CISCO ISE

 EAP 

 Genisletilebilir Kimlik Kanitlama Protokolü (EAP Extensible Authentication Protocol) [RFC 3748] kimlik kanitlama için bir iletim protokolüdür, bir kimlik kanitlama yöntemi degildir.

 EAP kimlik kanitlama sürecinde, kimlik kanitlama sunucusu ile istemci arasinda geçen ve taraflarin hangi kimlik kanitlama yöntemini kullanacaklarini belirler. EAP kimlik kanitlama yöntemi olarak MD5, TLS, TTLS, PEAP, LEAP kullanir

EAP-TLS

 Bu çift yönlü dogrulama özelligi ile EAP-TLS en güvenilir EAP yöntemlerinden biri olarak bilinir. Ancak her istemciye özgün sertifika üretilerek, güvenli bir sekilde dagitilmasini gerektiren bu yöntemin uygunalmasi zordur

.

• EAP-MD5: MD5'li Kimlik Kanıtaması kullanıcı adı/parolaya gereksinim duyar ve PPP CHAP protokolünün [RFC1994] eşdeğeridir. Bu yöntem sözlük saldırısı direnci, karşılıklı kimlik kanıtlama veya anahtar türetimi içermez ve telsiz kimlik kanıtlama ortamında az kullanılır.
• Hafif EAP (LEAP): Kimlik kanıtlama için Kimlik Kanıtlama Sunucusuna (RADIUS) bir kullanıcı adı/parola çifti gönderilir. Leap, Cisco tarafından geliştirilmiş müseccel bir protokoldür ve güvenli olduğu düşünülmez. Cisco LEAP'i PEAP niyetine sunmuştur.

Asıl kullanılan 3 tanesi EAP-TLS,EAP-TTLS-PEAP

• EAP-TLS: EAP ile İstemci ve Kimlik Kanıtlama Sunucusu arasında bir TLS oturumu oluşturur. Hem sunucu hem istemci(ler) geçerli bir sertifikaya (x509) ve bununla birlikte bir PKI'ya ihtiyaç duyar. bu yöntem her iki yönde kimlik kanıtlama sağlar. EAP-TLS RFC2716]'da tanımlanmıştır. 
• Transport Layer Security (TLS) şifreli bir protokoldür. Yüksek katman protokollerinin (HTTP, SMTP GİBİ) güvenli bir şekilde taşınması için TCP üzerinde güvenli bir katman sağlar. EAP­TLS, TLS (IETF RFC 2716) tabanlıdır. EAP­TLS, EAP­MD5 veya LEAP gibi parola tabanlı değil sertifika tabanlı bir kimlik doğrulama yöntemidir. EAP­TLS karşılıklı kimlik doğrulama ve anahtar yönetimini desteklemektedir. İki nokta arasındaki EAP­TLS müzakeresi tamamlandıktan sonra bu iki nokta, şiflenemiş TLS tünelinden güvenli bir şekilde haberleşebilirler. Böylece kullanıcı adı ve parolası açığa çıkmamış olur. TLS, kullanıcı ve sunucu için sertifika ile kimlik doğrulama için bir yol sağladığından, sunucu tarafından kimliği kanıtlanan kullanıcı da aynı zamanda ağı tanımış olur. böylece sahte erişim noktaları (AP) saptanabilir. EAP­TLS kullanmak isteyen İstemci ve sunucuların ikisininde geçeri sertifikalar kullanması gerekmektedir. Bu nedenle EAP­TLSkullanılmadan önce PKI (Public Key Infrastructure) kurulması şarttır. EAP­TLS in bir başka kusuruda istemci ve sunucu sertifika değiştokuşu gerçekleşmeden önce yapılan kimlik değiş dokuş işlemi düz metin halinde yapıldığından trafiği dinleyen herhangi biri kullanıcıların kimlik bilgilerini öğrenebilir.
• EAP-TTLS: Kimlik kanıtlama verisinin emniyetli iletimi için şifreli bir TLS tüneli kurar. TLS tünelinden diğer (herhangi) kimlik kanıtlama yöntemleri faydalanır. Funk Software ve Meetinghouse tarafından geliştirlmiştir ve şu an bir IETF taslağı halindedir.
• EAP­TTLS (Tunneled TLS) EAP­TLS in genişletilmiş halidir. TLS müzakeresi sonucu kurulan güvenli tüneli kullanarak, istemci sunucu arasında ek bilgi değiş dokuşu sağlayarak daha güvenli bir mekanizma oluşturur. EAP­TTLS işlemi iki fazda meydana gelir TLS el sıkışma fazı ve TLS tünel fazı. İlk önce güvenli tünel kurulur ve TLS kullanılarak sunucu kimlik doğrulama işlemiyle kendini istemciye tanıtır. TLS de olduğu gibi kimlik doğrulama işlemi sertifikalar aracılığıyla yapılır. Birinci faz sonrasında da güvenli tünel kurulur. İkinci fazda güvenli TLS tüneli kullanılarak ek kullanıcı kimlik doğrulama anahtarları gibi ek bilgi değiş tokuşu yapılır. İkinci fazda PAP, CHAP,MSCHAP, MSCHAPv2 ve diğer EAP protokolleri kullanılabilir.
   
   
• Korumalı EAP (PEAP): EAP-TTLS gibi şifreli bir TLS tüneli kullanır. Hem EAP-TTLS hem EAP-PEAP için istemci (WN) sertifikaları seçimliktir, ama sunucu (AS) sertifikaları gereklidir. Microsoft, Cisco ve RSA Security tarafından geliştirimiştir ve şu an bir IETF taslağıdır.
•  PEAP (Protected EAP) Cisco ve Microsoft firmaları tarafından gelitirilmiştir ve EAP­TTLS ye çok benzeyen bir yöntemdir. PEAP ile EAP­TTLS arasındaki tek teknik fark PEAP kurulan güvenli TLS tünelinde sadece EAP protollerini kullanırken EAP­TTLS PAP ve CHAP gibi diğer protoklleride desteklemektedir. Bununla birlikte PEAP EAP­MD5 ve EAP­MSCHAPv2 yöntemlerini de desteklemektedir.PEAP ve EAP­TTLS diğer EAP çeşitlerine göre çok daha güvenli olduğundan dolayı bir çok insan bu yöntemleri kullanmak istemektedir. PEAP ve EAP­TTLS nin EAP­TLS ye nazaran uygulanması daha kolaydır ve Windows (XP,2000) , Mac OS X , Linux ve UNIX (Xsupplicant), Cisco, Microsoft IAS RADIUS, FreeRADIUS gibi bir çok büyük üretici firma bu yöntemleri destkelemektedir.
   
• EAP-MSCHAPv2: Kullanıcı adı/parolaya ihtiyaç duyar ve temel olarak MS-CHAP-v2'nin [RFC2759] EAP kaplamalı olanıdır. Genellikle PEAP şifreli tünelde kullanılır. Microsoft tarafından geliştirilmiştir ve şu an bir IETF taslağıdır.

Radius ile Client arasındaki authentication süreçleri aşağıdaki gibidir.
 

http://www.coskunsanli.net/category/network/ise/,

CISCO ISE 2.1 INSTALLATION

http://www.coskunsanli.net/category/network/ise/

Bu makale serimde uzun  zamandır merak ettiğim bir ürünün kurulumundan başlayıp en ince ayrıntısına kadar adım  adım anlatmaya çalışıcam .

Seri ilk olarak kurulum ile başlacak sonrasında kablolu ve kablosuz 802.1x örnekleri ile devam edecek , bloğumu takip eden arkadaşlar diğer makalelerde olduğu gibi bu seride de tanımlamalardan çok örnekler demolar bulacaktır.

Makale serisine aynı demo dan devam  edeceğim üzere yapıyı biraz açıklayayım.

Local Networkumuzde tüm gateway ler switch üzerinde sonlanıyor buradan da firewalluma route ederek internete çıkması sağlıyorum.

ISEDEMO-ISE01                    Ise Server                     10.10.10.11

ISEDEMO-DC01                     Domain Controller     10.10.10.10

ISEDEMO-FW01                    Firewall                        10.10.50.2

ISEDEMO-SW01                    Cisco 2960 Sw             10.10.10.1

ISEDEMO-CLIENT01            Notebook                     xxx.xxx.xxx.xxx

Kurulum bitti şimdi ilk ayarları yapmaya geldi

Burada setup deyip kuruluma geçmeyi sağlıyorum.

İstenilen ip , domain name ,username , password bilgilerini giriyorum.
Europe/Istanbul

“show running-config”  ile konfigürasyonuma bakıyorum

Servisleri control edeceğim komutum ise “show application status ise”  servislerin düzgün bir şekilde çalıştığını görüyorum.
çalışmazlarsa alttaki komutlarla manual uygulayabiliriz.

application stop ise

and

application start ise

Ve artık tarayıcımız ile ISE server ımıza bağlanabiliriz.

IMPLEMENT CISCO ISE 2.1 SERVER CERTIFICATES

Bir önceki makalemizde ISE Server  kurdum , erişim için ip adresi verdim.

Sıra geldi Client larımın networke girereken  yapacağı authentication işleminde sertifika kullanması için ISE Server ımda ve CA Server ımda yapılması gereken işlemlere

Öncelikli olarak CA server için yapımdaki Active Directory sunucuma iki servisin yüklenmesi gerekiyor.

Servisleri kurduktan sonra internet explorer üzerinden http://127.0.0.1/certsrv adresine giriyorum.

Bu makalede ; İhityacım olan ROOT sertifikamı indiriyorum sonrasında da ISE Server üzerinde oluşturduğum CRS kod ile sertifikamı  onaylayacağım.

ROOT Certificate ;

Download a CA certificate , certificate chain ,or CRL  linkini tıklıyorum.

Ikinci adımda Encoding method BASE64 seçip Download CA Certificate diyorum.

Bu sertifikaya ROOT deyip kaydediyorum.

Sonrasında ROOT Sertifikamı ISE Server ımın Trusted Certificates tabına ekliyorum.

Dikkat edilmesi gereken nokta “Trust for client authentication and Syslog” kutucuğunun işaretlenmesi.

Artık ROOT sertifikam ISE Database inde Trusted Certificate altında

CLIENT Certificate ;

Client Makinelerimin kullanacağı sertifika için ISE üzerinde CSR üretiyorum.

Boşluklara aşağıdaki şekilde düzenleyip CSR kodu export ediyorum.

Sonrasında tekrar CA  yı açıp , bu sefer “Request a certificate” ardından “advanced certificate request” tıklıyorum.

ISE üzerinden oluşturduğum CRS kodu buraya yapıştıryorum.

Son olarak Base64  seçip download ediyorum.

CA üzerinde işimiz bitti şimdi ISE üzerindeki Request imi sonlandırmam gerekiyor.

“Bind CA Signed Certificate” diyorum.

Sonrasında bu sertifikayı nerede kullanacağımı işaretliyorum ve submit diyorum

5 dakika kadar servislerin tekrar ayağa kalkmasını bekliyorum.

ISE server ım açıldı sertifikayı kontrol ediyorum.

MANAGING NETWORK DEVICES 

Makalemizin bu bölümünde Switch konfigürasyonu Wireless Lan Controller konfigürasyonu ve bunların ISE tarafındaki tanımlamalarını anlatmaya çalışıcam

ISE kullanmamızın sebebi nedir diye düşünürsek ; ortamdaki bilgisayarlar ,tabletler, akıllı telefonlar ve diğer kullanıcı cihazlarını networküme girdiği vakit bir authentication mekanızmasından geçsin eğer şartları karşılıyor ise verdiğim yetkiler doğrultusunda networkte gezinebilsin  , aynı zamanda da port konfigürasyonları aynı olsun ki ben gerekli yetkilendirmeleri tek ekrandan yönetim logunu göreyim  gerekirse önlemimi alayım.

Switch Konf;

aaa new-model

aaa authentication dot1x default group radius

aaa authorization exec default none

aaa authorization network default group radius

aaa authorization auth-proxy default group radius

aaa accounting update periodic 5

aaa accounting auth-proxy default start-stop group radius

aaa accounting dot1x default start-stop group radius

aaa server radius dynamic-author

 client 10.10.10.11 server-key cisco123

ip domain-name isedemo.local

ip name-server 10.10.10.10

dot1x system-auth-control

ip device tracking

mac address-table notification change

mac address-table notification mac-move

interface GigabitEthernet1/0/1

 switchport access vlan 60

 switchport mode access

 switchport voice vlan 20

 ip access-group DEFAULT-ACL in

 authentication event fail action next-method

 authentication host-mode multi-auth

 authentication order mab dot1x

 authentication priority dot1x mab

 authentication port-control auto

 authentication periodic

 authentication timer reauthenticate server

 authentication violation restrict

 mab   

 dot1x pae authenticator

 dot1x timeout tx-period 10

 spanning-tree portfast

ip http server

ip http secure-server

ip access-list extended ACL_REDIRECT

 permit udp any any eq domain

 permit tcp any any eq domain

 permit udp any eq bootps any

 permit udp any any eq bootpc

 permit udp any eq bootpc any

 deny   ip any host 10.10.10.10

 permit ip any any

ip access-list extended DEFAULT-ACL

 permit udp any any eq domain

 permit tcp any any eq domain

 permit udp any eq bootps any

 permit udp any any eq bootpc

 permit udp any eq bootpc any

 permit tcp any host 10.10.10.11 eq www

 permit tcp any host 10.10.10.11 eq 443

 permit tcp any host 10.10.10.11 eq 8443

 deny   ip any any

ip access-list extended PERMIT-ALL

 permit ip any any

logging origin-id ip

logging host 10.10.10.11 transport udp port 20514

snmp-server community cisco123 RW

snmp-server community public RO

snmp-server enable traps mac-notification change move

     

radius-server attribute 6 on-for-login-auth

radius-server attribute 6 support-multiple

radius-server attribute 8 include-in-access-req

radius-server attribute 25 access-request include

radius-server dead-criteria time 10 tries 3

radius-server host 10.10.10.11 auth-port 1812 acct-port 1813 key cisco123

radius-server load-balance method least-outstanding

WLC Konfigürasyonu ;

Radius altında Authentication ve Accounting tanımlarımı ISE Server ıma göre tanımlıyorum.

Buradaki ACL ler ilerde kullanacağımız posture provisioning  işlemlerinde kullanacağım.

SSID imiz üzerinde yapacağım ayarlar.

AAA Servers tabında ISE server ımı seçiyorum.

Switch ve WLC konfigürasyonunu yaptım sıra geldi Network Device larımı ISE Server a tanımlamaya

ACTIVE DIRECTORY INTEGRATION WITH CISCO ISE

Bu makalemizde ISE Server ımı Active Directory ile entegrasyonunu sağlayacağım  ardından Active Directory User ve Computer  bazlı ,authentication authorization policy leri nasıl yazılır onu göreceğim.

Active Directory Entegrasyonu;

External Identy Sources altında Active Directory add deyip bir isim veriyorum.

İlgili yerleri doldurduktan Submit diyorum.

ISE Node altında domain imiz işaretleyip join deyip entegrasyonu bitiriyorum.

Authentication policy mizi computer ve user bazlı yapacağımız için Active Directory mizden bu grupları çekelim

Aynı tab dan Groups > Add > Select Groups From Directory deyip “Retrieve Groups” ordan Domain Users ve Domain Computers  seçiyorum.

Örnek 1:

Çalışanlarımızdan Coşkun evinden notebookunu getirdi ama bilgisayarında antivirusü yok windows update leri eksik

Yapmamız gereken Coşkun kabloyu taktığında networkumden izole edilsin şirket kaynaklarına ulaşamasın ama internete çıkabilsin.

Authentication Policy ;

Authorization  Policy ;

Eğer bir cihaz sistemde tanımlı bir yetkiye gruba üye değilse mab_mach  kuralına çarpsın ve  VLAN_60_ONLY_INTERNET permission ile networkte gezinsin.

Peki nedir bu VLAN_60_ONLY_INTERNET

İlk önce ISE üzerinde switch lere gönderebildiğimiz Downloadable ACL yazıyoruz.

Sonrasında Authorization Policy de vlan ataması yapıp bu vlan da bir önceki adımdaki DACL yi assing ediyorum.

Switch üzerinden durumu control etmek gerekirse kullanacağımız komut

“show authentication sessions interface gigabitEthernet 1/0/1 details”

Aldığı ip ,authentication method, uygulan DACL hepsini burada görebilirim.

Interface altındaki komutum.

ve son olaran client taki aksiyon,

Örnek 2:

Örneğimizde user yada machine bazlı authorization gerçekleştiğinde VLAN_10 herikiside gerçekleştiğinde VLAN_41 e assing et diyeceğim (windows işletim sistemi sadece açılışta machine bilgisi gönderir, yani machine authentication yapacaksanız bilgisayarı restart etmeniz gerek)

Authentication Policy ;

2.kuralda makalenin başında gerçekleştirdiğim active directory seçiyorum.

Authorization  Policy ;

Client ımı restart ediyorum ve aksiyonumuzu loglardan adım adım takip ediyorum.

Kullanıcı adı şifremi yazdığım sırada Machine Auth oldu ardından user ve halka tamamlandı hem user hemde machine authentication olduğundan beni vlan 41 e assing etti.

Switch deki durumumuz.

EAP CHAINING CISCO

EAP-FAST Cisco tarafından geliştirilmiştir. Networkde dijital sertifika veya güçlü şifre kullanmaya gerek duymayan bir protokoldür.

EAP-FAST ile kimlik denetim sunucusu ve kullanıcı arasında güvenli bir tünel oluşturulur. Tünel bir kez kurulduğunda, kullanıcı adı ve şifreleriyle kimlik denetimini bu tunelden  yapar.

Windows sunucunun yapabildiği; önce user sonra machine bilgisini gönderir bu durumda user and machine authentication aynı anda yapamaz.


User+certificate (PEAP+EAP+TLS) bu iki etken ile authentication yapmak istiyorsak Any Connect Kullanmamız gerekmek

PEAP	Mschap 2 user auth
EAP-TLS	Certificate auth
EAP-FAST	Cisco Spesifik protocol  (arka tarafta EAP-TLS ve PEAP kullanır ve bu işleme EAP Chaining denir.)

Örneklerimiz;

User + Machine bilgisi ile erişim olursa VLAN41 Bunu firmaya ait ,domaine girmiş , masaüstü bilgisayarı olarak düşünebiliriz.

User bilgisi ile giriş yapılmak istenirse ; VLAN10 a assign et bunuda kişisel notebook u ile elinde sadece kullanıcı adı ve şifresi olan ve networkte belli kaynaklara erişmek isteyen bir kullanıcı olarak düşünelim

Bu örneklerimin hepsini kablolu networkte gerçekleştireceğim , daha sonraki makalelerde kablosuz  tarafında BYOD,MYDEVICEPORTAL gibi örnekleri de yayınlayacağım.

Idendtity Soruce Sequences den internal ve external gruplarımı seçiyorum.

Authentication için Eap Chaining protokolunun enable edilmesi için New deyip Protokolü oluşturuyorum dikkat ! Enable EAP Chaining

Authentication rule yazarken bu sefer oluşturduğumuz iki Result u seçiyorum.

Authentication Policylerim için aşağıdaki conditionları oluşturmaya geldi sıra.

USER_AND_MACH_EAPFAST

ONLY_USER_EAPFAST

ONLY_MACH_EAP_FAST

Authorization policy mizin son durumu.

Şimdi AnyConnect için profile dosyamızı oluşturacağım bu işlem için Anyconnect Profile Editor ü kullanıyorum.

Network Add diyorum

Profilime bir isim veriyorum ve bunu Wired Networkte kullanacağımı belirtiyorum.

Bu Network Authentication gerektiren bir network

User  ve Machine bilgisine bakacağım

Configuration.xml olarak kaydediyorum

Şahsi bilgisayarım ile şirket networkume girdiğim zaman

Domainde olan şirket bilgisayarımda oturum açtığım zaman

CISCO ISE CERTIFICATE + USER AUTHENTICATION

Merhaba arkadaşlar makalemin bu bölümde networkteki kullanıcılarımın authentication işlemlerinde kullanacağım yöntem olarak sertifika ve active directory bilgisi isteyeceğim

Bir önceki makalemde Cisco Ise üzerinde sertifika oluşturmayı anlatmıştım makaleyi okumadan önce o postu incelemenizde fayda var.

Elimde iki adet sertifika var bir tanesi local deki CA serverım root , diğeride ISE üzerinden CSR kodumuzla oluşturduğumuz sertifika bu ikisini bir GPO ile Computers OU sunun üzerine basıyorum.

 ISE Server üzerimde bu sertifika için bakacağım attiribute umu ve identity store (Active Directory Entegrasyon makalesine bakınız) seçiyorum.

 

Hemen ardından Identity Source Sequence tabından “Certificate Based Authentication” işaretleyim bir önceki sertifika profilimi seçiyorum. Authentication Search List kısmında internal users ve Active Directory i seçiyorum

 

Authentication Policy mde Dot1x kuralında tanımladığım Identity Sequence biraz önce oluşturduğum CERT_AD_LOCAL tanımını seçiyorum

 Authorization içinde kullanacağım yeni bir contition yazıyorum .

 

Authorization policym aşağıdaki gibi

 

Son olarak client da yapılması gereken ayarlara geçiyorum

Yaptığımız işlem Sertifika + Kullanıcı authentication , GPO management ekranımı açıp aşağıdaki gibi bir policy hazırlıyorum gene bunu Computer bazlı clientlarıma basıyorum.

Client ımız bilgisayarını açtı interface ayarları GPO üzerinden aldı ama sertifika ile ilgili bir sorun oluştu yada yüklenmedi ISE üzerinde karşılaşacağım logu sizlerle baylaşıyorum

Sertifikam yüklü ve kullanıcım düzgün bir şekilde authentication sağlandı ve logum aşağıda

CISCO ISE UPGRADE

Merhaba Arkadaşlar CISCO ISE makaleler serisinde sıra geldi upgrade işlemine

Cisco download sayfasını incelediğimizde versiyonlar arası geçiş paketlerini görebilirsiniz.

ISE 1.4 den ISE 2.0 , 2.2 ye direk geçiş paketleri varken 2.3 için minumum 2.0 a geçmeniz gerekmektedir.

Bu makalemde sizlere 2.1 den 2.3 e geçiş aşamasını anlatacağım

Öncelikle download paketlerini indiriyorum.

Sonrasında ISE Sunucumun bir snapshot ını alıp aksi bir durumda geri dönüşü hızlandırıyorum.

İndirdiğim upgrade dosyasını ftp ile ISE sunucumun diskine çekiyorum kullanacağım komut seti

” copy ftp://10.10.10.10/ise-upgradebundle-2.3.0.298.SPA.x86_64.tar.gz disk:/ ”

Kopyalama işlemi bitti dosyam artık ISE serverımda

Upgrade için önce repository oluşturuyorum bu repository local disk de bulunacak ve adı da” upgrade ” olacak

ise01/admin# conf tEnter configuration commands, one per line. End with CNTL/Z.

ise01/admin(config)# repository upgrade

ise01/admin(config-Repository)# url disk:

e% Warning: Repositories configured from CLI cannot be used from the ISE web UI and are not replicated to other ISE nodes. If this repository is not created in the ISE web UI, it will be deleted when ISE services restart.

ise01/admin(config-Repository)# end

ise01/admin#

Upgrade işlemini tetiklemeye geldi sıra kullanacağımız komut

” application upgrade prepare ise-upgradebundle-2.3.0.298.SPA.x86_64.tar.gz upgrade ”

Bu işlem datanın boyutuna göre değişiklik gösterecek aşağıdaki linki incelerseniz Standalone bir yapıda 240 dakika diyor

Upgrade işlemini takip edeceğiniz komut seti

ise01/admin# application upgrade proceed

Burada belirtmek istediğim son bir nokta upgrade sonrasında Guest Operating System Red Hat Linux seçilmeli . (Red Hat Linux vmxnet ve e1000 desteklemektedir.)

https://www.cisco.com/c/en/us/td/docs/security/ise/2-1/upgrade_guide/b_ise_upgrade_guide_21/b_ise_upgrade_guide_21_chapter_00.html

----------------------------

interface konfigurasyonu

interface GigabitEthernet 1/0/3                
  switchport mode access
  ip access-group ACL-ALLOW in
authentication event fail action next-method
authentication host-mode multi-host
authentication open
authentication order dot1x mab
authentication priority dot1x mab
authentication port-control auto
authentication periodic
authentication timer reauthenticate server
  mab
dot1x pae authenticator
dot1x timeout quiet-period 3

dot1x timeout tx-period 3

----------------

ana konfig

aaa new-model
!
!
aaa group server radius ISE
server 10.45.0.105
server 10.45.0.106
username biltam priv 15 password TEST
username cisco priv 15 password cisco
!
aaa authentication login CONSOLE-AUTH local
aaa authentication dot1x default group radius
aaa authentication enable default enable
aaa authorization network default group radius
aaa authorization auth-proxy default group radius
aaa authorization configuration default group radius
aaa accounting update periodic 10
aaa accounting auth-proxy default start-stop group radius
aaa accounting dot1x default start-stop group radius


!
aaa server radius dynamic-author
client 10.45.0.105 server-key Cisco123!
client 10.45.0.106 server-key Cisco123!


!
aaa session-id common
epm logging
!
ip domain-name  anadolu.edu.tr
ip device tracking probe delay 10
ip device tracking
ip dhcp snooping
!
!
!
dot1x system-auth-control
dot1x critical eapol
!
!
ip http server
ip http secure-server
!
ip access-list extended ACL-ALLOW
permit ip any any
ip access-list extended posture
deny   udp any eq bootpc any eq bootps
deny   udp any any eq domain
deny   udp any any eq 8905
deny   tcp any any eq 8905
deny   tcp any any eq 8909
deny   udp any any eq 8909
deny   tcp any any eq 8443
permit ip any any
ip access-list extended redirect
permit tcp any any eq www
permit tcp any any eq 443
!
logging origin-id ip
logging host 10.45.0.105 transport udp port 20514
logging host 10.45.0.106 transport udp port 20514
!
authentication critical recovery delay 1000
radius-server attribute 6 on-for-login-auth
radius-server attribute 6 support-multiple
radius-server attribute 8 include-in-access-req
radius-server attribute 25 access-request include
radius-server dead-criteria time 3 tries 3
radius-server host 10.45.0.105 auth-port 1812 acct-port 1813 key Cisco123!
radius-server host 10.45.0.106 auth-port 1812 acct-port 1813 key Cisco123!
radius-server vsa send accounting
radius-server vsa send authentication
radius-server load-balance method least-outstanding
!
!


mac address-table notification change 
mac address-table notification mac-move 
snmp-server host 10.45.0.105 traps cisco123 mac-notification
snmp-server host 10.45.0.106 traps cisco123 mac-notification
snmp-server enable traps mac-notification move

service timestamps debug datetime localtime msec
service timestamps log datetime localtime msec


line vty 0 15 

privilege level 15

---------------------------------------------------------------

veya

!

no ip domain lookup

service password-encryption 

!

aaa new-model

!

ip domain name TEST.gov.tr

!

crypto key generate rsa modulus 1024

!

username cisco privilege 15 password Tpl@23bm

!

radius server ISE1

 address ipv4 10.0.0.235 auth-port 1812 acct-port 1813

 key TESTIse2017!

!

radius server ISE1

 address ipv4 192.168.100.135 auth-port 1812 acct-port 1813

 key TESTIse2017!

!

aaa group server radius ISE

 server name ISE1

 server name ISE2

 deadtime 15

radius-server dead-criteria time 10 tries 3

!

ip radius source-interface vlan 50

!

aaa authentication dot1x default group ISE

aaa authorization network default group ISE

aaa authorization network auth-list group ISE

aaa authorization auth-proxy default group ISE

aaa accounting delay-start

aaa accounting update newinfo

aaa accounting auth-proxy default start-stop group ISE

aaa accounting dot1x default start-stop group ISE

!

aaa server radius dynamic-author

 client 192.168.100.135 server-key TESTIse2017!

 client 10.0.0.235 server-key TESTIse2017!

!

aaa session-id common

!

authentication mac-move permit

no ip dhcp snooping information option

ip device tracking

epm logging

epm access-control Open

!

dot1x system-auth-control

dot1x critical eapol

!

ip http server

!

macro name DOT1XKAPAT

no authentication event fail action next-method

no authentication order mab dot1x

no authentication priority dot1x mab

no authentication port-control auto

no authentication periodic

no authentication timer reauthenticate server

no mab

no dot1x pae authenticator

no snmp trap mac-notification change added

@

macro name DOT1XAC

no switchport port-security

no switchport port-security violation restrict

no switchport port-security mac-address sticky

authentication event fail action next-method

authentication event server dead action authorize

authentication event server alive action reinitialize

authentication order mab dot1x

authentication priority dot1x mab

authentication periodic

authentication timer reauthenticate server

authentication port-control auto

authentication host-mode multi-auth

spanning-tree portfast

mab

dot1x pae authenticator

snmp trap mac-notification change added

@

!

ip access-list extended ACL_REDIRECT

 deny   ip any host 192.168.100.135

 deny   ip any host 10.0.0.235

 deny   udp any eq bootpc any eq bootps

 deny   udp any any eq domain

 deny   tcp any host 192.168.100.135 eq 8443

 deny   tcp any host 10.0.0.235 eq 8443

 permit ip any any

!

ip access-list extended permitall

 permit ip any any

!

radius-server attribute 6 on-for-login-auth

radius-server attribute 6 support-multiple

radius-server attribute 8 include-in-access-req

radius-server attribute 25 access-request include

radius-server dead-criteria time 10 tries 3

radius-server vsa send accounting

radius-server vsa send authentication

radius-server load-balance method least-outstanding

!

logging monitor informational

logging origin-id ip

!

snmp-server host 192.168.100.135 TESTIse2017!

snmp-server host 10.0.0.235 TESTIse2017!

!

snmp-server host 192.168.100.135 mac-notification snmp

snmp-server host 10.0.0.235 mac-notification snmp

mac address-table notification change

mac address-table notification change interval 0

!

line vty 0 15

transport input ssh

login local

end

!

wr me

!

!