CiscoISE: (01.05) Cấu hình Cisco ISE 3.0 rót ACL xuống Switch 3750 sau khi xác thực 802.1X thành công

Mục tiêu thực hành:

- Cấu hình Cisco ISE 3.0 đóng vai trò RADIUS Server.

- Cấu hình Cisco ISE 3.0 rót VLAN xuống Switch 3750 sau khi xác thực 802.1X thành công.

- Thiết lập Downloadable ACL trên Cisco ISE.

- Nhúng DACL vào Authorization Profile trên Cisco ISE.

- Nhúng Authorization Profile (AuthorizationProfileStaffWired) vào Policy Set trên Cisco ISE.

- Cấu hình xác thực 802.1X trên RADIUS Authenticator (SW3750G).

- Thiết lập trên Window 10 sử dụng cơ chế xác thực 802.1X.

- Khảo sát log xác thực trên RADIUS Authenticator (SW3750G).

- Khảo sát log xác thực trên RADIUS Server (Cisco ISE).

Các bước triển khai:

Thiết lập Downloadable ACL trên Cisco ISE.

Nhúng DACL vào Authorization Profile trên Cisco ISE.

Nhúng Authorization Profile (AuthorizationProfileStaffWired) vào Policy Set trên Cisco ISE.

Cấu hình xác thực 802.1X trên RADIUS Authenticator (SW3750G).

- radius-server vsa send authentication: Cho phép SW3750G tiếp nhận DACL từ ISE đổ xuống, nếu không thực hiện lệnh này trên Switch 3750 thì trên ISE Server sẽ xuất hiện nội dung như trong hình bên dưới.

ip routing
interface vlan 1
ip address 172.16.31.201 255.255.255.0
no shutdown
exit
ip route 0.0.0.0 0.0.0.0 172.16.31.4
interface g2/0/24
switchport mode access
switchport access vlan 1
spanning-tree portfast
exit

vlan 10
name StaffVLAN
exit
aaa new-model
aaa authentication dot1x default group radius
aaa authorization network default group radius
radius-server vsa send authentication
radius-server host 192.168.200.252 key buipham
dot1x system-auth-control

interface GigabitEthernet2/0/1
switchport mode access
authentication port-control auto
dot1x pae authenticator
spanning-tree portfast
exit

Khảo sát log xác thực trên RADIUS Authenticator (SW3750G).

SW3750G#
*Mar 1 01:47:29.019: %LINK-3-UPDOWN: Interface GigabitEthernet2/0/1, changed state to down
*Mar 1 01:47:30.302: %AUTHMGR-5-START: Starting 'dot1x' for client (80ce.6282.7f9f) on Interface Gi2/0/1 AuditSessionID AC101FC90000000100626B48
*Mar 1 01:47:31.996: %LINK-3-UPDOWN: Interface GigabitEthernet2/0/1, changed state to up
*Mar 1 01:47:38.045: %DOT1X-5-SUCCESS: Authentication successful for client (80ce.6282.7f9f) on Interface Gi2/0/1 AuditSessionID
*Mar 1 01:47:38.045: %AUTHMGR-7-RESULT: Authentication result 'success' from 'dot1x' for client (80ce.6282.7f9f) on Interface Gi2/0/1 AuditSessionID AC101FC90000000100626B48
*Mar 1 01:47:39.068: %LINEPROTO-5-UPDOWN: Line protocol on Interface GigabitEthernet2/0/1, changed state to up
*Mar 1 01:47:39.093: %AUTHMGR-5-SUCCESS: Authorization succeeded for client (80ce.6282.7f9f) on Interface Gi2/0/1 AuditSessionID AC101FC90000000100626B48
SW3750G#

SW3750G# show authentication sessions interface g2/0/1
Interface: GigabitEthernet2/0/1
MAC Address: 80ce.6282.7f9f
IP Address: Unknown
User-Name: StaffUser01
Status: Authz Success
Domain: DATA
Security Policy: Should Secure
Security Status: Unsecure
Oper host mode: single-host
Oper control dir: both
Authorized By: Authentication Server
Vlan Group: N/A
ACS ACL: xACSACLx-IP-AclUseSpecificDNS-60b9e3b0
Session timeout: 3600s (local), Remaining: 3565s
Timeout action: Reauthenticate
Idle timeout: N/A
Common Session ID: AC101FC90000000100626B48
Acct Session ID: 0x00000004
Handle: 0x55000001

Runnable methods list:
Method State
dot1x Authc Success

SW3750G#

- Danh sách các ACL được rót xuống từ ISE Server.

SW3750G# show ip access-lists
Extended IP access list Auth-Default-ACL
10 permit udp any range bootps 65347 any range bootpc 65348 (222 matches)
20 permit udp any any range bootps 65347
30 deny ip any any (11 matches)
Extended IP access list xACSACLx-IP-AclUseSpecificDNS-60b9e3b0 (per-user)
10 permit udp 172.16.31.0 0.0.0.255 host 8.8.4.4 eq domain
20 deny udp 172.16.31.0 0.0.0.255 any eq domain
30 permit ip 172.16.31.0 0.0.0.255 any
SW3750G#