- A+
思科交换机AAA配置
Nexus交换机带外AAA配置

Nexus交换机带内AAA配置

Catalyst交换机带外AAA配置

Catalyst交换机带内AAA配置

ISE 关于思科交换机的配置
新建Network Device
Administrator ->Network Device -> Add -> 填入设备名,Ip地址,Tacacs secret等信息,Network Device Group根据实际情况选择填写
新建TACACS Command Sets
Work Centers -> Device Administration -> Policy Elements -> Result -> TACACS Command Sets -> Add

新建一条Command Set名为Permit_ALL_Command允许所有命令 为Admin权限用户使用
勾选Permit any command that is not listed below

新建一条Command Set 名为Show_Command,只放行show 和 ping命令 为Guest用户使用

新建TACACS Profile
Work Centers -> Device Administration -> Policy Elements -> Result -> TACACS Profiles -> Add

新建Library Condition
Work Centers -> Device Administration -> Policy Elements -> Conditions -> Library Conditions -> Add
用于在认证时进行匹配,当是Cisco Switch的设备时,匹配这条认证条件

新建Device Admin Policy Sets
Work Centers -> Device Administration -> Device Admin Policy Sets

F5 AAA配置
F5 Web界面配置
System ->User -> Authentication

按照下图定义Radius服务器的地址以及secret

定义两个用户:管理员账号(所有权限),guest(只读),Attribute String参数如下图定义,注意F5上的字段是F5-LTM-User-Role-Universal,ISE上的字段是F5-LTM-User-Role

F5 命令行界面配置
若F5设备使用管理口作为认证源,需要在F5命令行下添加F5管理地址到ISE服务器的明细管理路由,添加管理路由命令如下:
create sys management-route ise network 10.22.25.250/32 gateway 10.22.8.254 //添加F5到ISE的明细管理路由
查看添加的明细路由:

保存配置:save sys config
F5 集群配置同步
如果F5之间做了集群,并且是手动同步的,做完配置后会显示change pending

在F5上通过list cm device-group命令查看集群的成员

在主的F5上使用run cm config-sync to-group failover-group
命令可以手动同步主备配置 ,便可以看到配置已经同步,change pending消失。
ISE 关于F5的配置
新建Radius Vendors
非思科厂商的设备在与ISE对接时,需要在Radius Vendors里新建属于自己的字典属性
Policy —> Policy Elements——> Dictionaries——> System ——> Radius——> Radius Vendors —>Add


Vendor ID填写为3375

然后点击Dictionary Attributes -> Add

Attribute Name填写为F5-LTM-User-Role,Data Type为INT,点击save保存名字为F5

新建Network Device
新建Network Device Profile
新建Library Condition
上述三个步骤操作如上
新建Authorization Profile
Policy -> Policy Elements -> Results -> Authorization -> Authorization Profiles -> Add

创建两个authorization profile,一个名为F5-admin,给用户名为管理员权限的用户使用,Advanced Attributes Setting是FT-LTM-User-Role=0,Network Device Profile选择前面创建的F5_device_profile

另一个名为F5-guest,给用户名为guest的用户使用,Advanced Attributes Setting是FT-LTM-User-Role=700,Network Device Profile选择前面创建的F5_device_profile

Paloalto AAA配置
Paloalto Web界面配置
Device -> Server Profiles -> Radius -> Add

输入Radius服务器ip地址以及secret,选择认证协议chap

Device -> Authentication Profile -> Add

选择Type为Radius,Server Profile为刚才在Radius里创建的名字为ISE的profile

Advanced -> Add,添加Allow list为ALL

Device -> Admin Roles -> Add

之后创建不同权限级别的用户
Device ->Setup -> Authentication Settings,
Authentication Settings选择为之前创建的名为Radius的authentication profile

最后点击commit,保存配置并生效。
WLC AAA配置
WLC Web界面设置
依次在Tacacs+的authentication、accounting、authorization配置AAA服务器地址以及secret



Security -> Priority Order -> Management User
将TACACS+移到右侧,并放在最上面,表示优先使用AAA服务器进行认证,当服务器失效时,才用本地账号认证,点击Apply,提交

最后点击save configuration,保存配置
ISE 关于WLC的配置
新建TACACS Profile
Work Centers -> Device Administration -> Policy Elements -> Result -> TACACS Profiles -> Add
对于管理员权限用户和guest用户分别新建两个TACACS Profile
管理员权限用户 拥有Readwrite权限,guest只拥有read权限


新建Library Condition
Work Centers -> Device Administration -> Policy Elements -> Conditions -> Library Conditions -> Add
用于在认证时进行匹配,当是Cisco WLC的设备时,匹配这条认证条件
选择DEVICE:Device Type 等于之前建立的WLC-Group,点击Save,保存名字为WLC

Riverbed AAA配置
Riverbed Web界面设置
ADMINISTRATION -> SECURITY -> RADIUS

点击Add a Radius Sever,填写radius服务器ip地址和secert,认证协议选择chap,点击add

ADMINISTRATION -> SECURITY -> General Settings
认证方法选择radius;local,勾选for Radius/Tacacs+,fallback only when servers are unavailable(优先选择ise认证,当ise失去联系时,使用本地认证),授权策略选择Remote first,点击apply

ADMINISTRATION -> SECURITY -> User Permissions
定义两种权限用户:管理员级别用户(所有权限),guest(只读),以只读级别用户为例做演示:
点击add a New Account,输入用户名和密码,勾选Enable Account,勾选make this the AAA Default User(for RADIUS/TACACS+ logins)
在Roles and Permissions,勾选RBM User,在read-only选择select all点击add

点击save to Disk保存配置
- 我的微信
- 欢迎大家,与我交流,非诚勿扰谢谢
-
- 奕知伴解 微信公众号
- 扫一扫关注,从此不迷路。
-