Identity-Based Networking Services
Cisco IBNS permette una organizzazione delle policy di sicurezza su base Template, questa feature ottimizza molto la configurazione del device.
IBNS fornisce delle policy di default con le quali si possono soddisfare la maggior parte delle necessità, nel caso di configurazioni particolari si possono personalizzare i Template di default oppure procedere direttamente alla creazione di nuovi Template completamente personalizzati.
Le policy di default sono di due categorie, quelle applicabili a livello configurazione generale e quelle applicabili a livello interfaccia.
In questo articolo affronteremo la configurazione della parte IBNS dando per scontato la disponibilità di un Cisco ISE già configurato e funzionante.
Requisiti:
- Cisco ISE 2.X
- Cisco Catalyst con IOS 15.X
Come prima cosa dobbiamo convertire il Catalyst alla nuova modalità: “display new-style”
authentication display new-styleDi seguito procediamo con una parte di configurazione uguale alla modalità “old-style”.
Attiviamo sul Catalyst la parte di AAA (Authentication, Authorization and Accounting), andando a specificare quale gruppo utilizzare.
aaa new-model
aaa authentication dot1x default group radius
aaa authorization network default group radius
aaa authorization auth-proxy default group radius
aaa accounting update newinfo periodic 5
aaa accounting identity default start-stop group radius
aaa accounting system default start-stop group radius
dot1x system-auth-controlAbbiamo usato il gruppo default “radius”, ora dobbiamo aggiungere le specifiche del server Radius: Indirizzo IP, porta di Auth e porta di Acc.
ip radius source-interface vlan 100
radius server NOME-RADIUS-1
address ipv4 xxx.xxx.xxx.xxx auth-port 1812 acct-port 1813
timeout 2
retransmit 3
key ********
radius server NOME-RADIUS-2
address ipv4 xxx.xxx.xxx.xxx auth-port 1812 acct-port 1813
timeout 2
retransmit 3
key ********
è anche necessario specificare alcuni attributi minimi per far inviare dal Catalyst al server Radius (nel nostro caso il Cisco ISE) dei dettagli della transizione.
radius-server attribute 6 on-for-login-auth
radius-server attribute 6 support-multiple
radius-server attribute 8 include-in-access-req
radius-server attribute 25 access-request include
radius-server dead-criteria time 30 tries 3
radius-server vsa send accounting
radius-server vsa send authenticationSe come server Radius usiamo un Cisco ISE, questo può anche funzionare da logging e da collettore SNMP, per questo motivo andiamo a impostare il nostro ISE come ricevitore di queste info.
logging host xxx.xxx.xxx.xxx transport udp port 20514
logging host xxx.xxx.xxx.xxx transport udp port 20514
!
snmp-server trap-source vlan 100
snmp-server enable traps snmp linkdown linkup
snmp-server enable traps mac-notification change move threshold
snmp-server host xxx.xxx.xxx.xxx version 2c public mac-notification snmp
snmp-server host xxx.xxx.xxx.xxx version 2c public mac-notification snmpDove negli esempi troviamo xxx.xxx.xxx.xxx sostituiamo con l’Indirizzo IP del nostro Cisco ISE primario e con quello di backup.
Tutta la parte di configurazione che abbiamo appena visto è esattamente identica a quando usavamo il nostro Catalyst in modalità “old-style”.
Andiamo adesso ad attivare il nostro primo Template IBNS di tipo Interface, a livello globale abbiamo già configurato quanto ci serve.
template interface CUSTOM_DATA_VOICE
dot1x pae authenticator
dot1x timeout tx-period 10
spanning-tree portfast edge
spanning-tree bpduguard enable
switchport access vlan 10
switchport mode access
switchport voice vlan 20
mab
access-session host-mode multi-domain
access-session closed
access-session port-control auto
authentication periodic
authentication timer reauthenticate server
service-policy type control subscriber AI_DOT1X_MAB_AUTH
Una volta creato il template non ci rimane che andare a richiamarlo all’interno dell’Interfaccia dove vogliamo applicarlo, chiaramente possiamo anche applicarlo a più Interfacce contemporaneamente con l’uso del comando “range”.
interface GigabitEthernet X/X/X (porte verso telefoni e device)
source template CUSTOM_DATA_VOICEAbbiamo visto come, con estrema facilita, possiamo andare ad utilizzare dei Template per la configurazione delle nostre Interfacce, questa è solo uno spunto su come usare IBNS, per maggiori info potete consultare direttamente la documentazione ufficiale Cisco direttamente al link Identity-Based Networking Services Configuration Guide.