Cisco ISE + Windows Server 2008 實驗

原創 arckyli 2018-09-10 03:34

     實驗說明:此實驗參考生產環境中某部分環境搭建而成,此環境Windows Server 2008用於登錄用戶、MAC等賬號的認證,Cisco ISE用於認證授權等,無線部分利用VMWLC + Cisco 1702AP測試測試。因爲爲實驗環境,整體網絡架構所有節點爲單點;Cisco ISE部分功能沒有應用上,如測試PC端的補丁、防毒補丁、設備認證等(此部分在生產環境上實施),下圖爲此實驗的網絡架構圖。

    Windows AD:  172.16.1.199 

    Cisco VMISE: 172.16.1.103

    CISCO VMWLC: 172.16.1.201

    另外要說明的是,在生產環境中,無線AC建議不要使用Vlan 1作爲管理Vlan。

wKiom1nBLz_BUjgtAAEpB5NKUEw328.png

1.Windwos Server 2008設定管理部分
   1.1 Windows Server安裝AD / DNS 並設定Domain: vmwlc.com,服務器名稱爲VMAD.VMWLC.COM(172.16.1.199)
   1.2 Windows AD設定五個OU以及userGroup:


    • iseGroup1: 用於802.1X授權用戶存放單元,userGroup設定爲isegroup;

    • iseGroup2: 用於交換機登錄授權用戶存入單元,權限爲Priv1,userGroup設定爲isegroup02;

    • NetDeviceManager: 用於交換機登錄授權用戶存入單元,權限爲Priv15,userGroup設定爲NetDeviceManager;

    • MACAddress :用於MAB授權MAC      Address存入授權單元,userGroup設定爲MacAddressGroup,MACAddress格式爲00-00-00-00-00-00;

    • iseWebGroup: 用於無線網絡WEB授權用戶存放單元,userGroup設定爲isewebGroup;

   1.3 添加ISEDNS Domain防問:ISE103.VMWLC.COM (172.16.1.103) / ISE104.VMWLC.COM (172.16.1.104);
   1.4 Windows Server安裝IIS,並設定http/https兩協議都可以互相通信,目的爲ISE提供證書申請;
2. CISCO ISE設定管理部分
  2.1 ISE添加至WindowsAD並設定DNS

wKiom1nBMCKwjdzrAABoYGKD5r8926.png

     上圖爲ISE加入Windows Domain圖  

wKioL1nBMEDQudQ4AABQuSssvsE543.png

     上圖爲ISE 加入Windows Domain後所產生Authentication Domains 信息

wKiom1nBMIKBvNmfAABFc85H2bo523.png

       上圖爲Windows DNS解析名稱與IP設定
   2.2 ISE添加Windows AD Group,所有網絡設備認證、MAB、802.1X等認證授權等用戶全部來自於Windows AD userGroup,如下圖:
   wKioL1nBMGGwh1NpAAB5r5EhDWQ039.png

3. 網絡設備認證、授權設定
   3.1 交換機部分
      aaa aaa new-model
       aaa authentication login nocon linenone
       aaa authentication login vty group radius local
       aaa authorization exec vty group radius local
       aaa authorization network default group radius
       aaa accounting exec vty start-stop group radius
       radius-server host 172.16.1.103 key cisco(此設備間通信認證密碼由用戶自定義)
       line vty 0 4
       authorization exec vty
       login authentication vty
   3.2 Cisco ISE設定部分

  • ISE NetworkDevice 管理需增加NeworkDeviceGroup以及添加設備,DeviceGroup分兩部分:

    a.設備類類型分組;

    b.區域分組,分組目的是爲授權可以不同設備類型以及區域羣組做授權,如下圖設備組以及區域組設定:

wKioL1nBMMiBp48-AABevA6kKik719.png

  • ISE NetworkDevice添加被管理設備並分配至不同設備組,如下圖:

wKiom1nBMSzTdK-4AABBkiMrevc333.png

  • 設定用戶防問交換機的Authention Policy,名稱爲Switch_Authen->條件:Device type EQUALS     Device Type#All Device Type#2960G Group(此Group爲已經定義好的NetworkDeviceGroup)->協議:DefaultNetworkAccess->用戶爲:ISE-03(即是已經加入Winows AD域名稱),如下圖:

wKioL1nBMQfhPR-WAAAUfkxNWe8357.png

  • 設定用戶防問交換的Authorization Policy,分別設定Swich_Author_Priv1與Switch_Author_Priv15兩個條件,如下圖:

wKioL1nBMUCwPMhkAACbLn3Deh0969.png

   上圖爲Swich_Author_Priv1授權圖, Advanced AttributesSettings: Cisco:cisco-av-pri =  priv-lvl=1
   wKiom1nBMYWApQZhAACOWLwOQKE555.png

  上圖爲Swich_Author_Priv1授權圖,Advanced Attributes Settings: Cisco:cisco-av-pri =  priv-lvl=15

  • 分別設定用戶防問網絡設備的Switch_Author_1與Swith_Author_15的Authorization Policy,如下圖:

wKiom1nBMceAPVSWAAAoqJvzde0017.png

  上圖爲用戶防問網絡設備的Authorization Policy,其中usergroup:iserGroup02條爲Switch_Author_Priv1爲的只有priv 1 權限,NetDeviceManager條件爲Switch_Author_Priv15權限爲priv 15,如下圖:

wKioL1nBMbTgSW2JAAAXXjVGy0I955.png   wKiom1nBMeeyndYQAAAXSQ4n3Rs688.png

   wKioL1nBMcvCvdOMAAAfzygEuLM377.png


4.ISE MAB認證、授權設定部分
  4.1 網絡交換機設定部分

  • 在交換機上啓用 Radius Radius 認證 ,以下爲配置內容

    aaa new-model

    aaa authentication dot1x default group radius

    aaa authorization network default group radius

    aaa accounting dot1x default start-stop group radius

    aaa server radius dynamic-author

    client 172.16.1.103 server-keycisco

    ip device tracking

    dot1x system-auth-control

    radius-server attribute 6 on-for-login-auth

    radius-server attribute 8 include-in-access-req

    radius-server attribute 25 access-request include

    radius-server dead-criteria time 5 tries 3

    radius-server host 172.16.1.103 auth-port1812 acct-port 1813

    radius-server key cisco

    radius-server vsa send accounting

    radius-server vsa send authentication

 

  • 在連接AP交換機端口G1/0/13上啓用 MAB和Dot1X認證,配置如下:

    interface GigabitEthernet1/0/17

    switchport access vlan 11

    switchport mode access

    ip access-group ACL-DEFAULT in

    authentication event fail action next-method

    authentication event server dead action authorize vlan 12

    authentication event server alive action reinitialize

    authentication host-mode multi-auth

    authentication open

    authentication order dot1x mab

    authentication priority dot1x mab

    authentication port-control auto

    authentication violation restrict

    mab

    dot1x pae authenticator

    spanning-tree portfast

 

  • 設定基本的ACL: ACL-DEFAULT,配置如下:

    ip access-list extended ACL-DEFAULT

    permit udp any eq bootpc any eq bootps

    permit udp any any eq domain

    permit icmp any any

    permit udp any any eq tftp

    deny   ip any any

 

  4.2 ISE設定部分

  • Policy選項結果內設定Authorization     Profile爲Wifi_MAB_Guest_Autor(有線網絡與無線網絡設定原理一樣),DACLName: PERMIT_ALL_TRAFFIC,Vlan: ID/11即是交換機上所設定的vlanID

wKiom1nBMlWQkZJxAADEfi-VtSw772.png

  • Authentication Policy 設定,條件設定爲Wireless_MAB或是Wire_MAB,協議爲DefaultNetworkAccess,用戶爲用戶爲:ISE-03(即是已經加入Winows AD域名稱),如下圖:

wKioL1nBMiPyeeJFAAASC4bU7Ho694.png

  • Authorization Policy設定,條件爲Windows     AD裏的MacAddressGroup組內mac     Address,條件爲預設定的Wifi_MAB_Guest_Author,如下圖:

wKiom1nBMlaQo6XeAAARGoe7WO4670.png

  • 下圖爲已經認證授權通過的Wifi MAB記錄:

wKioL1nBMiOS9BoJAAAVwmnqxkY945.png

  • 下圖爲有線用戶認證授權通過的MAB信息,

       a.  獲取到相應的VlanID: 11;
       b.  獲取到相應的ACS ACL:xACSACLx-IP-PERMIT_ALL_TRAFFIC-56161e32;
       c.  分配至相應的IP Address:172.16.5.137
       d.  MABAuthorization Success
  wKiom1nBMrWz4dN2AAA8doqRcvg573.png

5. 有線/無線網絡802.1X MAB 認證設定部分(有線部分802.1X認證設定跟MAB基本一樣,不需要重新設定,以下部分只包括無線部分):
   5.1 無線控制器WLC設定部分(只部分控制器設定部分,不包括無線控制器的安裝以及AP設定部分)

  • 分別增加Radiu Authentication / Accounting,如下圖:

wKiom1nBMyvRYhdLAABIA0zfAUI580.png

wKioL1nBMvixD5SfAAAzDbC1K3s460.png

  • 增加SSID,並且設定如下:

wKiom1nBM0PxZZ-yAABVOeHwWc4270.png

wKiom1nBM0TBHzxTAABTNBId81s345.png

wKioL1nBMxGwP9P_AABZFEZNXBg380.png

wKioL1nBMxGh2PVyAACTsP9rWO0853.png

  • AP設定,ap Mode: Flexconnect

wKioL1nBM0-zOBi_AACrgc2fphI712.png

wKioL1nBM2PjHV-tAAA3dCIEZQk980.png

 5.2 CISCO ISE設定部分

  • Policy先項結果內設定Authentication     Allowed Protocols,名字爲Dot1x_EAP_Authen,因只做Dot1x認證,只選擇部分協議,如下圖:

wKiom1nBM7_hSS-4AAC3lArYanA003.png

  • Policy選項結果內設定Authorization     Profile爲Dot1x_EAP_Author(有線網絡與無線網絡設定原理一樣),DACLName: PERMIT_ALL_TRAFFIC,Vlan: ID/11即是交換機上所設定的vlanID

wKioL1nBM5ixHKXNAACjHKFgFfI565.png

  • 設定用戶連接無線網絡Authentication Policy,名稱:Dot1x_EAP_Authen,條件爲Wireless_802.1x和無線設備組,協議爲Dot1x_EAP_Authen,用戶爲用戶爲:ISE-03(即是已經加入Winows AD域名稱),如下圖:

wKioL1nBM9iAQXqDAAAYAimsNxY592.png

  • 設定用戶連接無線網絡Authorization Policy,名稱爲Dot1x_Author_WIFI,用戶爲Windows AD     isegroup內的所有用戶,條件爲Dot1x_EAP_Author,如下圖:

wKiom1nBNBeCytvzAAAO2L14NZc163.png

  • 下圖爲已經認證授權通過的Wifi MAB/ 802.1x記錄:

wKioL1nBM-_Tc-k-AAAnA4gwTLA936.png

 

發表評論
所有評論
還沒有人評論,想成為第一個評論的人麼? 請在上方評論欄輸入並且點擊發布.
相關文章

Object.values()對象遍歷

Object.keys()  對象的遍歷  返回給定對象所有可枚舉屬性的數組;是屬性名組成的數組 let obj = { a: 1, b: 2, c: 3 }; Object.keys(obj).map((key) => {

雲悠 2024-05-13 14:33:01

c++踩方格-動態規劃基礎題

有一個方格矩陣,矩陣邊界在無窮遠處。我們做如下假設: a、每走一步時,只能從當前方格移動一格,走到某個相鄰的方格上; b、走過的格子立即塌陷無法再走第二次; c、只能向北、東、西三個方向走; 請問:如果允許在方格矩陣上走n步,共有多少種不同

Danlis 2024-05-13 14:30:51

[Mellanox] 安裝MLNX_OFED

[Mellanox] 安裝MLNX_OFED 雖然已經安裝過很多遍了,但是這裏還是再次寫一遍安裝過程,方便以後查閱。 Mellanox的這堆東西其實每個安裝起來都不難,難點在於版本要匹配。所以最重要的是我們要知道1.我們需要哪個版本的驅動;

CQzhangyu 2024-05-13 14:28:30

JPA使用pg數據庫時,bool字段不能跨庫遷移的解決方案

首先,大多數人的印象裏,hibernate作爲一個笨重學習成本高的近乎全自動的框架它的優點就是可以支持很多數據庫,但是最近研究發現,java中的boolean類型的字段,在mariadb/mysql 中爲bit 0/1,在sqlserver

漫漫人生路總會錯幾步 2024-05-13 14:27:30

【ubuntu】程序運行時的任務欄圖標

1. 快捷方式需要正確的配置StartupWMClass屬性,那麼如何獲取這個屬性呢?參考如下命令 xprop | grep WM_CLASS 將終端程序小窗運行上述命令,鼠標點擊哪個應用窗體就會獲取哪個窗體的名稱,有可能會有多個,多個

漫漫人生路總會錯幾步 2024-05-13 14:27:30

CodePen 的國內替代「筆.COOL」,一個功能完備、使用便捷的在線HTML/CSS/JS編輯器和作品分享平臺

筆.COOL,是一個最近在國內嶄露頭角的在線HTML/CSS/JS編輯器和作品分享平臺。 筆.COOL 提供了一個在線的 HTML、CSS 和 JavaScript 代碼編輯器。無需任何安裝,你只需打開網站,就可以開始編寫前端代碼。編輯

劉漢貴 2024-05-13 14:26:50

Visual Studio中的四款代碼格式化工具

前言 今天大姚給大家分享四款Visual Studio中的代碼格式化工具、擴展插件。大家可以在Visual Studio中的管理擴展或者插件市場下載安裝。 代碼格式化工具的作用 自動調整代碼的佈局和風格,以確保代碼具有統一的格式,提高可讀性

追逐時光 2024-05-13 14:21:59

幹了 2 年多 Java 外包,終於脫離了!

大家好,我是R哥。 金三銀四結束了,上個月分享了一個 35K 入職的面試輔導案例: 35K*14 薪入職了,這公司只要不裁員,我能一直呆下去。。 今天再分享一個上個月讓人很有成就感的面試輔導 case: 外包、空窗四個月、薪資 10k、

Java技術棧 2024-05-13 14:21:19

mysql 存json數據會自動亂序的解決方案

https://blog.csdn.net/whatzhang007/article/details/110089447 總結就是一個字: 啓用json類的保存方式.改成logntext即可. 例如我的方穹項目的表設計: 不吐槽不行, 真

張博的博客 2024-05-13 14:19:49

【Python】保存gym截圖

如果想做基於圖像cnn的深度強化學習,需要拿到gym的截圖,下面是兩種截圖方法。 1. 利用render結果生成圖像: import gym import warnings import os from PIL import Image

Dsp Tian 2024-05-13 14:11:08

win10 22H2

Windows 10 update history https://support.microsoft.com/en-gb/topic/windows-10-update-history-8127c2c6-6edf-4fdf-8b9f-0f

ChuckLu 2024-05-13 14:06:58

【譯】使用 GitHub Copilot 作爲你的編碼 GPS

  GitHub Copilot 是一個改變遊戲規則的人工智能助手,可以徹底改變您在 Visual Studio 中的編碼流程。在我們的視頻系列中,Bruno  Capuano 探討了這個智能編碼夥伴如何幫助您更有效地編寫代碼,同時保持質量

MeteorSeed 2024-05-13 14:06:38

兩個有趣的AI項目

  最近看到一個比較有意思的 AI 項目,叫 AI 時間線,顧名思義,就是藉助 AI 來創建某個關鍵字的時間線。主頁界面很簡單,就是一個輸入框。      我在輸入辛亥革命後,就會生成下圖的時間線,將辛亥革命的各個關鍵點都列了出來。我看到這

咖啡機(K.F.J) 2024-05-13 14:05:57

從油猴腳本管理器的角度審視Chrome擴展

從油猴腳本管理器的角度審視Chrome擴展 在之前一段時間,我需要藉助Chrome擴展來完成一個需求,當時還在使用油猴腳本與瀏覽器擴展之間調研了一波,而此時恰好我又有一些做的還可以的油猴腳本 TKScript (點個star吧 😁),相對會

WindrunnerMax 2024-05-13 14:05:17

一文學會 Kubernetes Pod 的生命週期管理(轉載)

收穫 瞭解 Pod 的狀態(Status) 瞭解 pod 階段(Phase) 瞭解 Pod conditions   瞭解容器狀態(Status) 保持容器健康   瞭解容器自動重啓   使用探活(liveness)探針(Probe)檢查容

PowerCoder 2024-05-13 14:03:07