Managing Network Devices Cisco ISE 2.1

Managing Network Devices Cisco ISE 2.1

Makalemizin bu bölümünde Switch konfigürasyonu Wireless Lan Controller konfigürasyonu ve bunların ISE tarafındaki tanımlamalarını anlatmaya çalışıcam

ISE kullanmamızın sebebi nedir diye düşünürsek ; ortamdaki bilgisayarlar ,tabletler, akıllı telefonlar ve diğer kullanıcı cihazlarını networküme girdiği vakit bir authentication mekanızmasından geçsin eğer şartları karşılıyor ise verdiğim yetkiler doğrultusunda networkte gezinebilsin  , aynı zamanda da port konfigürasyonları aynı olsun ki ben gerekli yetkilendirmeleri tek ekrandan yönetim logunu göreyim  gerekirse önlemimi alayım.

Switch Konf;

aaa new-model

aaa authentication dot1x default group radius

aaa authorization exec default none

aaa authorization network default group radius

aaa authorization auth-proxy default group radius

aaa accounting update periodic 5

aaa accounting auth-proxy default start-stop group radius

aaa accounting dot1x default start-stop group radius

 

aaa server radius dynamic-author

 client 10.10.10.11 server-key cisco123

 

ip domain-name isedemo.local

ip name-server 10.10.10.10

 

dot1x system-auth-control

 

ip device tracking

mac address-table notification change

mac address-table notification mac-move

 

interface GigabitEthernet1/0/1

 switchport access vlan 60

 switchport mode access

 switchport voice vlan 20

 ip access-group DEFAULT-ACL in

 authentication event fail action next-method

 authentication host-mode multi-auth

 authentication order mab dot1x

 authentication priority dot1x mab

 authentication port-control auto

 authentication periodic

 authentication timer reauthenticate server

 authentication violation restrict

 mab     

 dot1x pae authenticator

 dot1x timeout tx-period 10

 spanning-tree portfast

 

ip http server

ip http secure-server

 

ip access-list extended ACL_REDIRECT

 permit udp any any eq domain

 permit tcp any any eq domain

 permit udp any eq bootps any

 permit udp any any eq bootpc

 permit udp any eq bootpc any

 deny   ip any host 10.10.10.10

 permit ip any any

ip access-list extended DEFAULT-ACL

 permit udp any any eq domain

 permit tcp any any eq domain

 permit udp any eq bootps any

 permit udp any any eq bootpc

 permit udp any eq bootpc any

 permit tcp any host 10.10.10.11 eq www

 permit tcp any host 10.10.10.11 eq 443

 permit tcp any host 10.10.10.11 eq 8443

 deny   ip any anyip access-list extended PERMIT-ALL

 permit ip any any

 

logging origin-id ip

logging host 10.10.10.11 transport udp port 20514

 

snmp-server community cisco123 RW

snmp-server community public RO

snmp-server enable traps mac-notification change move

       

radius-server attribute 6 on-for-login-auth

radius-server attribute 6 support-multiple

radius-server attribute 8 include-in-access-req

radius-server attribute 25 access-request include

radius-server dead-criteria time 10 tries 3

radius-server host 10.10.10.11 auth-port 1812 acct-port 1813 key cisco123

radius-server load-balance method least-outstanding

 

WLC Konfigürasyonu ;

Radius altında Authentication ve Accounting tanımlarımı ISE Server ıma göre tanımlıyorum.

Buradaki ACL ler ilerde kullanacağımız posture provisioning  işlemlerinde kullanacağım.

SSID imiz üzerinde yapacağım ayarlar.

AAA Servers tabında ISE server ımı seçiyorum.

Switch ve WLC konfigürasyonunu yaptım sıra geldi Network Device larımı ISE Server a tanımlamaya

 

 

 

 

 

 

 

 

 

 

Leave a Reply

Your email address will not be published. Required fields are marked *

Enjoy this blog? Please spread the word :)