為單主機和多域方案配置IBNS 2.0

簡介

本文檔介紹如何為單主機和多域方案配置基於身份的網路服務2.0 (IBNS)。

必要條件

需求

思科建議您瞭解以下主題：

• 區域網路上的可延伸驗證通訊協定(EAPoL)
• Radius通訊協定
• 思科身分辨識服務引擎版本2.0

採用元件

本文中的資訊係根據以下軟體和硬體版本：

• 思科身份服務引擎版本2.0修補2
• 具有Windows 7作業系統的終端
• 採用Cisco IOS® 15.2(4)E1的Cisco交換器3750X
• 帶有03.02.03.SE的思科交換機3850
• Cisco IP電話9971

本文中的資訊是根據特定實驗室環境內的裝置所建立。文中使用到的所有裝置皆從已清除（預設）的組態來啟動。如果您的網路運作中，請確保您瞭解任何指令可能造成的影響。

設定

配置原理

要啟用IBNS 2.0，您需要在Cisco交換機上以特權模式執行命令：

#authentication display new-style

使用如下所示的命令配置IBNS 2.0的交換機埠：

 access-session host-mode {single-host | multi-domain | multi-auth | multi-host}
 access-session port-control auto
 dot1x pae authenticator
 {mab}
 service-policy type control subscriber TEST

這些命令在介面上啟用dot1x身份驗證和MAC身份驗證旁路(MAB)（可選）。使用新語法時，使用的命令以access-session開頭。這些命令的用途與使用舊語法的命令（從authentication關鍵字開始）相同。應用服務策略以指定可用於介面的策略對映。

上述策略對映定義了交換機（身份驗證器）在身份驗證期間的行為。例如，您可以指定身份驗證失敗時會發生的情況。對於每個事件，您可以根據在其下配置的類對映中匹配的事件的型別來配置多個操作。例如，檢視所示的清單(policy-map TEST4)。如果連線到應用此策略的介面的dot1x端點失敗，則會執行DOT1X_FAILED中定義的操作。如果想要為MAB_FAILED和DOT1X_FAILED等類指定相同的行為，則可以使用default class - class-map always。

policy-map type control subscriber TEST4
(...)
 event authentication-failure match-first
  10 class DOT1X_FAILED do-until-failure
   10 terminate dot1x
(...)
  40 class always do-until-failure
   10 terminate mab
   20 terminate dot1x
   30 authentication-restart 60
(...)

用於IBNS 2.0的策略對映必須始終具有型別控制使用者。

您可以透過以下方式檢視可用事件的清單：

Switch(config-event-control-policymap)#event ?
  aaa-available                 aaa-available event
  absolute-timeout              absolute timeout event
  agent-found                   agent found event
  authentication-failure        authentication failure event
  authentication-success        authentication success event
  authorization-failure         authorization failure event
  authorization-success         authorization success event
  identity-update               identity update event
  inactivity-timeout            inactivity timeout event
  remote-authentication-failure authentication failure event
  remote-authentication-success authentication remote success event
  remote-update update          from remote device
  session-disconnected          session disconnected event
  session-started               session started event
  tag-added                     tag to apply event
  tag-removed                   tag to remove event
  template-activated            template activated event
  template-activation-failed    template activation failed event
  template-deactivated          template deactivated event
  template-deactivation-failed  template deactivation failed event
  timer-expiry                  timer-expiry event
  violation                     session violation event

在事件組態中，您可以定義評估類別的方式：

Switch(config-event-control-policymap)#event authentication-failure ?
  match-all    Evaluate all the classes
  match-first  Evaluate the first class

您可以為類對映定義類似的選項，不過您可以在此處指定在類匹配的情況下如何執行操作：

Switch(config-class-control-policymap)#10 class always ?
  do-all            Execute all the actions
  do-until-failure  Execute actions until one of them fails
  do-until-success  Execute actions until one of them is successful

新樣式dot1x中配置的最後部分（可選）是類對映。 它還可以鍵入控制使用者，用於匹配特定行為或流量。配置類對映條件評估的要求。您可以指定必須匹配所有條件，或者必須匹配任何條件，或者不匹配任何條件。

Switch(config)#class-map type control subscriber ?
  match-all   TRUE if everything matches in the class-map
  match-any   TRUE if anything matches in the class-map
  match-none  TRUE if nothing matches in the class-map

以下是用於匹配dot1x身份驗證失敗的類對映示例：

class-map type control subscriber match-all DOT1X_FAILED
 match method dot1x
 match result-type method dot1x authoritative

對於某些情況（主要是使用服務模板時），您需要為授權更改(CoA)增加配置：

aaa server radius dynamic-author
 client 10.48.17.232 server-key cisco 

單一主機的案例

網路圖表

組態

在採用Cisco IOS 15.2(4)E1的Catalyst 3750X上測試的單主機方案所需的基本802.1X配置。透過Windows本地請求方和Cisco AnyConnect測試的方案。

aaa new-model
!
aaa group server radius tests
 server name RAD-1
!
aaa authentication dot1x default group tests
aaa authorization network default group tests
!
dot1x system-auth-control
!
policy-map type control subscriber TEST
 event session-started match-all
  10 class always do-until-failure
   10 authenticate using dot1x priority 10
!
interface GigabitEthernet1/0/21
 switchport access vlan 613
 switchport mode access
 access-session host-mode single-host
 access-session port-control auto
 dot1x pae authenticator
 service-policy type control subscriber TEST
!
radius server RAD-1
 address ipv4 10.48.17.232 auth-port 1812 acct-port 1813
 key cisco

多網域的案例

網路圖表

組態

多域方案是在採用Cisco IOS 03.02.03.SE的Catalyst 3850上測試的，這是由於IP電話（Cisco IP電話9971）的PoE（乙太網供電）要求。 

aaa new-model
!
aaa group server radius tests
 server name RAD-1
!
aaa authentication dot1x default group tests
aaa authorization network default group tests
!
aaa server radius dynamic-author
 client 10.48.17.232 server-key cisco
!
dot1x system-auth-control
!
class-map type control subscriber match-all DOT1X
 match method dot1x
!
class-map type control subscriber match-all DOT1X_FAILED
 match method dot1x
 match result-type method dot1x authoritative
!
class-map type control subscriber match-all DOT1X_NO_RESP
 match method dot1x
 match result-type method dot1x agent-not-found
!
class-map type control subscriber match-all MAB
 match method mab
!
class-map type control subscriber match-all MAB_FAILED
 match method mab
 match result-type method mab authoritative
!
policy-map type control subscriber TEST4
 event session-started match-all
  10 class always do-until-failure
   10 authenticate using dot1x priority 10
   20 authenticate using mab priority 20
 event authentication-failure match-first
  10 class DOT1X_FAILED do-until-failure
   10 terminate dot1x
  20 class MAB_FAILED do-until-failure
   10 terminate mab
   20 authenticate using dot1x priority 10
  30 class DOT1X_NO_RESP do-until-failure
   10 terminate dot1x
   20 authentication-restart 60
  40 class always do-until-failure
   10 terminate mab
   20 terminate dot1x
   30 authentication-restart 60
 event agent-found match-all
  10 class always do-until-failure
   10 terminate mab
   20 authenticate using dot1x priority 10
 event authentication-success match-all
  10 class always do-until-failure
   10 activate service-template DEFAULT_LINKSEC_POLICY_SHOULD_SECURE
!
interface GigabitEthernet1/0/1
 switchport access vlan 613
 switchport mode access
 switchport voice vlan 612
 access-session host-mode multi-domain
 access-session port-control auto
 mab
 dot1x pae authenticator
 spanning-tree portfast
 service-policy type control subscriber TEST4
!
radius-server attribute 6 on-for-login-auth
radius-server attribute 8 include-in-access-req
radius-server attribute 25 access-request include
radius-server vsa send cisco-nas-port
!
radius server RAD-1
 address ipv4 10.48.17.232 auth-port 1812 acct-port 1813
 key cisco

驗證

使用本節內容，確認您的組態是否正常運作。

出於驗證目的，使用此命令列出所有交換機埠的會話：

show access-session 

 您還可以從單個交換機埠檢視有關會話的詳細資訊：

show access-session interface [Gi 1/0/1] {detail} 

疑難排解

本節提供的資訊可用於對組態進行疑難排解。

若要疑難排解802.1X相關問題，您可以啟用偵錯（從Cisco IOS XE 16.3.2開始）：

set platform software trace smd switch active R0 radius debug
set platform software trace smd switch active R0 dot1x-all debug
set platform software trace smd switch active R0 auth-mgr-all debug
set platform software trace smd switch active R0 epm-all debug

 命令show platform software trace level smd switch active R0顯示當前的活動調試。 

 要停用調試，您可以使用undebug all或set platform software trace smd switch active R0 <sub-component>通知。

 若要顯示生成的日誌，請使用命令：show platform software trace message smd switch active R0。

 在舊版Cisco IOS中，您可以使用舊版命令啟用調試： 

debug mab all
debug dot1x all
debug pre all* 

 * 或者，對於debug pre，您只能使用事件和/或規則將輸出限制為IBNS 2.0相關資訊。