实验说明:此实验参考生产环境中某部分环境搭建而成,此环境Windows Server 2008用于登录用户、MAC等账号的认证,Cisco ISE用于认证授权等,无线部分利用VMWLC + Cisco 1702AP测试测试。因为为实验环境,整体网络架构所有节点为单点;Cisco ISE部分功能没有应用上,如测试PC端的补丁、防毒补丁、设备认证等(此部分在生产环境上实施),下图为此实验的网络架构图。

    Windows AD:  172.16.1.199 

    Cisco VMISE: 172.16.1.103

    CISCO VMWLC: 172.16.1.201

    另外要说明的是,在生产环境中,无线AC建议不要使用Vlan 1作为管理Vlan。

1.Windwos Server 2008设定管理部分

   1.1 Windows Server安装AD / DNS 并设定Domain: vmwlc.com,服务器名称为VMAD.VMWLC.COM(172.16.1.199)
   1.2 Windows AD设定五个OU以及userGroup:

    • iseGroup1: 用于802.1X授权用户存放单元,userGroup设定为isegroup;

    • iseGroup2: 用于交换机登录授权用户存入单元,权限为Priv1,userGroup设定为isegroup02;

    • NetDeviceManager: 用于交换机登录授权用户存入单元,权限为Priv15,userGroup设定为NetDeviceManager;

    • MACAddress :用于MAB授权MAC      Address存入授权单元,userGroup设定为MacAddressGroup,MACAddress格式为00-00-00-00-00-00;

    • iseWebGroup: 用于无线网络WEB授权用户存放单元,userGroup设定为isewebGroup;

   1.3 添加ISEDNS Domain防问:ISE103.VMWLC.COM (172.16.1.103) / ISE104.VMWLC.COM (172.16.1.104);

   1.4 Windows Server安装IIS,并设定http/https两协议都可以互相通信,目的为ISE提供证书申请;
2. CISCO ISE设定管理部分
  2.1 ISE添加至WindowsAD并设定DNS

     上图为ISE加入Windows Domain图  

     上图为ISE 加入Windows Domain后所产生Authentication Domains 信息

       上图为Windows DNS解析名称与IP设定

   2.2 ISE添加Windows AD Group,所有网络设备认证、MAB、802.1X等认证授权等用户全部来自于Windows AD userGroup,如下图:
   

3. 网络设备认证、授权设定

   3.1 交换机部分
      aaa aaa new-model
       aaa authentication login nocon linenone
       aaa authentication login vty group radius local
       aaa authorization exec vty group radius local
       aaa authorization network default group radius
       aaa accounting exec vty start-stop group radius
       radius-server host 172.16.1.103 key cisco(此设备间通信认证密码由用户自定义)
       line vty 0 4
       authorization exec vty
       login authentication vty
   3.2 Cisco ISE设定部分

  • ISE NetworkDevice 管理需增加NeworkDeviceGroup以及添加设备,DeviceGroup分两部分:

    a.设备类类型分组;

    b.区域分组,分组目的是为授权可以不同设备类型以及区域群组做授权,如下图设备组以及区域组设定:

  • ISE NetworkDevice添加被管理设备并分配至不同设备组,如下图:

  • 设定用户防问交换机的Authention Policy,名称为Switch_Authen->条件:Device type EQUALS     Device Type#All Device Type#2960G Group(此Group为已经定义好的NetworkDeviceGroup)->协议:DefaultNetworkAccess->用户为:ISE-03(即是已经加入Winows AD域名称),如下图:

  • 设定用户防问交换的Authorization Policy,分别设定Swich_Author_Priv1与Switch_Author_Priv15两个条件,如下图:

   上图为Swich_Author_Priv1授权图, Advanced AttributesSettings: Cisco:cisco-av-pri =  priv-lvl=1

   

  上图为Swich_Author_Priv1授权图,Advanced Attributes Settings: Cisco:cisco-av-pri =  priv-lvl=15

  • 分别设定用户防问网络设备的Switch_Author_1与Swith_Author_15的Authorization Policy,如下图:

  上图为用户防问网络设备的Authorization Policy,其中usergroup:iserGroup02条为Switch_Author_Priv1为的只有priv 1 权限,NetDeviceManager条件为Switch_Author_Priv15权限为priv 15,如下图:

   

   

4.ISE MAB认证、授权设定部分
  4.1 网络交换机设定部分

  • 在交换机上启用 Radius Radius 认证 ,以下为配置内容

    aaa new-model

    aaa authentication dot1x default group radius

    aaa authorization network default group radius

    aaa accounting dot1x default start-stop group radius

    aaa server radius dynamic-author

    client 172.16.1.103 server-keycisco

    ip device tracking

    dot1x system-auth-control

    radius-server attribute 6 on-for-login-auth

    radius-server attribute 8 include-in-access-req

    radius-server attribute 25 access-request include

    radius-server dead-criteria time 5 tries 3

    radius-server host 172.16.1.103 auth-port1812 acct-port 1813

    radius-server key cisco

    radius-server vsa send accounting

    radius-server vsa send authentication

 

  • 在连接AP交换机端口G1/0/13上启用 MAB和Dot1X认证,配置如下:

    interface GigabitEthernet1/0/17

    switchport access vlan 11

    switchport mode access

    ip access-group ACL-DEFAULT in

    authentication event fail action next-method

    authentication event server dead action authorize vlan 12

    authentication event server alive action reinitialize

    authentication host-mode multi-auth

    authentication open

    authentication order dot1x mab

    authentication priority dot1x mab

    authentication port-control auto

    authentication violation restrict

    mab

    dot1x pae authenticator

    spanning-tree portfast

 

  • 设定基本的ACL: ACL-DEFAULT,配置如下:

    ip access-list extended ACL-DEFAULT

    permit udp any eq bootpc any eq bootps

    permit udp any any eq domain

    permit icmp any any

    permit udp any any eq tftp

    deny   ip any any

 

  4.2 ISE设定部分

  • Policy选项结果内设定Authorization     Profile为Wifi_MAB_Guest_Autor(有线网络与无线网络设定原理一样),DACLName: PERMIT_ALL_TRAFFIC,Vlan: ID/11即是交换机上所设定的vlanID

  • Authentication Policy 设定,条件设定为Wireless_MAB或是Wire_MAB,协议为DefaultNetworkAccess,用户为用户为:ISE-03(即是已经加入Winows AD域名称),如下图:

  • Authorization Policy设定,条件为Windows     AD里的MacAddressGroup组内mac     Address,条件为预设定的Wifi_MAB_Guest_Author,如下图:

  • 下图为已经认证授权通过的Wifi MAB记录:

  • 下图为有线用户认证授权通过的MAB信息,

       a.  获取到相应的VlanID: 11;

       b.  获取到相应的ACS ACL:xACSACLx-IP-PERMIT_ALL_TRAFFIC-56161e32;
       c.  分配至相应的IP Address:172.16.5.137
       d.  MABAuthorization Success
  

5. 有线/无线网络802.1X MAB 认证设定部分(有线部分802.1X认证设定跟MAB基本一样,不需要重新设定,以下部分只包括无线部分):

   5.1 无线控制器WLC设定部分(只部分控制器设定部分,不包括无线控制器的安装以及AP设定部分)

  • 分别增加Radiu Authentication / Accounting,如下图:

  • 增加SSID,并且设定如下:

  • AP设定,ap Mode: Flexconnect

 5.2 CISCO ISE设定部分

  • Policy先项结果内设定Authentication     Allowed Protocols,名字为Dot1x_EAP_Authen,因只做Dot1x认证,只选择部分协议,如下图:

  • Policy选项结果内设定Authorization     Profile为Dot1x_EAP_Author(有线网络与无线网络设定原理一样),DACLName: PERMIT_ALL_TRAFFIC,Vlan: ID/11即是交换机上所设定的vlanID

  • 设定用户连接无线网络Authentication Policy,名称:Dot1x_EAP_Authen,条件为Wireless_802.1x和无线设备组,协议为Dot1x_EAP_Authen,用户为用户为:ISE-03(即是已经加入Winows AD域名称),如下图:

  • 设定用户连接无线网络Authorization Policy,名称为Dot1x_Author_WIFI,用户为Windows AD     isegroup内的所有用户,条件为Dot1x_EAP_Author,如下图:

  • 下图为已经认证授权通过的Wifi MAB/ 802.1x记录: