CiscoISE: (01.09) Cấu hình MAC Authentication Bypass (MAB) trên Switch 3750 với Cisco ISE 3.0

Mục tiêu thực hành:

- Cấu hình Cisco ISE 3.0 đóng vai trò RADIUS Server.

- Cấu hình Cisco ISE 3.0 rót VLAN xuống Switch 3750 sau khi xác thực 802.1X thành công.

- Thiết lập Endpoint Identity Groups và Khai báo MAC Endpoint trên Cisco ISE.

- Thiết lập Policy Set với thiết lập Authentication Policy và Authorization Policy trên Cisco ISE.

- Thiết lập Authorization Profile rót VLAN 10 xuống Switch 3750 (Port kết nối tới Endpoint).

- Cấu hình xác thực MAB (MAC Authentication Bypass) trên Switch 3750.

- Thiết lập Network Properties Endpoint tham gia quá trình xác thực MAB.

- Khảo sát log xác thực trên RADIUS Authenticator (SW3750G).

- Khảo sát log xác thực trên RADIUS Server (Cisco ISE).

Các bước triển khai:

Thiết lập Policy Set với thiết lập Authentication Policy và Authorization Policy trên Cisco ISE.

Thiết lập Authorization Profile rót VLAN 10 xuống Switch 3750 (Port kết nối tới Endpoint).

Cấu hình xác thực MAB (MAC Authentication Bypass) trên Switch 3750.

ip routing
interface vlan 1
ip address 172.16.31.201 255.255.255.0
no shutdown
exit
ip route 0.0.0.0 0.0.0.0 172.16.31.4
interface g2/0/24
switchport mode access
switchport access vlan 1
spanning-tree portfast
exit

vlan 10
name StaffVLAN
exit
aaa new-model
aaa authentication dot1x default group radius
aaa authorization network default group radius
radius-server host 192.168.200.252 key buipham
dot1x system-auth-control

interface GigabitEthernet2/0/1
switchport mode access
authentication port-control auto
dot1x pae authenticator
spanning-tree portfast
mab
authentication order mab
authentication priority mab
exit

Thiết lập Network Properties Endpoint tham gia quá trình xác thực MAB.

Khảo sát log xác thực trên RADIUS Authenticator (SW3750G).

SW3750G#
*Mar 1 05:44:10.663: %LINK-3-UPDOWN: Interface GigabitEthernet2/0/4, changed state to down
*Mar 1 05:44:11.905: %AUTHMGR-5-START: Starting 'mab' for client (80ce.6282.7f9f) on Interface Gi2/0/4 AuditSessionID AC101FC900000054013B1E4B
*Mar 1 05:44:11.921: %MAB-5-SUCCESS: Authentication successful for client (80ce.6282.7f9f) on Interface Gi2/0/4 AuditSessionID AC101FC900000054013B1E4B
*Mar 1 05:44:11.921: %AUTHMGR-7-RESULT: Authentication result 'success' from 'mab' for client (80ce.6282.7f9f) on Interface Gi2/0/4 AuditSessionID AC101FC900000054013B1E4B
*Mar 1 05:44:11.930: %AUTHMGR-5-VLANASSIGN: VLAN 10 assigned to Interface Gi2/0/4 AuditSessionID AC101FC900000054013B1E4B
*Mar 1 05:44:11.955: %LINEPROTO-5-UPDOWN: Line protocol on Interface Vlan10, changed state to up
*Mar 1 05:44:12.970: %AUTHMGR-5-SUCCESS: Authorization succeeded for client (80ce.6282.7f9f) on Interface Gi2/0/4 AuditSessionID AC101FC900000054013B1E4B
*Mar 1 05:44:13.599: %LINK-3-UPDOWN: Interface GigabitEthernet2/0/4, changed state to up
*Mar 1 05:44:14.606: %LINEPROTO-5-UPDOWN: Line protocol on Interface GigabitEthernet2/0/4, changed state to up
SW3750G#

SW3750G# show authentication sessions interface g2/0/4
Interface: GigabitEthernet2/0/4
MAC Address: 80ce.6282.7f9f
IP Address: Unknown
User-Name: 80-CE-62-82-7F-9F
Status: Authz Success
Domain: DATA
Security Policy: Should Secure
Security Status: Unsecure
Oper host mode: single-host
Oper control dir: both
Authorized By: Authentication Server
Vlan Policy: 10
Session timeout: N/A
Idle timeout: N/A
Common Session ID: AC101FC900000054013B1E4B
Acct Session ID: 0x00000065
Handle: 0xB0000054

Runnable methods list:
Method State
mab Authc Success

SW3750G#

SW3750G# show dot1x interface g2/0/4
Dot1x Info for GigabitEthernet2/0/4
-----------------------------------
PAE = AUTHENTICATOR
PortControl = AUTO
ControlDirection = Both
HostMode = SINGLE_HOST
QuietPeriod = 60
ServerTimeout = 0
SuppTimeout = 30
ReAuthMax = 2
MaxReq = 2
TxPeriod = 30

SW3750G#