Cisco France Blog
Partager

Auto Identity – Ou comment implémenter 802.1X / MAB en 30 secondes


4 July 2016


J’avoue ne pas comprendre que l’on passe toujours autant de temps à configurer des ports d’accès: mise en place répétitive et peu intéressante de configuration de VLANs, d’ACLs ou autres policies alors que 100% des réseaux Wi-Fi le font de manière automatisée en 802.1X ou autres modes d’authentification (MAB, Web authentication…) Heureusement je vois de plus en plus de clients déployer du 802.1X sur leur infrastructure filaire, souvent plus pour se simplifier la vie que pour sécuriser l’accès au port déjà protégé nativement par l’accès physique au bâtiment. Mais il y a encore un peu de marge de progression! Une des raisons souvent évoquée est la complexité de configuration du 802.1X / MAB sur les commutateurs. Alors plus d’excuses car Auto-Identity est là pour vous simplifier la vie!

Quel est le principe d’auto-identity? Il s’agit simplement d’embarquer dans des templates pré-configurés les configurations standards, documentées dans nos “validated designs”. Plus besoin de s’embêter avec les configurations il suffit globalement de dire si l’on veut une authentification stricte, en mode “faible impact” ou bien ouverte.

Cette fonctionnalité n’est disponible que si l’on est dans le mode le plus récent de configuration de la gestion des identités. Il faudra donc commencer par taper:

authentication convert-to new-style

Attention quand même car si vous avez déjà des configurations 802.1X, MAB etc… votre configuration va être complètement modifiée. Ensuite il vous faut simplement taper la commande globale suivante:

source template AI_GLOBAL_CONFIG_TEMPLATE

Cela permet d’appliquer  l’ensemble des configurations  habituelles nécessaires (configuration globale radius et authentification/authorization). Une fois que c’est fait vous déclarez simplement votre serveur radius (ci-dessous la commande de mon lab)

radius server ISE
 address ipv4 10.153.0.120 auth-port 1645 acct-port 1646
 key cisco

Et ensuite sur vos ports vous appliquez le template qui correspond au comportement désiré:

  • source template AI_CLOSED_MODE

    Ici on est dans le mode de base : ça passe ou ça casse! Soit votre authentification a réussi et vous avez accès au réseau soit elle échoue et le port reste fermé.

  • source template AI_MONITOR_MODE

    Là c’est l’inverse. Si aucune méthode d’authentification ne réussit on donne quand même l’accès et on tombera dans le VLAN spécifié sur le port. C’est parfait dans un mode de déploiement ou de découverte dans lequel on ne veut surtout pas couper les connexions!

  • source template AI_LOW_IMPACT_MODE

    C’est il me semble le mode le plus abouti. On donnera l’accès en cas d’échec mais une ACL nous limitera dans nos possibilités (par exemple on ne donnera accès qu’à des services non critiques). Ce n’est qu’en cas d’authentification réussie que l’on aura les droits complets.

Ci-dessous la configuration dans mon lab:

interface GigabitEthernet1/0/13
 source template AI_CLOSED_MODE
 ! Configuration des VLAN par défaut si rien n'est envoyé par le serveur radius
 switchport access vlan 666
 switchport voice vlan 667
!
interface GigabitEthernet1/0/14
 source template AI_LOW_IMPACT_MODE
 switchport access vlan 666
 switchport voice vlan 667
!
interface GigabitEthernet1/0/15
 source template AI_MONITOR_MODE
 switchport access vlan 666
 switchport voice vlan 667

Il est bien sûr possible de voir le résultat d’une authentification sur un port:

show access-session interface GigabitEthernet1/0/15 details

Interface:  GigabitEthernet1/0/15
          MAC Address:  c025.5c44.be08
         IPv6 Address:  2001:DB8:4000:F111::123
         IPv4 Address:  10.153.7.4
...

Il ne vous restera plus qu’à créer vos policies sur votre serveur radius et ISE (Identity Service Engine) vous permet de le faire simplement tout en offrant un grand nombre d’options. Fini la configuration port par port, on se concentre sur des règles d’accès qui prennent en compte à la fois l’identité et le type de device connecté: si c’est un téléphone Cisco alors… Si c’est un AP alors… Si c’est un poste de travail Windows avec une personne du service Marketing alors… etc. Et si l’on veut modifier, inutile de toucher nos équipements on se contente de changer les policies sur ISE!

Ceux qui voudront les détails techniques pourront visionner un précédent webinar “l’identité au coeur du réseau” disponible sur la chaîne Youtube du blog.

Sinon lisez les guides de configuration des Catalyst 2k, 3k et 4k. Seuls les 3650/3850 ne disposent pas encore de cette fonctionnalité arrivée en 3.8 / 15.2(4)E mais ça arrivera bientôt.

@JeromeDurand

Tags:
Laisser un commentaire