3750x系列交换机配置示例.pdfVIP

与802.1x MACsec的TrustSec Cloud在Catalyst 3750X系列交换机配置示例 文档ID116498 已更新：十月09， 2013 贡献用米哈拉Garcarz， Cisco TAC工程师。     下载 pdf文档     打印   反馈 相关文档 与802.1xMACsec的TrustSec Cloud在Catalyst3750X配置示例 验证、授权和记帐 (AAA) 与 TrustSecSGT轴向标记和SGT意识基于区域的防火墙配置示例的 IKEv2 802.1X 更多… 相关产品 远程用户拨入认证系统(RADIUS) 目录 简介 先决条件 要求 使用的组件 配置 网络图 配置种子和非种子交换机 配置ISE 设置为3750X-5的PAC 设置为3750X-6和NDAC验证的PAC 在802.1x角色的详细信息选择 SGA策略下载 SAP协商 环境和策略刷新 客户端的波尔特验证 与SGT的流量标记 与SGACL的策略执行 验证 故障排除 相关信息 相关的思科支持社区讨论 简介 此条款描述要求的步骤为了配置与链路加密的一思科TrustSec (CTS)网云在两台Catalyst 3750X系 列交换机(3750X)之间。 此条款说明使用安全关联协议的交换机对交换机媒体访问控制安全(MACsec)加密进程(SAP)。此进 程使用IEEE 802.1x模式而不是手动模式。 这是包括的步骤的列表： 种子和非种子设备的受保护的访问证件(PAC)供应 网络设备准入控制(NDAC)验证和MACsec协商与SAP密钥管理的 环境和策略刷新 客户端的波尔特验证 与安全组标记(SGT)的流量标记 与安全组ACL (SGACL)的策略执行 先决条件 要求 Cisco 建议您了解以下主题： CTS组件基础知识 Catalyst交换机的CLI配置基础知识 与身份服务引擎(ISE)配置的体验 使用的组件 本文档中的信息基于以下软件和硬件版本： Microsoft (MS) Windows 7和微软视窗XP 3750X软件，版本15.0和以上 ISE软件，版本1.1.4和以上 本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原 始（默认）配置。如果您使用的是真实网络，请确保您已经了解所有命令的潜在影响。 配置 网络图 在此网络拓扑图中， 3750X-5交换机是认识ISE的IP地址的种子设备，并且使用随后的验证在 CTS网云的自动地下载PAC。种子设备作为非种子设备的一802.1x验证器。思科Catalyst 3750X- 6系列交换机(3750X-6)是非种子设备。它作为802.1x请求方到种子设备。在非种子设备验证对 ISE通过种子设备后，它是对CTS网云的允许的访问。在成功认证以后，在3750X-5交换机的 802.1x端口状态更改对已验证 ，并且MACsec加密协商。交换机之间的流量用SGT然后标记并且加 密。 此列表汇总预计通信流： 种子3750X-5连接对ISE并且下载PAC，用于环境和策略刷新以后的。 非种子3750X-6执行802.1x验证以请求方角色为了验证/授权并且下载从ISE的PAC。 3750X-6通过安全协议(EAP-FAST)会话执行秒钟802.1x扩展验证灵活协议验证为了用根据 PAC的已保护通道验证。 3750X-5下载SGA策略本身的和代表3750X-6。 SAP会话发生在3750X-5和3750X-6之间， MACsec密码器协商，并且策略交换。 交换机之间的流量标记为和已加密。 配置种子和非种子交换机 种子设备(3750X-5)配置为了使用ISE作为RADIUS服务器CTS ： aaa new-model aaa authentication dot1x default group radius aaa authorization network default group radius aaa authorization network ise group radius aaa accounting dot1x default start-stop group radius cts authorization list ise radius-server host