关注我们
QRcode 邮件联系 新浪微博
首页 > 创业资讯 » 正文

【交换机在江湖】交流机与ISE及Controller对接业务随行示例(多网关场景)

   条点评
后台-系统设置-扩展变量-手机广告位-内容正文顶部

原题目:【交换机在江湖】交换机与ISE及Controller对接业务随行示例(多网关场景)

简介

在企业网络中,为实现用户不同的网络访问需求,可在接入设备上为用户部署不同的网络访问策略。但跟着企业网络挪动化、BYOD等技术的利用,用户的物理位置以及IP地址变化更加频繁,这就使得原有基于物理端口、IP地址的网络控制方案很难满意用户网络访问休会一致性的需求(譬如网络访问策略不随用户物理位置变化而变化)。

业务随行是迅速网络中一种无论用户身处何地、使用哪个IP地址,都可以保证该用户失掉雷同的网络访问策略的解决方案。业务随行解决方案需要交换机和Agile ControllerCampus配合使用。管理员仅需在Agile ControllerCampus上同一为用户部署网络访问策略,而后将其下发到所有关系的交换机即可,此时不论用户的物理地位以及IP地址如何变更,都能够取得相同的网络访问策略。

Cisco ISE(以下简称ISE)作为RADIUS服务器,可以对接入网络的用户进行认证,保障企业内网的安全。

本例实用于多网关场景,公益论坛 北京心理卫生协会30周年庆典暨第十二届海峡两岸阳光心实践坛,即用户网关位于不同设备上。

业务随行功能仅在交换机NAC统一模式下支持。

假如在用户和认证控制点之间存在二层交换机,需要在二层交换机上配置802.1X认证报文二层透明传输功效。

交换机侧与服务器侧的RADIUS共享密钥必须坚持一致,Visual Studio 2017 15.4 正式宣布,那些你必需晓得的新特征!

交换机默认放行发往RADIUS服务器的报文,不须要针对其配置免认证规矩。

举例中的RADIUS服务器以2.2.0.470版本的ISE为例,控制器以V100R002C10版本的Agile ControllerCampus为例。

节制器下发交换机不支撑的UCL组名称(比方中文字符、特殊字符)时,交换机不能解析。交换机支持的UCL组名称与命令uclgroup groupindex [ name groupname ]中变量groupname的请求一致,不能为“”、“”、“a”、“an”、“any”或者包括以下任一字符“/、、:、*、?、"、<、>、|、@、'、%”,所以在把持器上配置UCL组名称时,不能应用中文字符跟这些特别字符。

如果交换机曾经与其他Agile ControllerCampus配置过业务随行,请执行如下步骤清除历史数据后再从新配置。

a. 在系统视图执行undo grouppolicy controller命令,去使能业务随行功能,断开与Agile ControllerCampus的联动。

b. 履行undo acl all命令肃清访问权限控制策略。

c. 执行undo uclgroup ip all命令清除安全组绑定的IP地址信息。

d. 执行undo uclgroup all命令扫除安全组。

e. 退出到用户视图执行save命令保存,主动消除之前部署的版本号。

交换机版本

可部署认证控制点的交换机或单板

可部署VXLAN的交换机

Agile ControllerCampus版本

V200R011C10及之后版本

S5720HI

S7700&S9700&S12700系列交换机的X系列单板

S5720HI

S7706、S7710、S7712(主控板为SRUE、SRUH或SRUK)

S7908

S12700

V100R002C10、V100R003C00、V100R003C30

某企业为保证内网安全,现有如下需求:

用户必需通过802.1X认证才干接入网络

用户网关作为DHCP服务器为终端调配IP地址

用户1和用户2通过认证后均能访问客户问题处理系统

用户1和用户2通过认证后无法互相访问

用户所属安全组及各自的网络访问策略由Agile ControllerCampus和ISE控制,进步运维效力

图11 企业内网拓扑图

需要剖析

用户从认证交换机Switch1或Switch2接入时,ISE对其进行认证并授权给其一个安全组,用来标识用户;当用户访问其余交换机上的资源时,不必再次认证授权。该解决方案中的一项要害技巧是,通过Agile ControllerCampus把用户所属安全组及安全组之间的网络访问策略下发到网络中所有波及的交换机,通过VXLAN隧道携带用户安全组信息,因此不需要在其他交换机上再次进行认证。

数据筹备

表12 IP地址和VXLAN数据规划

设备

VXLAN隧道

接口

Switch1

Switch1—>Switch3:

BD:10

VNI:2010

Source IP:10.1.1.2

Peer IP:10.3.3.2

GE0/0/1:

IP:192.168.2.1

GE0/0/2:

VLAN:101

VLANIF IP:192.168.60.1

Switch2

Switch2—>Switch3:

BD:20

VNI:2020

Source IP:10.2.2.2

Peer IP:10.3.3.2

GE0/0/1:

IP:192.168.3.1

GE0/0/2:

VLAN:201

VLANIF IP:192.168.21.1

Switch3

Switch3—>Switch1:

BD:10

VNI:2010

Source IP:10.3,互联网的预言大神——凯文·凯利最新报告:将来的12 个趋势,刷新你的三观!.3.2

Peer IP:10.1.1.2

Switch3—>Switch2:

BD:20

VNI:2020

Source IP:10.3.3.2

Peer IP:10.2.2.2

GE1/0/1:

IP:192.168.2.2

GE1/0/2:

IP:192.168.3.2

GE1/0/3:

IP:192.168.11.1

GE1/0/4:

IP:192.168.30.1

表13 认证数据规划

名目

数据

RADIUS服务器模板

名称:policy

RADIUS共享密钥:Huawei@2017

Switch1源IP地址:192.168.2.1

Switch2源IP地址:192.168.3.1

RADIUS服务器IP地址:192.168.11.20

认证端口:1812

计费端口:1813

AAA认证计划

名称:auth

认证方式:RADIUS

AAA计费方案

名称:acco

计费方式:RADIUS

实时计费时光距离:15分钟

认证域

名称:huawei.com

援用模板:AAA认证方案auth、AAA计费方案acco、RADIUS服务器模板policy

802.1X接入模板

名称:802.1xaccess

认证协议:EAP

名称:802.1xauth

引用模板:802.1X接入模板802.1xaccess

表14 业务随行数据计划

项目

数据

Switch1 IP地址

192.168.2.1

Switch2 IP地址

192.168.3.1

Agile ControllerCampus IP地址

192.168.11.10

对接密码

Admin@2017

安全组

pc_group1:用户1所属安全组

pc_group2:用户2所属保险组

Problem:客户问题处理系统所属安全组

1. 配置交换机:

配置NAC模式为统一模式。

配置IP地址和路由协议,保证整网互通。

配置VXLAN地道和VXLAN三层网关。

配置802.1X认证。

配置业务随行。

2. 配置Agile ControllerCampus:

登录Agile ControllerCampus。

添加交换机。

配置安全组。

配置访问权限控制策略。

3. 配置ISE:

登录ISE。

配置本地用户。

添加接入认证交换机。

(可选)配置认证协议模板。

配置认证策略。

配置受权策略。

4. 验证配置结果。

操作步骤

步骤 1 配置交换机。

1. 配置Switch1和Switch2的NAC模式为统一模式。

交换机默以为NAC统一模式。从传统模式切换至统一模式时,必须根据提醒输入y即时重启交换机,能力成功切换NAC模式。

<HUAWEI> systemview

[HUAWEI] authentication unifiedmode

2. 配置IP地址和路由协议,保证整网互通。

# 配置Switch1。

[HUAWEI] sysname Switch1

[Switch1] dhcp enable //全局使能DHCP服务

[Switch1] interface loopback 1

[Switch1LoopBack1] ip address 10.1.1.2 32

[Switch1LoopBack1] quit

[Switch1] interface gigabitethernet 0/0/1

[Switch1GigabitEthernet0/0/1] undo portswitch

[Switch1GigabitEthernet0/0/1] ip address 192.168.2.1 24

[Switch1GigabitEthernet0/0/1] quit

[Switch1] vlan batch 101

[Switch1] interface gigabitethernet 0/0/2

[Switch1GigabitEthernet0/0/2] port linktype access

[Switch1GigabitEthernet0/0/2] port default vlan 101

[Switch1GigabitEthernet0/0/2] quit

[Switch1] interface vlanif 101

[Switch1Vlanif101] ip address 192.168.60.1 24

[Switch1Vlanif101] dhcp select interface

[Switch1Vlanif101] quit

[Switch1] ospf

[Switch1ospf1] area 0

[Switch1ospf1area0.0.0.0] network 10.1.1.2 0.0.0.0

[Switch1ospf1area0.0.0.0] network 192.168.2.0 0.0.0.255

[Switch1ospf1area0.0.0.0] quit

[Switch1ospf1] quit

# 配置Switch2。

[HUAWEI] sysname Switch2

[Switch2] dhcp enable

[Switch2] interface loopback 1

[Switch2LoopBack1] ip address 10.2.2.2 32

[Switch2LoopBack1] quit

[Switch2] interface gigabitethernet 0/0/1

[Switch2GigabitEthernet0/0/1] undo portswitch

[Switch2GigabitEthernet0/0/1] ip address 192.168.3.1 24

[Switch2GigabitEthernet0/0/1] quit

[Switch2] vlan batch 201

[Switch2] interface gigabitethernet 0/0/2

[Switch2GigabitEthernet0/0/2] port linktype access

[Switch2GigabitEthernet0/0/2] port default vlan 201

[Switch2GigabitEthernet0/0/2] quit

[Switch2] interface vlanif 201

[Switch2Vlanif201] ip address 192.168.21.1 24

[Switch2Vlanif201] dhcp select interface

[Switch2Vlanif201] quit

[Switch2] ospf

[Switch2ospf1] area 0

[Switch2ospf1area0.0.0.0] network 10.2.2.2 0.0.0.0

[Switch2ospf1area0.0.0.0] network 192.168.3.0 0.0.0.255

[Switch2ospf1area0.0.0.0] quit

[Switch2ospf1] quit

# 配置Switch3。

<HUAWEI> systemview

[HUAWEI] sysname Switch3

[Switch3] interface loopback 1

[Switch3LoopBack1] ip address 10.3.3.2 32

[Switch3LoopBack1] quit

[Switch3] interface gigabitethernet 1/0/1

[Switch3GigabitEthernet1/0/1] undo portswitch

[Switch3GigabitEthernet1/0/1] ip address 192.168.2.2 24

[Switch3GigabitEthernet1/0/1] quit

[Switch3] interface gigabitethernet 1/0/2

[Switch3GigabitEthernet1/0/2] undo portswitch

[Switch3GigabitEthernet1/0/2] ip address 192.168.3.2 24

[Switch3GigabitEthernet1/0/2] quit

[Switch3] interface gigabitethernet 1/0/3

[Switch3GigabitEthernet1/0/3] undo portswitch

[Switch3GigabitEthernet1/0/3] ip address 192.168.11.1 24

[Switch3GigabitEthernet1/0/3] quit

[Switch3] interface gigabitethernet 1/0/4

[Switch3GigabitEthernet1/0/4] undo portswitch

[Switch3GigabitEthernet1/0/4] ip address 192.168.30.1 24

[Switch3GigabitEthernet1/0/4] quit

[Switch3] ospf

[Switch3ospf1] area 0

[Switch3ospf1area0.0.0.0] network 10.3.3.2 0.0.0.0

[Switch3ospf1area0.0.0.0] network 192.168.2.0 0.0.0.255

[Switch3ospf1area0.0.0.0] network 192.168.3.0 0.0.0.255

[Switch3ospf1area0.0.0.0] network 192.168.11.0 0.0.0.255

[Switch3ospf1area0.0.0.0] network 192.168.30.0 0.0.0.255

[Switch3ospf1area0.0.0.0] quit

[Switch3ospf1] quit

# OSPF成功配置后,各交换机之间路由可达,下面以Switch1 ping Switch2为例。

[Switch1] ping 10.2.2.2

PING 10.2.2.2: 56 data bytes, press CTRL_C to break

Reply from 10.2.2.2: bytes=56 Sequence=1 ttl=255 time=240 ms

Reply from 10.2.2.2: bytes=56 Sequence=2 ttl=255 time=5 ms

Reply from 10.2.2.2: bytes=56 Sequence=3 ttl=255 time=5 ms

Reply from 10.2.2.2: bytes=56 Sequence=4 ttl=255 time=14 ms

Reply from 10.2.2.2: bytes=56 Sequence=5 ttl=255 time=5 ms

10.2.2.2 ping statistics

5 packet(s) transmitted

5 packet(s) received

0.00% packet loss

roundtrip min/avg/max = 5/53/240 ms

3. 配置VXLAN隧道和VXLAN三层网关。

# 配置Switch3。

[Switch3] bridgedomain 10

[Switch3bd10] vxlan vni 2010

[Switch3bd10] quit

[Switch3] interface nve 1

[Switch3Nve1] source 10.3.3.2

[Switch3Nve1] vni 2010 headend peerlist 10.1.1.2

[Switch3Nve1] quit

[Switch3] bridgedomain 20

[Switch3bd20] vxlan vni 2020

[Switch3bd20] quit

[Switch3] interface nve 1

[Switch3Nve1] source 10.3.3.2

[Switch3Nve1] vni 2020 headend peerlist 10.2.2.2

[Switch3Nve1] quit

# 在Switch3上配置VXLAN三层网关。

[Switch3] interface vbdif 10

[Switch3Vbdif10] ip address 192.168.10.10 24

[Switch3Vbdif10] quit

[Switch3] interface vbdif 20

[Switch3Vbdif20] ip address 192.168.20.10 24

[Switch3Vbdif20] quit

# 配置Switch1。

[Switch1] bridgedomain 10

[Switch1bd10] vxlan vni 2010

[Switch1bd10] quit

[Switch1] interface nve 1

[Switch1Nve1] source 10.1.1.2

[Switch1Nve1] vni 2010 headend peerlist 10.3.3.2

[Switch1Nve1] quit

[Switch1] interface vbdif 10

[Switch1Vbdif10] ip address 192.168.10.11 24

[Switch1Vbdif10] quit

[Switch1] ip routestatic 192.168.21.0 255.255.255.0 192.168.10.10

# 配置Switch2。

[Switch2] bridgedomain 20

[Switch2bd20] vxlan vni 2020

[Switch2bd20] quit

[Switch2] interface nve 1

[Switch2Nve1] source 10.2.2.2

[Switch2Nve1] vni 2020 headend peerlist 10.3.3.2

[Switch2Nve1] quit

[Switch2] interface vbdif 20

[Switch2Vbdif20] ip address 192.168.20.11 24

[Switch2Vbdif20] quit

[Switch2] ip routestatic 192.168.60.0 255.255.255.0 192.168.20.10

4. 配置802.1X认证。此处以Switch1为例,Switch2与之类似,不再赘述。

a. 配置RADIUS服务器模板。

[Switch1] radiusserver template policy

[Switch1radiuspolicy] radiusserver authentication 192.168.11.20 1812 source ipaddress 192.168.2.1 //配置RADIUS认证服务器

[Switch1radiuspolicy] radiusserver accounting 192.168.11.20 1813 source ipaddress 192.168.2.1 //配置RADIUS计费服务器

[Switch1radiuspolicy] radiusserver sharedkey cipher Huawei@2017 //配置RADIUS共享密钥为Huawei@2017

[Switch1radiuspolicy] undo radiusserver username domainincluded //配置装备向RADIUS服务器发送的报文中的用户名为用户原始输入的用户名,设备错误其进行修正

[Switch1radiuspolicy] callingstationid macformat hyphensplit mode2 uppercase //配置RADIUS报文中CallingStationId属性中的MAC地址格局为XXXXXXXXXXXX

[Switch1radiuspolicy] quit

[Switch1] radiusserver authorization attributedecodesameastemplate //配置设备根据RADIUS服务器模板中的配置对CallingStationId属性进行解析

b. 配置AAA方案和认证域。

[Switch1] aaa

[Switch1aaa] authenticationscheme auth

[Switch1aaaauthenauth] authenticationmode radius //配置认证方式为RADIUS

[Switch1aaaauthenauth] quit

[Switch1aaa] accountingscheme acco

[Switch1aaaaccountingacco] accountingmode radius //配置计费方式为RADIUS

[Switch1aaaaccountingacco] accounting realtime 15 //配置实时计费时间距离为15分钟

[Switch1aaaaccountingacco] quit

[Switch1aaa] domain huawei.com

[Switch1aaadomainhuawei.com] radiusserver policy

[Switch1aaadomainhuawei.com] authenticationscheme auth

[Switch1aaadomainhuawei.com] accountingscheme acco

[Switch1aaadomainhuawei.com] quit

[Switch1aaa] quit

[Switch1] domain huawei.com //配置认证域huawei.com为全局默认认证域

c. 使能802.1X认证。

[Switch1] dot1xaccessprofile name 802.1xaccess //802.1X接入模板默认采取EAP认证方法

[Switch1dot1xaccessprofile802.1xaccess] quit

[Switch1] authenticationprofile name 802.1xauth //配置认证模板

[Switch1authenprofile802.1xauth] dot1xaccessprofile 802.1xaccess

[Switch1authenprofile802.1xauth] quit

[Switch1] interface gigabitethernet 0/0/2

[Switch1GigabitEthernet0/0/2] authenticationprofile 802.1xauth //在认证控制点使能802.1X认证

[Switch1GigabitEthernet0/0/2] quit

5. 配置业务随行。此处以Switch1为例,Switch2与之类似,不再赘述。

[Switch1] grouppolicy controller 192.168.11.10 password Admin@2017 srcip 192.168.2.1

[Switch1] quit

<Switch1> save

The current configuration will be written to flash:/vrpcfg.zip.

Are you sure to continue?[Y/N]y

步骤 2 配置Agile ControllerCampus。

1. 登录Agile ControllerCampus。打开Internet Explorer浏览器,在地址栏输入Agile ControllerCampus的访问地址,输入用户名和密码登录Agile ControllerCampus。

2. 添加交换机。

a. 单击“资源 > 设备 > 设备管理”,单击右侧“增添”,根据表14和下图添加Switch1和Switch2,完成后单击“断定”。此处以Switch1为例,Switch2与之类似,不再赘述。

b. 选中Switch1和Switch2,单击“同步”。

c. Switch1的“通信状态”变为,即通讯状况为正常。也可以在Switch1和Switch2上执行命令display grouppolicy status查看其与Agile ControllerCampus的通信状态,State参数为working,表现其与Agile ControllerCampus之间通信畸形。此处以Switch1为例,Switch2与之类似,不再赘述。

<Switch1> display grouppolicy status

Controller IP address: 192.168.11.10

Controller port: 5222

Backup controller IP address:

Backup controller port:

Source IP address: 192.168.2.1

State: working

Connected controller: master

Device protocol version: 2

Controller protocol version: 2

d. 选择“设备组 > 业务随行组 > 自定义分组”,单击设备组右侧的,新建设备分组UCL,单击“肯定”保存。

e. 选中UCL分组,单击右侧“加入”,将Switch1和Switch2参加到该分组。

3. 配置安全组。

a. 配置动态安全组。单击“策略 > 准入控制 > 安全组 > 动态安全组管理”,单击右侧“增加”,增加动态安全组pc_group1,完成后单击“确定”。此处以增加pc_group1为例,pc_group2与之类似,不再赘述。

b. 部署安全组。选中pc_group1和pc_group2,单击“全网部署”,将动态安全组部署到Switch1和Switch2上,在Switch1和Switch2执行命令display uclgroup all可以查看部署成功的安全组。此处以Switch1为例,Switch2与之类似,不再赘述。

<Switch1> display uclgroup all

ID UCL group name

31 pc_group1

32 pc_group2

Total : 2

c. 配置静态安全组。单击左侧“静态安全组管理”,单击右侧“增加”,增加静态安全组Problem,绑定客户问题处理系统的IP地址,完成后单击“确定”。

4. 配置访问权限控制策略。

a. 单击“策略 > 业务随行 > 策略配置 > 访问权限控制”,在“通用策略”下选择分组UCL,单击右侧“增长”,可配置用户组之间的访问权限控制策略。本例中以用户1和用户2均能访问客户问题处理系统,但二者之间无法互相访问为例进行配置。

b. 配置用户1与用户2无法互相访问,用户1可以访问客户问题处理系统。

c. 配置用户2与用户1无法互相访问,用户2可以访问客户问题处理系统。

d. 选中需要部署的策略,单击“全网部署”,将访问权限控制策略下发至Switch1和Switch2。在Switch1和Switch2上执行命令display acl all能够查看安排胜利的访问控制权限策略。此处以Switch1为例,Switch2与之类似,不再赘述。

<Switch1> display acl all

Total nonempty ACL number is 2

Uclgroup ACL Auto_PGM_U31 9998, 2 rules

Acl's step is 5

rule 1 deny ip source uclgroup 31 destination uclgroup 32

rule 2 permit ip source uclgroup 31 destination 192.168.30.2 0

Uclgroup ACL Auto_PGM_U32 9999, 2 rules

Acl's step is 5

rule 1 deny ip source uclgroup 32 destination uclgroup 31

rule 2 permit ip source uclgroup 32 destination 192.168.30.2 0

步骤 3配置ISE。

1.登录ISE。翻开Internet Explorer阅读器,在地址栏输入ISE的访问地址,单击“Enter”,进入ISE的登录页面,输入ISE治理员账号和密码登录ISE。

2.配置本地用户。

a. 选择上方“Administration > Identity Management > Groups”,单击左侧“User Identity Groups”,单击右侧“Add”,创建分组pc_group1和pc_group2,配置完成后单击下方“Submit”提交。此处以pc_group1为例,pc_group2与之类似,不再赘述。

b. 取舍上方“Administration > Identity Management > Identities”,单击左侧“Users”,单击右侧“Add”,配置用户1和用户2用户信息,分离增添到群组pc_group1和pc_group2,配置完成后单击下方“Submit”提交。此处以用户1为例,用户2与之类似,不再赘述。

3. 增加接入认证交流机。

a. 配置接入认证设备模板。选择上方“Administration > Network Resources > Network Device Profiles”,单击下方“Add”,创建接入认证设备模板hw,根据表格进行配置,完成后单击右侧“Jump To Top”,单击“Submit”提交。

因为本例并未使用华为RADIUS扩大属性,因而可以不执行该步骤,后续使用的接入认证设备模板采用缺省的Cisco即可。

表15 接入认证设备模板hw

项目

数据

Name

hw

Vendor

Other

Supported Protocols

RADIUS

TACACS+

TrustSec

RADIUS Dictionaries

HW

阐明

如果ISE上无华为RADIUS扩展属性字典“HW”,必须先手动创建。华为公司的Vendor ID是2011。

“Authentication/Authorization > Flow Type Conditions”

Wired 802.1X detected if the following condition(s) are met :

“Radius:NASPortType” = “Ethernet”

“Radius:ServiceType” = “Framed”

“Authentication/Authorization > Attribute Aliasing”

勾选SSID:“Radius:CalledStationID”

Permissions

勾选Set VLAN:勾选“IETF 802.1X Attributes”

勾选Set ACL:“Radius:FilterID”

Change of Authorization (CoA)

CoA by:RADIUS

Default CoA Port:3799

Default DTLS CoA Port:2083

Timeout Interval:5

Retry Count:2

勾选“Send MessageAuthenticator”

“Change of Authorization (CoA) > Disconnect”:RFC 5176

“Radius:AcctSessionId” = “0”

“Radius:AcctTerminateCause” = “Admin Reset”

“Change of Authorization (CoA) > Disconnect”:Port Bounce和Port Shutdown

“Change of Authorization (CoA) > Reauthenticate”:Basic、Rerun和Last

“Change of Authorization (CoA) > CoA Push”:RFC 5176

“Radius:AcctSessionId” = “0”

b. 配置接入认证交换机。选择上方“Administration > Network Resources > Network Devices”,单击左侧“Network devices”,单击右侧“Add”,添加接入认证交换机Switch1和Switch2,根据表格进行配置,完成后单击下方“Submit”提交。此处以Switch1为例,Switch2与之类似,不再赘述。

表16 接入认证交换机Switch1和Switch2

项目

数据

Switch1

Name:Switch1

IP Address:192.168.2.1/32

Device Profile:hw

“RADIUS Authentication Settings > Shared Secret”:Huawei@2017

Switch2

Name:Switch2

IP Address:192.168.3.1/32

Device Profile:hw

“RADIUS Authentication Settings > Shared Secret”:Huawei@2017

4. (可选)配置认证协定模板。

# 选择上方“Policy > Policy Elements > Results”,选择左侧“Authentication > Allowed Protocols”,单击右侧“Add”,即可创建认证协议模板,根据实际需求勾选认证协议,配置完成后单击下方“Submit”提交。

本例使用的认证协议模板Default Network Access为ISE默认的认证协议模板,如果能够满意实际需求,可以不再另行创建。

5. 配置认证策略。

# 挑选上方“Policy > Authentication”,“Policy Type”选择“RuleBased”,单击第一条认证策略右侧“Edit”后的,单击“Insert new row above”,创建认证策略wired_802.1xauthen,根据图示进行配置,完成后单击右侧“Done”,单击下方“Save”保存。

Wired_802.1X为ISE默认的有线802.1X认证需要知足的规则。

6. 配置授权策略。

a. 配置授权模板。选择上方“Policy > Policy Elements > Results”,选择左侧“Authorization > Authorization Profiles”,单击右侧“Add”,创建授权模板pc_group1_author_pro和pc_group2_author_pro,根据图示进行配置,完成后单击下方“Submit”提交。此处以pc_group1_author_pro为例,pc_group2_author_pro与之类似,不再赘述。

b. 配置授权策略。抉择上方“Policy > Authorization”,单击第一条授权策略“Edit”后的,单击“Insert New Rule Above”,创立授权策略pc_group1_author_policy和pc_group2_author_policy,依据图示进行配置,实现后单击右侧“Done”,单击下方“Save”保留。此处以pc_group1_author_policy为例,pc_group2_author_policy与之相似,不再赘述。

步骤 4 验证配置成果。

上述配置成功后,在Switch1、Switch2和Switch3上执行命令display vxlan vni可查看到VNI的状态是up;执行命令display vxlan tunnel可查看到VXLAN隧道的信息,此处以Switch3为例,Switch1和Switch2与之类似,不再赘述。

[Switch3] display vxlan vni

VNI BDID State

2010 10 up

2020 20 up

Number of vxlan vni bound to BD is : 2

[Switch3] display vxlan tunnel

Tunnel ID Source Destination State Type

4026531842 10.3.3.2 10.1.1.2 up static

4026531841 10.3.3.2 10.2.2.2 up static

Number of vxlan tunnel : 2

Agile ControllerCampus将平安组之间的访问权限掌握策略下发至Switch1和Switch2,用户1和用户2上线后,通过ISE的802.1X认证,分辨加入安全组pc_group1和pc_group2,都可能访问客户问题处置体系,但无奈相互拜访。

后台-系统设置-扩展变量-手机广告位-内容正文底部
标签:
浅思大数据时期下人力资源治理的改造
【机械原理】千斤顶的工作原理有好多少种,在工作中利用良多

已有条评论,欢迎点评!