Catalyst3850系列交换机会话意识网络用在ISE配.PDFVIP

Catalyst 3850系列交换机会话意识网络用在ISE配 置示例的一个服务模板 目录 简介 先决条件 要求 使用的组件 背景信息 配置 网络图 本地定义的服务模板 在ISE定义的服务模板 ISE配置 Catalyst 3850系列交换机配置 验证 本地定义的服务模板 在ISE定义的服务模板 故障排除 本地定义的服务模板 在ISE定义的服务模板 相关信息 简介 本文描述如何配置在一Cisco Catalyst 3850系列交换机的身份服务有会话意识网络框架的。这是允 许更加了不起的灵活性和功能的一种新的方法配置身份服务(802.1x、MAC验证旁路(MAB)， Webauth)。它与可以存储本地或在思科身份服务引擎的服务模板一起使用思科常见分类策略语言 (C3PL) (ISE)服务器。 先决条件 要求 Cisco 建议您了解以下主题： Catalyst 3850系列交换机， Cisco IOS CLI 思科ISE 身份服务(802.1x/MAB/WebAuth) 使用的组件 本文档中的信息基于以下软件和硬件版本： Catalyst 3850系列交换机， Cisco IOS版本03.03.00SE或以上 Cisco ISE版本1.2或以上 Note:参考IBNS 2.0部署指南为了查看支持矩阵。 本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原 始（默认）配置。如果您使用的是真实网络，请确保您已经了解所有命令的潜在影响。 背景信息 服务模板包含可以附加对用户会话通过在控制政策的一特定操作的一套策略属性。两示例在本文被 提交： MAB和用于故障情景的一个本地定义的服务模板。 MAB和用于故障情景的一个ISE定义的服务模板。 MAB在本文使用，示例。然而，使用802.1x和Webauth和用C3PL建立复杂策略是可能的。 配置 Note:使用命令查找工具 （仅限注册用户 ）可获取有关本部分所使用命令的详细信息。 网络图 被提交的两示例此处介入连接到交换机执行MAB的一个Windows PC。Windows MAC地址在ISE没 有配置，是MAB为什么发生故障。然后，交换机运用在服务模板定义的策略。 本地定义的服务模板 在MAB失败以后，交换机运用本地定义的服务模板。 这是流： 1. Windows发送以太网帧。 2. 交换机执行MAB，并且发送往ISE的RADIUS请求与MAC地址作为用户名。 3. ISE没有配置的该终端，并且返回RADIUS拒绝。 4. 交换机激活本地定义的模板策略MAB_FAIL。 欲知更多完整信息，参考基于身份的网络服务配置指南， Cisco IOS XE版本3SE (Catalyst 3850交 换机)。 这是基本示例： aaa new-model ! aaa group server radius ISE server name ISE ! aaa authentication dot1x default group ISE aaa authorization network default group ISE aaa accounting identity default start-stop group ISE dot1x system-auth-control service-template MAB_FAIL_LOCAL Local service template access-group MAB_FAIL_LOCAL_ACL class-map type control subscriber match-all MAB-FAIL match result-type method mab authoritative class MAB failure ! policy-map type control subscriber POLICY_MAB event session-started match-all 10 class always do-until-failure 10 authenticate using mab aaa authc-list ISE priority 20 try MAB 20 authenticate using mab aaa authz-list ISE priority 20 event authentication-failure matc