Simplifier sa configuration 802.1X grâce aux interface templates, c’est possible!
Tout d’abord je vous souhaite à tous une excellente année 2017! Je vous souhaite beaucoup de bonheur et de la réussite dans tous vos projets!
Pour bien commencer l’année je propose un petit article rapide sur une question qui m’est souvent posée: “Jérôme, j’aimerais mettre mes configurations 802.1X dans des interface templates mais ça ne marche pas, quand cela sera-t-il possible?”
Et ma réponse: “C’est déjà possible depuis que nous avons les interfaces templates, c’est à dire depuis pas mal de temps déjà! Mais pour cela il faut passer dans le nouveau mode de configuration de tout ce qui est identité (802.1X, MAB…) appelé IBNS2.0…”
IBNS2.0, comme Identity-Based Network Services 2.0, est un mode plus évolué que le mode actuel pour gérer les identités sur le réseau. Il permet de faire des règles très personnalisées sous la forme “if, then, else” en utilisant des policies, classes, events… IBNS2.0 permet par exemple
- de mettre en place une “critical ACL”, appliquée quand le serveur radius n’est plus joignable
- d’appliquer des VLAN distincts à plusieurs hosts connectés sur un port (selon leur adresse MAC par exemple)
- de gérer des session templates, paramètres de configuration qui sont appliqués sur la session de connexion et non sur l’interface globale
- … je m’arrête làcar il n’y a pas de limites!
Je vous propose donc de revoir ce webinar que j’ai fait il y a déjà pas mal de temps sur le sujet. Vous verrez la puissance de IBNS2.0 et les principes de configuration:
Une fois passé en IBNS2.0, attention ce n’est pas à faire à la légère, vous pouvez agréger les configurations 802.1X, MAB etc dans des templates d’interface. C’est d’ailleurs ce que l’on fait avec auto identity: on créé pour vous des templates de configuration que vous n’avez plus qu’à appliquer sur toutes les interfaces pour un déploiement ultra rapide de 802.1X (voir cet article)
Voici un template rapide que j’utilise dans mon lab qui permet de faire simplement du 802.1X et du MAB en mode low impact (par défaut le port est ouvert dans les VLAN 290/291 (data/voice) avec une ACL qui est remplacée par une ACL plus permissive téléchargée depuis ISE en cas de succès d’authentification). Vous noterez que la configuration de chaque interface est vraiment simplifiée.
template UNIVERSAL_TRUSTSEC_TEMPLATE dot1x pae authenticator switchport access vlan 290 switchport mode access switchport block unicast switchport voice vlan 291 spanning-tree portfast spanning-tree bpduguard enable radius-server dead-criteria time 5 tries 3 mab access-session port-control auto service-policy type control subscriber UNIVERSAL_TRUSTSEC ip dhcp snooping limit rate 100 description LOW-IMPACT-MODE ! interface GigabitEthernet1/0/1 ip access-group PRE-AUTH in source template UNIVERSAL_TRUSTSEC_TEMPLATE spanning-tree portfast ! interface GigabitEthernet1/0/2 access-session inherit disable autoconf source template UNIVERSAL_TRUSTSEC_TEMPLATE spanning-tree portfast ...
Bien sûr il faut ensuite configurer la policy “d’authentication”, appelée UNIVERSAL_TRUSTSEC dans mon exemple ci-dessus. C’est dans cette policy que vous allez définir si vous voulez faire d’abord du 802.1X ou du MAB, la priorité de chacun, ce qui se passe en cas d’échec etc… Là c’est un peu déroutant au départ mais on s’y fait assez rapidement. Surtout qu’il est possible de convertir une configuration existante comme je l’explique dans mon webinar.
L’agrégation des configurations dans des templates n’est qu’une toute petite partie de ce qui est rendu possible avec IBNS2.0 mais c’est déjà bien pratique! Ne vous arrêtez donc pas là et poursuivez vos recherches en lisant le deployment guide IBNS2.0, très complet, qui vous donnera peut-être d’autres bonnes idées.
Tags:
