Inleiding
Dit artikel beschrijft de stappen om het ISE vergunningbeleid te vormen op basis van het VLAN id attribuut van NAD. Deze optie is alleen beschikbaar bij IBNS 2.0.
Use Case
Klanten willen de VLAN-ID bevolken die op de toegangsinterface is geconfigureerd en het vervolgens gebruiken om toegang op ISE te bieden.
Configuratiestappen
NAD-kant
1. Configureer de switch om de eigenschappen van de VLAN-straal in de toegangsaanvraag te verzenden.
Device# configure terminal
Device(config)# access-session attributes filter-list list TEST
Device(config-com-filter-list)# vlan-id
Device(config-com-filter-list)# exit
Device(config)# access-session accounting attributes filter-spec include list TEST
Device(config)# access-session authentication attributes filter-spec include list TEST
Device(config)# end
OPMERKING: U kunt een waarschuwing krijgen als u de opdracht "Access-sessie accounting accounting attributes" invoert, zoals lijst TEST" om migratie naar IBNS 2 te accepteren.
Switch(config)#access-session accounting attributes filter-spec include list TEST
This operation will permanently convert all relevant authentication commands to their CPL control-policy equivalents. As this conversion is irreversible and will disable the conversion CLI 'authentication display [legacy|new-style]', you are strongly advised to back up your current configuration before proceeding.
Do you wish to continue? [yes]:
Controleer de volgende handleiding voor meer details: Straalbepalingsgids voor VLAN-id
ISE-kant
1. Maak een verificatiebeleid dat op uw behoeften is gebaseerd (MAB/DOT1X).
2. Het vergunningenbeleid omvat het volgende conditionetype, moet overeenstemmen met de exacte syntax
Radius·Tunnel-Private-Group-ID EQUALS (tag=1)
Voorbeeld:
Voor een VLAN-ID = 77
Test
NAD-kant
Switch#sh run interface Tw1/0/3
Building configuration...
Current configuration : 336 bytes
!
interface TwoGigabitEthernet1/0/3
switchport access vlan 77
switchport mode access
device-tracking attach-policy DT_POLICY
access-session host-mode multi-host
access-session closed
access-session port-control auto
mab
dot1x pae authenticator
spanning-tree portfast
service-policy type control subscriber POLICY_Tw1/0/3
end
Switch#
Switch#sh auth sess inter Tw1/0/3 details
Interface: TwoGigabitEthernet1/0/3
IIF-ID: 0x1FA6B281
MAC Address: c85b.768f.51b4
IPv6 Address: Unknown
IPv4 Address: 10.4.18.167
User-Name: C8-5B-76-8F-51-B4
Status: Authorized
Domain: DATA
Oper host mode: multi-host
Oper control dir: both
Session timeout: N/A
Common Session ID: 33781F0A00000AE958E57C9D
Acct Session ID: 0x0000000e
Handle: 0x43000019
Current Policy: POLICY_Tw1/0/3
Local Policies:
Service Template: DEFAULT_LINKSEC_POLICY_SHOULD_SECURE (priority 150)
Security Policy: Should Secure
Server Policies:
Method status list:
Method State
mab Authc Success
Switch#
ISE-kant