Cisco ISE + Windows Server 2008 实验

发布时间:2020-07-14 07:56:04 作者:arckyli
阅读:12747
亿速云数据库,弹性扩容,低至0.3元/天! 查看>>

     实验说明:此实验参考生产环境中某部分环境搭建而成,此环境Windows Server 2008用于登录用户、MAC等账号的认证,Cisco ISE用于认证授权等,无线部分利用VMWLC + Cisco 1702AP测试测试。因为为实验环境,整体网络架构所有节点为单点;Cisco ISE部分功能没有应用上,如测试PC端的补丁、防毒补丁、设备认证等(此部分在生产环境上实施),下图为此实验的网络架构图。

    Windows AD:  172.16.1.199 

    Cisco VMISE: 172.16.1.103

    CISCO VMWLC: 172.16.1.201

    另外要说明的是,在生产环境中,无线AC建议不要使用Vlan 1作为管理Vlan。

Cisco ISE +  Windows Server 2008 实验

   1.3 添加ISEDNS Domain防问:ISE103.VMWLC.COM (172.16.1.103) / ISE104.VMWLC.COM (172.16.1.104);
   1.4 Windows Server安装IIS,并设定http/https两协议都可以互相通信,目的为ISE提供证书申请;
2. CISCO ISE设定管理部分
  2.1 ISE添加至WindowsAD并设定DNS

Cisco ISE +  Windows Server 2008 实验

Cisco ISE +  Windows Server 2008 实验

Cisco ISE +  Windows Server 2008 实验

       上图为Windows DNS解析名称与IP设定
   2.2 ISE添加Windows AD Group,所有网络设备认证、MAB、802.1X等认证授权等用户全部来自于Windows AD userGroup,如下图:
   Cisco ISE +  Windows Server 2008 实验

Cisco ISE +  Windows Server 2008 实验

Cisco ISE +  Windows Server 2008 实验

Cisco ISE +  Windows Server 2008 实验

Cisco ISE +  Windows Server 2008 实验

   上图为Swich_Author_Priv1授权图, Advanced AttributesSettings: Cisco:cisco-av-pri =  priv-lvl=1
   Cisco ISE +  Windows Server 2008 实验

  上图为Swich_Author_Priv1授权图,Advanced Attributes Settings: Cisco:cisco-av-pri =  priv-lvl=15

Cisco ISE +  Windows Server 2008 实验

  上图为用户防问网络设备的Authorization Policy,其中usergroup:iserGroup02条为Switch_Author_Priv1为的只有priv 1 权限,NetDeviceManager条件为Switch_Author_Priv15权限为priv 15,如下图:

Cisco ISE +  Windows Server 2008 实验   Cisco ISE +  Windows Server 2008 实验

   Cisco ISE +  Windows Server 2008 实验

    aaa new-model

    aaa authentication dot1x default group radius

    aaa authorization network default group radius

    aaa accounting dot1x default start-stop group radius

    aaa server radius dynamic-author

    client 172.16.1.103 server-keycisco

    ip device tracking

    dot1x system-auth-control

    radius-server attribute 6 on-for-login-auth

    radius-server attribute 8 include-in-access-req

    radius-server attribute 25 access-request include

    radius-server dead-criteria time 5 tries 3

    radius-server host 172.16.1.103 auth-port1812 acct-port 1813

    radius-server key cisco

    radius-server vsa send accounting

    radius-server vsa send authentication

    interface GigabitEthernet1/0/17

    switchport access vlan 11

    switchport mode access

    ip access-group ACL-DEFAULT in

    authentication event fail action next-method

    authentication event server dead action authorize vlan 12

    authentication event server alive action reinitialize

    authentication host-mode multi-auth

    authentication open

    authentication order dot1x mab

    authentication priority dot1x mab

    authentication port-control auto

    authentication violation restrict

    mab

    dot1x pae authenticator

    spanning-tree portfast

    ip access-list extended ACL-DEFAULT

    permit udp any eq bootpc any eq bootps

    permit udp any any eq domain

    permit icmp any any

    permit udp any any eq tftp

    deny   ip any any

  4.2 ISE设定部分

Cisco ISE +  Windows Server 2008 实验

Cisco ISE +  Windows Server 2008 实验

Cisco ISE +  Windows Server 2008 实验

Cisco ISE +  Windows Server 2008 实验

       a.  获取到相应的VlanID: 11;
       b.  获取到相应的ACS ACL:xACSACLx-IP-PERMIT_ALL_TRAFFIC-56161e32;
       c.  分配至相应的IP Address:172.16.5.137
       d.  MABAuthorization Success
  Cisco ISE +  Windows Server 2008 实验

Cisco ISE +  Windows Server 2008 实验

Cisco ISE +  Windows Server 2008 实验

Cisco ISE +  Windows Server 2008 实验

Cisco ISE +  Windows Server 2008 实验

Cisco ISE +  Windows Server 2008 实验

Cisco ISE +  Windows Server 2008 实验

Cisco ISE +  Windows Server 2008 实验

Cisco ISE +  Windows Server 2008 实验

 5.2 CISCO ISE设定部分

Cisco ISE +  Windows Server 2008 实验

Cisco ISE +  Windows Server 2008 实验

Cisco ISE +  Windows Server 2008 实验

Cisco ISE +  Windows Server 2008 实验

Cisco ISE +  Windows Server 2008 实验

亿速云「云数据库 MySQL」免部署即开即用,比自行安装部署数据库高出1倍以上的性能,双节点冗余防止单节点故障,数据自动定期备份随时恢复。点击查看>>

推荐阅读:
  1. vue实现将数据存入vuex中以及从vuex中取出数据
  2. 怎么在Android中利用FragmentTabHost实现一个底部菜单功能

开发者交流群:

免责声明:本站发布的内容(图片、视频和文字)以原创、转载和分享为主,文章观点不代表本网站立场,如果涉及侵权请联系站长邮箱:is@yisu.com进行举报,并提供相关证据,一经查实,将立刻删除涉嫌侵权内容。

cisco ise 无线 200 08

上一篇: 如何在 64 位的 Windows 7 中安装 PLSQL DEVELOPER 11 和 Oracle 11g x64 Client

下一篇:flex布局下的flex-grow、flex-shrink、flex-basis属性详解

相关阅读

您好,登录后才能下订单哦!

密码登录
登录注册
其他方式登录
点击 登录注册 即表示同意《亿速云用户服务条款》
开发者交流群×