Recentemente ho avuto l’occasione di utilizzare la nuova serie di Router Cisco ISR 1000, nello specifico un 1117-4P in pratica un Router con 1 porta WAN, 1 porta ADSL/VDSL e 4 porte LAN.
In questa specifica situazione avevo la necessità di abilitare AAA per le 4 porte LAN e volevo mantenere il layout dei nostri switch quindi anche qui usare IBNS.

Per i riferimenti a come configurare uno switch con AAA e IBNS potete riferivi direttamente al mio articolo Identity-Based Networking Services.

Sulla serie 1000 a differenza di quanto attiviamo sugli switch IBNS con il comando

authentication display new-style

non vengono generati tutti i “Template” di cui abbiamo bisogno quindi per la nostra configurazione è necessario creare queste “class-map” di tipo “control” per poter intercettare gli eventi durante l’autenticazione

class-map type control subscriber match-all DOT1X_FAILED
 match method dot1x
 match result-type method dot1x authoritative
!
class-map type control subscriber match-all DOT1X_NO_RESP
 match method dot1x
 match result-type method dot1x agent-not-found
!
class-map type control subscriber match-all MAB_FAILED
 match method mab
 match result-type method mab authoritative

a seguire la “policy-map” di tipo “control” per gestire gli eventi che abbiamo intercettato con le classi precedenti

policy-map type control subscriber DOT1X_MAB_AUTH
 event session-started match-all
  10 class always do-until-failure
   10 authenticate using dot1x priority 10
 event authentication-failure match-first
  5 class DOT1X_FAILED do-until-failure
   10 terminate dot1x
   20 authenticate using mab priority 20
  10 class DOT1X_NO_RESP do-until-failure
   10 terminate dot1x
   20 authenticate using mab priority 20
  20 class MAB_FAILED do-until-failure
   10 terminate mab
   20 authentication-restart 60
  50 class always do-until-failure
   10 terminate dot1x
   20 terminate mab
   30 authentication-restart 60
 event agent-found match-all
  10 class always do-until-failure
   10 terminate mab
   20 authenticate using dot1x priority 10
 event violation match-all
  10 class always do-until-failure
   10 restrict

a questo punto possiamo creare il “Template” di tipo “Interface” che avevamo creato anche nell’articolo linkato in precedenza

template CUSTOM_DATA_VOICE
 spanning-tree portfast
 spanning-tree bpduguard enable
 dot1x pae authenticator
 dot1x timeout tx-period 10
 switchport access vlan 10
 switchport mode access
 switchport voice vlan 20
 mab
 access-session host-mode multi-domain
 access-session closed
 access-session port-control auto
 authentication periodic
 authentication timer reauthenticate server
 service-policy type control subscriber DOT1X_MAB_AUTH

l’utilizzo della sicurezza AAA e IBNS anche su un Router, con a disposizione uno switch con 4 porte LAN, ci permette di mantenere la sicurezza e di gestire l’autenticazione centralizzata anche nel caso di una piccola sede che non necessità di una installazione con uno switch dedicato.