ISE实现802.1XMABWebAuth配置指南

ISE实现802.1X MAB Webauth配置指南

一、目的 (1)

二、网络拓扑和基本配置 (1)

实验1：基于MAB的有线终端设备认证 (3)

实验2：基于802.1X的有线终端设备认证 (9)

实验3：通过Guest VLAN实现802.1X认证 (17)

实验4：通过Critical VLAN实现802.1X认证 (19)

实验5：通过MAR认证控制加入域设备的访问 (22)

实验5：基于WebAuth的有线终端设备认证 (27)

一、目的

本文介绍了如何通过思科ISE(Identity Services Engine)，针对不同应用场景实现对不同类型的终端设备（Managed/Unmanaged）的网络访问控制，包括常见的用户需求及具体配置方式：

有线终端设备的802.1x、MAB、Webauth认证的配置步骤

通过VLAN和DACL对终端设备的网络访问控制

通过MAR实现加入域计算机的网络访问控制

二、网络拓扑和基本配置

下图为本测试的网络拓扑图：

1．C3560CG交换机基本配置：

在C3560上配置3个Vlan：

Vlan 10：10.10.10.0/24，SVI为10.10.10.1，作为其它设备的缺省网关地址，并启用DHCP。Vlan 20：20.20.20.0/24，SVI为20.20.20.1，并启用DHCP。

Vlan 30：30.30.30.0/24，SVI为30.30.30.1，并启用DHCP。

2、Windows Server 2008基本配置：

版本：Windows Server 2008 Enterprise

启用NTP服务

启用Web服务器

3、ISE基本配置：

版本：ISE1.1.1.268

缺省网关：10.10.10.1

DNS服务器：10.10.10.80

NTP服务器：10.10.10.80

本测试中，采用了Windows Server 2008作为外部认证数据库，因此需要ISE加入windows 2008域中。

实验1：基于MAB的有线终端设备认证

目的

了解交换机MAB和802.1X的认证过程，以及在交换机和ISE上如何配置基于MAC 地址跳过认证，即MAB（MAC Authentication Bypass）的认证过程。

（1）了解交换机上MAB和802.1X的配置和认证过程

（2）通过配置MAB对不支持802.1X的设备进行认证和授权

在本实验中，使用了无线AP做为终端设备来进行MAB测试，即通过MAB认证后的AP才获得网络访问权限，并注册到WLC上。

配置步骤

1．在3560交换机上配置MAB和802.1X认证

在交换机上启用Radius认证，以下为配置内容：

aaa new-model

aaa authentication dot1x default group radius

aaa authorization network default group radius

aaa accounting dot1x default start-stop group radius

aaa server radius dynamic-author

client 10.10.10.70 server-key cisco

aaa server radius dynamic-author

radius-server attribute 6 on-for-login-auth

radius-server attribute 8 include-in-access-req

radius-server attribute 25 access-request include

radius-server dead-criteria time 5 tries 3

radius-server host 10.10.10.70 auth-port 1812 acct-port 1813

radius-server key cisco

radius-server vsa send accounting

radius-server vsa send authentication

在端口0/5上启用MAB和Dot1X认证：

interface GigabitEthernet0/5

switchport access vlan 10

switchport mode access

authentication host-mode multi-auth

authentication open

authentication order mab dot1x

authentication priority dot1x mab

authentication port-control auto

mab

dot1x pae authenticator

spanning-tree portfast

完成以上配置后，输入wr指令，保存配置。

2．在ISE创建本地用户帐号并验证Radius配置

a)进入Administration > Identity Management > Groups，选择User Identity Groups，点

击Add，创建一个名字为Test的组。

b)进入Administration > Identity Management > Identities，选择Users，点击Add，创

建一个名字为test-user的用户帐号，密码设置为Cisco123，User Groups选择Test。

c)完成配置后，输入以下指令验证交换机Radius配置是否正确（出于验证的需要，

验证时需要把Policy > Authorization中Default规则的Permission改为PermitAccess，否则会出现验证失败的情况）

测试结果如下图：

注意：完成验证后，别忘记把Default规则的Permission改为DenyAccess。

3．查看交换机接口配置

配置说明：

authentication open: 在authentication open状态下，如果终端设备没有启用802.1x认证，则交换机会将终端设备分配到端口配置的VLAN，并且打开交换机端口。authentication order mab dot1x: 配置这个选项，使交换机会先尝试MAB认证。在初次部署TrustSec时，建议采用这种配置，用于监控网络设备的访问请求并收集所有的终端设备的认证信息。

authentication priority dot1x mab: 这个选项的作用，是设置802.1X的认证优先级高于MAB，即对于支持802.1X认证的终端设备，即使已经通过了MAB认证，也还要进行802.1X 认证。

4．ISE的Authentication策略配置

a)创建Allowed Protocol，用于终端设备的MAB认证

进入Policy > Policy Elements > Results > Authentication > Allowed Protocols，点击Add，

新建一条Allowed Protocols，名字为HostLookup_only，在Allowed Protocols中，只选中“Process Host Lookup”，其他均不选。

配置截图如下：

b)创建一条Policy Authentication，用于终端设备的MAB认证

进入Policy > Authentication，新建或修改策略Wired MAB，配置内容如下，完成配置

5．测试终端设备的MAB认证

为了方便起见，本测试中采用了无线AP设备作为不支持802.1X的终端设备，进行MAB的测试。

在3560交换机上启用802.1X/MAB/Webauth认证时，可以由终端设备发起，也可以由交换机端口发起，缺省情况下交换机端口每60秒会检测。在测试过程中，我们采用以下三种方式，来即时地发起认证：

方式1：在交换机端口模式下，运行shutdown/no shutdown命令

方式2：在终端设备上拔掉或插上网线

方式3：在终端设备上disable/enable网卡端口

在3560交换机上运行命令terminal monitor和debug radius authentication，用于接收控制台的调试信息。

a)将AP设备连接到3560交换机端口进行MAB认证

AP设备连接到端口Gi0/5后，交换机检测到端口状态为up，立刻发起MAB认证请求。在交换机上可以看到以下信息：

从上面的信息可以看出，交换机发起了MAB认证，但是认证结果失败了。

b)认证状态从MAB切换到802.1X

MAB认证失败后，交换机接下来尝试进行802.1X认证：

大约等待30秒后（3次10秒超时），802.1X认证失败，原因是终端设备没有对交换机发出的认证请求进行响应：

c)在ISE管理界面查看认证记录

进入Operations > Authentications，查看到无线AP（MAC地址为D4:8C:B5:E4:27:2C）的认证结果失败：

d)在ISE添加无线AP的MAC地址信息

进入Policy > Identity Management > Groups > Endpoint Identity Groups，点击Add，添加Group（如下图），然后点击Submit。

进入Policy > Identity Management > Identities > Endpoints，点击Add，添加Endpoint，在MAC Address中输入AP的MAC地址，Policy Assignment选择Cisco-AIR-AP，Identity Group Assignment选择Cisco-AP（如下图所示），然后点击Submit。

至此，无线AP已经加入到Internal Endpoint中。

6．ISE的Authorization策略配置

a)创建两条DACL

进入Policy > Policy Elements > Results > Downloadable ACLs，点击Add，新建两条DACL，创建完成后点击Save。

第一条DACL：

b)创建Authorization Profile

进入Policy > Policy Elements > Authorization > Authorization Profiles，点击Add，输入Name为Cisco_AP，选中DACL Name，并选择PERMIT_ALL_TRAFFIC，其他都不选，点击Save。

配置截图如下：

c)创建Authorization Policy

进入Policy > Authorization，点击“Profiled Cisco IP Phones”这条规则右边的箭头，选择“Insert New Rules Below”，输入以下配置信息，点击Done，再点击Save：

配置截图如下：

7．再次测试终端设备的MAB认证

在3560交换机进入端口Gi0/5，运行shutdown/no shutdown命令，查看认证结果，显示认证成功：

查看端口Gi0/5的认证状态，显示User-Name为终端设备的MAC地址，mab的结果为Authc Success：

在ISE上查看认证和授权结果，显示认证成功，ACL成功下发到端口Gi0/5：

实验2：基于802.1X的有线终端设备认证

目的

了解交换机802.1X的认证过程，以及在交换机和ISE上如何配置基于802.1X的认证过程。

（1）了解交换机上MAB和802.1X的认证过程

（2）在交换机上和ISE上配置802.1x的认证

（3）基于用户的组别分别不同的网络访问权限

在本实验中，使用了Windows7 PC进行802.1x的认证，并根据认证的结果通过VLAN或DACL对终端进行授权。

配置步骤

1．将ISE加入AD域

登陆ISE的管理界面，进入Administration > Identity Management > External Identity Sources > Active Directory，选择ise-111后，点击Join，输入AD域的管理员帐号。成功加入域后，如下图所示：

在ISE添加Active Directory中的组信息，在本测试中，用于802.1x验证的帐号属于组ADEmployee和ADManager，此外还要添加组Domain Users和Domain Computer（用于Machine Authentication）。

点击Groups标签，点击Add，选择Select Groups From Directory，在弹出窗口中点击Retrieve Groups，至少选择ADEmployee/ADManager/Domain Computers/Domain Users等几个组，添加组信息后的截图如下：

2．修改或创建Authentication Policy

登陆ISE的管理界面，进入Policy > Authentication，修改或创建Wired_Dot1X的身份认证源为demoAD，修改后点击Save：

注：也可以直接修改Dot1X策略。

3．在交换机上验证新建帐号

完成配置后，输入以下指令验证交换机Radius配置是否正确（出于验证的需要，验证时需要把Policy > Authorization的Default规则的Permission改为PermitAccess，否则会出现验证失败的情况）

测试结果如下图：

注意：完成验证后，别忘记把Default规则的Permission改为DenyAccess。

4．在Windows7上启用802.1X认证

默认情况下，Win7访问有线网络的802.1x认证是关闭的，需要手工开启。在Services 系统服务中，选中Wired AutoConfig，设置Startup type为Automatic，并点击Start启动该服务。

配置截图如下：

配置有线网卡的802.1x认证：

（1）在Windows7客户端，进入Control Panel > View network status and tasks > Change adapter setting，右键点击Local Area Connection，选择Properties，点击Authentication（见左下图）：

●选中Enable IEEE802.1X authentication。

●不选Remember my credentials for this connection each time I’m logged on（目的

是方便测试）。

（2）再点击Settings（见右下图），不选Validate server certificate。

（3）点击Configure，不选Automatically use my Windows logon name and password（目

的是为了方便查看测试结果）：

（4）点击第（2）步中的Additional Settings，选中Specify authentication mode，并在下拉框中选择User or Machine Authentication：

至此，Windows7客户端的802.1x配置已经完成。

2．将Windows 7 PC连接到交换机端口0/5，并在端口模式下输入shutdown，再输入no shutdown命令（也可以通过插拔网线的方式进行），此时客户端将提示输入用户名和密码：

点击提示框，输入用户名和密码：employee2/Cisco123，点击OK：

注意：如果是加入Domain的PC，并且启用了自动使用Windows登录用户名和密码做认证，则不再需要手工输入用户名和密码。

5．创建基于VLAN和DACL的Authorization Profile

登陆到ISE管理界面，进入Policy > Policy Elements > Results > Authorization > Authorization

Auth_VLAN20配置截图如下：

Auth_VLAN30配置截图如下：

6．创建的Authorization Policy

配置截图如下：

7．验证基于用户身份分配不同的Authorization Policy

验证用户employee2和manager2，在通过802.1X认证后分配了不同的VLAN和DACL，实现基于用户身份验证和授权。

用户employee2的认证和授权

登陆到3560交换机上，在端口Gi0/5运行命令shutdown/no shutdown，对终端设备启动802.1X验证，这时Windows7会提示输入用户信息：

点击提示框，输入用户名和密码：employee2/Cisco123，点击OK：

交换机控制台的日志显示，用户employee2通过802.1X认证：

查看端口认证的状态，显示用户名称为employee2，分配的VLAN为20，推送的ACL为PERMIT_ISE_TRAFFIC：

查看推送到端口的ACL：

注意：ACL的源IP地址已经被替换为终端设备通过DHCP获得的地址

用户manager2的802.1X认证和授权：

登陆到3560交换机上，在端口Gi0/5运行命令shutdown/no shutdown，对终端设备启动802.1X验证，这时Windows7会提示输入用户信息：

点击提示框，输入用户名和密码：manager2/Cisco123，点击OK：

交换机控制台的日志显示，用户manager2通过802.1X认证：

认证成功后，查看端口认证的状态，显示用户名称为manager2，分配的VLAN为30，推送的ACL为PERMIT_ALL_TRAFFIC：

查看推送到端口的ACL：

注意：ACL的源IP地址已经被替换为终端设备通过DHCP获得的地址。

实验3：通过Guest VLAN实现802.1X认证

目的

在802.1X交换机端口配置Guest VLAN的作用是，当终端设备对802.1X请求没有响应或者终端设备没有发出EAPOL数据包时，终端设备将被分配到Guest VLAN。本实验配置了通过Guest VLAN实现802.1X的认证过程，以及在交换机和ISE上如何配置基于802.1X的认证过程。

（1）了解交换机上Guest VLAN的配置

（2）在交换机上和ISE上配置802.1x的认证

在本实验中，使用了Windows7 PC进行测试。

配置步骤

1．在交换机上配置Guest VLAN

登陆3560交换机，进入端口Gi0/5，配置Guest VLAN为Vlan 20，配置完成后如下所示：

注意：IOS12.2(33)SXI以前的版本，配置Guest VLAN的命令为dot1x guest-vlan vlan-id。

2．关闭Windows7上的802.1X Supplicant功能

登录到Windows7，在网卡的认证配置页面，不选择“Enable IEEE 802.1X authentication”，配置如下图：

3．测试不支持802.1X认证的客户端被分配到Guest VLAN

登陆到交换机上，进入端口Gi0/5，运行命令shut/no shut，启动端口的802.1X认证：

交换机认证过程：

查看端口Gi0/5授权状态，显示终端设备被分配到Guest Vlan（Vlan 20）：

实验4：通过Critical VLAN实现802.1X认证

目的

在802.1X交换机端口配置Critical VLAN的作用是，当Radius Server不可用时，终端设备将被分配到预先配置的Critocal VLAN中。本实验配置了通过Critical VLAN实现802.1X的认证过程，以及在交换机和ISE上如何配置基于802.1X的认证过程。

（1）了解交换机上Critical VLAN的配置和工作过程

（2）在交换机上和ISE上配置802.1x的认证

在本实验中，使用了Windows7 PC进行802.1x的认证，并根据认证的结果通过VLAN 或DACL对终端进行授权。

配置步骤

1．在交换机上配置Critical VLAN

登陆3560交换机，进入端口Gi0/6，配置Critical VLAN，配置完成后如下所示：

说明：

1.命令authentication event server dead action authorize vlan 20的作用是，如果radius server无法访问时，终端设备将被分配到vlan 20。

2.命令authentication event server alive action reinitialize的作用是，当radius server 恢复可用状态时，将对所有端口进行重新认证。

2．在交换机上配置Critical VLAN

登陆3560交换机，修改Radius配置，增加对Radius Server状态检测的配置，配置完成后如下所示：

3．修改ISE的Authorization Policy

4．测试Radius Server不可用时的认证过程

在3560交换机上，关闭ISE连接的端口或者拔掉ISE连接的网线，然后将Windows7设备的802.1X认证打开，并连接到Gi0/6端口，交换机的认证记录如下所示：