配置文件网络访问

使用思科身份服务引擎的网络访问设备配置文件安全访问操作指南系列安全访问操作指南2015思科系统公司第2页目录第1章网络访问设备配置文件.
3关于网络访问设备配置文件.
3自定义网络访问设备配置文件3第2章自定义配置文件创建步骤.
4概述.
4建议程序.
4收集信息.
4设备配置.
4配置文件创建和分配.
4策略配置.
4第3章RADIUS字典5确定是否需要导入字典5导入RADIUS字典5第4章定义自定义配置文件.
7创建新的配置文件条目7支持的协议8RADIUS字典8流程类型条件.
8属性别名.
9主机查询.
9权限.
10授权变更(CoA)11URL重定向12生成策略元素.
13Summary.
14第5章使用网络设备配置文件15分配NAD配置文件.
15身份验证/授权条件16授权配置文件.
17验证行为.
19安全访问操作指南2015思科系统公司第3页第1章网络访问设备配置文件关于网络访问设备配置文件思科身份服务引擎(ISE)引入了对某些非思科网络访问设备(NAD)的支持.
ISE使用网络访问设备配置文件表示NAD的功能和要求,ISE使用这些功能和要求来启用MAB、访客、自带设备和终端安全评估等流程.
ISE2.
0随附许多位于"网络资源"(NetworkResources)下的内置NAD配置文件:图1.
内置NAD配置文件自定义网络访问设备配置文件本指南介绍在内置配置文件不足的情况下如何创建自定义NAD配置文件.
NAD将启用的ISE流程数取决于NAD的功能.
对于访客、自带设备和终端安全评估等复杂流程,设备需要支持RFC5176、"授权变更"(CoA)以及能够重定向到ISE门户并将客户端身份(MAC或IP地址)作为URL参数传入的URL重定向机制.
如果NAD不支持这些功能,则这些流程将不起作用.
安全访问操作指南2015思科系统公司第4页第2章自定义配置文件创建步骤概述需要先确定有关设备的某些信息,然后才能定义新的NAD配置文件.
通常必须为设备导入新的RADIUS字典,然后才能创建NAD配置文件.
您可能必须将设备固件升级到更新的版本才能获取CoA/URL重定向支持.
通常还必须在设备上进行配置更改,以配置或启用特定功能,尤其对于URL重定向而言更是如此.
一旦完成后,就请在ISE中创建新的NAD配置文件,并将其分配到相应的设备.
最后,配置新的授权配置文件和ISE策略,以利用新的配置文件.
建议程序收集信息步骤1参阅NAD的《管理手册》(通常具有所寻求的信息)步骤2确定所需的RADIUS字典(如果有),并将其导入到ISE中步骤3确定用于MAB、SSID、设置VLAN、ACL的属性(如果适当)步骤4确定是否支持RADIUSCoA及其在CoA请求中需要哪些属性步骤5确定是否支持URL重定向及其使用哪些属性和URL参数设备配置步骤6验证NAD固件的级别是否足够,如有必要,请进行升级步骤7在NAD上进行任何所需的配置更改(对于CoA/URL重定向)配置文件创建和分配步骤8使用从上述内容获取的信息创建新的NAD配置文件步骤9将新的配置文件分配到一个或多个NAD策略配置创建10创建新的授权配置文件步骤11配置ISE策略以利用新的NAD配置文件步骤12验证预期行为这些步骤将在后续章节中更详细地进行说明.
安全访问操作指南2015思科系统公司第5页第3章RADIUS字典确定是否需要导入字典参考NAD文档以确定NAD使用的RADIUS字典.
大多数NAD都具有供应商特定的RADIUS字典,除标准IETFRADIUS属性以外,该字典还提供许多供应商特定属性.
诸如MAB、CoA、URL重定向、ACL、VLAN、SSID等功能全都可能使用RADIUS属性,并且有时这些属性是供应商特定的(VSA),而不是IETF.
导入RADIUS字典如果您的设备使用VSA,则通常需要先将其RADIUS字典安装到ISE中,然后才能将其分配到NAD配置文件.
ISE能够以freeradius格式导入RADIUS字典文件,可以在策略元素(PolicyElements)字典(Dictionaries)系统(System)RadiusRADIUS供应商(RADIUSVendors)中找到这些文件.
图2.
导入RADIUS字典安全访问操作指南2015思科系统公司第6页成功导入后,新字典应该会显示在RADIUS字典供应商列表中:图3.
新导入的词典安全访问操作指南2015思科系统公司第7页第4章定义自定义配置文件创建新的配置文件条目一旦您拥有所需的信息并已安装RADIUS字典,就请点击新建网络设备配置文件(NewNetworkDeviceProfile)以创建新的NAD配置文件.
为NAD配置文件创建新的名称和描述.
名称在策略条件和故障排除中可能有用,并会显示在报告中.
您可以为新的配置文件分配特定图标,从而更轻松地将其与其他配置文件区分开来.
图4.
新NAD配置文件对于供应商(Vendor),如果您是为设备创建与其中一个内置配置文件类似的NAD配置文件(即,供应商相同,但是型号因某些差异而不同),则最好是克隆现有NAD配置文件并对其进行自定义.
克隆的配置文件将具有原始配置文件的设置的副本,因此您只需对其进行调整即可,而不必重头开始定义.
如果当前RADIUS字典足够,您可能不必定义新的RADIUS字典.
但是,如果您的NAD供应商与任何现有供应商都不匹配,则应将供应商(Vendor)字段设置为"其他"(Other)并输入其所有特征.
安全访问操作指南2015思科系统公司第8页支持的协议如果您的设备支持RADIUS、TACACS+和/或TrustSec,请选中每个框.
只需选中实际要使用的协议即可.
RADIUS字典分配设备支持的RADIUS字典(通常是您在某个步骤中事先导入的字典).
注意:您可以分配多个字典,原因是某些设备确实支持多个供应商字典.
流程类型条件在"流程类型条件"(FlowTypeConditions)部分中("身份验证/授权"[Authentication/Authorization]下)输入设备针对各种流程(例如有线MAB和802.
1x)使用的属性和值.
这对于使ISE根据设备使用的属性来为该设备检测适当的流程类型是必需的.
对于MAB而言没有任何IETF标准,不同的供应商使用不同的Service-Type值.
如果此处的值未记录在设备的《管理指南》中,则可能必须使用嗅探器跟踪来确定这些值.
图5.
流程类型条件安全访问操作指南2015思科系统公司第9页属性别名本节允许您将设备特定属性名称映射到通用名称以简化策略规则.
目前,仅定义了"SSID".
如果您的设备具有无线SSID的概念,则将此设置为其使用的属性.
图6.
属性别名(SSID)属性别名允许NAD配置文件将供应商特定属性映射到通用属性,以便策略规则可以使用友好名称.
这样可以简化属性选择,减少不同供应商设备所需的身份验证/授权策略规则数,并降低容易出错的可能性.
例如,在某个流程中涉及的无线SSID可能包含在Airespace-Wlan-ID、Aruba-ESSID-Name或Called-Station-ID中,具体取决于所涉及的NAD的类型.
您可以将此映射到"规范化Radius"(NormalisedRadius)字典(策略[Policy]>策略元素[PolicyElements]>字典[Dictionaries]>规范化Radius[NormalisedRadius]>SSID)中提供的"SSID"属性.
主机查询本节允许您定义设备用于MAB的属性和协议.
在2.
0之前的版本中,通过允许的协议(AllowedProtocols)页面中的复选框的各种不明确组合来完成此任务,并且其可能需要多个"允许的协议"(AllowedProtocol)条目.
主机查询现在封装在NAD配置文件中,并可简化配置.
当在"允许的协议"(AllowedProtocols)页面中启用"处理主机查询"(ProcessHostLookup)选项时,将会根据NAD配置文件配置(具体是指主机查询[MAB]设置)处理主机查询请求.
不同的(非思科)供应商在执行MAB身份验证时以不同方式填充RADIUSCalling-Station-ID和密码属性.
对于执行MAB的思科NAD而言,启用"处理主机查询"(ProcessHostLookup)选项即足够.
但是,对于其他供应商设备,则必须在"主机查询(MAB)"(HostLookup[MAB])部分中启用相应的选项,同时创建NAD配置文件.
如上所述,对于MAB而言没有任何标准,因此其使用的属性和协议根据供应商而异.
请参阅您的设备的《管理指南》或MAB身份验证的嗅探器跟踪,以确定此部分的正确设置.
安全访问操作指南2015思科系统公司第10页图7.
主机查询(MAB)权限本节定义设备用于设置VLAN或ACL的属性.
它们可以是IETF标准属性,也可以是供应商特定属性.
这些属性通常发布在设备的《管理指南》中.
对于VLAN权限,可以指定多个RADIUS属性/值对,也可以指定单个RADIUS属性(例如Aruba-User-VLAN).
对于ACL权限,可以指定单个RADIUS属性,以用于在与当前NAD配置文件相关的NAD上设置指定ACL.
注意:"授权配置文件"(AuthorizationProfile)页面的"常见任务"(CommonTasks)部分中显示的选项根据您在"NAD配置文件权限"(NADProfilePermission)部分中配置的属性而异.
安全访问操作指南2015思科系统公司第11页图8.
权限以及与常见任务的关系授权变更(CoA)本节允许您定义设备具有的CoA功能.
请参阅您的设备文档以获取信息-查找对"RFC5176"、"授权变更"或"CoA"等术语的引用.
具有RFC5176支持的大多数非思科设备都将支持"推送"和"断开连接",但不支持重新进行身份验证,因此如果不确定,请尝试启用标记为"RFC5176"的两个复选框.
安全访问操作指南2015思科系统公司第12页图9.
CoA配置虽然RFC5176会定义CoA请求的类型,但是请求中的必需属性根据设备而异.
某些设备对于CoA请求中发送的属性非常讲究.
如果您的CoA请求从设备获取的是CoA"NAK",请检查下列某些提示:某些设备要求在CoA请求中包含来自access-request的RADIUSUser-Name属性某些设备不同时接受同一请求中发送的Calling-Station-ID和Acct-Session-ID(请仅发送一项)某些设备在请求中不接受其他供应商VSA某些设备可以配置为应该(或不应)具有Event-Timestamp属性,并且上述CoA配置必须匹配虽然某些《管理指南》确实会发布属性,但某些则不发布,并且其需要一定的试用或错误来确定适当的属性集.
注意:请确保在支持的协议(SupportedProtocols)部分中选择RADIUS选项,然后再配置RADIUSCoA.
URL重定向本节定义设备的RUL重定向功能.
URL重定向对于访客、自带设备和终端状态评估等复杂流程是必需的.
它需要能够重定向到ISE门户,即本地Web身份验证不够.
在设备上有两种通用类型的URL重定向:静态和动态.
静态意味着必须将URL配置到设备中(手动).
它不支持通过RADIUS属性获知要动态重定向到的位置.
通常,您将ISE门户URL复制并粘贴到设备的配置中.
安全访问操作指南2015思科系统公司第13页另一种类型是动态URL,ISE可以在此类URL中使用RADIUS属性指示设备要动态重定向到的位置.
不必手动配置设备.
如果设备支持动态URL,则应使用该设备,因为它可简化配置.
图10.
URL重定向"参数名称"(ParameterNames)包含设备在重定向URL中传递的参数.
ISE需要获知这些参数的名称,从而可以从URL正确提取这些参数.
它使用这些参数识别客户端和会话,以及客户端尝试访问的原始URL,以便可以将其重定向.
注意:《管理员指南》通常不发布这些参数名称.
某些指南会发布,但是大多数都不发布.
少数参数实际可编程.
无论什么情况,URL参数名称都必须与设备发送的参数名称(如果未发布,则可能必须使用浏览器来确定这些参数名称)匹配.
注意:有线设备通常无法重定向URL.
生成策略元素通常,不必创建其他身份验证/授权条件或修改内置身份验证/授权条件(例如有线/无线MAB或有线/无线802.
1X),因为这些条件将在运行时自动使用适当的NAD配置文件.
同样,内置允许的协议将使用现有NAD配置文件中的正确属性来检测MAB.
但是,如果必须创建自定义条件、协议或配置文件,则可以使用策略元素生成(PolicyElementGeneration)向导帮助您执行操作.
它可以根据能够在策略中进一步自定义或使用的NAD配置文件创建各种可编辑元素.
安全访问操作指南2015思科系统公司第14页图11.
生成策略元素Summary"摘要"(Summary)部分显示NAD配置文件配置将启用的流程和服务.
图12.
NAD配置文件摘要安全访问操作指南2015思科系统公司第15页第5章使用网络设备配置文件分配NAD配置文件一旦创建NAD配置文件后,就请在"网络设备"(NetworkDevices)中将其分配到您的设备.
图13.
分配NAD配置文件安全访问操作指南2015思科系统公司第16页身份验证/授权条件ISE具有许多内置身份验证和授权条件(有线/无线MAB和802.
1x),可以智能选择适当的基础条件进行评估.
它通过确定在运行时分配到NAD的NAD配置文件,然后参考其NAD配置文件中的信息来进行此选择.
借此可以显著减少您的身份验证/授权条件.
通常,您可以定义新的NAD配置文件,并且不必自定义内置智能条件.
如果您检查其中一个现有条件,则可以了解哪些NAD配置文件将被其纳入考虑,哪些不予考虑.
图14.
智能身份验证条件有时,您可能希望为新设备定义自定义条件.
您可以使用NAD配置文件中的生成策略元素(GeneratePolicyElements)功能来帮助生成具有条件中的正确属性/值的策略元素.
安全访问操作指南2015思科系统公司第17页授权配置文件您通常需要为新设备创建一个或多个授权配置文件.
当创建配置文件时,请将网络设备配置文件(NetworkDeviceProfile)框设置为新NAD配置文件的名称.
这使"智能"授权能够根据设备的所分配NAD配置文件自动选择适当的配置文件.
图15.
新建授权配置文件安全访问操作指南2015思科系统公司第18页当配置策略规则时,授权配置文件应显式设置为您分配到该设备的NAD配置文件;如果您使用的只是VLAN或ACL,则应设置为"Any".
图16.
智能授权配置文件安全访问操作指南2015思科系统公司第19页验证行为一旦您已创建新的NAD配置文件并将ISE的策略配置为使用该配置文件,就应验证相关流程是否按预期工作.
此外,建议验证使用其他NAD配置文件的设备是否仍然按预期工作.
ISE的监控/报告中的"步骤"(STEPS)详细信息具有ISE2.
0中的附加信息,可帮助您了解使用的是哪个NAD配置文件,以及检测到的可帮助故障诊断的流程类型.