» » CiscoISE: (02.08) Cấu hình Cisco Trustsec trên Cisco Switch 3750 với Cisco ISE 3.0

CiscoISE: (02.08) Cấu hình Cisco Trustsec trên Cisco Switch 3750 với Cisco ISE 3.0

By , Released at 0 View
Share on Facebook Share on Tweet
d
Mục tiêu thực hành:
- Cấu hình cơ bản và Trustsec trên Cisco Switch 3750.
- Kiểm tra chức năng Trustsec AAA Server trên CiscoISE.
- Thiết lập Authenticator Cisco Switch SW3750G (RADIUS và Trustsec) trên Cisco ISE.
- Thiết lập Security Group (Staff, Guest và Server) trên Cisco ISE.
- Thiết lập PolicySet Trustsec rót Security Group cho các User xác thực thành công trên Cisco ISE.
- Thiết lập Trustsec Policy thực thi Policy dựa trên Security Group trên Cisco ISE.
- Thiết lập Trustsec Egress Policy Matrix cho SecGroupGuestUser trên Cisco ISE.

Các bước triển khai:
Cấu hình cơ bản và Trustsec trên Cisco Switch 3750.
- Cấu hình cơ bản.
interface vlan 1
  ip address 172.16.31.200 255.255.255.0
  no shutdown
  exit
ip routing
ip route 0.0.0.0 0.0.0.0 172.16.31.4

ip domain-name mobile24h.class
crypto key generate rsa modulus 1024

enable password cisco
username cisco privilege 15 password cisco
line vty 0 4
  transport input telnet ssh
  login local
  exit

- Cấu hình Trustsec.
aaa new-model
aaa server radius policy-device
  exit
ip device tracking

radius server CiscoISE
  address ipv4 192.168.200.252 auth-port 1812 acct-port 1813
  pac key buipham
  exit
aaa group server radius AAAServer
  server name CiscoISE
  exit

aaa authentication dot1x default group radius
cts authorization list SGLIST
aaa authorization network SGLIST group radius
aaa authorization network default group AAAServer
aaa authorization auth-proxy default group AAAServer
aaa accounting dot1x default start-stop group AAAServer

aaa server radius dynamic-author
  client 192.168.200.252 server-key buipham
  exit

radius-server attribute 6 on-for-login-auth
radius-server attribute 6 support-multiple
radius-server attribute 8 include-in-access-req
radius-server attribute 25 access-request include
radius-server vsa send authentication
radius-server vsa send accounting
dot1x system-auth-control

cts role-based sgt-map 192.168.100.254 sgt 16
cts role-based sgt-map 192.168.100.47 sgt 18

cts role-based enforcement 
cts role-based enforcement vlan-list 1

interface g2/0/1
  switchport mode access
  switchport access vlan 1
  authentication port-control auto
  dot1x pae authenticator
  spanning-tree portfast
  exit

SW3750G#show cts environment-data   
CTS Environment Data
====================
Current state = COMPLETE
Last status = Successful
Local Device SGT:
  SGT tag = 2-00:TrustSec_Devices
Server List Info:
Installed list: CTSServerList1-0002, 1 server(s):
 *Server: 192.168.100.252, port 1812, A-ID 4BBCE6F8F9B9FA35A4667D65BAC90B82
          Status = ALIVE
          auto-test = TRUE, keywrap-enable = FALSE, idle-time = 60 mins, deadtime = 20 secs
Security Group Name Table:
    0-00:Unknown
    2-00:TrustSec_Devices
    3-00:Network_Services
    4-00:Employees
    5-00:Contractors
    6-00:Guests
    7-00:Production_Users
    8-00:Developers
    9-00:Auditors
    10-00:Point_of_Sale_Systems
    11-00:Production_Servers
    12-00:Development_Servers
    13-00:Test_Servers
    14-00:PCI_Servers
    15-00:BYOD
    16-00:SecGroupStaffUser
    17-00:SecGroupGuestUser
    18-00:SecGroupServer
    255-00:Quarantined_Systems
Environment Data Lifetime = 86400 secs 
Last update time = 01:41:04 UTC Mon Mar 1 1993
Env-data expires in   0:23:59:55 (dd:hr:mm:sec)
Env-data refreshes in 0:23:59:55 (dd:hr:mm:sec)
Cache data applied           = NONE
State Machine is running
SW3750G#

SW3750G#show cts role-based sgt-map all
Active IP-SGT Bindings Information

IP Address              SGT     Source
============================================
172.16.31.111           17      LOCAL
172.16.31.200           2       INTERNAL
192.168.100.47          18      CLI
192.168.100.254         16      CLI

IP-SGT Active Bindings Summary
============================================
Total number of CLI      bindings = 2
Total number of LOCAL    bindings = 1
Total number of INTERNAL bindings = 1
Total number of active   bindings = 4

SW3750G#

Kiểm tra chức năng Trustsec AAA Server trên CiscoISE.

Thiết lập Authenticator Cisco Switch SW3750G (RADIUS và Trustsec) trên Cisco ISE.

Thiết lập Security Group (Staff, Guest và Server) trên Cisco ISE.

Thiết lập PolicySet Trustsec rót Security Group cho các User xác thực thành công trên Cisco ISE.

Thiết lập Trustsec Policy thực thi Policy dựa trên Security Group trên Cisco ISE.


d
d
Tags:
Share on Facebook Share on Tweet

You Might Also Like

0 comments

Subscribe to:Post Comments (Atom)