Cisco France Blog
Partager

Simplifier sa configuration 802.1X grâce aux interface templates, c’est possible!


4 janvier 2017


Tout d’abord je vous souhaite à tous une excellente année 2017! Je vous souhaite beaucoup de bonheur et de la réussite dans tous vos projets!

Pour bien commencer l’année je propose un petit article rapide sur une question qui m’est souvent posée: « Jérôme, j’aimerais mettre mes configurations 802.1X dans des interface templates mais ça ne marche pas, quand cela sera-t-il possible? »

Et ma réponse: « C’est déjà possible depuis que nous avons les interfaces templates, c’est à dire depuis pas mal de temps déjà! Mais pour cela il faut passer dans le nouveau mode de configuration de tout ce qui est identité (802.1X, MAB…) appelé IBNS2.0… »

IBNS2.0, comme Identity-Based Network Services 2.0, est un mode plus évolué que le mode actuel pour gérer les identités sur le réseau. Il permet de faire des règles très personnalisées sous la forme « if, then, else » en utilisant des policies, classes, events… IBNS2.0 permet par exemple

  • de mettre en place une « critical ACL », appliquée quand le serveur radius n’est plus joignable
  • d’appliquer des VLAN distincts à plusieurs hosts connectés sur un port (selon leur adresse MAC par exemple)
  • de gérer des session templates, paramètres de configuration qui sont appliqués sur la session de connexion et non sur l’interface globale
  • … je m’arrête làcar il n’y a pas de limites!

Je vous propose donc de revoir ce webinar que j’ai fait il y a déjà pas mal de temps sur le sujet. Vous verrez la puissance de IBNS2.0 et les principes de configuration:

Une fois passé en IBNS2.0, attention ce n’est pas à faire à la légère, vous pouvez agréger les configurations 802.1X, MAB etc dans des templates d’interface. C’est d’ailleurs ce que l’on fait avec auto identity: on créé pour vous des templates de configuration que vous n’avez plus qu’à appliquer sur toutes les interfaces pour un déploiement ultra rapide de 802.1X (voir cet article)

Voici un template rapide que j’utilise dans mon lab qui permet de faire simplement du 802.1X et du MAB en mode low impact (par défaut le port est ouvert dans les VLAN 290/291 (data/voice) avec une ACL qui est remplacée par une ACL plus permissive téléchargée depuis ISE en cas de succès d’authentification). Vous noterez que la configuration de chaque interface est vraiment simplifiée.

template UNIVERSAL_TRUSTSEC_TEMPLATE
 dot1x pae authenticator
 switchport access vlan 290
 switchport mode access
 switchport block unicast
 switchport voice vlan 291
 spanning-tree portfast
 spanning-tree bpduguard enable
 radius-server dead-criteria time 5 tries 3
 mab
 access-session port-control auto
 service-policy type control subscriber UNIVERSAL_TRUSTSEC
 ip dhcp snooping limit rate 100
 description LOW-IMPACT-MODE
!
interface GigabitEthernet1/0/1
 ip access-group PRE-AUTH in
 source template UNIVERSAL_TRUSTSEC_TEMPLATE
 spanning-tree portfast
!
interface GigabitEthernet1/0/2
 access-session inherit disable autoconf
 source template UNIVERSAL_TRUSTSEC_TEMPLATE
 spanning-tree portfast
...

Bien sûr il faut ensuite configurer la policy « d’authentication », appelée UNIVERSAL_TRUSTSEC dans mon exemple ci-dessus. C’est dans cette policy que vous allez définir si vous voulez faire d’abord du 802.1X ou du MAB, la priorité de chacun, ce qui se passe en cas d’échec etc… Là c’est un peu déroutant au départ mais on s’y fait assez rapidement. Surtout qu’il est possible de convertir une configuration existante comme je l’explique dans mon webinar.

L’agrégation des configurations dans des templates n’est qu’une toute petite partie de ce qui est rendu possible avec IBNS2.0 mais c’est déjà bien pratique! Ne vous arrêtez donc pas là et poursuivez vos recherches en lisant le deployment guide IBNS2.0, très complet, qui vous donnera peut-être d’autres bonnes idées.

@JeromeDurand

Tags:
Laisser un commentaire