【NPS】微软NPS配置802.1x，验证域账号，动态分配VLAN（有线网络续篇）

继上一篇文章中成功实施了有线802.1x验证域账号并动态分配VLAN的策略之后，我们迎来了一个新的目标：在用户验证失败时，自动分配一个Guest VLAN，以确保用户至少能够访问基本的网络服务。这一改进将显著提升网络的灵活性和用户的上网体验。

然而，实现这一目标并非易事。初步的尝试包括在网络策略服务器（NPS）上配置默认策略，或在交换机上设定一个逃生策略。但很快我们发现，由于交换机的配置模式是新的样式（new-style），许多旧有的命令已经不再适用。


这一发现促使我们深入研究Cisco Common Classification Policy Language（C3PL），这是一种先进的策略配置语言，属于Cisco Identity Services Engine（ISE）的一部分。C3PL的引入，标志着网络策略配置的一个新纪元，它提供了一种更为灵活和动态的方式来定义和管理网络策略。

C3PL简介

C3PL是Cisco交换机上的一种策略配置语言，它属于Cisco Identity Services Engine（ISE）的一部分。与传统的端口配置方法相比，C3PL提供了一种更加灵活和动态的方式来定义和管理网络策略。以下是C3PL的一些关键特性和优势：

1. 动态策略定义：C3PL允许根据网络会话中的事件和条件来动态定义策略，这意味着策略的执行是条件驱动的。

2. 优化配置：配置存储在内存中，可以被多次调用，减少了配置的复杂性和重复性。

3. 并行操作：与传统的串行配置不同，C3PL支持并行操作，例如可以同时运行802.1x和MAC地址绑定（MAB）认证。

4. 改善用户体验：由于支持并行认证过程，用户无需等待一个认证过程失败后才开始另一个，减少了等待时间。

5. 灵活的访问控制：C3PL提供了模板来控制当RADIUS服务器失败时的访问策略，例如使用关键的ACL来替代默认VLAN的简单倾倒入。

6. 简化配置：通过C3PL，减少了交换机端口配置的复杂性，因为不再需要为每个端口单独配置冗长的策略。

7. 易于管理：策略可以在全局范围内定义，然后应用于所有端口，简化了管理和维护工作。

C3PL是Cisco网络自动化和简化配置的重要组成部分，它为网络管理员提供了一种更加高效和灵活的方式来管理网络策略。在接下来的内容中，我们将深入探讨如何利用C3PL来实现我们的目标——在802.1x验证失败时，为用户提供一个Guest VLAN以进行基本的上网功能。这不仅将提升网络的安全性，也将优化用户的网络体验。

配置

接下来使用C3PL来配置802.1x认证失败后自动分配Guest VLAN的策略，大致分成四个小部分：

1. 服务模板配置（Service-Template）

首先，定义一个服务模板用于Guest VLAN。

service-template GUEST_VLAN
  vlan 114

2. 类映射配置（Class-Map）

定义一个类映射来匹配802.1x认证失败的客户端。

class-map type control subscriber match-all DOT1X-FAILED
 match method dot1x
 match authorization-status unauthorized

3. 策略映射配置（Policy-Map）

创建一个策略映射，用于处理认证失败事件。

policy-map type control subscriber DOT1X-DEFAULT
 event session-started match-all
  10 class always do-until-failure
   10 authenticate using dot1x priority 10
 event authentication-failure match-all
  10 class DOT1X-FAILED do-all
   10 authorize
   20 activate service-template GUEST_VLAN
   30 terminate dot1x

4. 接口配置（Interface）

将策略应用到接口上。

interface GigabitEthernet1/0/31
 description D019
 switchport mode access
 authentication periodic
 authentication timer reauthenticate server
 access-session port-control auto
 dot1x pae authenticator
 dot1x timeout tx-period 7
 spanning-tree portfast
 service-policy type control subscriber DOT1X-DEFAULT

这个配置流程确保了以下几点：

• 当客户端尝试通过802.1x认证时，交换机将使用DOT1X-DEFAULT策略映射。
• 如果认证失败（即authorization-status为unauthorized），交换机会将客户端分配到GUEST_VLAN服务模板，该模板配置了VLAN 114。
• policy-map中的event authentication-failure部分确保了在认证失败时执行特定的动作序列，包括授权、激活服务模板，以及终止802.1x认证过程。
• 接口配置确保了端口以访问模式运行，启用了802.1x认证，并应用了控制订阅者类型的服务策略。

请确保在实际部署这些配置之前，根据您网络的具体需求和环境进行适当的调整和测试。

测试

使用Cisco的命令行工具来检查认证状态和会话详细信息。

show access-session interface GigabitEthernet1/0/31 details

情况1：计算机上关闭了Wired AutoConfig，无法进行802.1x身份验证

情况2：计算机上启用了Wired AutoConfig，正常进行802.1x身份验证

持续学习，不断进步

通过这一系列的配置和测试，我们已经成功地在Cisco交换机上实施了一个动态的网络访问控制策略，这不仅提升了网络的安全性，也优化了用户的上网体验。然而，这只是我们网络管理之旅的一个起点。C3PL的强大功能和灵活性意味着我们还有很多可以探索和学习的地方。同时，鼓励所有网络管理员和IT专业人员持续学习和成长。通过分享知识、参与社区讨论和实践新的技术，共同推动网络技术的发展，并为用户创造更加安全、可靠和高效的网络环境。