- A+
思科交换机AAA配置
Nexus交换机带外AAA配置
Nexus交换机带内AAA配置
Catalyst交换机带外AAA配置
Catalyst交换机带内AAA配置
ISE 关于思科交换机的配置
新建Network Device
Administrator ->Network Device -> Add -> 填入设备名,Ip地址,Tacacs secret等信息,Network Device Group根据实际情况选择填写
新建TACACS Command Sets
Work Centers -> Device Administration -> Policy Elements -> Result -> TACACS Command Sets -> Add
新建一条Command Set名为Permit_ALL_Command允许所有命令 为Admin权限用户使用
勾选Permit any command that is not listed below
新建一条Command Set 名为Show_Command,只放行show 和 ping命令 为Guest用户使用
新建TACACS Profile
Work Centers -> Device Administration -> Policy Elements -> Result -> TACACS Profiles -> Add
新建Library Condition
Work Centers -> Device Administration -> Policy Elements -> Conditions -> Library Conditions -> Add
用于在认证时进行匹配,当是Cisco Switch的设备时,匹配这条认证条件
新建Device Admin Policy Sets
Work Centers -> Device Administration -> Device Admin Policy Sets
F5 AAA配置
F5 Web界面配置
System ->User -> Authentication
按照下图定义Radius服务器的地址以及secret
定义两个用户:管理员账号(所有权限),guest(只读),Attribute String参数如下图定义,注意F5上的字段是F5-LTM-User-Role-Universal,ISE上的字段是F5-LTM-User-Role
F5 命令行界面配置
若F5设备使用管理口作为认证源,需要在F5命令行下添加F5管理地址到ISE服务器的明细管理路由,添加管理路由命令如下:
create sys management-route ise network 10.22.25.250/32 gateway 10.22.8.254 //添加F5到ISE的明细管理路由
查看添加的明细路由:
保存配置:save sys config
F5 集群配置同步
如果F5之间做了集群,并且是手动同步的,做完配置后会显示change pending
在F5上通过list cm device-group命令查看集群的成员
在主的F5上使用run cm config-sync to-group failover-group命令可以手动同步主备配置 ,便可以看到配置已经同步,change pending消失。
ISE 关于F5的配置
新建Radius Vendors
非思科厂商的设备在与ISE对接时,需要在Radius Vendors里新建属于自己的字典属性
Policy —> Policy Elements——> Dictionaries——> System ——> Radius——> Radius Vendors —>Add
Vendor ID填写为3375
然后点击Dictionary Attributes -> Add
Attribute Name填写为F5-LTM-User-Role,Data Type为INT,点击save保存名字为F5
新建Network Device
新建Network Device Profile
新建Library Condition
上述三个步骤操作如上
新建Authorization Profile
Policy -> Policy Elements -> Results -> Authorization -> Authorization Profiles -> Add
创建两个authorization profile,一个名为F5-admin,给用户名为管理员权限的用户使用,Advanced Attributes Setting是FT-LTM-User-Role=0,Network Device Profile选择前面创建的F5_device_profile
另一个名为F5-guest,给用户名为guest的用户使用,Advanced Attributes Setting是FT-LTM-User-Role=700,Network Device Profile选择前面创建的F5_device_profile
Paloalto AAA配置
Paloalto Web界面配置
Device -> Server Profiles -> Radius -> Add
输入Radius服务器ip地址以及secret,选择认证协议chap
Device -> Authentication Profile -> Add
选择Type为Radius,Server Profile为刚才在Radius里创建的名字为ISE的profile
Advanced -> Add,添加Allow list为ALL
Device -> Admin Roles -> Add
之后创建不同权限级别的用户
Device ->Setup -> Authentication Settings,
Authentication Settings选择为之前创建的名为Radius的authentication profile
最后点击commit,保存配置并生效。
WLC AAA配置
WLC Web界面设置
依次在Tacacs+的authentication、accounting、authorization配置AAA服务器地址以及secret
Security -> Priority Order -> Management User
将TACACS+移到右侧,并放在最上面,表示优先使用AAA服务器进行认证,当服务器失效时,才用本地账号认证,点击Apply,提交
最后点击save configuration,保存配置
ISE 关于WLC的配置
新建TACACS Profile
Work Centers -> Device Administration -> Policy Elements -> Result -> TACACS Profiles -> Add
对于管理员权限用户和guest用户分别新建两个TACACS Profile
管理员权限用户 拥有Readwrite权限,guest只拥有read权限
新建Library Condition
Work Centers -> Device Administration -> Policy Elements -> Conditions -> Library Conditions -> Add
用于在认证时进行匹配,当是Cisco WLC的设备时,匹配这条认证条件
选择DEVICE:Device Type 等于之前建立的WLC-Group,点击Save,保存名字为WLC
Riverbed AAA配置
Riverbed Web界面设置
ADMINISTRATION -> SECURITY -> RADIUS
点击Add a Radius Sever,填写radius服务器ip地址和secert,认证协议选择chap,点击add
ADMINISTRATION -> SECURITY -> General Settings
认证方法选择radius;local,勾选for Radius/Tacacs+,fallback only when servers are unavailable(优先选择ise认证,当ise失去联系时,使用本地认证),授权策略选择Remote first,点击apply
ADMINISTRATION -> SECURITY -> User Permissions
定义两种权限用户:管理员级别用户(所有权限),guest(只读),以只读级别用户为例做演示:
点击add a New Account,输入用户名和密码,勾选Enable Account,勾选make this the AAA Default User(for RADIUS/TACACS+ logins)
在Roles and Permissions,勾选RBM User,在read-only选择select all点击add
点击save to Disk保存配置
- 我的微信
- 欢迎大家,与我交流,非诚勿扰谢谢
-
- 奕知伴解 微信公众号
- 扫一扫关注,从此不迷路。
-
