Loading...

LAB Cisco TrustSec, ISE

Mục đích bài LAB: tạo security group, xác thực nhận dạng user và gán user vào security group sau đó áp policy theo group 

Hệ thống gồm
  • Cisco ISE 2.3
  • Switch 3560x loaded firmware support Cisco Trustsec SGACL
  • Clients window 7
Cụ thể:
Có 2 user thuộc 2 group VNE-staff và VNE-guest
Sau khi xác thực bằng 802.1X, 2 users đc gán Vlan 10 và vào 2 security group VNE-staff, VNE-guest
 
Áp policy 
VNE-staff to VNE-guest (cho phép Ping & Remote)
VNE-guest to VNE-staff (chỉ được Ping)
 

Cấu hình:

-          Trên Cisco ISE: cấu hình 802.1x với 3560X, tạo các Policy cho group Guest và Staff

 

 

 

 

 

 

 

 

 

 

 

 

Trên Switch Cisco 3560X: cấu hình xác thực 802.1x với Cisco ISE và nhận các policy từ ISE.

 

aaa new-model

 

aaa group server radius AAASERVER

 server name CISCOISE

 

aaa authentication login default local

aaa authentication dot1x default group radius

aaa authorization network default group AAASERVER

aaa authorization network SGLIST group radius

aaa authorization auth-proxy default group AAASERVER

aaa accounting dot1x default start-stop group AAASERVER

 

aaa server radius policy-device

 

aaa server radius dynamic-author

 client 192.168.20.251 server-key Admin123

dot1x system-auth-control

interface GigabitEthernet0/3

 switchport mode access

 authentication port-control auto

 dot1x pae authenticator

 

interface GigabitEthernet0/4

 switchport mode access

 authentication port-control auto

 dot1x pae authenticator

 

interface GigabitEthernet0/5

 switchport mode access

 authentication port-control auto

 dot1x pae authenticator

 

radius-server attribute 6 on-for-login-auth

radius-server attribute 6 support-multiple

radius-server attribute 8 include-in-access-req

radius-server attribute 25 access-request include

 

radius server CISCOISE

 address ipv4 192.168.20.251 auth-port 1812 acct-port 1813

 pac key Admin123

 

Kết quả:

Trên switch kiểm tra các rule nhận được từ ISE:

Switch#show cts role-based permissions

IPv4 Role-based permissions default:

        Permit IP-00

IPv4 Role-based permissions from group 17:VNE_guest to group 16:VNE_staff:

        Deny_guest_remote_staff-10

IPv4 Role-based permissions from group 16:VNE_staff to group 17:VNE_guest:

        Allow_staff_remote_guest-40

RBACL Monitor All for Dynamic Policies : FALSE

RBACL Monitor All for Configured Policies : FALSE

 

Guest chỉ có thể ping sang Staff, còn Staff thì có full quyền có thể remote sang Guest mặc dù cả 2 đang trong cùng lớp mạng Vlan 10.

User Guest: ping thông, remote không được.

User Staff: ping thông, remote thông.


Liên hệThỏa thuận sử dụng | Chính sách bảo mật