Acheter ou Renouveler
Acheter ou Renouveler
annuler
Activer les suggestions
La fonction de suggestion automatique permet d'affiner rapidement votre recherche en suggérant des correspondances possibles au fur et à mesure de la frappe.
Affichage des résultats de 
Rechercher plutôt 
Vouliez-vous dire : 
cancel
Nouveau sujet
688
Visites
0
Compliment
1
Réponses

IBNS 2.0 - Le modèle d'interface dynamique n'est pas appliqué correctement à moins que le Sticky Cmd soit utilisé

Accéder à la solution
Jimena Saez
Community Manager
Community Manager

‎09-04-2019 05:20 PM - modifié ‎17-04-2019 04:30 PM

Bonjour la Communauté Cisco,

Je me bats un peu avec la combinaison d'IBNS 2.0 et de modèles d'interface / de service.

Mon environnement ressemble à:
- ISE 2.3, patch 4
- IBNS 2.0 / 802.1X et MAB simultanément
- Authenticator / Catalyst 3850, SW 16.9.1
- Supplicants / Cisco FlexConnect AP2800 et NEAT Switch 3560cx

Il y a 3 modèles d'interface configurés sur les commutateurs. Le modèle appelé DEFAULT_ACCESSPORT est celui par défaut associé à tous les ports utilisateur. Nous avons ensuite deux modèles supplémentaires, l’un pour les FlexAP appelé DEFAULT_WLAN_AP_PORT et l’autre pour les commutateurs NEAT supplicant appelés NEAT_AUTHZ. L'utilisation de modèles supplémentaires s'explique par le fait que nous devons modifier le mode d'accès des ports de commutation au réseau pour tous les commutateurs FlexAP et NEAT Supplicant.

Si nous envoyons «uniquement» dVLAN et / ou dACL dans le cadre des règles d'autorisation de l'ISE aux commutateurs, cela fonctionne correctement, car aucune affectation dynamique de modèle d'interface n'a été attribuée. Une fois que l'ISE a également envoyé le nom du modèle d'interface / de service configuré localement aux commutateurs pour changer le mode du port du commutateur, cela ne fonctionne pas correctement si nous ne configurons pas la commande access-session interface-template collante sous le modèle DEFAULT_ACCESSPORT.

Cisco déclare à propos de cette commande: La commande sticky-template d’interface de session d’accès est obligatoire pour appliquer un modèle intégré contenant des commandes de session d’accès sur une interface.

Mais l'utilisation de cette commande rompt avec le concept de configuration dynamique, car la configuration du port du commutateur reste active même si le port est à l'arrêt ou que le périphérique est déconnecté.

 

Existe-t-il un autre moyen de combiner IBSN2.0 avec des modèles d'interface / de service dynamiques? Parce qu'à mon avis, cette commande sticky casse tout le concept avec des modèles dynamiques.

Nous aimerions éviter si possible d'utiliser des macros car elles affectent tous les switchports.

Les modèles d'interface:
---------------------
template DEFAULT_ACCESSPORT
 dot1x pae authenticator
 spanning-tree bpduguard enable
 switchport access vlan 3
 switchport mode access
 switchport voice vlan 2
 mab
 access-session host-mode multi-domain
 access-session control-direction in
 access-session port-control auto
 access-session interface-template sticky
 service-policy type control subscriber DOT1X_DEFAULT_POLICY
!
template DEFAULT_WLAN_AP_PORT
 dot1x pae authenticator
 spanning-tree portfast trunk
 spanning-tree bpduguard enable
 switchport trunk native vlan 10
 switchport mode trunk
 switchport nonegotiate
 mab
 access-session host-mode multi-host
 access-session control-direction in
 access-session port-control auto
!
template NEAT_AUTHZ
 spanning-tree portfast trunk
 spanning-tree bpduguard disable
 switchport trunk native vlan 3
 switchport mode trunk
 access-session host-mode multi-host

Je vous remercie.

 

Publié par: Jozef Cmorej / Version originale en anglais

Étiquettes :
0 Compliments
1 SOLUTION APPROUVÉE

Solutions approuvées

Accéder à la solution
Jimena Saez
Community Manager
Community Manager

le ‎09-04-2019 05:24 PM

La solution...

L'équipe de développement de Cisco a confirmé qu'avec l'autorisation des modèles d'interface de ISE à un commutateur, certaines configurations de port peuvent être modifiées (exemple: 'accès en mode commutateur' à 'ligne réseau en mode commutateur'), mais les modifications apportées à la configuration en mode hôte pas permis.
Le comportement auquel nous sommes confrontés est attendu et conforme à la conception de Cisco, et il ne s'agit pas du problème, comme nous le pensions initialement. Cela signifie que nous ne pouvons pas utiliser de modèles d'interface dynamiques s'ils contiennent des commandes «access-session host-mode».
La seule option dont dispose le client consiste à attacher manuellement un modèle statique à l'interface en fonction d'un type de périphérique. Beaucoup de travail manuel doit être effectué et cela rompt le concept de configuration d'interface dynamique avec les commandes access-session.

 

Contribution de: Jozef Cmorej / Plus de détails ici (version en anglais)

Voir la solution dans l'envoi d'origine

0 Compliments
1 RÉPONSE 1

Accéder à la solution
Jimena Saez
Community Manager
Community Manager

le ‎09-04-2019 05:24 PM

La solution...

L'équipe de développement de Cisco a confirmé qu'avec l'autorisation des modèles d'interface de ISE à un commutateur, certaines configurations de port peuvent être modifiées (exemple: 'accès en mode commutateur' à 'ligne réseau en mode commutateur'), mais les modifications apportées à la configuration en mode hôte pas permis.
Le comportement auquel nous sommes confrontés est attendu et conforme à la conception de Cisco, et il ne s'agit pas du problème, comme nous le pensions initialement. Cela signifie que nous ne pouvons pas utiliser de modèles d'interface dynamiques s'ils contiennent des commandes «access-session host-mode».
La seule option dont dispose le client consiste à attacher manuellement un modèle statique à l'interface en fonction d'un type de périphérique. Beaucoup de travail manuel doit être effectué et cela rompt le concept de configuration d'interface dynamique avec les commandes access-session.

 

Contribution de: Jozef Cmorej / Plus de détails ici (version en anglais)

0 Compliments

Liens rapides

Parcourez les liens directs de la Communauté et profitez de contenus personnalisés en français

Partager un document Rédiger un blog Vidéos Sécurité
Customers Also Viewed These Support Documents