Cisco Support Community
отмена
Отображаются результаты для 
Вместо этого искать 
Вы имели в виду: 
Объявления
Добро пожаловать в Сообщество Технической поддержки Cisco. Мы рады получить обратную связь .
Cisco Employee

Спросить эксперта на тему: "Использование IEEE 802.1X в сегменте Enterprise"

с Артемом Ткачовым

 

Read the bio

Во время сессии "Спросить Эксперта" инженер Cisco TAC Артём Ткачёв ответит на вопросы об использовании различных возможностей конфигурации, дизайна и решения проблем, возникающих при настройке и внедрении 802.1x технологии.

 

Артем - инженер центра технической поддержки Cisco Global TAC в Кракове. Специализируется на работе с продуктами и технологиями Cisco в области безопасности такими как ACS, ISE (BYOD, Hotspot, etc.), 802.1x, MacSec/TrustSec, AAA. Артем имеет сертификацию CCIE #39668 в трех направлениях - Routing&Switching (R&S), Service Provider (SP), Wireless.

 

Пожалуйста, не забывайте оценивать ответы Артема, чтобы он знал, что Вы получили совет, который Вам помог. Общение может быть продолжено на нашем форуме и после окончании сессии. Сессия начнется 8 февраля и продлится до 26 февраля.

9 ОТВЕТ.
New Member

Здраствуйте.

Здраствуйте.

Нужен совет. Очень нужен. Внедрение 802.1х в организации застопорился на процессе подключения Cisco IP телефонов. ISE настроен на аутентификацию устройств по сертификату выдаваемом центром сертификации домена актив директории. Что делать с 400 телефонами не понятно. Изучение и гугления помогает. Ссылки на общие статьи теории не объесняют как в телефон заснуть сертификат а главное где его взять. Ладно бы сами делали, но тут интегратор в ступоре)

насколько я знаю если на

насколько я знаю если на порту свича прописаны войс влан и дата влан то свич понимает по сидипи что там подключен айпи телефон и свич не требует аутентификацию айпи телефона а только компьютера подключенного в телефон

New Member

Ничего подобного не

Ничего подобного не происходит.

Вот конфиг порта:

interface GigabitEthernet1/0/48
switchport access vlan 30
switchport mode access
switchport voice vlan 53
priority-queue out
authentication host-mode multi-auth
authentication order mab dot1x
authentication priority mab dot1x
authentication port-control auto
mab
mls qos trust device cisco-phone
dot1x pae authenticator
spanning-tree portfast
!

какие телефоны и какие

какие телефоны и какие прошивки?

пробуйте самые последние прошивки телефонов и свичей

телефон включается? дот1х насколько я знаю через несколько минут отключает порт если компьютер не прошел доменую аутентификацию

Cisco Employee

Михаил, добрый день.Насколько

Михаил, добрый день.
Насколько я понял вы хотите использовать EAP-TLS аутентификацию для ваших телефонов.
Со стороны ISE вы должны установить CA и CSR/identity  сертификаты в trusted store на самом ISE.

Со стороны телефонии мне будет сложно вам описать в деталях как установить сертификат на телефон, так как не работаю с ней, но насколько я понимаю сертификаты будут установлены с помощью CUCM. Так как вы указали что используете внешний CA, вам потребуется сгенерировать CSR для каждого телефона, "подписать" со стороны CA и потом установить в CUCM.
Более подробно описано в документах ниже:
1. http://www.cisco.com/c/en/us/support/docs/unified-communications/unified-communications-manager-callmanager/118779-configure-cucm-00.html#anc13
2. http://www.cisco.com/c/en/us/td/docs/voice_ip_comm/cucm/security/10_0_1/secugd/CUCM_BK_C68276B4_00_cucm-security-guide-100/CUCM_BK_C68276B4_00_cucm-security-guide-100_chapter_01010.html#CUCM_TK_U9B991DF_00

Так же проверил вашу конфигурацию на интерфейсе и есть несколько замечаний:
1. Если вы хотите использовать EAP-TLS нет смысле использовать "order" и "priority" как вы сделали.
   Правильная конфигурация будет такая:
   +++
   authentication order mab dot1x
   authentication priority dot1x mab
   +++
   
2. Вы используете "multi-auth". Тут конечно все зависит от требований проекта, но рекомендуемый режим на интерфейсе при сценарии "PC+IpPhone" -  "multi-domain". Потому прощу обратить внимание на это.

/Артём

New Member

Артём спасибо за ответ. 

Артём спасибо за ответ. 

Мы не привязаны к хотению использовать на телефонах сертификаты. Нам нужно простое и надежное решение безопасности по их пропуску в сеть. Возможно вы посоветуете как проще включить в сеть 802.1х 400 телефонов, которые мы время от времени заменяем или добавляем новые.

По конфигурации порта не понял как должна выглядеть правильная. 

Cisco Employee

Михаил,В данной ситуации  я

Михаил,

В данной ситуации  я бы посоветовал  два варианта для аутентификации: EAP-TLS либо MAB методы.
Для Eap-tls (аутентификация с помощью x.509 сертификатов)  нужно будет использовать LSC сертификаты и CUCM систему.
Ниже вы найдете документацию, где описано данный процесс:

www.cisco.com/c/en/us/products/collateral/ios-nx-os-software/identity-based-networking-services/config_guide_c17-605524.html#wp9000412

* в документации используется ACS система,  но ровно тоже самое вам нужно будет повторить на ISE.

Это один из самых надежных методов аутентификации, но требует некоторого времени что бы все настроить.

Для MAB аутентификации вам потребуются мак адреса всех ваших телефонов.
Насколько я знаю мак адреса возможно экспортировать с CUCM системы (из SQL базы). Как только у вас будет список мак адресов всех телефонов,  - импортируйте их в ISE систему и начинайте  настраивать соответствующие  правила аутентификации/авторизации.
Если у вас появляются новые телефоны в сети или вы хотите изъят из использования старые - просто добавьте/удалите нужные мак адреса из системы ISE.
Данный метод не очень безопасный с точки зрения сетевой безопасности (из-за возможности спуфинга мак адреса), но легок в инсталляции и  администрировании.

Какой из методов для вас - решать вам ;-)

По поводу конфигурации интерфейса которую вы показали.
Вы используете:
===
authentication order mab dot1x
authentication priority mab dot1x
==

Если вы хотите использовать EAP-TLS нет смысле использовать "order" и "priority" как вы сделали. Если вы решили использовать эти два параметра, тогда конфигурация должна быть такая:
   +++
   authentication order mab dot1x
   authentication priority dot1x mab
   +++

Так же вы используете “authentication host-mode multi-auth” ,  рекомендуемый режим на интерфейсе при сценарии "PC+IpPhone" -  "multi-domain". Потому прощу обратить внимание на это.

/Артём

New Member

Здраствуйте,

Здраствуйте,

1. Артем скажите пожалуйтса, могут ли возникнуть проблемы с нагрузкой (CPU, RAM) при работе 802.1х на стековых коммутаторах WS-C3750-48TS когда в стеке 8 коммутаторов, авторизация по сертификатам с использованием EAP-TLS;

2. Могли бы вы дать рекомендации по таймаутам на портах;

3. Какие системные требования к виртуальному серверу для ISE, если в сети 1200 пользователей;

Cisco Employee

Добрый день Тимур,Спасибо за

Добрый день Тимур,

Спасибо за ваши вопросы.


1. Видимых проблем, которые могут возникнуть во время использования 802.1x на данных коммутаторах я не вижу. Однозначно нагрузка возрастет на  CPU/RAM, так как dot1x/ААА  процессы будут использовать ресурсы коммутатора, но рост нагрузки не должен быть ощутимым (хотя тут зависит от числа 802.1x пользователей включенных в стек свичей).
Если у вас есть частный случай, когда dot1x/ААА  процессы используют более 50-70% ресурса коммутатора (надо учесть количество 802.1x сессии) - я бы советовал обратиться в Cisco TAC, не исключено проявления багов.

2. Таймеры для 802.1x конфигурации на коммутаторах Циско были разработаны таким образом, что значения по умолчанию в данном случая являются рекомендуемыми для большинства случаев/сценариев.

3. Все зависит от версии ISE системы и количества пользователей. При вашем количестве пользователей вы можете использовать требования - “Small” системы ISE 2.0.
Ссылка на документ:

http://www.cisco.com/c/en/us/td/docs/security/ise/2-0/installation_guide/b_ise_InstallationGuide20/Installing_ISE_on_a_VMware_Virtual_Machine.html

/Артём

689
Просмотры
10
Полезный материал
9
Ответы
СоздатьДля создания публикации, пожалуйста в систему