Re: [ISE] 802.1x EAP-TLS problemas al cambiar de VLAN

Jimmybe1978 · ‎07-29-2019

Buenas a todos

Hemos montado un entorno en nuestro ISE con certificados que se envian a cada maquina y también hemos cambiado los parámetros de las tarjetas de red para que lo soporte, tambén se ha modificado en los switches para que al detectar el ISE que este equipo cumple todos los requisitos le envia a una vlan corporativa o bien si no cumple los requisitos vaya a otra vlan.

Nos funciona correctamente todo excepto que los equipos al cambair de vlan por los requerimiento del ISE la ip no cambia automáticamente sino que hay que forzarlo.

Ya se que el problema es de los equipos pero si os ha pasado algo parecido en otra instalación me seria de mucha ayuda saber que solución le disteis o que manera hubo de arreglarlo.

Gracias de antemano y un saludo a todo el mundo.

hslai · ‎07-30-2019

If Apple macOS or MS Windows as your endpoints, please take a look at

Jimmybe1978 · ‎07-31-2019

Thanks for your help.

We check this information.

We are working with this scene.

Escenario:
- Servidor de autenticación ISE (con certificado CA y certificado ISE)
- Equipo de acceso a la red SWITCH 2960G (configurado para soportar 802.1x con VLAN de invitados)
- Suplicante PC (habilitado con 802.1x y con certificado CA y certificado de maquina)

Configuración ISE (Sin usar BBDD Local ni LDAP):
- Network Devices > Name: XXXXXXX
> IP Address: XXXXX
> Protocol: radius
> Shared Secret: XXXXXX
- Policy Sets > XXXXX_DOT1X > Conditions: Wired_802.1X
Authentication Policy > Allow Protocols: XX_EAP_TLS > and use: XX_CERT_LOCAL
Authorization Policy > AUTH_EAP_TLS > if: Any > and: Wired_802.1X > then: PermitAccess
Authorization Policy > Default > if no matches, then: DenyAccess
- Identity Management
Certificate Authentication Profile > XX_CERT_CN> Identity Store <Not applicable> > Use Identity from: Common Name
Identity Source Sequences > XX_CERT_LOCAL > Certificate Based Authentication: XX_CERT_CN > Authentication Search List: <None>

Configuración SWITCH:
- Habilitado para 802.1x
- Vlan XXX1 habilitada para maquinas autenticadas
- Vlan XXX0 habilitada para maquinas no autenticadas

Pruebas (adjunto pruebas):
1. Autenticación de PC con certificado digital:
o Antes de hacer Login, el ISE autentica al PC validando su certificado de máquina y, como resultado se le asigna la vlan XXX1.
2. Autenticación de PC sin certificado digital, con 802.1x habilitado (suplicante):
o Antes de hacer Login, el ISE verifica que el PC no cumple los requisitos de seguridad (políticas) y, como resultado se le asigna la vlan XXX0.
3. Autenticación de PC sin certificado digital, con 802.1x deshabilitado:
o Antes de hacer Login, el ISE verifica que el PC no cumple los requisitos de seguridad (políticas) y, como resultado se le asigna la vlan XXX0.

Casuísticas (se adjunta pruebas):
- Se detecta que cuando el PC entra en la vlan de invitados no llega a renovar su direccionamiento IP por DHCP en la nueva red. Por lo tanto, se realiza pruebas para verificar si está dentro de dicha red. En primer lugar, se confirma que la vlan de invitados está asociada al puerto del switch donde está conectado el PC; por otra parte, se hacen pruebas conjuntas con @xxxx confirmando que tras forzar la interfaz con el comando ipconfig /release y ipconfig /renew obtiene el direccionamiento correcto.

Conclusiones:
La autenticación del PC se realiza según lo requerido por XXXXXX. Es decir, se realiza utilizando certificado de maquina y sin necesidad de crear usuarios en la BBDD local del ISE ni el LDAP.