802.1x, MAB для безопасности оконечных устройств

Вебинар от Экспертов Сообщества Cisco
Что попало не воткнёшь: 802.1x и MAB для безопасности

оконечных устройств
Сергей Сажин
Инженер-консультант, тех. поддержка крупных клиентов
03.07.2019
Новости и
Мероприятия
© 2019 Cisco and/or its affiliates. All rights reserved.

Спросить эксперта после Вебинара
c 3 июля
по 12 июля 2019
http://cs.co/802-1x-ate
CCIE Security #37191
Спросить эксперта – до 5 июля
MPLS TE
http://cs.co/mpls-te-ate

Оценивайте контент в Сообществе Cisco
Оценивайте ответы, документы, видео, блоги!
Помогите нам распознать качественный контент в

Сообществе!
Эксперт Сообщества Cisco
Инженер-консультант
Панелист
Евгений Корнейчук
Technical Leader Services
CCIE #43253
Конкурс после Вебинара
«Integrated Security
Technologies and Solutions»
Подписаный
А. Лукацким и М. Кадером
http://cs.co/802-1x-contest
Спасибо за ваше
участие сегодня!
Скачать презентацию:

http://cs.co/802-1x-pdf
Отправляйте Свои Вопросы Прямо Сейчас!
Используйте панель
«Вопросы и ответы» (Q&A),
чтобы задать свои вопросы
На все вопросы будут даны ответы

Что попало не воткнёшь:
802.1x и MAB для безопасности оконечных устройств
Инженер-консультант, тех. поддержка крупных клиентов
03.07.2019
О чем:
Проработка архитектуры Cisco ISE
Как правильно настроить (IBNS 1.0 и 2.0)
“Подводные камни”
Поиск и устранение неисправностей
Cisco ISE в SDA
© 2019 Cisco and/or its affiliates. All rights reserved. Cisco Public
Проработка архитектуры ISE

Почему не рассматриваем внедрение на ACS
• ACS подходит к завершению жизненного цикла (поддержка ПО* заканчивается
31.08.2020)
• Сложно (или невозможно) реализовать дополнительные сервисы:
гостевой доступ, профилирование, проверку соответствия политикам безопасности

(posture validation).
* Last Date of Support: App. SW
Миграция с ACS на ISE
ACS Version End of Life End of Support
5.8 Aug 30, 2019 Aug 31, 2020
5.7 May 2, 2017 May 31, 2019
5.6 Feb 15, 2017 Feb 28, 2019
5.5 Apr 14, 2016 Apr 30, 2019
Документация по переходу с ACS на ISE:

https://www.cisco.com/c/en/us/td/docs/security/ise/2-4/migration_guide/b_aca_ise_migration_ug_24.html
Подробное описание процесса миграции на Cisco Community:

https://community.cisco.com/t5/security-documents/acs-to-ise-migration/ta-p/3644038#toc-hId--1650256181
Что нужно знать при выборе дизайна для
внедрения ISE:
• сколько одновременных устройств Вы планируете подключить?
• количество аутентификаций в секунду?
• планируете ли Вы дополнительные сервисы? (PxGrid/Posture Validation/гостевые
порталы и т.д.)
• требования по отказоустойчивости (например, если PAN/MnT/PSN находятся на
одной ноде, будет сложнее проводить работы, т.к. на одну оставшуюся ноду
будет приходить вся нагрузка);
• количество логов на MnT (может потребовать использование выделенных ISE
MnT ноды);
• какими методами профилировать устройства?
Вопрос:
На какие сервисы для пользователей влияет отказ основного ISE
PAN? (выделенная нода):
1. Невозможна аутентификация пользователей через MS AD.
2. Невозможно подключение ранее отпрофилированных устройств.
3. Невозможно создавать новых гостевых пользователей.
4. Никакие сервисы для пользователей не затрагиваются.
Базовый дизайн ISE

Базовый (2 устройства ISE)
Для небольших внедрений:
Платформа Одновременных
клиентов
SNS-3515 7.5к
SNS-3615 10k
SNS-3595 20k
SNS-3655 25k
SNS-3695 50k
• PAN, MnT, PSN - на одном устройстве На VM производительность такая же, как на

• Дополнительные сервисы (PxGrid/Posture серверах ISE, если выделено достаточное
Validation/гостевые порталы и т.д.) - на том же ISE количество ресурсов и используется
• Удалённые офисы толерантны к потере соответствующий шаблон VM.
связности с PSN в центральной локации
Базовый (2 устройства ISE)
Необходимо помнить, что в базовом дизайне при переключении активности

PAN (Primary -> Secondary) ISE перезапускает все сервисы на обоих нодах.
В процессе перезагрузки RADIUS-запросы также не будут обрабатываться,
что может вызвать недоступность сети.
Рекомендуется добавить хотя бы один дополнительный PSN либо перейти на

гибридно-распределённый вариант внедрения ISE.
Что такое “клиент” в спецификации ISE?
“Клиент” – это конечное устройство (например, пользователь/ПК/телефон),

подключенное по проводному соединению.
В случае с Wi-Fi количество аутентификаций от одного оконечного устройства
возрастает (периодические переподключения, roaming между точками доступа).
≠ ≠
x1 клиент x2 клиентов x5 клиентов
Информация по масштабируемости ISE:

https://cs.co/ise-perf-scale
Необходимо
учитывать количество аутентификаций в секунду
ISE 2.4:
Если Вы хотите использовать дополнительные

сервисы: веб-порталы (Guest, BYOD и т.д.), Posture,
BYOD, MDM, API - смотрите раздел “Scenario-Based
Performance” в документе по масштабируемости ISE:
https://cs.co/ise-perf-scale
Гибридно-распределённый
дизайн ISE

Гибридно-распределённый дизайн
2 PAN/MnT + до 5 PSN
Для средних внедрений:
Платформа для Одновременных
PAN/MnT клиентов
SNS-3515 7.5к
SNS-3615 10k
SNS-3595 20k
SNS-3655 25k
SNS-3695 50k
При переключении активности PAN (Primary ->
• PAN, MnT – на одном устройстве. PSN – на выделенных ISE. Secondary), обслуживание клиентов не
• PSN – в ЦОД или на удалённых площадках. затрагивается*.
• Количество одновременных сессий не отличается от Базового

дизайна.
* Пока недоступен основной PAN во время переключения:
© 2019 Cisco and/or its affiliates. All rights reserved. Cisco Public 1. Н ельзя с оздать новых гостевых пользователей
2. Н ельзя зарегистрировать новые устройства через веб-портал “My Devices”.
Число PSN определяет
количество аутентификаций в секунду
При использовании балансировщика, количество аутентификаций в секунду
возрастает пропорционально количеству нод ISE PSN.
до ~1240
аутентификаций/секунду
(310*4) для 4x SNS-3515
Выделенный-распределённый
дизайн ISE

Выделенный-распределённый дизайн
2 PAN + 2 MnT + до 40/50* PSNs
Для крупных Заказчиков:

Платформа для Одновременных
PAN/MnT клиентов
SNS-3595 500k
(PAN/MnT)
SNS-3695 2M
(PAN/MnT) (ISE 2.6)
• PAN и MnT – на разных устройствах. PSN – на выделенных ISE.

• Необходимы высокопроизводительные устройства для PAN и
MnT. На VM производительность такая же, как и на
• Используется, когда требуется выйти за лимиты для Гибридно- серверах ISE, если выделено достаточное
распределённого-варианта по количеству одновременных количество ресурсов и используется
клиентов. соответствующий шаблон VM.
* 40 PSN с SNS-3495 в качестве PAN/MnT.
Вопрос:
В каком атрибуте RADIUS передаётся информация о MAC-адресе
клиента?
1. Called-Station-ID
2. Framed-IP-Address
3. Эта информация не передаётся
4. Calling-Station-ID
Использовать ли
балансировщик нагрузки?

Преимущества балансировщика нагрузки
Плюсы:
• Унифицированная конфигурация на всех коммутаторах.
• Возможность оперативно перераспределить нагрузку на PSN (для добавления новых или

вывода существующих нод ISE PSN не требуется перенастройка сетевых устройств).
• Возможность равномерного распределения нагрузки.
• Отказоустойчивость для Web-порталов: “My Devices Portal”, “Sponsor Portal”*
* Для порталов, на которые пользователь получает перенаправление (Guest Portal, BYOD Portal и т.д.),
балансировку настраивать не нужно, она выполняется средствами ISE.
Минусы схемы с балансировщиком нагрузки
Минусы:
• Требуется привлечение смежного департамента (настройка, поиск неисправностей)
• Дополнительная точка отказа.
Рекомендации и примеры настроек балансировщиков нагрузки с ISE:

https://community.cisco.com/t5/security-documents/ise-load-balancing/ta-p/3648759
Что необходимо учитывать при использовании
балансировщика?
• Весь RADIUS и трафик профилирования для одного оконечного устройства должен
приходить на один PSN (чтобы один PSN оставался “владельцем” данного оконечного
устройства. Если “владельцы” (PSN) будут изменяться – увеличится трафик репликации
между ISE и загрузка возрастёт).
• “Persistence” (“stickiness”) настраивается на базе атрибутов:
• Calling-Station-ID (RADIUS).
• DHCP Client Identifier (DHCP probe).
• IP источника* (для веб-порталов: “My Devices Portal”, “Sponsor Portal”).
• Балансировщик может быть развёрнут только в пути трафика (режим “Inline”). Режим
“Source NAT” не поддерживается.
Не используйте балансировку без persistence, это приведёт к сменам “владельцев” (PSN)
и росте загрузки PSN.
Почему persistence на базе IP источника
не рекомендуется?
C разных сетевых устройств подключается разное количество пользователей.
Поэтому рекомендуется настраивать “persistence” не на основе IP источника (коммутатор/WLC), а на
основе Calling-Station-ID (MAC-адрес оконечного устройства).
Этапы внедрения 802.1x/MAB

Authentication open
Monitor Mode и Low-Impact Mode настраиваются с помощью команды на интерфейсе:
interface <access_interface>
authentication open
В IBNS 2.0 интерфейс в режиме “Authentication Open” по умолчанию.
Используется для того, чтобы разрешить весь трафик на 802.1x-порту до аутентификации.

После аутентификации:
• если аутентификация успешная, настройки с RADIUS (RADIUS-атрибуты) применяются
на порт;
• если аутентификация неуспешная, то порт остаётся в режиме Open и весь трафик
разрешён.
Упрощает процедуру внедрения 802.1x.

Monitor mode (начало внедрения)
switchport access vlan 100
switchport mode access
switchport voice vlan 10
authentication host-mode multi-auth Monitor
authentication open Mode
authentication port-control auto
mab 802.1x,
До аутентификации После аутентификации dot1x pae authenticator MAB
Независимо от состояния аутентификации, authentication violation restrict
трафик всегда разрешён
Зад ачи Monitor Mode: Настройка Monitor Mode:

• нет влияния на доступ к сети; • включить 802.1X and MAB;
• получение информации: • включить Authentication Open;
• есть ли 802.1x суппликанты, • начать с host-mode Multi-Auth;
корректны ли учётные данные? • на ISE включить политику авторизации по
• типы устройств, подключающихся к умолчанию, возвращающую
“PermitAccess”.
сети, потребуется ли вносить
изменения в политики Если есть ПК с настроенными 802.1x
профилирования на ISE? суппликантами, установить на ISE
доверенный сертификат для EAP
Low Impact-Mode
(подходит для большинства Заказчиков)
Добавляется в
ip access-group PRE-AUTH in Low-Impact
authentication host-mode multi-auth Mode
До аутентификации После аутентификации authentication open
authentication port-control auto Совпадает с
Трафик д о и после аутентификации Monitor Mode
mab
контролируется с помощью ACL dot1x pae authenticator
authentication violation restrict
Зад ачи Low-Impact Mode:
▪ внедрение политик доступа к сети; Н астройка Low-Impact Mode:

▪ минимизировать влияние на доступ к сети; ▪ начать с Monitor Mode;
▪ видимость происходящего, как в Monitor ▪ в Low-Impact Mode добавляются: Pre-Auth ACL,
Mode; DACLs (загружаются с ISE);
▪ нет необходимости изменять IP-адресацию ▪ ограничить количество подключающихся
в сети. устройств (IP Device Tracking/MDA host-mode);
▪ добавить авторизацию телефонов.
(VSA: cisco:av-pair:device-traffic-class=voice)
Всегда ли нужно использовать Pre-Auth ACL
в Low-Impact Mode?
• Рекомендуется всегда использовать Pre-Auth, если есть возможность отключить его, в случае недоступности
ISE (для IBNS 1.0 – только через EEM).
• Если отключение Pre-Auth ACL не поддерживается:

authentication order mab dot1x
authentication priority dot1x mab
настройте назначение DACL с ISE для неизвестного MAС, разрешающий взаимодействия как в Pre-Auth ACL
(совместить с политикой CWA*, если используется доступ для гостевых пользователей).
TCAM sharing работает для “статических” ACL (PACL**) и до 15.2(2)E4.
* CWA – Central Web Authentication

** Port ACL
Closed Mode
(“Security Over Connectivity”) – не рекомендуется для большинства Заказчиков
no authentication open Переход к Closed Mode
authentication event fail action next-method
authentication event no-resp authorize vlan 101
authentication event server dead action
До аутентификации После аутентификации authorize vlan 101
До аутентификации доступ заблокирован, mab
после аутентификации – на основе авторизации
Задачи Closed Mode: ННастройка
астройка Closed Mode:
Closed Mode:
▪ максимальный уровень контроля; ▪ отключить Authentication Open (режим

▪ единственный режим, в котором интерфейса по умолчанию);
рекомендуется авторизация через ▪ настроить авторизацию с
назначение VLAN. использованием VLAN (опционально).
Если коммутатор не 3650-X/3850/Catalyst 9k:
© 2019 Cisco and/or its affiliates. All rights reserved. Cisco Public Всем MAC-адресам в DATA-домене, с ISE
должен назначаться один VLAN.
Как правильно настроить
IBNS 1.0 и 2.0

Каким образом ограничивать доступ?
(SGT/DACL/VLAN)
• SGT – предпочтительный вариант, если новые коммутаторы с поддержкой
TrustSec (нет жёстких ограничений по TCAM):
• если нужна микро-сегментация (в рамках VLAN) – Inline SGT;
• если достаточно на МСЭ – можно ограничиться SXP.
• DACL – рекомендованный вариант, по сравнению с динамическим

назначением VLAN (несмотря на возможные проблемы с загрузкой TCAM).
• Динамическое назначение VLAN – рекомендуется только в “Closed Mode”

(нельзя получить IP-адрес до назначения в целевой VLAN).
Гарантия успешного получения IP по DHCP после смены VLAN только для
802.1x (все основные суппликанты поддерживают RFC 4436).
Как правильно настроить?
IBNS 1.0 и 2.0

Поддержка IBNS 1.0 и 2.0 в Cisco IOS Справочная
информация
Модель коммутатора IBNS 1.0 IBNS 2.0
Catalyst 2960-S, 2960-SF, 2960-C,

12.2SE 15.2(2)E
2960-Plus and 3560-C
Catalyst 2960X/XR 15.2(2)E 15.2(2)E
Catalyst 2960L 15.2(5)E 15.2(5)E
Catalyst 3560-X and 3750-X 12.2SE 15.2(2)E
Catalyst 3650 and 3850 3.6.0E 3.6.0E
Catalyst 4948E, 4948E-F, 4500/4500E
12.2SG 15.2(2)E
Sup6E/Sup6-LE
4500E Sup9E 3.10.0E 3.10.0E
4500E Sup8E/Sup8-LE 3.6.0E 3.6.0E
Catalyst 4500X, 4500E Sup7E/Sup7-LE 3.6.0E 3.6.0E
Catalyst 6500/E Sup720/Sup2T 15.2(1)SY 15.2(1)SY
Catalyst 9200/9300/9400/9500 Все релизы Все релизы
https://www.cisco.com/c/en/us/products/ios-nx-os-software/identity-based-networking-services/index.html
IBNS 1.0 и 2.0 – сравнение подходов
Преимущества IBNS 2.0:
• В Low Impact mode позволяет отказаться от EEM-скрипта* для отключения Pre-Auth ACL.
• Значительно сокращает конфигурацию коммутатора (за счёт использования шаблонов –

“source template”). Уменьшает время применения конфигурации при загрузке устройства,
читаемость вывода “show run”.
• Незаменим, если планируется подключение IPv6-клиентов (IBNS 1.0 поддерживает
только IPv4).
• CWA без SVI и для SVI в VRF работает только в IBNS 2.0.
В конфигурации с DNAC, загружаемой на коммутаторы в архитектуре SDA, используется IBNS 2.0.
* На Catalyst 2k и некоторых других моделях коммутаторов и версий ПО EEM не поддерживается

(см. “скрытый” слайд)
Вопрос:
Что означает команда на коммутаторе: radius-server deadtime 10?
1. RADIUS-сервер считается вышедшим из строя после 10
неуспешных аутентификаций.
2. RADIUS-сервер считается вышедшим из строя в течение 10 секунд,
затем вновь отмечается как “Up”.
3. RADIUS-сервер считается вышедшим из строя в течение 10 минут,
затем вновь отмечается как “Up”.
4. Каждые 10 секунд RADIUS-сервер тестируется на доступность.
Общая конфигурация для
коммутатора
IBNS 1.0 и 2.0

Рекомендованная конфигурация коммутатора
Конфигурация RADIUS-серверов:
conf t
aaa new-model
aaa session-id common
!Настройка RADIUS-серверов
radius server ISE-PSN-1
address ipv4 <Primary_PSN_IP> auth-port 1812 acct-port 1813
key <RADIUS_KEY>
radius server ISE-PSN-2

address ipv4 <Secondary_PSN_IP> auth-port 1812 acct-port 1813
key <RADIUS_KEY>
!Настройка группы RADIUS-серверов
aaa group server radius ISE-RADIUS-GROUP Через сколько минут считать RADIUS-
server name ISE-PSN-1 сервер доступным и отправить запрос
server name ISE-PSN-2 аутентификации*
deadtime 10
ip radius source-interface vlan xx
Если на 3 RADIUS-запроса в течение 5
!В каком случае отметить RADIUS-сервер как вышедший из строя (“DEAD”):
radius-server dead-criteria time 5 tries 3 секунд не получен ответ
!Authentication
aaa authentication dot1x default group ISE-RADIUS-GROUP Разрешить переключение клиента
authentication mac-move permit м ежду интерфейсами коммутатора (по
ум олчанию запрещено)
* Если настроен автоматический тест для RADIUS, сначала будет
отправлен тестовый запрос (см. далее):
© 2019 Cisco and/or its affiliates. All rights reserved. Cisco Public automate-tester username TestAAA-Wired probe-on
Конфигурация RADIUS:
! Настройка авторизации:
aaa authorization network default group ISE-LOCAL
! RADIUS CoA
aaa server radius dynamic-author
client <Primary Local PSN>
client <Secondary Local PSN>
server-key RADIUS_KEY
! Настройка аккаунтинга
aaa accounting dot1x default start-stop group ISE-LOCAL Синтаксис IBNS 1.0
aaa accounting identity default start-stop group ISE-LOCAL Синтаксис IBNS 2.0
aaa accounting update newinfo
radius-server vsa send authentication
radius-server vsa send accounting
! Включение отправки необходимых RADIUS-атрибутов
radius-server attribute 6 on-for-login-auth
radius-server attribute 6 support-multiple
radius-server attribute 8 include-in-access-req
radius-server attribute 25 access-request include
radius-server attribute 31 mac format ietf upper-case
radius-server attribute 31 send nas-port-detail mac-only
Отключить дополнительное журналирование:

conf t
no authentication logging verbose
no dot1x logging verbose
no© 2019 Cisco and/or its affiliates. All rights reserved. Cisco Public
mab logging verbose
IP Device Tracking (IPDT)
IPDT – критически важный функционал (определяет IP-адрес конечного узла и указывает его в ACL/DACL и redirect
ACLs).
Включается автоматически после того, как 802.1x/MAB настраиваются на интерфейсе.
IPDT по умолчанию использует 0.0.0.0, что приводит к проблемам с получением IP-адресов по DHCP в ОС Windows:
https://www.cisco.com/c/en/us/support/docs/ip/address-resolution-protocol-arp/118630-technote-ipdt-00.html
Рекомендации для решения проблемы (“новые” коммутаторы – IOS 15.2(2)E+):

Задержка для отправки ARP
ip device tracking probe delay 10 probe после включения
интерфейса*
Использовать заданный IP
ip device tracking probe auto-source fallback
источника при отправке ARP
198.18.1.1 0.0.0.0 override
probe (см. далее)
* Поддерживается в “старых” версиях ПО (см. “Known Fixed Releases”):

https://bst.cloudapps.cisco.com/bugsearch/bug/CSCtn27420
IP Device Tracking (IPDT)
Коммутатору необходимо
ПК1 ПК2 проверить доступность ПК2
10.0.0.10 (обновить БД IPDT):
10.0.0.1 10.0.0.10
1. В команде ip device
Коммутатор tracking probe auto-source
ARP-запросы
(IP источника в ARP: 10.0.0.1) доступа fallback 0.0.0.1 255.255.255.0
override указана маска
255.255.255.0, значит, сеть,
в которой находится ПК2
ip device tracking probe auto-source fallback 0.0.0.1 Коммутатор (10.0.0.10) – это 10.0.0.0/24.
255.255.255.0 override распределения 2. Т.к. в команде указано:
0.0.0.1 – в качестве IP
источника взять: 10.0.0.1
SVI Коммутатор
ядра VLAN 3. Отправить ARP-запрос
(широковещательно).
Проблема: если в момент ARP-запроса ПК1 пытается

получить IP-адрес 10.0.0.1 по DHCP, он посчитает его уже
занятым и вернётся к IP из диапазона: 169.254.0.0-
169.254.255.255
IP Device Tracking (IPDT) - решение
ПК1 ПК2 Чётко указывайте

(несуществующий в сети) IP-адрес
10.0.0.1 10.0.0.10 источника для ARP probe,
например, 198.18.1.1:
Коммутатор ip device tracking probe auto-source
ARP-запросы ARP-запросы
(IP источника в ARP: 198.18.1.1) (IP источника в ARP: 198.18.1.1) fallback 198.18.1.1 0.0.0.0 override
доступа
IP источника (198.18.1.1) - не
пересечётся с другими ресурсами
ip device tracking probe auto-source fallback Коммутатор
в сети.
198.18.1.1 0.0.0.0 override распределения Хосты будут отвечать на такие
ARP-запросы, несмотря на то, что
IP в ARP не из их сети (RFC это не
SVI Коммутатор регламентирует*).
ядра VLAN
* Механизм ARP probing описан в RFC

https://tools.ietf.org/html/rfc5227
Конфигурация IP Device Tracking:
!Настройка IP Device Tracking для коммутаторов до IOS-XE 16.1:
ip device tracking
ip device tracking probe delay 10 До IOS 15.2(2)E использовать:
ip device tracking probe auto-source fallback 198.18.1.1 0.0.0.0 override ip device tracking probe use-svi
!Настройка IP Device Tracking для коммутаторов начиная с IOS-XE 16.1:

device-tracking tracking
device-tracking tracking auto-source fallback 198.18.1.1 255.255.255.255 override
device-tracking policy DT_Trunk_Policy
trusted-port Отключить Device Tracking в сторону других
device-role switch коммутаторов
!
interface <trunk_interfaces>
device-tracking attach-policy DT_Trunk_Policy Пр именить к trunk-интерфейсам
! (физические или Port-channel)
device-tracking policy DT_Access_Policy
no protocol ndp
no protocol dhcp6 В IOS XE 16.3.7+ устанавливается в
tracking enable reachable-lifetime 300 значение по умолчанию и не может быть
limit address-count 10 изменено (300 секунд).
!
interface <access_interfaces>
device-tracking attach-policy DT_Access_Policy Определить максимальное количество
клиентов на порт после Monitor Mode
Пр именить IPDT к интерфейсам доступа

© 2019 Cisco and/or its affiliates. All rights reserved. Cisco Public (802.1x/MAB)
Конфигурация DHCP Snooping и Device Sensor*:
!Конфигурация DHCP Snooping:

ip dhcp snooping
no ip dhcp snooping information option
ip dhcp snooping vlan <X-Y> Включить DHCP Snooping
ip dhcp snooping trust !На uplink-интерфейсах
!Конфигурация Device Sensor (DHCP):
device-sensor filter-list dhcp list TLV-DHCP
option name host-name
option name default-ip-ttl
option name requested-address Включить сенсор для DHCP
option name parameter-request-list
option name class-identifier
option name client-identifier
device-sensor filter-spec dhcp include list TLV-DHCP
!Конфигурация Device Sensor (CDP):
cdp run
device-sensor filter-list cdp list TLV-CDP
tlv name device-name
tlv name address-type
tlv name version-type
Включить сенсор для CDP
tlv name capabilities-type
tlv name platform-type
device-sensor filter-spec cdp include list TLV-CDP
* Список моделей коммутаторов и версий ПО, поддерживающих Device Sensor:

https://community.cisco.com/t5/security-documents/device-sensor-catalyst-supported-platforms/ta-p/3618782
Конфигурация DHCP Snooping и Device Sensor:
!Конфигурация Device Sensor (LLDP):
lldp run
device-sensor filter-list lldp list TLV-LLDP
Включить сенсор для LLDP
tlv name system-name
tlv name system-description
tlv name system-capabilities
device-sensor filter-spec lldp include list TLV-LLDP Включить сенсор (IBNS 1.0)
!Включение Device Sensor
device-sensor accounting
access-session attributes filter-list list DS_LIST
cdp
lldp Включить сенсор (IBNS 2.0)
dhcp
access-session accounting attributes filter-spec include list DS_LIST
device-sensor notify all-changes
! Отключить Device Classifier,
switch(config)# no macro auto monitor
!Включение 802.1x (профилирование на ISE)
switch(config)# dot1x system-auth-control
!Не проверять записи из Pre-Auth ACL (IOS 15.2E и выше):
switch(config)# access-session acl default passthrough
Отказы RADIUS-серверов

Настройки для корректной обработки отказов RADIUS-сервера:
!В случае, если RADIUS-сервер становится недоступен в процессе EAP-обмена, отправить EAP-Success 802.1x суппликанту:
switch(config)# dot1x critical eapol
!Предотвращает одновременную пере-инициализацию авторизации интерфейсов (каждый новый порт пере-инициализируется не чаще, чем раз в 1
секунду)
switch(config)# authentication critical recovery delay 1000
!Настройка автоматического тестирования RADIUS:
switch(config)# radius server ISE-PSN1
switch(config-radius-server)# automate-tester username TestAAA-Wired probe-on
Ес ли пользователь не с оздан на ISE:

Убедиться, что на ISE в RADIUS Suppression (Administration
- > Settings - > RADIUS) включена отправка RADIUS
Ac cess-Reject (иначе коммутатор будет считать RADIUS-
с ервер вышедшим из строя).
Автоматическое тестирование RADIUS-сервера
aaa group server radius ISE-RADIUS-GROUP
server name ISE-PSN-1
server name ISE-PSN-2
deadtime 10
radius server ISE-PSN1

automate-tester username TestAAA-Wired probe-on
Рекомендуется настроить:
Опция probe-on доступна с
automate-tester username <username> probe-on IOS 15.2(2)E и IOS-XE 3.4E
В таком случае тестирование RADIUS-сервера на доступность происходит только после истечения deadtime
(отключение probe-on не рекомендовано, - это приведёт к необходимости изменить таймер для automate-tester
(по умолчанию 60 минут), что усложнит процесс поддержки, добавив дополнительную сущность).
При получении RADIUS Access-Reject коммутатор считает сервис доступным. В случае, если
используется аутентификация в MS AD, – необходимо проверять через учётную запись из AD
(презентация на Cisco Live: BRKSEC-3699)
Подробная информация по переключению RADIUS-серверов:
https://www.cisco.com/c/en/us/products/collateral/ios-nx-os-software/identity-based-networking-services/whitepaper_C11-731907.html
IBNS 1.0: настройка Monitor
и Low-Impact Mode

Показан минимально необходимый набор команд для корректной работы Monitor Mode
Конфигурация интерфейса доступа в Monitor Mode (IBNS 1.0):

switchport access vlan x
switchport voice vlan y
device-tracking attach-policy DT_Access_Policy
authentication host-mode multi-auth
authentication open
authentication periodic
authentication timer reauthenticate server
authentication timer inactivity server
mab
dot1x pae authenticator
dot1x timeout tx-period 10
spanning-tree portfast
Рекомендованный Pre-Auth ACL
для Low-Impact Mode (IBNS 1.0 и 2.0)
ip access-list extended IPV4_PRE_AUTH_ACL
remark DHCP, DNS, ICMP
permit udp any eq bootpc any eq bootps !DHCP
permit udp any any eq domain !DNS
permit icmp any any !ICMP Ping
remark Allow Traffic for Microsoft
permit ip any <подсеть с контроллерами домена>*
remark PXE / TFTP
permit udp any any eq tftp
remark Drop all the rest
deny ip any any
*permit ip any до подсети с контроллерами домена, т.к. RPC использует широкие диапазоны портов:
https://support.microsoft.com/en-us/help/832017/service-overview-and-network-port-requirements-for-windows
Конфигурация интерфейса доступа в Low-Impact Mode (IBNS 1.0):
switchport access vlan x
switchport voice vlan y
ip access-group IPV4_PRE_AUTH_ACL in
authentication event fail action next-method
authentication event server dead action authorize vlan X
authentication event server alive action reinitialize
authentication event server dead action authorize voice Добавляется в Low-Impact Mode
authentication open
authentication timer reauthenticate server
authentication timer inactivity server
authentication violation restrict Только если требуется поддержка
authentication control-direction in
mab “Wake-on-Lan”
Разбор конфигурации IBNS 2.0

Вопрос:
Как отключается Pre-Auth ACL в IBNS 2.0? (при недоступности RADIUS):

1. Применяется строка “1 permit ip any any” в Pre-Auth ACL.
2. Заменяется на “Critical ACL”, преднастроенный на коммутаторе.
3. EEM удаляет Pre-Auth ACL из конфигурации интерфейса.
4. Все записи в Pre-Auth ACL переводятся в состояние “inactive”
Разбор конфигурации коммутатора для IBNS 2.0
• Не рекомендуется настраивать IBNS 2.0 “с нуля”.
• Для получения конфигурации IBNS 2.0:

1. выполнить рекомендованные настройки для IBNS 1.0;
2. перевести конфигурацию в режим IBNS 2.0;
switch# authentication display new-style
3. при необходимости, применить конфигурацию, или перейти в режим IBNS 1.0:

switch# authentication display legacy
Любая настройка из IBNS 2.0 приводит к необходимости

пр инять новый синтаксис (переход в IBNS 1.0 командой
‘ authentication display legacy’ будет невозможен):
Основная настройка политики - в policy-map type control subscriber:
Указываются события:
policy-map type control subscriber PMAP_DefaultWiredDot1xLowImpactAuth_MAB_1X
event session-started match-all Старт сессии (переход интерфейса в Up или пере-

10 class always do-until-failure инициализация аутентификации)
10 authenticate using mab priority 20
Если Аутентификация завершается неуспешно (в том

event authentication-failure match-first числе недоступность RADIUS)
10 class AAA_SVR_DOWN_UNAUTHD_HOST do-until-failure
10 activate service-template DefaultCriticalAuthVlan_SRV_TEMPLATE
20 activate service-template DefaultCriticalVoice_SRV_TEMPLATE
25 activate service-template DefaultCriticalAccess_SRV_TEMPLATE
30 authorize
40 pause reauthentication
20 class AAA_SVR_DOWN_AUTHD_HOST do-until-failure

20 authorize
event aaa-available match-all Один из RADIUS-серверов становится доступен

10 class IN_CRITICAL_VLAN do-until-failure
10 clear-session
20 class NOT_IN_CRITICAL_VLAN do-until-failure
10 resume reauthentication
event session-started match-all

10 class always do-until-failure
Если RADIUS-сервер недоступен и клиент ранее не был
аутентифицирован
event authentication-failure match-first
10 activate service-template DefaultCriticalAuthVlan_SRV_TEMPLATE 1. Назначить Critical VLAN
25 activate service-template DefaultCriticalAccess_SRV_TEMPLATE 2. Назначить разрешающий ACL
30 authorize (в место Pre-Auth)
40 pause reauthentication 3. А вторизовать
4. Отключить периодическую
10 pause reauthentication аутентификацию
20 authorize
event aaa-available match-all

10 clear-session


30 authorize
Если RADIUS-сервер недоступен и клиент
20 class AAA_SVR_DOWN_AUTHD_HOST do-until-failure р анее не был аутентифицирован:
20 authorize
1. Отключит повторную аутентификацию
2. Авторизовать
10 clear-session


30 authorize

20 authorize Если RADIUS-сервер стал доступен
10 class IN_CRITICAL_VLAN do-until-failure Клиенты, для которых была применена
10 clear-session
Critical авторизация, проходят
10 resume reauthentication аутентификацию заново


30 authorize

20 authorize Если RADIUS-сервер стал доступен
10 clear-session Для клиентов, которые были
20 class NOT_IN_CRITICAL_VLAN do-until-failure аутентифицированы на RADIUS-сервере -
10 resume reauthentication в ключается периодическая аутентификация
class-map type control subscriber match-all AAA_SVR_DOWN_UNAUTHD_HOST В class-map type control subscriber
match authorization-status unauthorized указываются дополнительные критерии для
match result-type aaa-timeout события
service-template DefaultCriticalAuthVlan_SRV_TEMPLATE
vlan X
service-template DefaultCriticalVoice_SRV_TEMPLATE Настройка атрибутов
voice vlan
service-template DefaultCriticalAccess_SRV_TEMPLATE для Critical авторизации
access-group IPV4_CRITICAL_AUTH_ACL

<..> Событие
30 authorize
Коммутатор автоматически определяет, находится ли MAC на интерфейсе в домене DATA или

VOICE (поэтому все service-template указываются внутри одного class).
Настройка template для применения на интерфейс:
template DefaultWiredDot1xLowImpactAuth
switchport access vlan X
switchport voice vlan Y
mab
access-session port-control auto
service-policy type control subscriber PMAP_DefaultWiredDot1xLowImpactAuth_MAB_1X Пр именение policy-map type subscriber
Применение template на интерфейс доступа:

source template DefaultWiredDot1xLowImpactAuth
ip access-group IPV4_PRE_AUTH_ACL in
В IBNS 2.0 интерфейс в режиме “Authentication Open” по умолчанию.
Поиск и устранение
неисправностей

Проверка загрузки TCAM на коммутаторах
На Cat2960S, 3560, 3750 может быть один или два ASIC (0 и 1).
Чтобы проверить, к какому ASIC относится порт (пример на следующем слайде):

show platform pm platform-block
Проверить, как изменяется загрузка TCAM на этом ASIC (пример для ASIC 1):
show platform tcam utilization asic 1
Cat3650/3850:
show platform hardware fed switch active fwd-asic resource tcam utilization
Cat4k (IOS-XE 3.6.4+):
show platform hardware acl statistics utilization brief
Catalyst 2960S – пример проверки загрузки TCAM
show platform tcam utilization asic 1
CAM Utilization for ASIC# 1 Max Used
Masks/Values Masks/values
Unicast mac addresses: 6364/6364 144/144

IPv4 IGMP groups + multicast routes: 1072/1072 3/3
IPv4 unicast directly-connected routes: 6144/6144 24/24 Количество доступного пространства для
IPv4 unicast indirectly-connected routes: 2048/2048 152/152 A CLs
IPv6 Multicast groups: 112/112 11/11
IPv6 unicast directly-connected routes: 74/74 0/0
IPv6 unicast indirectly-connected routes: 32/32 3/3
IPv4 policy based routing aces: 412/412 12/12
IPv4 qos aces: 512/512 6/6
IPv4 security aces: 924/924 42/42 Количество занятого пространства A CLs
IPv6 policy based routing aces: 18/18 8/8
IPv6 qos aces: 22/22 5/5
IPv6 security aces: 60/60 17/17
show platform pm platform-block
interface gid gpn lpn asic hw-i flags sp dp bundle vlan mvid mac so_di i_vlan
-----------------------------------------------------------------------------
Gi1/0/1 1 1 1 1 2 U 3 2 no 0 0 0 7888 0
Gi1/0/2 2 2 2 1 1 U 3 2 no 0 0 0 7889 0
<SNIP>
Gi1/0/24 24 24 24 1 25 D 0 0 no 0 0 0 7911 0 Необходимо проверять загрузку именно на
Gi1/0/25 25 25 25 0 13 D 0 0 no 0 0 0 7912 0 A SIC 1, т.к. на ASIC 0 подключены Uplink-
Gi1/0/26 26 26 26 1 13 D 0 0 no 0 0 0 7913 0
Gi1/0/27 27 27 27 1 27 D 0 0 no 0 0 0 7914 0
интерфейсы
©Gi1/0/28 28 its28
2019 Cisco and/or 28 All 0
affiliates. 27
rights reserved. D Public
Cisco 0 0 no 0 0 0 7915 0
Справочная
IP Device Tracking (IPDT) – пример отладки информация
ip device tracking probe auto-source fallback 198.18.1.1 0.0.0.0 override
debug ip device tracking events Пр оверяется запись для

IP 10.0.0.10 в БД IPDT
*Jan 11 19:32:36.908: sw_host_track-ev:Stopping cache timer -(Gi2/0/3 10.0.0.10 (b496.911a.40d4) VLAN:8 ID:61)
*Jan 11 19:32:36.908: sw_host_track-ev:Send Host probe nr:0 - (Gi2/0/3 10.0.0.10 (b496.911a.40d4) VLAN:8 ID:61)
*Jan 11 19:32:36.908: sw_host_track-ev:Generated fallback src probe 198.18.1.1 for (Gi2/0/3 10.0.0.10 (b496.911a.40d4) VLAN:8 ARP)
*Jan 11 19:32:36.908: sw_host_track-ev:Starting cache timer: 30 seconds - (Gi2/0/3 10.0.0.10 (b496.911a.40d4) VLAN:8 ID:61)
*Jan 11 19:33:07.648: sw_host_track-ev:Send Host probe nr:1 - (Gi2/0/3 10.0.0.10 (b496.911a.40d4) VLAN:8 ID:61) В качестве IP источника
*Jan 11 19:33:07.648: sw_host_track-ev:Generated fallback src probe 198.18.1.1 for (Gi2/0/3 10.0.0.10 (b496.911a.40d4)используется
VLAN:8 ARP) 198.18.1.1
*Jan 11 19:33:37.394: sw_host_track-ev:Send Host probe nr:2 - (Gi2/0/3 10.0.0.10 (b496.911a.40d4) VLAN:8 ID:61)
*Jan 11 19:33:37.394: sw_host_track-ev:Generated fallback src probe 198.18.1.1 for (Gi2/0/3 10.0.0.10 (b496.911a.40d4) VLAN:8 ARP)
*Jan 11 19:34:06.125: sw_host_track-obj_destroy:Host removed from AVL 1 HASH 1 INTF 1 (Gi2/0/3 10.0.0.10 (b496.911a.40d4) VLAN:8 ID:61 ARP)
*Jan 11 19:34:06.125: sw_host_track-notify:host_track_delete_entry - Notify other features: del - (Gi2/0/3 10.0.0.10 (b496.911a.40d4) VLAN:8
ID:61 ARP)
*Jan 11 19:34:06.125: sw_host_track-obj_destroy:Host entry freed(Gi2/0/3 10.0.0.10 (b496.911a.40d4) VLAN:8 ID:61 ARP)
3 попытки проверить Удаление узла как неактивного Проверить настройки таймеров IPDT:
доступность (интервал 30 сек)
show ip device tracking all
IP Device Tracking = Enabled
IP Device Tracking Probe Count = 3
IP Device Tracking Probe Interval = 30
IP Device Tracking Probe Delay Interval = 10
© 2019 Cisco and/or its affiliates. All rights reserved. Cisco Public IP Device Tracking Probe SVI Source = Enabled
Переключение с 802.1x на MAB - пример отладки
Настройки на интерфейсе:
authentication order dot1x mab
dot1x max-reauth-req 2
debug dot1x packet

*Jan 13 00:20:17.103: dot1x-packet:EAPOL pak Tx - Ver: 0x3 type: 0x0
*Jan 13 00:20:17.103: dot1x-packet: length: 0x0005
*Jan 13 00:20:17.103: dot1x-packet:EAP code: 0x1 id: 0x1 length: 0x0005
*Jan 13 00:20:17.103: dot1x-packet: type: 0x1
*Jan 13 00:20:17.103: dot1x-packet:[b496.911a.4176, Gi2/0/4] EAPOL packet sent to client 0x0300001B
*Jan 13 00:20:20.181: dot1x-packet:EAP code: 0x1 id: 0x1 length: 0x0005 Коммутатор отправляет (Tx)
EAPoL-кадры каждые 3 сек
*Jan 13 00:20:26.355: %DOT1X-5-FAIL: Authentication failed for client (b496.911a.4176) on Interface Gi2/0/4 AuditSessionID 0AC5F82C0000003838B8A2DB
*Jan 13 00:20:26.355: dot1x-packet:[b496.911a.4176, Gi2/0/4] Dot1x did not receive any key data
*Jan 13 00:20:26.355: dot1x-packet:EAPOL pak Tx - Ver: 0x3 type: 0x0 От суппликанта нет ответа и
EAPoL-аутентификация
*Jan 13 00:20:26.355: dot1x-packet:[b496.911a.4176, Gi2/0/4] EAPOL canned status packet sent to client 0x0300001B считается проваленной (failed)
Как посмотреть, что происходит с точки зрения Справочная
аутентификации на интерфейсе
debug authentication events
show logging | i restart

Jun 6 11:45:57.314: AUTH-EVENT (Gi0/9) Started 'restart' timer (60s) for client 0021.a084.ee4e Каждые 60 секунд
Jun 6 11:46:57.700: AUTH-EVENT (Gi0/9) 'restart' timer expired for client 0021.a084.ee4e отрабатывает restart
Jun 6 11:47:28.845: AUTH-EVENT (Gi0/9) Started 'restart' timer (60s) for client 0021.a084.ee4e таймер (authentication
Jun 6 11:48:29.273: AUTH-EVENT (Gi0/9) 'restart' timer expired for client 0021.a084.ee4e timer restart 60)
Jun 6 11:49:00.351: AUTH-EVENT (Gi0/9) Started 'restart' timer (60s) for client 0021.a084.ee4e
Jun 6 11:50:00.871: AUTH-EVENT (Gi0/9) 'restart' timer expired for client 0021.a084.ee4e
show logging
Jun 6 11:46:57.700: AUTH-EVENT Используется порядок:
(Gi0/9) 'restart' timer expired for client 0021.a084.ee4e
Jun 6 11:46:57.700: AUTH-EVENT authentication order dot1x mab
(Gi0/9) Client 0021.a084.ee4e, Initialising Method dot1x state to 'Not run'
Jun А6утентификация
11:46:57.700: AUTH-EVENT (Gi0/9) Adding method dot1x to runnable list for Auth Mgr context 0x7C000785
Jun завершается неуспешно
6 11:46:57.700: AUTH-EVENT (Gi0/9) Client 0021.a084.ee4e, Initialising Method mab state to 'Not Перевод
run' из состояния
Jun (проверить Live Log на
6 11:46:57.700: AUTH-EVENT (Gi0/9) Adding method mab to runnable list for Auth Mgr context A uthorization
0x7C000785 Failed в
Jun ISE, настройки на
6 11:46:57.700: AUTH-EVENT (Gi0/9) Sending START to dot1x (handle 0x7C000785) р ежим аутентификации
Jun 6 11:46:57.700: AUTH-EVENT (Gi0/9) Received handle 0x35000028 from method
клиенте)
Jun 6 11:46:57.700: AUTH-EVENT (Gi0/9) Client 0021.a084.ee4e, Context changing state from ' Authz Failed' to 'Running'
Jun 6 11:46:57.700: AUTH-EVENT (Gi0/9) Client 0021.a084.ee4e, Method dot1x changing state from 'Not run' to 'Running'
Jun 6 11:46:57.700: %AUTHMGR-5-START: Starting 'dot1x' for client (0021.a084.ee4e) on Interface Gi0/9 AuditSessionID
0A01DC0200000784A546A4A8
Jun 6 11:46:59.568: %DOT1X-5-FAIL: Authentication failed for client (0021.a084.ee4e) on Interface Gi0/9 AuditSessionID
0A01DC0200000784A546A4A8
При включении debugs рекомендуется использовать
“выборочный” debug
Чтобы не перегрузить коммутатор отладкой, рекомендуется ограничивать на уровне интерфейса:
debug interface X/X
Далее включать отладку, вывод будет лимитирован по указанному интерфейсу*:
debug authentication events

debug dot1x events
* Если указано несколько интерфейсов, для них применяется логическое “ИЛИ”
“Подводные камни”

Вопрос:
Возможна ли передача EAPOL через
коммутатор Cisco?
Архитектура (коммутаторы Cisco):
1. L2 коммутаторы (“2”, “3”) – не поддерживают
802.1x/MAB.
2. L3 коммутатор (“1”) – поддерживает
802.1x/MAB.
Можно ли включить 802.1x/MAB на интерфейсе

L3-коммутатора (1), аутентифицируя 802.1x
клиентов, подключенных к L2 коммутаторам
(2,3)?
Передача EAPOL через коммутатор Cisco
не поддерживается
“Прозрачная” передача EAPoL кадров

(01:80:C2:00:00:03) через коммутаторы Cisco не
поддерживается (нет обходного решения, не
реализовано)*.
Варианты решения:
1. Замена коммутаторов 2,3 на поддерживающие
802.1x.
2. Отказ от 802.1x в данном сегменте (например,
подключаются только гостевые пользователи,
аутентификация через CWA**, телефоны – MAB***).
3. Замена коммутаторов 2,3 на неуправляемые с
поддержкой “прозрачной” передачи EAPoL.
* Неуправляемые коммутаторы некоторых

производителей позволяют это сделать.
** CWA – Central Web Authentication
*** Необходимо ограничить количество клиентов на
© 2019 Cisco and/or its affiliates. All rights reserved. Cisco Public интерфейсе командой: ip device tracking maximum X.
Рекомендации по размеру DACL
• Тестировать DACL на всех моделях коммутаторов, планируемых к внедрению 802.1x
(проверка достаточности ресурсов TCAM).
• На “старых” платформах нет ACL sharing для DACL/Filter-id ACL (даже если одинаковый
ACL на разных интерфейсах).
• Будьте особенно осторожны со стеками – размер TCAM в них ограничен размером TCAM
на Master.
TCAM Sharing
Поддерживается для динамических ACL на всех коммутаторах, начиная с релиза 15.2(2)E4 и IOS-XE
3.6(4)E.
До 15.2(2)E4 любой динамический ACL (dACL/Filter-Id), назначаемый на каждый новый порт, занимает
дополнительное пространство в TCAM.
На “старых” платформах (Cat2k, Cat3k, Cat4k), TCAM Sharing не поддерживается, если к интерфейсу
подключено более 1 MAC-адреса:
Количество доступных ресурсов в TCAM будет снижено пропорционально
(т.к. IP-адрес источника с “any” необходимо заменить на IP-адрес клиента => 2 записи в TCAM).
На “новых” платформах (Cat9k, Catalyst 3650-X, 3850-X), TCAM Sharing поддерживается для более
одного MAC-адреса на интерфейсе.
TCAM Sharing для Pre-Auth ACL поддерживается на IOS 12.2(55)SE и 15.0SE (PACL*)
*PACL – Port ACL
Режим “Multi-auth” со старыми IP-телефонами
В случае со старыми IP-телефонами бывает так, что для сигнализации номера VOICE VLAN телефону,
используется не LLDP, а опция из DHCP. В таком случае IP-телефон сначала получает IP-адрес из
DATA VLAN, далее переходит в VOICE. Становится невозможным использование режима multi-domain.
Решение: используйте режим multi-auth. authentication host-mode multi-auth
Высокая загрузка CPU после изменения
политики авторизации по умолчанию на ISE
На стеке коммутаторов 3750E наблюдалась высокая загрузка CPU (процессы: Auth Manager и
EAP Framework).
switch# show processes cpu sorted
CPU utilization for five seconds: 99%/1%; one minute: 99%; five minutes: 89%
PID Runtime(ms) Invoked uSecs 5Sec 1Min 5Min TTY Process
210 26884586 455291 59049 46.15% 57.35% 47.65% 0 Auth Manager
221 5522651 377485 14630 28.72% 21.33% 13.11% 0 EAP Framework
177 79937387 9384587 8517 6.29% 4.28% 7.17% 0 Hulc LED Process
Было установлено, что проблема коррелирует с изменением политики авторизации по умолчанию на ISE:
• ранее использовался PermitAccess (RADIUS Access-Accept и “Deny dACL”);
• было изменение на: DenyAccess (RADIUS Access-Reject). Каждые 60 секунд коммутатор пытается
аутентифицировать неавторизованный
По умолчанию, на интерфейсе коммутатора настроено: интерфейс
authentication timer restart 60
Рекомендация – использовать Access-Accept в политике авторизации по умолчанию, применять “Deny dACL”:

permit udp any eq bootpc any eq bootps
permit udp any any eq domain
deny ip any any
Как monitor mode может повлиять на
подключение ПК по 802.1x
В Monitor Mode рекомендуется включить опцию
“Вернуться к неавторизованному сетевому доступу”.
В противном случае, если на ПК нет доверия к
сертификату ISE, суппликант прекратит подключение
по 802.1x и отключится от сети:
Live Log на ISE:
Эволюция 802.1x и MAB
в SDA

П ол итики безопасности Ф абрики
Интеграция ISE с DNAC

( контракты) на DNAC:
Source Destination
Contract
Employees Production
DENY
DNA Center
REST
Employees Contractors Production Development
API
Применение
контрактов (SGACLs) c
ISE автоматически на ISE
устройства Фабрики
Ра спространение политик
с ISE ( RADIUS)
Устройства Фабрики

Отдельная сессия по интеграции ISE в SDA
Подробно о том, как в новой архитектуре Cisco SDA:
• настраивается Cisco ISE;

• используются политики IBNS 2.0;
• почему современному безопаснику необходимо понимать TrustSec.
на сессии Cisco клуба (провожу я):

“Практический опыт внедрения решений по информационной безопасности в архитектуре SDA”
19 сентября, 11:00
(московское время)
Заключение

Выводы
• Много теории и команд для настройки – необходимо потренироваться и поработать
на практике.
• 802.1x внедряется всё в большем количестве сетей и операционных систем,
работает стабильно, используется в архитектуре Cisco SDA.
• За ним настоящее и будущее в части обеспечения безопасности оконечных
устройств.
Справочная
Продолжение обучения
IBNS 2.0 Deployment Guide:
https://www.cisco.com/c/en/us/products/collateral/ios-nx-os-software/identity-based-networking-
services/whitepaper_C11-729965.html
Wired 802.1X Deployment Guide:
https://www.cisco.com/c/en/us/td/docs/solutions/Enterprise/Security/TrustSec_1-
99/Dot1X_Deployment/Dot1x_Dep_Guide.html
IP Device Tracking:
https://www.cisco.com/c/en/us/support/docs/ip/address-resolution-protocol-
arp/118630-technote-ipdt-00.html
Device Sensor:
https://www.cisco.com/c/en/us/support/docs/security/identity-services-engine/200292-
Configure-Device-Sensor-for-ISE-Profilin.html
Презентации с Cisco Live (802.1x, IBNS, ISE):
https://ciscolive.com
Демонстрация

Конкурс после Вебинара
«Integrated Security
Technologies and Solutions»
Подписаный
А. Лукацким и М. Кадером
http://cs.co/802-1x-contest
Отправляйте
Свои Вопросы
Прямо Сейчас!
Используйте панель «Вопросы и

© 2019 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
Public
ответы», чтобы задать вопросы и
получить ответы от экспертов.
Спросить эксперта после Вебинара
c 3 июля
по 12 июля 2019
http://cs.co/802-1x-ate
Сообщество есть и на других языках
Если вы говорите на английском, испанском, португальском, китайском или японском, мы приглашаем Вас
принять участие на другом языке.
Cisco Community Сообщество Cisco

Английский Русский
ツスコサポートコミュ
Comunidad de 二ティ
Soporte de Cisco Японский
Испанский
思科服务支持社区
Comunidade de Китайский
Suporte de Cisco
Португальский
Спасибо за Ваше
Время!
Пожалуйста, примите участие в

оценке сегодняшнего мероприятия
© 2019 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
Public

802.1x, MAB для безопасности оконечных устройств

Загружено:

Сведения о документе

Авторское право

Доступные форматы

Поделиться этим документом

Поделиться или встроить документ

Параметры публикации

Этот документ был вам полезен?

Это неприемлемый материал?

Авторское право:

Доступные форматы

802.1x, MAB для безопасности оконечных устройств

Загружено:

Авторское право:

Доступные форматы

Вебинар от Экспертов Сообщества Cisco

Что попало не воткнёшь: 802.1x и MAB для безопасности

© 2019 Cisco and/or its affiliates. All rights reserved.

© 2019 Cisco and/or its affiliates. All rights reserved.

Оценивайте ответы, документы, видео, блоги!

Помогите нам распознать качественный контент в

© 2019 Cisco and/or its affiliates. All rights reserved.

© 2019 Cisco and/or its affiliates. All rights reserved.

Проработка архитектуры Cisco ISE

Как правильно настроить (IBNS 1.0 и 2.0)

Поиск и устранение неисправностей

Cisco ISE в SDA

© 2019 Cisco and/or its affiliates. All rights reserved.

гостевой доступ, профилирование, проверку соответствия политикам безопасности

* Last Date of Support: App. SW

5.8 Aug 30, 2019 Aug 31, 2020

5.7 May 2, 2017 May 31, 2019

5.6 Feb 15, 2017 Feb 28, 2019

5.5 Apr 14, 2016 Apr 30, 2019

Документация по переходу с ACS на ISE:

Подробное описание процесса миграции на Cisco Community:

© 2019 Cisco and/or its affiliates. All rights reserved.

• PAN, MnT, PSN - на одном устройстве На VM производительность такая же, как на

Необходимо помнить, что в базовом дизайне при переключении активности

Рекомендуется добавить хотя бы один дополнительный PSN либо перейти на

“Клиент” – это конечное устройство (например, пользователь/ПК/телефон),

Информация по масштабируемости ISE:

Если Вы хотите использовать дополнительные

© 2019 Cisco and/or its affiliates. All rights reserved.

• Количество одновременных сессий не отличается от Базового

© 2019 Cisco and/or its affiliates. All rights reserved.

Для крупных Заказчиков:

• PAN и MnT – на разных устройствах. PSN – на выделенных ISE.

© 2019 Cisco and/or its affiliates. All rights reserved.

• Возможность оперативно перераспределить нагрузку на PSN (для добавления новых или

• Отказоустойчивость для Web-порталов: “My Devices Portal”, “Sponsor Portal”*

• Дополнительная точка отказа.

Рекомендации и примеры настроек балансировщиков нагрузки с ISE:

© 2019 Cisco and/or its affiliates. All rights reserved.

В IBNS 2.0 интерфейс в режиме “Authentication Open” по умолчанию.

Используется для того, чтобы разрешить весь трафик на 802.1x-порту до аутентификации.

Упрощает процедуру внедрения 802.1x.

Зад ачи Monitor Mode: Настройка Monitor Mode:

▪ внедрение политик доступа к сети; Н астройка Low-Impact Mode:

• Если отключение Pre-Auth ACL не поддерживается:

TCAM sharing работает для “статических” ACL (PACL**) и до 15.2(2)E4.

* CWA – Central Web Authentication

▪ максимальный уровень контроля; ▪ отключить Authentication Open (режим

© 2019 Cisco and/or its affiliates. All rights reserved.

• DACL – рекомендованный вариант, по сравнению с динамическим

• Динамическое назначение VLAN – рекомендуется только в “Closed Mode”

© 2019 Cisco and/or its affiliates. All rights reserved.

Модель коммутатора IBNS 1.0 IBNS 2.0

Catalyst 2960-S, 2960-SF, 2960-C,

• Значительно сокращает конфигурацию коммутатора (за счёт использования шаблонов –

В конфигурации с DNAC, загружаемой на коммутаторы в архитектуре SDA, используется IBNS 2.0.

* На Catalyst 2k и некоторых других моделях коммутаторов и версий ПО EEM не поддерживается

© 2019 Cisco and/or its affiliates. All rights reserved.

radius server ISE-PSN-2

Отключить дополнительное журналирование:

Включается автоматически после того, как 802.1x/MAB настраиваются на интерфейсе.

Рекомендации для решения проблемы (“новые” коммутаторы – IOS 15.2(2)E+):

* Поддерживается в “старых” версиях ПО (см. “Known Fixed Releases”):

Проблема: если в момент ARP-запроса ПК1 пытается