多种设备与ISE相关联认证

  • A+
所属分类:安全 网络

思科交换机AAA配置

Nexus交换机带外AAA配置
多种设备与ISE相关联认证
Nexus交换机带内AAA配置
多种设备与ISE相关联认证
Catalyst交换机带外AAA配置
多种设备与ISE相关联认证

Catalyst交换机带内AAA配置
多种设备与ISE相关联认证
ISE 关于思科交换机的配置
新建Network Device

Administrator ->Network Device -> Add -> 填入设备名,Ip地址,Tacacs secret等信息,Network Device Group根据实际情况选择填写

新建TACACS Command Sets

Work Centers -> Device Administration -> Policy Elements -> Result -> TACACS Command Sets -> Add

多种设备与ISE相关联认证

新建一条Command Set名为Permit_ALL_Command允许所有命令 为Admin权限用户使用

勾选Permit any command that is not listed below

多种设备与ISE相关联认证

新建一条Command Set 名为Show_Command,只放行show 和 ping命令 为Guest用户使用

多种设备与ISE相关联认证
新建TACACS Profile

Work Centers -> Device Administration -> Policy Elements -> Result -> TACACS Profiles -> Add

多种设备与ISE相关联认证
新建Library Condition

Work Centers -> Device Administration -> Policy Elements -> Conditions -> Library Conditions -> Add

用于在认证时进行匹配,当是Cisco Switch的设备时,匹配这条认证条件

多种设备与ISE相关联认证
新建Device Admin Policy Sets

Work Centers -> Device Administration -> Device Admin Policy Sets

多种设备与ISE相关联认证

F5 AAA配置

F5 Web界面配置

System ->User -> Authentication

多种设备与ISE相关联认证

按照下图定义Radius服务器的地址以及secret

多种设备与ISE相关联认证

定义两个用户:管理员账号(所有权限),guest(只读),Attribute String参数如下图定义,注意F5上的字段是F5-LTM-User-Role-Universal,ISE上的字段是F5-LTM-User-Role

多种设备与ISE相关联认证
F5 命令行界面配置

若F5设备使用管理口作为认证源,需要在F5命令行下添加F5管理地址到ISE服务器的明细管理路由,添加管理路由命令如下:

 create sys management-route ise network 10.22.25.250/32 gateway 10.22.8.254     //添加F5到ISE的明细管理路由 

查看添加的明细路由:

多种设备与ISE相关联认证

保存配置:save sys config

F5 集群配置同步

如果F5之间做了集群,并且是手动同步的,做完配置后会显示change pending

多种设备与ISE相关联认证

在F5上通过list cm device-group命令查看集群的成员

多种设备与ISE相关联认证

在主的F5上使用run cm config-sync to-group failover-group命令可以手动同步主备配置 ,便可以看到配置已经同步,change pending消失。

ISE 关于F5的配置
新建Radius Vendors

非思科厂商的设备在与ISE对接时,需要在Radius Vendors里新建属于自己的字典属性

Policy —> Policy Elements——> Dictionaries——> System ——> Radius——> Radius Vendors —>Add

多种设备与ISE相关联认证
多种设备与ISE相关联认证

Vendor ID填写为3375

多种设备与ISE相关联认证

然后点击Dictionary Attributes -> Add

多种设备与ISE相关联认证

Attribute Name填写为F5-LTM-User-Role,Data Type为INT,点击save保存名字为F5

多种设备与ISE相关联认证
新建Network Device
新建Network Device Profile
新建Library Condition

上述三个步骤操作如上

新建Authorization Profile

Policy -> Policy Elements -> Results -> Authorization -> Authorization Profiles -> Add

多种设备与ISE相关联认证

创建两个authorization profile,一个名为F5-admin,给用户名为管理员权限的用户使用,Advanced Attributes Setting是FT-LTM-User-Role=0,Network Device Profile选择前面创建的F5_device_profile

多种设备与ISE相关联认证

另一个名为F5-guest,给用户名为guest的用户使用,Advanced Attributes Setting是FT-LTM-User-Role=700,Network Device Profile选择前面创建的F5_device_profile

多种设备与ISE相关联认证

Paloalto AAA配置

Paloalto Web界面配置

Device -> Server Profiles -> Radius -> Add

多种设备与ISE相关联认证

输入Radius服务器ip地址以及secret,选择认证协议chap

多种设备与ISE相关联认证

Device -> Authentication Profile -> Add

多种设备与ISE相关联认证

选择Type为Radius,Server Profile为刚才在Radius里创建的名字为ISE的profile

多种设备与ISE相关联认证

Advanced -> Add,添加Allow list为ALL

多种设备与ISE相关联认证

Device -> Admin Roles -> Add

多种设备与ISE相关联认证

之后创建不同权限级别的用户

Device ->Setup -> Authentication Settings,

Authentication Settings选择为之前创建的名为Radius的authentication profile

多种设备与ISE相关联认证

最后点击commit,保存配置并生效。

WLC AAA配置

WLC Web界面设置

依次在Tacacs+的authentication、accounting、authorization配置AAA服务器地址以及secret

多种设备与ISE相关联认证
多种设备与ISE相关联认证
多种设备与ISE相关联认证

Security -> Priority Order -> Management User

将TACACS+移到右侧,并放在最上面,表示优先使用AAA服务器进行认证,当服务器失效时,才用本地账号认证,点击Apply,提交

多种设备与ISE相关联认证

最后点击save configuration,保存配置

ISE 关于WLC的配置
新建TACACS Profile

Work Centers -> Device Administration -> Policy Elements -> Result -> TACACS Profiles -> Add

对于管理员权限用户和guest用户分别新建两个TACACS Profile

管理员权限用户 拥有Readwrite权限,guest只拥有read权限

多种设备与ISE相关联认证
多种设备与ISE相关联认证
新建Library Condition

Work Centers -> Device Administration -> Policy Elements -> Conditions -> Library Conditions -> Add

用于在认证时进行匹配,当是Cisco WLC的设备时,匹配这条认证条件

选择DEVICE:Device Type 等于之前建立的WLC-Group,点击Save,保存名字为WLC

多种设备与ISE相关联认证

Riverbed AAA配置

Riverbed Web界面设置

ADMINISTRATION -> SECURITY -> RADIUS

多种设备与ISE相关联认证

点击Add a Radius Sever,填写radius服务器ip地址和secert,认证协议选择chap,点击add

多种设备与ISE相关联认证

ADMINISTRATION -> SECURITY -> General Settings

认证方法选择radius;local,勾选for Radius/Tacacs+,fallback only when servers are unavailable(优先选择ise认证,当ise失去联系时,使用本地认证),授权策略选择Remote first,点击apply

多种设备与ISE相关联认证

ADMINISTRATION -> SECURITY -> User Permissions

定义两种权限用户:管理员级别用户(所有权限),guest(只读),以只读级别用户为例做演示:

点击add a New Account,输入用户名和密码,勾选Enable Account,勾选make this the AAA Default User(for RADIUS/TACACS+ logins)

在Roles and Permissions,勾选RBM User,在read-only选择select all点击add

多种设备与ISE相关联认证

点击save to Disk保存配置


  • 我的微信
  • 欢迎大家,与我交流,非诚勿扰谢谢
  • weinxin
  • 奕知伴解 微信公众号
  • 扫一扫关注,从此不迷路。
  • weinxin
刘銮奕

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: