1、目網絡拓撲和基本配目網絡拓撲和基本配.一、目的本文介紹了如何通過思科 ISE，在不同應用場景和需求,通過 VLAN 和DACL 對終端設備的網絡二、網絡拓撲和基本配置在 C3560 上配置 3 個 Vlan：1114Vlan 20：/24，SVI 為 ，并啟用 DHCP。 版本：Windows Server 2008 EntAD DNS服務器，添加如下：啟用NTP在 C3560 上配置 3 個 Vlan：1114Vlan 20：/24，SVI 為 ，并啟用 DHCP。 版本：Windows Server 2008 EntAD DNS服務器，添加如下：啟用NTPAIP 組 IPEnable: c

2、iscoVMWare Windows 證書 服 務 器 (VMWare 虛Server2008R2 ASDMCVR328W( 用AppleiOS5.1NTPWindows Server 2008 ISE 實驗 1：基于 MAB 的有線終端設備認證NTPWindows Server 2008 ISE 實驗 1：基于 MAB 的有線終端設備認證 APWLC 13560MAB802.1X aaanew-aaa authentication dot1x default group radius aaa authorization network default group radius aaaserv

3、erradiusdynamic-author ip device tracking radius-serverattribute6on-for-login- radius-serverdead-criteriatime5triesradius-serverhost0auth-port1812acct-port1813 radius-server key ciscoradius-server vsa send accounting radius-servervsasendauthentication svlan dot1xpae 2ISENAD ) AddTest值IP Authenticati

4、onSettings- RADIUS -Shareds) Radius 配置是否正確（) Radius 配置是否正確（驗證時需要把PolicyAuthorizationDefault規(guī)則的Permis改為 : 則交換機會將終端設備分配到端口配置的 VLAN，并且打開交換機端口。authentication order mab dot1x: MAB部署TrustSecauthentication priority dot1x mab: 802.1X 5 ISEAuthentication 進入PolicyPolicyElementsResultsAuthenticationAllowedProt

5、ocols，點擊Add， ) 6) 6MAB 60 采 2：在終端設備上拔掉或插上網線 Policy Identity 802.1X Add，添加Group（如下圖Submit 進入AdministrationIdentityManagementIdentities Identity Group Assignment 選擇 Cisco-AP（如下圖所示Submit。至此，無線AP已經加入到 ernal至此，無線AP已經加入到 ernal創(chuàng)建兩條 DACL PolicyPolicyElementsAuthorizationAuthorizationProfilesAdd，輸入 NameCisco

6、_APDACLNamePERMIT_ALL_TRAFFIC，其他都不選，點擊 Save。 PolicyAuthorization，點擊“ProfiledCiscoIPPhones”這條規(guī)則右邊的箭頭，選擇“Insert New Rules BelowDoneSave：permitipanypermitipanyhost8MAB8MAB Authc結果，顯示認證成功，ACL成功下發(fā)到端口RuleCiscoIdentityGroup實驗 2：基于 802.1X 的有線終端設備認證（1） 了解交換機上 MAB802.1XISE實驗 2：基于 802.1X 的有線終端設備認證（1） 了解交換機上 MA

7、B802.1XISE802.1x 登陸ISE 的管理界面，進入Administration Identity Management ExternalIdentity 于 Machine Authentication。Users RetrieveGroups2Authentication 2Authentication 3 PolicyAuthorization Default 規(guī)則的 4Windows7802.1X802.1x （1）在Windows7客戶端， （1）在Windows7客戶端，進入Control Panel Viewnetworkadapter 。拉框中選擇User or Ma

8、chine Authentication： 拉框中選擇User or Machine Authentication： 2Windows 7 PC 0/5shutdown ： 。 。ProfilesAddAuth_VLAN20 Authz 。用戶 。用戶employee23560交換機上，在端口Gi0/5shutdown/no shutdown，對終端設備啟動 802.1X 驗證，這時Windows7 會提示輸入用戶信息： RuleIdentityOtherdemoAD:ExternalGroups demoAD:ExternalGroups ： ACL 3Guest VLAN 802.1X 認

9、3Guest VLAN 802.1X 認EAPOLGuest VLAN。本實驗GuestVLAN802.1XISE上如何配置基于 802.1X 的認證過程。了解交換機上GuestVLAN 3560Gi0/5Guest VLANVlan 20 BuildingCurrentconfiguration:359bytes erface GigabitEthernet0/5switchportsvlan switchportmodes authentication port-control auto dot1x pae authenticator dot1x timeout tx-period 15

10、dot1xtimeoutsupp-timeout3 spanning-tree portfast注意：IOS12.2(33)SXI以前的版本，配置Guest登錄到 Windows7不選擇“ Enable IEEE 3802.1X 狀態(tài)，顯示終端設備被分配到GuestVlan（Vlan20：4狀態(tài)，顯示終端設備被分配到GuestVlan（Vlan20：4Critical VLAN 802.1X 認Critical VLAN的作用是，當Radius ServerCritocal VLANCritical VLAN 。3560 Gi0/6Critical VLANLS3560CG#shBuildin

11、gCurrentconfiguration:436bytes erface GigabitEthernet0/6switchportsvlan switchport3560 Gi0/6Critical VLANLS3560CG#shBuildingCurrentconfiguration:436bytes erface GigabitEthernet0/6switchportsvlan switchportmodes authenticationeventserveraliveactionreinitialize authentication openauthentication order

12、mab dot1x authentication port-control auto dot1x pae authenticator dot1x timeout tx-period 15 dot1xtimeoutsupp-timeout3 spanning-tree portfastservervlan20authenticationeventserveraliveactionreinitializeradius3 修改 ISEAuthorizationRuleIdentityOtherdemoAD:ExternalGroups ISE 策實驗 5：通過ISE 策實驗 5：通過 MAR 認證控

13、制加入域設備的 Windows7PC （pc ISE ISE管理界面，進入Administration Identity Management External Spermitipanyhost進入PolicyPolicyElementsResultsAuthenticationAuthorizationProfile，創(chuàng)建名 為進入PolicyPolicyElementsResultsAuthenticationAuthorizationProfile，創(chuàng)建名 為 登陸 ISE Policy Authorization，創(chuàng)建一條新的基于 Authentication Employee Man

14、agerEmployeeRuleIdentityOtherdemoAD:ExternalGroups demoAD:ExternalGroups demoAD:ExternalGroups Windows7802.1X ： 登錄到 Windows7， 這時交換機會重新發(fā)起 802.1x 認證， 輸入用戶名和 登錄到 Windows7， 這時交換機會重新發(fā)起 802.1x 認證， 輸入用戶名和 ： authentication 為 employee2 ），DACL 也由 S 變更為（pcChangeSettingsChangeWorkgroupWORKGROUPOK。 由于 ISE 中仍然緩存了

15、剛才通過認證的 Windows7（主機名為 david-pc）的 Machine ISE上查看Machine：ISE上查看MAR說明：User Authentication david-pcISE上查看Machine：ISE上查看MAR說明：User Authentication david-pc沒有加入域，因此沒有通過 Machine Authentication，導致在進行 MAR 認證時失敗。實驗 6：基于 WebAuth 的有線終端設備認證 WebAuth 認證與Guest 本次測試采用了 CWA 的認證方式。 ISE管理界面，進入Administration ISE管理界面，進入Ad

16、ministration Web Portal Management Settings Authentication，AuthenticationTypeBothIdentityStore Sequence中選擇Guest_Portal_Sequence。配置如下圖所示： 源ISE 管理界面，進入Administration Identity Management Identity ernal 在 ISE 管理界面上，進入 Policy Policy Elements Results Authorization permit udp any any eq permit icmp any any

17、 permit tcp any any eq 80 permittcpanyanyeq443permittcpanyhost0eqISE Policy Policy Elements ResultsISE Policy Policy Elements Results Gi0/5配置，清除Guest VLANRestricted VLANDACLWebACL: LERL_WBLERL_WB： 如 HYPERLINK http:/e/ 輸入用戶名 ，紅色部分為Webauth ：Windows7 ，紅色部分為Webauth ：Windows7 HYPERLINK http:/e/ ：Windows7zhou-pc 未加入域，結果zhou-pc 加入域后，重啟 zhou-pc puter Windows 之前， 首先進行 authentication，驗證成功后，ISE 分配 ：Windows7zhou-pc 未加入域，結果zhou-pc 加入域后，重啟 zhou-pc puter Windows 之前， 首