Configurar dispositivos da semente e da NONsemente

Documentos relacionados
Configurar o Access point de pouco peso como um suplicante do 802.1x

Nuvem de TrustSec com 802.1x MACsec no exemplo de configuração do Catalyst 3750X Series Switch

Configurar o Access point de pouco peso como um suplicante do 802.1x

Configurar para fixar um Switchport de Flexconnect AP com dot1x

Configurar a camada 3 CTS com refletor do ingresso

Índice. Introdução. Pré-requisitos. Requisitos. Componentes Utilizados

Configurar a colocação de etiquetas Inline ASA TrustSec

Referência rápida consolidada acesso convirgida para moldes do Wireless LAN

Autenticação do proxy de autenticação de partida - Nenhuma Cisco IOS Firewall ou configuração de NAT

Configurar servidores de raio externos no ISE

List baseado papel (RBACL) transferido do Identity Services Engine (ISE).

O ASA e o exemplo de configuração de TrustSec do Catalyst 3750X Series Switch e pesquisam defeitos o guia

Switches do 3550/3560 Series do catalizador usando o exemplo de configuração com base na porta do controle de tráfego

Configurar o apoio do vlan múltiplo do bridge de grupo de trabalho (WGB)

Configurar a autenticação TACACS da prima 3.1 contra ISE 2.x

RADIUS avançado para clientes PPP de discagem

Configurando a autenticação com base em MAC em um interruptor através da interface da linha de comando

Handson Cisco IOS VPN. (Guião CE1 - Parte 2)

Configurando Modo de Roteador-config, Caractere Geral, Chaves Pré-compartilhadas, sem NAT

Permita o acesso ao Internet para o módulo ips ASA 5500-X

WLC 5760/3850 WebAuth feito sob encomenda com exemplo de configuração da autenticação local

Cliente wireless convirgido Onboarding do controlador do acesso 5760/3850/3650) de BYOD (com FQDN ACL

Configurar o 2.1 ISE e a verificação da postura USB de AnyConnect 4.3

Configurar o RAIO e o TACACS+ para a autenticação GUI e CLI em 9800 controladores do Wireless LAN

Exemplo de configuração local da autenticação da Web do portal do convidado do Identity Services Engine

Configurando o TACACS+, o RAIO, e o Kerberos no Switches do Cisco catalyst

Roteador Cisco como um servidor de VPN remoto usando o exemplo da configuração de SDM

Exemplo de configuração de atribuição da VLAN dinâmica com servidor RADIUS e Wireless LAN Controller

Client e configuração Nenhum-MODE

Configurar o RAIO DTL no Identity Services Engine

DHCPv6 usando o exemplo de configuração da característica da delegação do prefixo

Atribuição do VLAN dinâmico no Access point autônomo para o exemplo de configuração da liberação 15.2(2) JB

Configuração de WPA/WPA2 com chave précompartilhada:

Configurando a Autenticação de Requisições HTTP com o CE Executando o ACNS e o Microsoft Active Directory

Cisco IOS Router: Local, TACACS+ e autenticação RADIUS do exemplo de configuração da conexão de HTTP

IPS 7.X: Autenticação de login de usuário usando ACS 5.X como o exemplo da configuração de servidor RADIUS

Acesso convirgido 5760, 3850, e 3650 Series WLC EAP-FAST com exemplo de configuração do raio de servidor interno

Configurar SSID e VLAN em AP autônomos

Configurando IPSec Router para Router com Sobrecarga NAT e Cisco Secure VPN Client

Configurando a autenticação radius por meio de Cisco cache engine

Como usar os comandos standby preempt e standby track

Configurar matrizes múltiplas de TrustSec em ISE 2.2

NAC: Integração LDAP com exemplo da configuração ACS

Autenticação do web interna para o acesso do convidado no exemplo de configuração autônomo AP

Segurança de redes Prof. João Henrique Kleinschmidt Prática Packet tracer Segurança: AAA, Radius e VPN

Configurar o acesso convirgido em uma rede de filial pequena do switch único

Exemplos de configuração para agregação de banda larga do Cisco 7200

Exemplo de configuração do ponto quente da versão 1.3 ISE

Configurando Catalyst Switches para telefones da conferência de Polycom

Configurar media sociais ISE 2.3 Facebook para portais do convidado

O domínio Wireless presta serviços de manutenção ao AP como um exemplo da configuração do servidor AAA

Entroncamento 802.1Q entre Catalyst Switches Executando CatOS e Cisco IOS System Software

Exemplo de Configuração de Migração de Domínio VTP Completamente Transparente para Domínio VTP Servidor-Cliente

Exemplo da configuração de HSRP do IPv6

Configurar a autenticação de MAC SSID em controladores sem fio do Cisco catalyst 9800

Configuração automática CUCM para gateways SCCP

Configurando AAA básico em um servidor de acesso

O domínio Wireless presta serviços de manutenção ao AP como um exemplo da configuração do servidor AAA

Exemplo de Configuração de Migração de Domínio VTP Completamente Transparente para Domínio VTP Servidor-Cliente

Autenticação EAP-FAST com controladores e Identity Services Engine do Wireless LAN

Configurar a característica da reserva do servidor Radius em controladores do Wireless LAN

Switches do 2960/2950 Series do catalizador usando o exemplo da configuração de VLAN da Voz

MANUAL CONFIGURAÇÃO OLT PHYHOME

Configurando Perfis de discagem para construir uma ponte sobre usando o ISDN

Autenticação CS com ACS e autorização com exemplo de configuração local RBAC

Autenticação de servidor Radius de usuários do Gerenciamento no exemplo de configuração do controlador do Wireless LAN (WLC)

Conectividade do Wireless LAN usando um ISR com exemplo de configuração da criptografia de WEP e da autenticação de leap

EAP-TLS do 802.1x com comparação binária do certificado exemplo de configuração dos perfis AD e NAM

Configurar o Concentradores Cisco VPN série 3000 para apoiar os recursos de expiração de senha de NT com o servidor Radius

As informações neste documento são baseadas nestas versões de software e hardware:

Bloqueio e chave: Listas de Acesso Dinâmicas

Configurar ISE 2.0: Autenticação TACACS+ e comando authorization IO baseados na membrasia do clube AD

Exemplo de configuração de switches do Catalyst para balanceamento de carga da rede Microsoft

Configurando o modo seguro (do roteador) no módulo content switching

Configurar o Multicast na mobilidade AP expressos de Cisco

Pontos de acesso Aironet autônomos e SSID múltiplos no exemplo da configuração do IOS da Cisco

Impedindo IDs duplicados de roteadores EIGRO

Configurar um server público com Cisco ASDM

Configurar EasyConnect no 2.1 ISE

Pesquisando defeitos a Conectividade CMX com WLC

Criptografia do Interruptor-host de MACsec com Cisco AnyConnect e exemplo de configuração ISE

Verifique a Conectividade do servidor Radius com comando dos radius AAA do teste

Atribuição do grupo de política para os clientes de AnyConnect que usam o LDAP no exemplo de configuração dos finais do cabeçalho do Cisco IOS

Configuração de Registro CDR com Servidores Syslog e Gateways Cisco IOS

Configurar o RAIO para o server de Windows 2008 NP - WAAS AAA

Configurar o TCP Intercept no Cisco IOS? Roteadores /IOS-XE

Configurar a detecção e a aplicação anômalas do valor-limite em ISE 2.2

Túnel VPN de Lan para Lan entre duas PIXes usando o exemplo de configuração PDM

Administração de Redes 2015/16. Virtual Local Area Networks (VLAN)

Configurando IPSec de IOS para IOS usando criptografia de AES

DMVPN e Easy VPN Server com exemplo de configuração dos perfis ISAKMP

Atribuição do VLAN dinâmico com exemplo de configuração NGWC e ACS 5.2

Exemplo da configuração de alta disponibilidade da Caixa-à-caixa NAT ASR 1000

Integração do sistema de FireSIGHT com o ISE para a autenticação de usuário RADIUS

Acesso portal administrativo ISE com exemplo de configuração das credenciais AD

EAP-FAST com o raio de servidor interno no exemplo autônomo da configuração do ponto de acesso

Mobilidade DHCP interno expresso

Usando o Cisco IOS Firewall para permitir Java applets dos locais conhecidos ao negar outro

Transcrição:

Configurar dispositivos da semente e da NONsemente NDAC de TrustSec Índice Introdução Pré-requisitos Componentes Utilizados Diagrama de Rede Endereços IP de Um ou Mais Servidores Cisco ICM NT Configuração ISE Adicionar dispositivos de rede 6500 (semente) 3560X (NON-semente) Grupos de segurança de TrustSec Política da autorização do dispositivo de rede Configuração de dispositivo de seed (6500) Verificação Logs vivos ISE Abastecimento PAC Transferência dos dados de TrustSec Configuração de dispositivo da NON-semente (3560X) Verificação Logs vivos ISE Abastecimento PAC Autenticação da NON-semente Transferência mútua da política do par Transferência dos dados de TrustSec Verificação da relação Introdução Este documento descreve como configurar dispositivos da semente e da NON-semente ao usar o trustsec com ISE (Identity Services Engine). Trustsec usa NDAC (controle de admissão do dispositivo de rede) para autenticar um dispositivo novo antes de permitir que junte-se ao domínio do trustsec. Isto impede que os dispositivos desautorizados possam participar na troca da informação do trustsec. Os dispositivos de seed/authenitcators, neste caso o 6500 Switch, precisam de ser configurados manualmente e usam o RAIO sobre o IP para conectar ao ISE. os dispositivos/suplicantes da NON-semente, neste caso o 3560X, não têm a conectividade IP direta ao ISE e exigem os dispositivos de seed registrar-se, e autenticam-nos na rede usando o 802.1X. Uma vez o suplicante, dispositivo da NON-semente, é autenticado, um PAC (credenciais protegidas do acesso) será fornecida do ISE e da informação do servidor será transferido. O PAC contém uma chave compartilhada e um token cifrado para fornecer no futuro o contato seguro ao ISE.

Pré-requisitos Authentication Server ISE Dispositivo de seed/autenticador capazes de Trustsec Dispositivo/suplicante capazes da NON-semente de Trustsec Proveja por favor a matriz de compatibilidade a mais atrasada do trustsec: http://www.cisco.com/c/en/us/solutions/enterprise-networks/trustsec/solution-overview-listing.html Componentes Utilizados Correção de programa 2 ISE 2.2 WS-C6509-E [VS-SUP2T-10G] s2t54-ipservicesk9-mz.spa.152-1.sy3.bin WS-C3560X-24P-S c3560e-universalk9-mz.152-4.e4.bin Diagrama de Rede pologia NDAC To Endereços IP de Um ou Mais Servidores Cisco ICM NT ISE: 14.36.143.18

6509: 10.122.165.35 3560X: 10.122.160.118 Configuração ISE Adicionar dispositivos de rede 6500 (semente) > Add de WorkCenters > de TrustSec > de componentes > de dispositivos de rede Nome de dispositivo e endereço IP de Um ou Mais Servidores Cisco ICM NT Segredo compartilhado raio Credenciais de Trustsec

3560X (NON-semente) > Add de WorkCenters > de TrustSec > de componentes > de dispositivos de rede Nome de dispositivo e endereço IP de Um ou Mais Servidores Cisco ICM NT

Segredo compartilhado raio Credenciais de Trustsec

Grupos de segurança de TrustSec Grupos do > segurança de WorkCenters > de TrustSec > de componentes

Política da autorização do dispositivo de rede WorkCenters > TrustSec > política de TrustSec > autorização do dispositivo de rede Configuração de dispositivo de seed (6500) TrustSec Credentials 6500#cts credentials id 6500 password Cisc0123 AAA configuration 6500(config)#aaa new-model 6500(config)#aaa authentication dot1x default group radius 6500(config)#aaa accounting identity default start-stop group radius 6500(config)#aaa authorization network CTSlist group radius 6500(config)#cts authorization list CTSlist Radius Server Configuration

6500(config)#radius server ISE 6500(config-radius-server)#address ipv4 14.36.143.18 auth-port 1812 acct-port 1813 6500(config-radius-server)#pac key Cisc0123 Recognize and use vendor-specific attributes 6500(config)#radius-server vsa send authentication Enable Change of Authorization 6500(config)#aaa server radius dynamic-author 6500(config-locsvr-da-radius)#client 14.36.143.18 server-key Cisc0123 Enable 802.1X 6500(config)#dot1x system-auth-control Switchport TrustSec Configuration 6500(config)#int gi6/1 6500(config-if)#switchport mode trunk 6500(config-if)#cts dot1x 6500(config-if-cts-dot1x)#sap mode-list null 6500(config-if-cts-dot1x)#propagate sgt Verificação PAC Download 6500#show cts pac AID: 6F5719523570B8D229F23073404E2D37 PAC-Info: PAC-type = Cisco Trustsec AID: 6F5719523570B8D229F23073404E2D37 I-ID: 6500 A-ID-Info: ISE 2.2p1 Credential Lifetime: 04:27:29 UTC Oct 26 2017 PAC-Opaque: 000200B000030001000400106F5719523570B8D229F23073404E2D370006009400030100801062F6BE70E2CCB6B0D25B FC81CB5D00000013597A55C100093A8059F0E1A3FAF83A2B7C8332479B7324C0FDC4CBAE9AE4AFD19C614A7DB13C9DBD 06798A344423897745F0F91F19489772E543ED205A9CD0F276A96C4505BF34CB75F132377FE770B77A3D822842DFE3A0 A858130612D08DD58965B09C352E33E74DB3F6B5C7E1F6EC8C30FF215A6FEB3EA7BBC95E Refresh timer is set for 12w5d Environment Data 6500#show cts environment-data CTS Environment Data ==================== Current state = COMPLETE Last status = Successful Local Device SGT: SGT tag = 2-02:TrustSec_Devices Server List Info: Installed list: CTSServerList1-0001, 1 server(s): *Server: 14.36.143.18, port 1812, A-ID 6F5719523570B8D229F23073404E2D37 Status = ALIVE auto-test = TRUE, keywrap-enable = FALSE, idle-time = 60 mins, deadtime = 20 secs Multicast Group SGT Table: Security Group Name Table: 0-fb:Unknown 2-fb:TrustSec_Devices 3-fb:Network_Services 4-fb:Employees 5-fb:Contractors 6-fb:Guests 7-fb:Production_Users 8-fb:Developers 9-fb:Auditors

10-fb:Point_of_Sale_Systems 11-fb:Production_Servers 12-fb:Development_Servers 13-fb:Test_Servers 14-fb:PCI_Servers 15-fb:BYOD 255-fb:Quarantined_Systems Environment Data Lifetime = 86400 secs Last update time = 20:28:36 UTC Thu Jul 27 2017 Env-data expires in 0:23:47:05 (dd:hr:mm:sec) Env-data refreshes in 0:23:47:05 (dd:hr:mm:sec) Cache data applied = NONE State Machine is running Logs vivos ISE Operações > RAIO > logs vivos Abastecimento PAC

Transferência dos dados de TrustSec

Configuração de dispositivo da NON-semente (3560X) TrustSec Credentials

3560X#cts credentials id 3560X password Cisc0123 AAA configuration 3560X(config)#aaa new-model 3560X(config)#aaa authentication dot1x default group radius 3560X(config)#aaa authorization network default group radius 3560X(config)#aaa accounting identity default start-stop group radius Recognize and use vendor-specific attributes 3560X(config)#radius-server vsa send authentication Enable Change of Authorization 3560X(config)#aaa server radius dynamic-author 3560X(config-locsvr-da-radius)#client 14.36.143.18 server-key Cisc0123 Enable 802.1X 3560X(config)#dot1x system-auth-control Switchport TrustSec Configuration 3560X(config)#int gi0/24 3560X(config-if)#switchport trunk encapsulation dot1q 3560X(config-if)#switchport mode trunk 3560X(config-if)#cts dot1x 3560X(config-if-cts-dot1x)#sap mode-list null 3560X(config-if-cts-dot1x)#propagate sgt Verificação Pac Download 3560X#show cts pac AID: 6F5719523570B8D229F23073404E2D37 PAC-Info: PAC-type = Cisco Trustsec AID: 6F5719523570B8D229F23073404E2D37 I-ID: 3560X A-ID-Info: ISE 2.2p1 Credential Lifetime: 05:32:57 UTC Oct 26 2017 PAC-Opaque: 000200B000030001000400106F5719523570B8D229F23073404E2D3700060094000301009F9B0624C0A0C5D2AFDAAE89 C173D34300000013597A55C100093A8059F0E1A3FAF83A2B7C8332479B7324C0B224F18D8654C2DB14544B58296A0A97 C7B52EB1B7C0725776FE16F715094AC8A766E1F6D16A2A151B70632D6EAB34C5E1874409779FADA53F5892AD4ACC3533 B5A61F89D028C076D94B52744A328C23437306AF428162AC680742003C6BDDB207A08F57 Refresh timer is set for 11y42w Environment Data 3560X#show cts environment-data CTS Environment Data ==================== Current state = COMPLETE Last status = Successful Local Device SGT: SGT tag = 2-02:TrustSec_Devices Server List Info: Installed list: CTSServerList1-0001, 1 server(s): *Server: 14.36.143.18, port 1812, A-ID 6F5719523570B8D229F23073404E2D37 Status = ALIVE auto-test = TRUE, keywrap-enable = FALSE, idle-time = 60 mins, deadtime = 20 secs Multicast Group SGT Table: Security Group Name Table: 0-d1:Unknown 2-d1:TrustSec_Devices 3-d1:Network_Services 4-d1:Employees

5-d1:Contractors 6-d1:Guests 7-d1:Production_Users 8-d1:Developers 9-d1:Auditors 10-d1:Point_of_Sale_Systems 11-d1:Production_Servers 12-d1:Development_Servers 13-d1:Test_Servers 14-d1:PCI_Servers 15-d1:BYOD 255-d1:Quarantined_Systems Environment Data Lifetime = 86400 secs Last update time = 02:41:21 UTC Mon Jan 2 2006 Env-data expires in 0:23:56:36 (dd:hr:mm:sec) Env-data refreshes in 0:23:56:36 (dd:hr:mm:sec) Cache data applied = NONE State Machine is running Logs vivos ISE Operações > RAIO > logs vivos Abastecimento PAC

Autenticação da NON-semente

Transferência mútua da política do par

Transferência dos dados de TrustSec

Verificação da relação Seed (6500) 6500#show cts interface gi6/1 Global Dot1x feature is Enabled Interface GigabitEthernet6/1: CTS is enabled, mode: DOT1X IFC state: OPEN Interface Active for 00:38:50.744 Authentication Status: SUCCEEDED Peer identity: "3560X" Peer's advertised capabilities: "sap" 802.1X role: Authenticator Authorization Status: SUCCEEDED Peer SGT: 2:TrustSec_Devices

Peer SGT assignment: Trusted SAP Status: SUCCEEDED Dot1x Info for GigabitEthernet6/1 ----------------------------------- PAE = AUTHENTICATOR Non-Seed (3560X) 3560X#show cts interface gi0/24 Global Dot1x feature is Enabled Interface GigabitEthernet0/24: CTS is enabled, mode: DOT1X IFC state: OPEN Interface Active for 00:08:51.317 Authentication Status: SUCCEEDED Peer identity: "6500" Peer's advertised capabilities: "sap" 802.1X role: Supplicant Reauth period applied to link: Not applicable to Supplicant role Authorization Status: SUCCEEDED Peer SGT: 2:TrustSec_Devices Peer SGT assignment: Trusted SAP Status: SUCCEEDED Version: 2 Dot1x Info for GigabitEthernet0/24 ----------------------------------- PAE = SUPPLICANT

2024 © DocPlayer.com.br Política de Privacidade | Termos de serviço | Feedback