Recentemente ho avuto l’occasione di utilizzare la nuova serie di Router Cisco ISR 1000, nello specifico un 1117-4P in pratica un Router con 1 porta WAN, 1 porta ADSL/VDSL e 4 porte LAN. In questa specifica situazione avevo la necessità di abilitare AAA per le 4 porte LAN e volevo mantenere il layout dei nostri switch quindi anche qui usare IBNS.
Per i riferimenti a come configurare uno switch con AAA e IBNS potete riferivi direttamente al mio articolo Identity-Based Networking Services.
Sulla serie 1000 a differenza di quanto attiviamo sugli switch IBNS con il comando
authentication display new-style
non vengono generati tutti i “Template” di cui abbiamo bisogno quindi per la nostra configurazione è necessario creare queste “class-map” di tipo “control” per poter intercettare gli eventi durante l’autenticazione
class-map type control subscriber match-all DOT1X_FAILED
match method dot1x
match result-type method dot1x authoritative
!
class-map type control subscriber match-all DOT1X_NO_RESP
match method dot1x
match result-type method dot1x agent-not-found
!
class-map type control subscriber match-all MAB_FAILED
match method mab
match result-type method mab authoritative
a seguire la “policy-map” di tipo “control” per gestire gli eventi che abbiamo intercettato con le classi precedenti
policy-map type control subscriber DOT1X_MAB_AUTH
event session-started match-all
10 class always do-until-failure
10 authenticate using dot1x priority 10
event authentication-failure match-first
5 class DOT1X_FAILED do-until-failure
10 terminate dot1x
20 authenticate using mab priority 20
10 class DOT1X_NO_RESP do-until-failure
10 terminate dot1x
20 authenticate using mab priority 20
20 class MAB_FAILED do-until-failure
10 terminate mab
20 authentication-restart 60
50 class always do-until-failure
10 terminate dot1x
20 terminate mab
30 authentication-restart 60
event agent-found match-all
10 class always do-until-failure
10 terminate mab
20 authenticate using dot1x priority 10
event violation match-all
10 class always do-until-failure
10 restrict
a questo punto possiamo creare il “Template” di tipo “Interface” che avevamo creato anche nell’articolo linkato in precedenza
template CUSTOM_DATA_VOICE
spanning-tree portfast
spanning-tree bpduguard enable
dot1x pae authenticator
dot1x timeout tx-period 10
switchport access vlan 10
switchport mode access
switchport voice vlan 20
mab
access-session host-mode multi-domain
access-session closed
access-session port-control auto
authentication periodic
authentication timer reauthenticate server
service-policy type control subscriber DOT1X_MAB_AUTH
l’utilizzo della sicurezza AAA e IBNS anche su un Router, con a disposizione uno switch con 4 porte LAN, ci permette di mantenere la sicurezza e di gestire l’autenticazione centralizzata anche nel caso di una piccola sede che non necessità di una installazione con uno switch dedicato.