实验说明:此实验参考生产环境中某部分环境搭建而成,此环境Windows Server 2008用于登录用户、MAC等账号的认证,Cisco ISE用于认证授权等,无线部分利用VMWLC + Cisco 1702AP测试测试。因为为实验环境,整体网络架构所有节点为单点;Cisco ISE部分功能没有应用上,如测试PC端的补丁、防毒补丁、设备认证等(此部分在生产环境上实施),下图为此实验的网络架构图。 Windows AD: 172.16.1.199 Cisco VMISE: 172.16.1.103 CISCO VMWLC: 172.16.1.201 另外要说明的是,在生产环境中,无线AC建议不要使用Vlan 1作为管理Vlan。1.Windwos Server 2008设定管理部分
1.1 Windows Server安装AD / DNS 并设定Domain: vmwlc.com,服务器名称为VMAD.VMWLC.COM(172.16.1.199)
1.2 Windows AD设定五个OU以及userGroup:
iseGroup1: 用于802.1X授权用户存放单元,userGroup设定为isegroup;iseGroup2: 用于交换机登录授权用户存入单元,权限为Priv1,userGroup设定为isegroup02;NetDeviceManager: 用于交换机登录授权用户存入单元,权限为Priv15,userGroup设定为NetDeviceManager;MACAddress :用于MAB授权MAC Address存入授权单元,userGroup设定为MacAddressGroup,MACAddress格式为00-00-00-00-00-00;iseWebGroup: 用于无线网络WEB授权用户存放单元,userGroup设定为isewebGroup; 1.3 添加ISEDNS Domain防问:ISE103.VMWLC.COM (172.16.1.103) /ISE104.VMWLC.COM (172.16.1.104);
1.4 Windows Server安装IIS,并设定http/https两协议都可以互相通信,目的为ISE提供证书申请;
2. CISCO ISE设定管理部分
2.1ISE添加至WindowsAD并设定DNS上图为ISE加入Windows Domain图上图为ISE 加入Windows Domain后所产生Authentication Domains 信息上图为Windows DNS解析名称与IP设定
2.2 ISE添加Windows AD Group,所有网络设备认证、MAB、802.1X等认证授权等用户全部来自于Windows AD userGroup,如下图:
3. 网络设备认证、授权设定
3.1 交换机部分
aaa aaa new-model
aaa authentication login nocon linenone
aaa authentication login vty group radius local
aaa authorization exec vty group radius local
aaa authorization network default group radius
aaa accounting exec vty start-stop group radius
radius-server host 172.16.1.103 key cisco(此设备间通信认证密码由用户自定义)
line vty 0 4
authorization exec vty
login authentication vty
3.2 Cisco ISE设定部分ISE NetworkDevice 管理需增加NeworkDeviceGroup以及添加设备,DeviceGroup分两部分:a.设备类类型分组; b.区域分组,分组目的是为授权可以不同设备类型以及区域群组做授权,如下图设备组以及区免费云主机域名域组设定:ISE NetworkDevice添加被管理设备并分配至不同设备组,如下图:设定用户防问交换机的Authention Policy,名称为Switch_Authen->条件:Device type EQUALS Device Type#All Device Type#2960G Group(此Group为已经定义好的NetworkDeviceGroup)->协议:DefaultNetworkAccess->用户为:ISE-03(即是已经加入Winows AD域名称),如下图:设定用户防问交换的Authorization Policy,分别设定Swich_Author_Priv1与Switch_Author_Priv15两个条件,如下图:上图为Swich_Author_Priv1授权图, Advanced AttributesSettings: Cisco:cisco-av-pri = priv-lvl=1
上图为Swich_Author_Priv1授权图,Advanced Attributes Settings: Cisco:cisco-av-pri = priv-lvl=15分别设定用户防问网络设备的Switch_Author_1与Swith_Author_15的Authorization Policy,如下图:
上图为用户防问网络设备的Authorization Policy,其中usergroup:iserGroup02条为Switch_Author_Priv1为的只有priv 1 权限,NetDeviceManager条件为Switch_Author_Priv15权限为priv 15,如下图:
4.ISE MAB认证、授权设定部分
4.1 网络交换机设定部分在交换机上启用 Radius Radius 认证 ,以下为配置内容aaa new-modelaaa authentication dot1x default group radiusaaa authorization network default group radiusaaa accounting dot1x default start-stop group radiusaaa server radius dynamic-authorclient172.16.1.103server-keyciscoip device trackingdot1x system-auth-controlradius-server attribute 6 on-for-login-authradius-server attribute 8 include-in-access-reqradius-server attribute 25 access-request includeradius-server dead-criteria time 5 tries 3radius-server host172.16.1.103auth-port1812 acct-port 1813radius-server key ciscoradius-server vsa send accountingradius-server vsa send authentication在连接AP交换机端口G1/0/13上启用 MAB和Dot1X认证,配置如下:interface GigabitEthernet1/0/17switchport access vlan 11switchport mode accessip access-group ACL-DEFAULT inauthentication event fail action next-methodauthentication event server dead action authorize vlan 12authentication event server alive action reinitializeauthentication host-mode multi-authauthentication openauthentication order dot1x mabauthentication priority dot1x mabauthentication port-control autoauthentication violation restrictmabdot1x pae authenticatorspanning-tree portfast设定基本的ACL: ACL-DEFAULT,配置如下:ip access-list extended ACL-DEFAULTpermit udp any eq bootpc any eq bootpspermit udp any any eq domainpermit icmp any anypermit udp any any eq tftpdeny ip any any4.2 ISE设定部分Policy选项结果内设定Authorization Profile为Wifi_MAB_Guest_Autor(有线网络与无线网络设定原理一样),DACLName: PERMIT_ALL_TRAFFIC,Vlan: ID/11即是交换机上所设定的vlanIDAuthentication Policy 设定,条件设定为Wireless_MAB或是Wire_MAB,协议为DefaultNetworkAccess,用户为用户为:ISE-03(即是已经加入Winows AD域名称),如下图:Authorization Policy设定,条件为Windows AD里的MacAddressGroup组内mac Address,条件为预设定的Wifi_MAB_Guest_Author,如下图:下图为已经认证授权通过的Wifi MAB记录:下图为有线用户认证授权通过的MAB信息,a. 获取到相应的VlanID: 11;
b. 获取到相应的ACS ACL:xACSACLx-IP-PERMIT_ALL_TRAFFIC-56161e32;
c. 分配至相应的IP Address:172.16.5.137
d. MABAuthorization Success
5. 有线/无线网络802.1X MAB 认证设定部分(有线部分802.1X认证设定跟MAB基本一样,不需要重新设定,以下部分只包括无线部分):
5.1 无线控制器WLC设定部分(只部分控制器设定部分,不包括无线控制器的安装以及AP设定部分)分别增加Radiu Authentication / Accounting,如下图:增加SSID,并且设定如下:AP设定,ap Mode: Flexconnect5.2 CISCO ISE设定部分Policy先项结果内设定Authentication Allowed Protocols,名字为Dot1x_EAP_Authen,因只做Dot1x认证,只选择部分协议,如下图:Policy选项结果内设定Authorization Profile为Dot1x_EAP_Author(有线网络与无线网络设定原理一样),DACLName: PERMIT_ALL_TRAFFIC,Vlan: ID/11即是交换机上所设定的vlanID设定用户连接无线网络Authentication Policy,名称:Dot1x_EAP_Authen,条件为Wireless_802.1x和无线设备组,协议为Dot1x_EAP_Authen,用户为用户为:ISE-03(即是已经加入Winows AD域名称),如下图:设定用户连接无线网络Authorization Policy,名称为Dot1x_Author_WIFI,用户为Windows AD isegroup内的所有用户,条件为Dot1x_EAP_Author,如下图:下图为已经认证授权通过的Wifi MAB/ 802.1x记录:
这篇文章将为大家详细讲解有关如何申请代码签名证书,小编觉得挺实用的,因此分享给大家做个参考,希望大家阅读完这篇文章后可以有所收获。在使用智能产品的时候都会用到证书来保证文件的安全和在线交易上的安全,但是证书的不同,它们的作用是不一样的,但是它们的共同作用都是保…
免责声明:本站发布的图片视频文字,以转载和分享为主,文章观点不代表本站立场,本站不承担相关法律责任;如果涉及侵权请联系邮箱:360163164@qq.com举报,并提供相关证据,经查实将立刻删除涉嫌侵权内容。