Tweet
Test aaa Command (kiểm tra lệnh aaa)
Các thiết bị chuyển mạch của Cisco có một cơ chế tích hợp để gửi xác thực kiểm tra đến các máy chủ AAA mà chúng được cấu hình để sử dụng. Sử dụng lệnh kiểm tra aaa, bạn có thể xác minh rằng xác thực được gửi và nhận thành công bởi máy chủ RADIUS. Ví dụ 2-2 cho thấy việc sử dụng lệnh aaa thử nghiệm và phản hồi thành công. Lệnh aaa thử nghiệm sẽ gửi yêu cầu xác thực bằng PAP_ASCII và trả về RADIUS Access-Accept nếu thành công hoặc từ chối truy cập nếu mật khẩu không chính xác. Nếu không nhận được phản hồi, thì giao tiếp giữa công tắc và máy chủ RADIUS sẽ không xảy ra. Cũng có thể các Giao thức được phép xác thực có thể không cho phép PAP_ASCII. Vì vậy, đảm bảo xác thực không bị từ chối vì lý do đó.
Ví dụ 2-2 kiểm tra lệnh aaa
show authentication session interface Command(hiển thị giao diện phiên xác thực Lệnh)
Một trong những lệnh đi đến trong mọi túi công cụ của người triển khai là Trực tiếp là lệnh giao diện phiên xác thực. Có, tùy chọn giao diện được thêm vào lệnh cơ sở của phiên xác thực hiển thị, nhưng đó là để cung cấp thêm chi tiết. Ví dụ 2-3 cho thấy việc sử dụng lệnh này và đầu ra, hiển thị xác thực MAB thành công. Sử dụng lệnh này để xác thực rằng các xác thực đang được thử, thành công, kết quả ủy quyền nào đã được chỉ định và nhiều hơn nữa.
Ví dụ 2-3 hiển thị giao diện phiên xác thực Lệnh
Có nhiều khía cạnh của phiên xác thực được hiển thị trong lệnh đầu ra này. Vì đây là một trong những lệnh quan trọng nhất, các trường quan trọng nhất của đầu ra được mô tả trong danh sách này:
Syslog có thể được tạo trên Phần mềm Cisco IOS trong nhiều sự kiện. Một số thông báo nhật ký hệ thống có thể được gửi đến Nút giám sát ISE (MNT) để sử dụng cho mục đích khắc phục sự cố. Nút ISE MNT sẽ tương quan dữ liệu nhật ký hệ thống với dữ liệu RADIUS và hiển thị cả hai cùng nhau trong một báo cáo. Điều này có thể rất hữu ích khi kiểm tra xem các dACL đã được áp dụng đúng chưa, cũng như các xác nhận quan trọng khác.
Không nên cho phép gửi tin nhắn nhật ký hệ thống tới ISE từ tất cả các NAD mọi lúc, nhưng chỉ bật nó khi xử lý sự cố.
Để đảm bảo Cisco ISE có thể biên dịch các thông báo nhật ký hệ thống phù hợp từ tổng đài, hãy sử dụng các lệnh sau.
Step 1. Kích hoạt syslog trên thiết bị.
EPM là một phần của mô-đun Phần mềm Cisco IOS chịu trách nhiệm về các tính năng như Xác thực Web và dACL. Việc kích hoạt ghi nhật ký EPM tạo ra một nhật ký hệ thống liên quan đến ủy quyền ACL có thể tải xuống và một phần của nhật ký có thể được tương quan bên trong Cisco ISE khi các nhật ký đó được gửi đến Cisco ISE.
Step 2. Thiết lập chức năng ghi nhật ký tiêu chuẩn trên công tắc để hỗ trợ có thể
xử lý sự cố / ghi cho các chức năng Cisco ISE.
C3560X(config)#epm logging
Chỉ các thông báo nhật ký hệ thống NAD sau đây mới thực sự được Cisco ISE thu thập và sử dụng:
Verifying Authentications with Cisco WLCs(Xác minh xác thực với WLC của Cisco)
Cisco WLC có một số cơ chế tích hợp có thể được sử dụng để xác minh tính xác thực.
Current Clients(Khách hàng hiện tại)
Từ GUI WLC của Cisco, điều hướng đến Màn hình> Khách hàng, như trong Hình 2-96. Hình 2-96 là một bản chụp màn hình đã được sửa đổi của Giao diện người dùng khách hàng, trong nỗ lực ép thông tin quan trọng lên trang của cuốn sách này trong khi vẫn giữ được mức độ dễ đọc của văn bản trên màn hình. Nếu bạn đang theo dõi trên WLC của riêng bạn, bạn sẽ thấy nhiều trường được hiển thị trong bảng.
Như được hiển thị trong Hình 2-96, màn hình Khách hàng hiển thị tất cả các máy khách hiện tại được liên kết với WLC, cùng với thông tin rất có giá trị, chẳng hạn như:
Debug Client (Gỡ lỗi khách hàng)
WLC cung cấp một vài lệnh gỡ lỗi rất hữu ích: gỡ lỗi dot1x và gỡ lỗi máy khách <macaddress>. gỡ lỗi dot1x có thể là một chút áp đảo trên mạng trực tiếp, nhưng lệnh máy khách gỡ lỗi sẽ chỉ hiển thị các sự kiện liên quan đến điểm cuối cụ thể đó. Ví dụ 2-4 cho thấy một ví dụ về lệnh máy khách gỡ lỗi.
Cisco ISE Verification(Xác minh Cisco ISE)
Xác thực xác thực từ NAD có rất nhiều giá trị, nhưng nhiều lần nên xem các xác thực từ bảng điều khiển trung tâm. Cisco ISE là bảng điều khiển trung tâm. ISE có Nhật ký xác thực trực tiếp (thường được gọi là Nhật ký trực tiếp).
Live Authentications Log(Nhật ký xác thực trực tiếp)
To view the Live Log, navigate to Work Centers > Network Access > Overview > RADIUS Livelog, as shown in Figure 2-98.
Như được hiển thị trong Hình 2-98, Nhật ký trực tiếp hiển thị hoạt động xác thực gần thời gian thực cho ISE Cube (triển khai IS. a.k.a. ISE). Bạn có thể thấy xác thực không dây thành công từ worker1 và worker2 trên các thiết bị khác nhau. Bạn sẽ trở nên rất quen thuộc với Nhật ký trực tiếp khi bạn thực hành với ISE.
Summary(Tóm lược)
Trong chương này, bạn đã tìm hiểu tất cả về các điều khiển truy cập mạng cơ bản với Cisco ISE và tự cấu hình các thiết bị truy cập mạng có dây và không dây. Chương tiếp theo sẽ mở rộng kiến thức của bạn với một số khái niệm kiểm soát truy cập mạng không cơ bản như cấu hình và xác thực web và các khái niệm nâng cao hơn như xác thực thụ động và EZ Connect.
Ngay cả với tất cả các chủ đề ISE được đề cập trong các Chương 2, 3 và 4 của cuốn sách này, vẫn có nhiều cơ sở hơn để trình bày và có toàn bộ sách dành riêng cho ISE, chẳng hạn như Cisco ISE được tham chiếu trước đây cho BYOD và Truy cập Hợp nhất Bảo mật, Phiên bản thứ hai. Nếu bạn đang làm bài kiểm tra Bảo mật CCIE, bạn cũng rất nên đọc cuốn sách đó ngoài cuốn sách này.
Các thiết bị chuyển mạch của Cisco có một cơ chế tích hợp để gửi xác thực kiểm tra đến các máy chủ AAA mà chúng được cấu hình để sử dụng. Sử dụng lệnh kiểm tra aaa, bạn có thể xác minh rằng xác thực được gửi và nhận thành công bởi máy chủ RADIUS. Ví dụ 2-2 cho thấy việc sử dụng lệnh aaa thử nghiệm và phản hồi thành công. Lệnh aaa thử nghiệm sẽ gửi yêu cầu xác thực bằng PAP_ASCII và trả về RADIUS Access-Accept nếu thành công hoặc từ chối truy cập nếu mật khẩu không chính xác. Nếu không nhận được phản hồi, thì giao tiếp giữa công tắc và máy chủ RADIUS sẽ không xảy ra. Cũng có thể các Giao thức được phép xác thực có thể không cho phép PAP_ASCII. Vì vậy, đảm bảo xác thực không bị từ chối vì lý do đó.
Ví dụ 2-2 kiểm tra lệnh aaa
show authentication session interface Command(hiển thị giao diện phiên xác thực Lệnh)
Một trong những lệnh đi đến trong mọi túi công cụ của người triển khai là Trực tiếp là lệnh giao diện phiên xác thực. Có, tùy chọn giao diện được thêm vào lệnh cơ sở của phiên xác thực hiển thị, nhưng đó là để cung cấp thêm chi tiết. Ví dụ 2-3 cho thấy việc sử dụng lệnh này và đầu ra, hiển thị xác thực MAB thành công. Sử dụng lệnh này để xác thực rằng các xác thực đang được thử, thành công, kết quả ủy quyền nào đã được chỉ định và nhiều hơn nữa.
Ví dụ 2-3 hiển thị giao diện phiên xác thực Lệnh
Có nhiều khía cạnh của phiên xác thực được hiển thị trong lệnh đầu ra này. Vì đây là một trong những lệnh quan trọng nhất, các trường quan trọng nhất của đầu ra được mô tả trong danh sách này:
- Interface: Đây là giao diện chuyển đổi kiểm soát phiên xác thực.
- MAC Address: Đây là địa chỉ MAC của điểm cuối đang được xác thực.
- IP Address: Lệnh theo dõi thiết bị ip cho phép công tắc theo dõi địa chỉ IP nào được liên kết với các điểm cuối được kết nối với giao diện chuyển đổi. Điều này áp dụng cho cả địa chỉ IP tĩnh và địa chỉ được gán DHCP. Khi công tắc đã biết được địa chỉ IP điểm cuối, nó sẽ được liệt kê ở đây.
- User-Name: Tên người dùng RADIUS được hiển thị ở đây, khi sử dụng 802.1X. Khi phương thức xác thực là MAB, tên người dùng sẽ giống như địa chỉ MAC.
- Status: Điều này liệt kê trạng thái của phiên xác thực, có thể là Không hoạt động, Đang chạy, Không có Phương thức, Authc Thành công, Authc Không thành công, Authz Thành công hoặc Authz Không thành công.
- Domain: Điều này liệt kê tên miền liên quan đến chế độ máy chủ của giao diện chuyển đổi. Với các chế độ MultiAuth, MDA và Multi-Host, có hai miền: DATA và VOICE. Mỗi phiên xác thực có thể được chỉ định cho một và chỉ một trong các miền.
- Security Policy: Một cái tên tốt hơn cho điều này sẽ là Chính sách MACSec, vì đó chính xác là những gì lĩnh vực đang đề cập đến. MACSec là tên thân thiện cho IEEE 802.1AE, một tiêu chuẩn mã hóa Lớp 2. Ba tùy chọn là Bảo mật, Phải Bảo mật và Không Bảo mật.
- Security Status: Điều này sẽ hiển thị mã hóa MACSec hiện tại được áp dụng. Khi an toàn, có mã hóa. Khi không an toàn, không có mã hóa.
- Oper host mode: Điều này liệt kê chế độ máy chủ của giao diện chuyển đổi. Chế độ đơn, đa miền, đa xác thực và đa máy chủ là các chế độ hoạt động có sẵn.
- Common Session ID: ID phiên được sử dụng để tương quan thông tin phiên xác thực giữa NAD và máy chủ Cisco RADIUS. Khi khắc phục sự cố, thường cần phải so sánh giá trị này với giá trị được hiển thị trong Cisco ISE.
- Runnable methods list: Các phương thức có sẵn là mab, dot1x hoặc webauth. Các trạng thái có thể có của các phương thức là Không chạy, Chạy, Không thành công, Authc Thành công và Authc Không thành công.
Syslog có thể được tạo trên Phần mềm Cisco IOS trong nhiều sự kiện. Một số thông báo nhật ký hệ thống có thể được gửi đến Nút giám sát ISE (MNT) để sử dụng cho mục đích khắc phục sự cố. Nút ISE MNT sẽ tương quan dữ liệu nhật ký hệ thống với dữ liệu RADIUS và hiển thị cả hai cùng nhau trong một báo cáo. Điều này có thể rất hữu ích khi kiểm tra xem các dACL đã được áp dụng đúng chưa, cũng như các xác nhận quan trọng khác.
Không nên cho phép gửi tin nhắn nhật ký hệ thống tới ISE từ tất cả các NAD mọi lúc, nhưng chỉ bật nó khi xử lý sự cố.
Để đảm bảo Cisco ISE có thể biên dịch các thông báo nhật ký hệ thống phù hợp từ tổng đài, hãy sử dụng các lệnh sau.
Step 1. Kích hoạt syslog trên thiết bị.
Code:
C3560X(config)#logging monitor informational C3560X(config)#logging origin-id ip C3560X(config)#logging source-interface <interface_id> C3560X(config)#logging host <ISE_MNT_PERSONA_IP_Address_x> transport udp port 20
Step 2. Thiết lập chức năng ghi nhật ký tiêu chuẩn trên công tắc để hỗ trợ có thể
xử lý sự cố / ghi cho các chức năng Cisco ISE.
C3560X(config)#epm logging
Chỉ các thông báo nhật ký hệ thống NAD sau đây mới thực sự được Cisco ISE thu thập và sử dụng:
Verifying Authentications with Cisco WLCs(Xác minh xác thực với WLC của Cisco)
Cisco WLC có một số cơ chế tích hợp có thể được sử dụng để xác minh tính xác thực.
Current Clients(Khách hàng hiện tại)
Từ GUI WLC của Cisco, điều hướng đến Màn hình> Khách hàng, như trong Hình 2-96. Hình 2-96 là một bản chụp màn hình đã được sửa đổi của Giao diện người dùng khách hàng, trong nỗ lực ép thông tin quan trọng lên trang của cuốn sách này trong khi vẫn giữ được mức độ dễ đọc của văn bản trên màn hình. Nếu bạn đang theo dõi trên WLC của riêng bạn, bạn sẽ thấy nhiều trường được hiển thị trong bảng.
Như được hiển thị trong Hình 2-96, màn hình Khách hàng hiển thị tất cả các máy khách hiện tại được liên kết với WLC, cùng với thông tin rất có giá trị, chẳng hạn như:
- IP Address: Địa chỉ IP của điểm cuối, khi biết.
- AP Name: Tên của Điểm truy cập mà điểm cuối được liên kết.
- WLAN Profile: Tên của cấu hình WLAN được tạo trong WLC.
- WLAN SSID: Tên của SSID cho cấu hình WLAN, trong đó điểm cuối có liên quan.
- User Name: Với 802.1X, tên người dùng được hiển thị. Khi điểm cuối được xác thực qua MAB không dây, địa chỉ MAC sẽ được hiển thị.
- Auth: Nếu điểm cuối / thay thế đã được xác thực thành công, nó sẽ được liệt kê ở đây.
- Device Type: Khi cấu hình điểm cuối của thiết bị được biết đến, nó sẽ được hiển thị trong trường này.
Debug Client (Gỡ lỗi khách hàng)
WLC cung cấp một vài lệnh gỡ lỗi rất hữu ích: gỡ lỗi dot1x và gỡ lỗi máy khách <macaddress>. gỡ lỗi dot1x có thể là một chút áp đảo trên mạng trực tiếp, nhưng lệnh máy khách gỡ lỗi sẽ chỉ hiển thị các sự kiện liên quan đến điểm cuối cụ thể đó. Ví dụ 2-4 cho thấy một ví dụ về lệnh máy khách gỡ lỗi.
Cisco ISE Verification(Xác minh Cisco ISE)
Xác thực xác thực từ NAD có rất nhiều giá trị, nhưng nhiều lần nên xem các xác thực từ bảng điều khiển trung tâm. Cisco ISE là bảng điều khiển trung tâm. ISE có Nhật ký xác thực trực tiếp (thường được gọi là Nhật ký trực tiếp).
Live Authentications Log(Nhật ký xác thực trực tiếp)
To view the Live Log, navigate to Work Centers > Network Access > Overview > RADIUS Livelog, as shown in Figure 2-98.
Như được hiển thị trong Hình 2-98, Nhật ký trực tiếp hiển thị hoạt động xác thực gần thời gian thực cho ISE Cube (triển khai IS. a.k.a. ISE). Bạn có thể thấy xác thực không dây thành công từ worker1 và worker2 trên các thiết bị khác nhau. Bạn sẽ trở nên rất quen thuộc với Nhật ký trực tiếp khi bạn thực hành với ISE.
Summary(Tóm lược)
Trong chương này, bạn đã tìm hiểu tất cả về các điều khiển truy cập mạng cơ bản với Cisco ISE và tự cấu hình các thiết bị truy cập mạng có dây và không dây. Chương tiếp theo sẽ mở rộng kiến thức của bạn với một số khái niệm kiểm soát truy cập mạng không cơ bản như cấu hình và xác thực web và các khái niệm nâng cao hơn như xác thực thụ động và EZ Connect.
Ngay cả với tất cả các chủ đề ISE được đề cập trong các Chương 2, 3 và 4 của cuốn sách này, vẫn có nhiều cơ sở hơn để trình bày và có toàn bộ sách dành riêng cho ISE, chẳng hạn như Cisco ISE được tham chiếu trước đây cho BYOD và Truy cập Hợp nhất Bảo mật, Phiên bản thứ hai. Nếu bạn đang làm bài kiểm tra Bảo mật CCIE, bạn cũng rất nên đọc cuốn sách đó ngoài cuốn sách này.