在Work Centers > TrustSec > Components > IP SGT Static Mappings下,如下所示:
提示:如果您尚未在Catalyst交换机上配置SSH,可以使用以下指南:如何在Catalyst交换机上配置安全外壳(SSH)。
提示:如果您不希望思科ISE通过SSH访问Catalyst交换机,可以使用CLI在Catalyst交换机上创建静态IP到SGT的映射(在此步骤中显示)。
验证默认TrustSec设置以确保它们可接受(可选)
为无线用户创建安全组标记
为BYOD顾问创建安全组- SGT 15
为BYOD员工创建安全组- SGT 7
为受限制的Web服务器创建静态IP到SGT映射
对网络中未使用MAC身份验证绕行(MAB)、802.1x、配置文件等向Cisco ISE进行身份验证的任何其他IP地址或子网执行此操作。
创建证书身份验证配置文件
使用之前的证书身份验证配置文件创建身份源序列
为无线用户(员工和顾问)分配适当的SGT
| 名称 | 用户名 | AD组 | SG | SGT |
| Jason Smith | jsmith | 顾问 | BYOD顾问 | 15 |
| 莎莉·史密斯 | ssmith | 员工 | BYOD员工 | 7 |
| 不适用 | 不适用 | 不适用 | TrustSec设备 | 2 |
将SGT分配到实际设备(交换机和WLC)
定义SGACL以指定出口策略
允许顾问访问外部任何位置,但限制内部:
允许员工访问任何外部地点和任何内部地点:
允许其他设备访问基本服务(可选):
将所有最终用户重定向至Cisco ISE(用于BYOD门户重定向)。不包括DNS、DHCP、ping或WebAuth流量,因为这些流量无法转到Cisco ISE:
在思科ISE中的TrustSec策略矩阵上实施ACL
允许顾问访问外部任何位置,但限制内部Web服务器,例如https://10.201.214.132
允许员工访问任何外部位置并允许内部Web服务器:
允许管理流量(SSH、HTTPS和CAPWAP)进出网络上的设备(交换机和WLC),这样在部署Cisco TrustSec后不会失去SSH或HTTPS访问:
启用思科ISE以 Allow Multiple SGACLs:
单击Cisco ISE右上角的Push,将您的配置推送到您的设备。您还需要稍后再进行此操作:
在Catalyst交换机上配置TrustSec
在Catalyst交换机上配置TrustSec在Catalyst交换机上配置交换机以使用Cisco TrustSec for AAA
在Catalyst交换机上配置交换机以使用Cisco TrustSec for AAA
提示:本文档假设您的无线用户成功通过Cisco ISE的BYOD,然后执行此处所示的配置。
粗体显示的命令在此之前已配置(为了使BYOD无线能够与ISE配合使用)。
CatalystSwitch(config)#aaa new-model
CatalystSwitch(config)#aaa server radius policy-device
CatalystSwitch(config)#ip device tracking
CatalystSwitch(config)#radius server CISCOISE
CatalystSwitch(config-radius-server)#address ipv4 10.201.214.230 auth-port 1812 acct-port 1813
CatalystSwitch(config)#aaa group server radius AAASERVER
CatalystSwitch(config-sg-radius)#server name CISCOISE
CatalystSwitch(config)#aaa authentication dot1x default group radius
CatalystSwitch(config)#cts authorization list SGLIST
CatalystSwitch(config)#aaa authorization network SGLIST group radius
CatalystSwitch(config)#aaa authorization network default group AAASERVER
CatalystSwitch(config)#aaa authorization auth-proxy default group AAASERVER
CatalystSwitch(config)#aaa accounting dot1x default start-stop group AAASERVER
CatalystSwitch(config)#aaa server radius policy-device
CatalystSwitch(config)#aaa server radius dynamic-author
CatalystSwitch(config-locsvr-da-radius)#client 10.201.214.230 server-key Admin123
注意:PAC密钥必须与 Administration > Network Devices > Add Device > RADIUS Authentication Settings 部分中指定的RADIUS共享密钥相同。
CatalystSwitch(config)#radius-server attribute 6 on-for-login-auth
CatalystSwitch(config)#radius-server attribute 6 support-multiple
CatalystSwitch(config)#radius-server attribute 8 include-in-access-req
CatalystSwitch(config)#radius-server attribute 25 access-request include
CatalystSwitch(config)#radius-server vsa send authentication
CatalystSwitch(config)#radius-server vsa send accounting
CatalystSwitch(config)#dot1x system-auth-control 在RADIUS服务器下配置PAC密钥验证交换机到Cisco ISE
在RADIUS服务器下配置PAC密钥验证交换机到Cisco ISECatalystSwitch(config)#radius server CISCOISE
CatalystSwitch(config-radius-server)#address ipv4 10.201.214.230 auth-port 1812 acct-port 1813
CatalystSwitch(config-radius-server)#pac key Admin123
注意:PAC密钥必须与您在Cisco ISE的 Administration > Network Devices > Add Device > RADIUS Authentication Settings 部分下指定的RADIUS共享密钥相同(如屏幕截图所示)。
配置CTS凭证验证交换机到Cisco ISE
配置CTS凭证验证交换机到Cisco ISECatalystSwitch#cts credentials id CatalystSwitch password Admin123
注:CTS凭证必须与您在CTS凭证中指定的设备ID +密码相同,必须与您在思科ISE的Administration > Network Devices > Add Device > Advanced TrustSec Settings部分(在屏幕截图中显示)中指定的设备ID +密码相同。
然后,刷新您的PAC,使其再次联系思科ISE:
CatalystSwitch(config)#radius server CISCOISE
CatalystSwitch(config-radius-server)#exit
Request successfully sent to PAC Provisioning driver.在Catalyst交换机上全局启用CTS
在Catalyst交换机上全局启用CTSCatalystSwitch(config)#cts role-based enforcement
CatalystSwitch(config)#cts role-based enforcement vlan-list 1115 (choose the vlan that your end user devices are on only)为受限制的Web服务器进行静态IP到SGT映射(可选)
为受限制的Web服务器进行静态IP到SGT映射(可选)受限制的Web服务器从未通过ISE进行身份验证,因此您必须使用交换机CLI或ISE Web GUI对其进行手动标记,而这仅仅是思科中的众多Web服务器之一。
CatalystSwitch(config)#cts role-based sgt-map 10.201.214.132 sgt 8验证Catalyst交换机上的TrustSec
验证Catalyst交换机上的TrustSecCatalystSwitch#show cts pac
AID: EF2E1222E67EB4630A8B22D1FF0216C1
PAC-Info:
PAC-type = Cisco Trustsec
AID: EF2E1222E67EB4630A8B22D1FF0216C1
I-ID: CatalystSwitch
A-ID-Info: Identity Services Engine
Credential Lifetime: 23:43:14 UTC Nov 24 2018
PAC-Opaque: 000200B80003000100040010EF2E1222E67EB4630A8B22D1FF0216C10006009C0003010025D40D409A0DDAF352A3F1A9884AC3F6000000135B7B521C00093A801FDEE189F60E30C0A161D16267E8C01B7EBE13EAEAFE31D6CF105961F877CD87DFB13D8ED5EBFFB5234FD78E01ECF034431C1AA4B25F3629E7037F386106110A1C450A57FFF49E3BB8973164B2710FB514697AD916BBF7052983B2DCA1951B936243E7D2A2D873C9D263F34C9F5F9E7E38249FD749125B5DD02962C2
Refresh timer is set for 12w5dCatalystSwitch#cts refresh environment-data
Environment data download in progressCatalystSwitch#show cts environment-data
CTS Environment Data
====================
Current state = COMPLETE
Last status = Successful
Local Device SGT:
SGT tag = 2-02:TrustSec_Devices
Server List Info:
Installed list: CTSServerList1-0001, 1 server(s):
*Server: 10.201.214.230, port 1812, A-ID EF2E1222E67EB4630A8B22D1FF0216C1
Status = ALIVE flag(0x11)
auto-test = TRUE, keywrap-enable = FALSE, idle-time = 60 mins, deadtime = 20 secs
Multicast Group SGT Table:
Security Group Name Table:
0001-31 :
0-00:Unknown
2-00:TrustSec_Devices
3-00:Network_Services
4-00:Employees
5-00:Contractors
6-00:Guests
7-00:BYODemployees
8-00:EmployeeServer
15-00:BYODconsultants
255-00:Quarantined_Systems
Transport type = CTS_TRANSPORT_IP_UDP
Environment Data Lifetime = 86400 secs
Last update time = 16:04:29 UTC Sat Aug 25 2018
Env-data expires in 0:23:57:01 (dd:hr:mm:sec)
Env-data refreshes in 0:23:57:01 (dd:hr:mm:sec)
Cache data applied = NONE
State Machine is runningCatalystSwitch#show cts role-based sgt-map all
Active IPv4-SGT Bindings Information
IP Address SGT Source
============================================
10.201.214.132 8 CLI
10.201.235.102 2 INTERNAL
IP-SGT Active Bindings Summary
============================================
Total number of CLI bindings = 1
Total number of INTERNAL bindings = 1
Total number of active bindings = 2在WLC上配置TrustSec
在WLC上配置TrustSec配置和验证WLC添加为Cisco ISE的RADIUS设备
配置和验证WLC添加为Cisco ISE的RADIUS设备
配置和验证WLC添加为Cisco ISE中的TrustSec设备
配置和验证WLC添加为Cisco ISE中的TrustSec设备此步骤使Cisco ISE部署到WLC的静态IP到SGT映射。您在上一步的工作中心> TrustSec >组件> IP SGT静态映射的Cisco ISE Web GUI中创建了这些映射。
注意:我们将使用此 Device ld 命令,在后面的步骤(在WLC Web UI中介绍Security > TrustSec > General)中也会使用 Password 此命令。
启用WLC的PAC调配
启用WLC的PAC调配
在WLC上启用TrustSec
在WLC上启用TrustSec
注意:CTS Device Id 和 Password 必须与您在思科ISE的Administration > Network Devices > Add Device > Advanced TrustSec Settings部分中指定的 Device Id 和 Password 相同。
验证PAC是否已在WLC上配置
验证PAC是否已在WLC上配置当您单击Refresh Env Data(在此步骤中执行此操作)后,您会看到WLC已成功调配PAC:
将CTS环境数据从思科ISE下载到WLC
将CTS环境数据从思科ISE下载到WLC在您单击Refresh Env Data之后,您的WLC将下载您的SGT。
对流量启用SGACL下载和实施
对流量启用SGACL下载和实施
为WLC和接入点分配SGT 2 (TrustSec_Devices)
为WLC和接入点分配SGT 2 (TrustSec_Devices)为WLC+WLAN指定2 (TrustSec_Devices)的SGT,以允许通过交换机与WLC + AP之间的流量(SSH、HTTPS和CAPWAP)。
在WLC上启用内联标记
在WLC上启用内联标记
在 Wireless > Access Points > Global Configuration 下滚动,然后选择 TrustSec Config。
在Catalyst交换机上启用Inline Tagging
在Catalyst交换机上启用Inline TaggingCatalystSwitch(config)#interface TenGigabitEthernet1/0/48
CatalystSwitch(config-if)#description goestoWLC
CatalystSwitch(config-if)#switchport trunk native vlan 15
CatalystSwitch(config-if)#switchport trunk allowed vlan 15,455,463,1115
CatalystSwitch(config-if)#switchport mode trunk
CatalystSwitch(config-if)#cts role-based enforcement
CatalystSwitch(config-if)#cts manual
CatalystSwitch(config-if-cts-manual)#policy static sgt 2 trusted验证
验证
CatalystSwitch#show platform acl counters hardware | inc SGACL
出口IPv4 SGACL丢弃(454):10帧
出口IPv6 SGACL丢弃(455):0帧
出口IPv4 SGACL信元丢弃(456):0帧
出口IPv6 SGACL信元丢弃(457):0帧
提示:如果改用Cisco ASR、Nexus或Cisco ASA,此处列出的文档可帮助您验证SGT标记是否已实施:TrustSec故障排除指南。
使用用户名jsmith密码Admin123进行无线身份验证-您在交换机中遇到拒绝ACL:
修订历史记录
| 版本 | 发布日期 | 备注 |
|---|---|---|
3.0 |
27-Mar-2024 |
已更新目录、标题、替代文本、机器翻译和格式。 |
2.0 |
22-Nov-2022 |
已根据当前的Cisco.com发布标准进行修订。 |
1.0 |
31-Aug-2018 |
初始版本 |
反馈