本文概括:
- 公司电脑加域,通过Domain Controller下发企业根证书以及机器证书自动注册
- 交换机接口配置802.1x认证,使用PEAP,EAP-TLS as inner authentication method
- ISE加域,针对Wired 802.1x使用证书认证,下发数据VLAN
域控制器配置
- 使用组策略自动注册机器证书
- 下发有线网卡认证配置
交换机相关配置
aaa new-model
radius server ise
address ipv4 10.0.10.27 auth-port 1645 acct-port 1646
key radius
aaa group server radius aaa-grp
server name ise
aaa authentication dot1x default group aaa-grp
aaa authorization network default group aaa-grp
dot1x system-auth-control
interface GigabitEthernet0/0
authentication port-control auto
dot1x pae authenticator
authentication host-mode multi-host
ISE配置
导入企业根证书
设置用于EAP的证书(这里需要先生成CSR文件然后用企业根证书签名,最后导入)
在认证协议里面开启EAP-TLS证书认证
授权profile内允许接入网络并下发数据VLAN
ISE先加域,然后创建证书认证profile
设置认证策略