Использование Cisco DNA Center и Cisco ISE для настройки проводного доступа в фабрике SD-Access

Рассмотрим следующий сценарий: предположим, что сетевому администратору поступила задача создать изолированную подсеть с доступом в сеть Интернет для своего подрядчика. У самого подрядчика имеются разные типы рабочих станций с различным ПО – начиная от старых Windows 7 клиентов и заканчивая клиентами, которые используют разные версии Linux. Поэтому в данном случае будем использовать упрощенный метод аутентификации на основе mac-адреса клиента.

В нашем случае Cisco DNA Center преднастроен, Cisco ISE интегрирован с DNA Center, все коммутаторы добавлены, ассоциированы с нашим сайтом и настроены в SD-Access фабрике при помощи DNAC.

Итак приступим к процессу настройки сети для нашего подрядчика.

1. Заходим в Cisco DNA Center, выделяем адресный пул в глобальном IP пуле и называем его следующим образом.
2. Далее в сетевой иерархии перейдем в сайт Netland и зарезервируем подсеть на уровне сайта.
3. Перейдем к настройке имени Virtual Network, которое будет позже передано устройствам в Фабрике в качестве определения VRF.
4. Далее перейдем к настройке группы масштабирования, которая в дальнейшем может быть использована для сегментации внутри определенного VRF.
Как видно, интересующая нас группа масштабирования уже настроена по умолчанию и нам остается только назначить соответствующую виртуальную сеть.
5. Далее переходим в настройки Фабрики и выберем наш сайт. В Fabric Infrastructure мы можем увидеть нашу настроенную фабрику и топологию сети. В настройках Фабрики добавим ранее созданную виртуальную сеть. После чего добавим ранее созданный IP Pool и выберем тип передаваемого траффика. Также запомним имя VLAN, которое понадобится в дальнейшем при настройке профиля авторизации в Cisco ISE. Выполним Deploy нашей сети. Подождем небольшое количество времени, пока DNAC передаст и применит все настройки на наших коммутаторах. Как видно, все настройки применились успешно.
6. Откроем Command Runner Tool и проверим, что конфигурация была отправлена и применена на сетевых устройствах. Например, выберем для проверки следующие коммутаторы.
- Убедимся, что VRF был настроен, используя следующую команду. Как видно ниже, необходимый VRF был создан на устройствах.
- Убедимся, что VLAN был настроен используя следующую команду. Как видно ниже, был создан VLAN1037 на коммутаторе.
- Проверим настройку control plane используя следующую команду. Как видно ниже, настройка lisp присутствует на коммутаторе.
- Проверим настройку default gateway используя следующую команду. Как видно ниже, данная настройка присутствует на коммутаторе.
7. Перейдем к настройке Cisco ISE. Т.к. аутентифицированные пользователи должны быть помещены в правильный VLAN на основе профилей и политик авторизации Cisco ISE, то выполним следующие настройки.
- Произведем настройку профиля авторизации: укажем имя создаваемого профиля, его описание, выберем атрибут VLAN и укажем для него имя.
- Далее произведем настройку группы идентификации конечных точек.
- Далее настроим простое условие и добавим его в библиотеку.
- После чего перейдем к настройке политики авторизации.
8. Подключим нашего проводного клиента к сети. В Radius Live Logs мы можем наблюдать, что наш клиент пытается подключиться к сети, но все безуспешно.
- Добавим mac адрес нашего клиента в ранее настроенную группу идентификации.
- После чего вернемся обратно в Radius Live Logs и проверим еще раз подключение нашего клиента. Как видно, клиент успешно аутентифицировался, получил IP адрес и подключился к сети.
9. Далее перейдем к проверке доступности сети на проводном клиенте.
- Используя командную строку, проверим настройку проводного сетевого адаптера. Как видно ниже, клиент получил IP адрес и подключен к сети.
- Используя команду пинг, проверим доступность шлюза по умолчанию и DNS. Как видно ниже, шлюз и DNS пингуются и доступны.
- Далее проверим, что другие ресурсы нашей корпоративной сети не доступны. Как видно ниже, корпоративный сегмент сети для нашего подрядчика не доступен.
- Проверим открытие веб страниц в браузере. Как видно ниже, веб страницы открываются успешно.