09-04-2019 05:20 PM - modifié 17-04-2019 04:30 PM
Bonjour la Communauté Cisco,
Je me bats un peu avec la combinaison d'IBNS 2.0 et de modèles d'interface / de service.
Mon environnement ressemble à:
- ISE 2.3, patch 4
- IBNS 2.0 / 802.1X et MAB simultanément
- Authenticator / Catalyst 3850, SW 16.9.1
- Supplicants / Cisco FlexConnect AP2800 et NEAT Switch 3560cx
Il y a 3 modèles d'interface configurés sur les commutateurs. Le modèle appelé DEFAULT_ACCESSPORT est celui par défaut associé à tous les ports utilisateur. Nous avons ensuite deux modèles supplémentaires, l’un pour les FlexAP appelé DEFAULT_WLAN_AP_PORT et l’autre pour les commutateurs NEAT supplicant appelés NEAT_AUTHZ. L'utilisation de modèles supplémentaires s'explique par le fait que nous devons modifier le mode d'accès des ports de commutation au réseau pour tous les commutateurs FlexAP et NEAT Supplicant.
Si nous envoyons «uniquement» dVLAN et / ou dACL dans le cadre des règles d'autorisation de l'ISE aux commutateurs, cela fonctionne correctement, car aucune affectation dynamique de modèle d'interface n'a été attribuée. Une fois que l'ISE a également envoyé le nom du modèle d'interface / de service configuré localement aux commutateurs pour changer le mode du port du commutateur, cela ne fonctionne pas correctement si nous ne configurons pas la commande access-session interface-template collante sous le modèle DEFAULT_ACCESSPORT.
Cisco déclare à propos de cette commande: La commande sticky-template d’interface de session d’accès est obligatoire pour appliquer un modèle intégré contenant des commandes de session d’accès sur une interface.
Mais l'utilisation de cette commande rompt avec le concept de configuration dynamique, car la configuration du port du commutateur reste active même si le port est à l'arrêt ou que le périphérique est déconnecté.
Existe-t-il un autre moyen de combiner IBSN2.0 avec des modèles d'interface / de service dynamiques? Parce qu'à mon avis, cette commande sticky casse tout le concept avec des modèles dynamiques.
Nous aimerions éviter si possible d'utiliser des macros car elles affectent tous les switchports.
Les modèles d'interface:
---------------------
template DEFAULT_ACCESSPORT
dot1x pae authenticator
spanning-tree bpduguard enable
switchport access vlan 3
switchport mode access
switchport voice vlan 2
mab
access-session host-mode multi-domain
access-session control-direction in
access-session port-control auto
access-session interface-template sticky
service-policy type control subscriber DOT1X_DEFAULT_POLICY
!
template DEFAULT_WLAN_AP_PORT
dot1x pae authenticator
spanning-tree portfast trunk
spanning-tree bpduguard enable
switchport trunk native vlan 10
switchport mode trunk
switchport nonegotiate
mab
access-session host-mode multi-host
access-session control-direction in
access-session port-control auto
!
template NEAT_AUTHZ
spanning-tree portfast trunk
spanning-tree bpduguard disable
switchport trunk native vlan 3
switchport mode trunk
access-session host-mode multi-host
Je vous remercie.
Publié par: Jozef Cmorej / Version originale en anglais
Résolu ! Accéder à la solution.
le 09-04-2019 05:24 PM
L'équipe de développement de Cisco a confirmé qu'avec l'autorisation des modèles d'interface de ISE à un commutateur, certaines configurations de port peuvent être modifiées (exemple: 'accès en mode commutateur' à 'ligne réseau en mode commutateur'), mais les modifications apportées à la configuration en mode hôte pas permis.
Le comportement auquel nous sommes confrontés est attendu et conforme à la conception de Cisco, et il ne s'agit pas du problème, comme nous le pensions initialement. Cela signifie que nous ne pouvons pas utiliser de modèles d'interface dynamiques s'ils contiennent des commandes «access-session host-mode».
La seule option dont dispose le client consiste à attacher manuellement un modèle statique à l'interface en fonction d'un type de périphérique. Beaucoup de travail manuel doit être effectué et cela rompt le concept de configuration d'interface dynamique avec les commandes access-session.
Contribution de: Jozef Cmorej / Plus de détails ici (version en anglais)
le 09-04-2019 05:24 PM
L'équipe de développement de Cisco a confirmé qu'avec l'autorisation des modèles d'interface de ISE à un commutateur, certaines configurations de port peuvent être modifiées (exemple: 'accès en mode commutateur' à 'ligne réseau en mode commutateur'), mais les modifications apportées à la configuration en mode hôte pas permis.
Le comportement auquel nous sommes confrontés est attendu et conforme à la conception de Cisco, et il ne s'agit pas du problème, comme nous le pensions initialement. Cela signifie que nous ne pouvons pas utiliser de modèles d'interface dynamiques s'ils contiennent des commandes «access-session host-mode».
La seule option dont dispose le client consiste à attacher manuellement un modèle statique à l'interface en fonction d'un type de périphérique. Beaucoup de travail manuel doit être effectué et cela rompt le concept de configuration d'interface dynamique avec les commandes access-session.
Contribution de: Jozef Cmorej / Plus de détails ici (version en anglais)
Découvrez et enregistrez vos notes préférées. Revenez pour trouver les réponses d'experts, des guides étape par étape, des sujets récents et bien plus encore.
Êtes-vous nouveau ici? Commencez par ces conseils. Comment utiliser la communauté Guide pour les nouveaux membres
Parcourez les liens directs de la Communauté et profitez de contenus personnalisés en français