802.1X 有线/无线 Guest service（802.1x认证失败）

802.1X 有线/无线 Guest service（802.1x认证失败）

802.1X本身并不算太难，确切的说命令的繁琐，实验环境难以搭建（虚拟机+物理交换机）。是让人比较难入门的门槛。我也没有物理交换机，但毕竟配置只要贴在blog里面就行了。ISE和802.1x的概念还是可以操作复习下的。

一 交换机的推荐配置文档可以参考,是个美国思科的SE写的：documentnew-model

aaa authenticatoin dot1x default group ISE aaa authorization network default group ISEaaa accouting dot1x start-stop group ISE

（命令格式与tacacs+非常相似，记住default是对所有支持802.1x的接口开启认证，其实就是access口,思科又来缺心眼，authorization来个network是什么鬼？）

aaa group server radius ISEserver-private 192.168.133.11 key cisco123

aaa server radius dynamic-authorclient 192.138.133.11 key cisco123

ip radius source-interface loopback 0

dot1x system-auth-control

device-tracking tracking 3750/3850似乎有点不同radius-server vsa send authenticationradius-server vsa send accounting

radius-server attribute 6 on-for-login-auth // sends Service-Type attribute in access requestradius-server attribute 8 include-in-access-req // send Framed-IP-address attribute radius-server attribute 25 access-request include // send Class attribute in access request

ip access-list extended ACL-DEFAULTremark DHCPpermit udp any eq bootpc any eq bootpsremark DNSpermit udp any any eq domainremark PINGpermit icmp any anyremark TFTPpermit udp any any eq tftpremark Drop ALLdeny ip any any log

ip access-list extended Web-Redirectdeny udp any any eq domaindeny udp eq bootpc any eq bootpsdeny tcp any any eq 8905deny udp any any eq 8905deny tcp any any eq 8909deny udp any any eq 8909deny tcp any any eq 8443permit ip any any

ip serverip secure-server

查了下文档，教主的课件有个端口8906其实已经不需要了。8905: Used for posture communication between NAC Agent and ISE UDP/TCP 8909: Used for client provisioning.TCP 8443: Used for guest and posture discovery.

access portint gi 1/0/22switchport mode accessswitchport access vlan 10spanning-tree portfastdevice-tracking //3850/3650平台需要在接口下有这条命令，以前肯定没有ip access-group ACL-DEFAULT in //默认放行的ACL，和authentication open一起使用authentication open //认证不通都能打开物理接口，但是无授权流量由默认ACL控制authentication event fail action next-methodauthentication event server dead action authorize vlan 999authentication event server alive action reinitializeauthentication host-mode multi-authauthentication order dot1x mabauthenticatino priority dot1x mabauthentication port-control autoauthentication violation restrictmabdot1x pae authenticator

二 MAB和802.1x概念抄几段话：

MAB is the authentication deployed when endpoint doesn't support 802.1x MAB uses PAP/ASCII or optionally EAP-MD5 to has the password. But the radius is clear text and username is the MAC address

记住在ISE中，所有的endpoint不管你是否得到授权，MAC地址都是可以被ISE记录下来的。以后会有profiling将这些终端进行分组，我们就可以根据这个组来进行授权了。

三 802.1x

先说几种认证方式，EAP-MD5（不详细讲了，生产环境不部署，考试也不考），PEAP（MS-CHAPv2），EAP-TLS，EAP-FAST

首先说下EAP，extensible authentication protocol，国外有个印度无线大神，他的blog写的非常的好。我直接借用他的图片。

配置演示

EAP-TLS,这种认证方式要求ISE和客户端都有CA的根证书，本质上就是使用证书的双向认证。注意，EAP-TLS也是支持机器认证的。

ISE段policy sets里面的东西几乎大同小异，唯一不同的是identity source。因为是使用证书认证，那就得创建一个certificate profile。

三 无线dot1x

无线没啥项目经验，只是做过些实验。摸着石头过河吧。

至于AP如何找到并和WLC建立capwap tunnel，这是无线的内容。一般我们用option 43。

创建一个dynamic interface，在flexconnect其实未必需要

由于没有AP，没办法截图。主要就是AP 模式切换成flexconnect，在flexconnect里面配置vlan mapping，AP地址需要使用native vlan。（这些配完之后，使用PSK实际上就可以通信了）

接下来配置radius服务器

记得需要enable CoA

两条ACL，一个permit all 一个basic traffic，放行DHCP，DNS，CAPWAP和ICMP流量

需要调用这条basic-traffic ACL到某一个特定的AP，老样子，没办法截图。

接下来ISE端的配置。。

记得在查看授权结果的时候应该去WLC查看client

四 Web authentication for guest

web authentication 就是专门为guest 服务而设置的。当一个endpoint连接到我们网络的时候，因为他既不支持dot1x，MAC地址也不在ISE的数据库中，当MAB 超时之后，我们配置的ISE策略会让他自动掉落到最后一条策略。所以我们在看到ISE预配的MAB策略中，有个continue

web authentication其实在ISE端是个二次认证的过程。第一次，客户会在一个默认的VLAN环境下，得到一个网页进行认证，同时得到一条Web Redirect ACL（在交换机内配置）以及一条DACL。记住web authentication是种三层认证方式。

另外，这个youtube vod这条DACL。这条DACL是和web redirect一起作为结果推送给NAS的。permit udp any any eq domainpermit icmp any anypermit tcp any host 192.168.133.11 eq 8905permit udp any host 192.168.133.11 eq 8905permit tcp any host 192.168.133.11 eq 8909permit udp any host 192.168.133.11 eq 8909permit tcp any host 192.168.133.11 eq 8443permit tcp any any eq 80permit tcp any any eq 443

ip access-list extended Web-Redirectdeny udp any any eq domaindeny udp eq bootpc any eq bootpsdeny tcp any any eq 8905deny udp any any eq 8905deny tcp any any eq 8909deny udp any any eq 8909deny tcp any any eq 8443permit ip any any

所有在posture被permit的和redirect ACL中被redirect的，尤其是DNS，需要注意。我们可以看到在推送授权结果的时候，还有一个self-registered-portal

以此类推，我们也需要在WLC配置一条类似的flexconnect ACL（注意：我这里是central web authentication，central 的意义在于是由ISE推送认证页面，至于identity source仍然是可以在WLC或者交换机本地的，当然实际上没人会这么做）。

这个portal是在Guest Access里面配置的。

点进去配置

ALL_ACCOUNTS: 能够管理所有的guest 账户GroupAccounts: 能够管理由这个组的用户所创建的Guest 账户OwnAccounts：只能够管理有这个用户创建的guest 账户

两个授权结果，一个有线一个无线

WLC端的认证方式需要修改。需要注意的是WLC，dot1x MAB 和web authentication是相互矛盾的。网页认证属于三层认证方式，所以拿到了ip地址之后一般授权结果也只有ACL

802.1X MAB 网页认证访客就暂时讲到这里。。。好多东西，还是把证书拆出来讲。

版权声明：本文内容由网络用户投稿，版权归原作者所有，本站不拥有其著作权，亦不承担相应法律责任。如果您发现本站中有涉嫌抄袭或描述失实的内容，请联系我们jiasou666@gmail.com 处理，核实后本网站将在24小时内删除侵权内容。