继上一篇文章中成功实施了有线802.1x验证域账号并动态分配VLAN的策略之后,我们迎来了一个新的目标:在用户验证失败时,自动分配一个Guest VLAN,以确保用户至少能够访问基本的网络服务。这一改进将显著提升网络的灵活性和用户的上网体验。
然而,实现这一目标并非易事。初步的尝试包括在网络策略服务器(NPS)上配置默认策略,或在交换机上设定一个逃生策略。但很快我们发现,由于交换机的配置模式是新的样式(new-style),许多旧有的命令已经不再适用。
这一发现促使我们深入研究Cisco Common Classification Policy Language(C3PL),这是一种先进的策略配置语言,属于Cisco Identity Services Engine(ISE)的一部分。C3PL的引入,标志着网络策略配置的一个新纪元,它提供了一种更为灵活和动态的方式来定义和管理网络策略。
C3PL简介
C3PL是Cisco交换机上的一种策略配置语言,它属于Cisco Identity Services Engine(ISE)的一部分。与传统的端口配置方法相比,C3PL提供了一种更加灵活和动态的方式来定义和管理网络策略。以下是C3PL的一些关键特性和优势:
-
动态策略定义:C3PL允许根据网络会话中的事件和条件来动态定义策略,这意味着策略的执行是条件驱动的。
-
优化配置:配置存储在内存中,可以被多次调用,减少了配置的复杂性和重复性。
-
并行操作:与传统的串行配置不同,C3PL支持并行操作,例如可以同时运行802.1x和MAC地址绑定(MAB)认证。
-
改善用户体验:由于支持并行认证过程,用户无需等待一个认证过程失败后才开始另一个,减少了等待时间。
-
灵活的访问控制:C3PL提供了模板来控制当RADIUS服务器失败时的访问策略,例如使用关键的ACL来替代默认VLAN的简单倾倒入。
-
简化配置:通过C3PL,减少了交换机端口配置的复杂性,因为不再需要为每个端口单独配置冗长的策略。
-
易于管理:策略可以在全局范围内定义,然后应用于所有端口,简化了管理和维护工作。
C3PL是Cisco网络自动化和简化配置的重要组成部分,它为网络管理员提供了一种更加高效和灵活的方式来管理网络策略。在接下来的内容中,我们将深入探讨如何利用C3PL来实现我们的目标——在802.1x验证失败时,为用户提供一个Guest VLAN以进行基本的上网功能。这不仅将提升网络的安全性,也将优化用户的网络体验。
配置
接下来使用C3PL来配置802.1x认证失败后自动分配Guest VLAN的策略,大致分成四个小部分:
1. 服务模板配置(Service-Template)
首先,定义一个服务模板用于Guest VLAN。
service-template GUEST_VLAN
vlan 114
2. 类映射配置(Class-Map)
定义一个类映射来匹配802.1x认证失败的客户端。
class-map type control subscriber match-all DOT1X-FAILED
match method dot1x
match authorization-status unauthorized
3. 策略映射配置(Policy-Map)
创建一个策略映射,用于处理认证失败事件。
policy-map type control subscriber DOT1X-DEFAULT
event session-started match-all
10 class always do-until-failure
10 authenticate using dot1x priority 10
event authentication-failure match-all
10 class DOT1X-FAILED do-all
10 authorize
20 activate service-template GUEST_VLAN
30 terminate dot1x
4. 接口配置(Interface)
将策略应用到接口上。
interface GigabitEthernet1/0/31
description D019
switchport mode access
authentication periodic
authentication timer reauthenticate server
access-session port-control auto
dot1x pae authenticator
dot1x timeout tx-period 7
spanning-tree portfast
service-policy type control subscriber DOT1X-DEFAULT
这个配置流程确保了以下几点:
- 当客户端尝试通过802.1x认证时,交换机将使用
DOT1X-DEFAULT策略映射。 - 如果认证失败(即
authorization-status为unauthorized),交换机会将客户端分配到GUEST_VLAN服务模板,该模板配置了VLAN 114。 policy-map中的event authentication-failure部分确保了在认证失败时执行特定的动作序列,包括授权、激活服务模板,以及终止802.1x认证过程。- 接口配置确保了端口以访问模式运行,启用了802.1x认证,并应用了控制订阅者类型的服务策略。
请确保在实际部署这些配置之前,根据您网络的具体需求和环境进行适当的调整和测试。
测试
使用Cisco的命令行工具来检查认证状态和会话详细信息。
show access-session interface GigabitEthernet1/0/31 details
情况1:计算机上关闭了Wired AutoConfig,无法进行802.1x身份验证
情况2:计算机上启用了Wired AutoConfig,正常进行802.1x身份验证
持续学习,不断进步
通过这一系列的配置和测试,我们已经成功地在Cisco交换机上实施了一个动态的网络访问控制策略,这不仅提升了网络的安全性,也优化了用户的上网体验。然而,这只是我们网络管理之旅的一个起点。C3PL的强大功能和灵活性意味着我们还有很多可以探索和学习的地方。同时,鼓励所有网络管理员和IT专业人员持续学习和成长。通过分享知识、参与社区讨论和实践新的技术,共同推动网络技术的发展,并为用户创造更加安全、可靠和高效的网络环境。
