implementing-network-access-control-with-cisco-ise

部署 Cisco Identity Services Engine,实现 802.1X 有线和无线认证、MAC 认证旁路、态势评估和动态 VLAN 分配以进行网络访问控制。

9 stars

Best use case

implementing-network-access-control-with-cisco-ise is best used when you need a repeatable AI agent workflow instead of a one-off prompt.

部署 Cisco Identity Services Engine,实现 802.1X 有线和无线认证、MAC 认证旁路、态势评估和动态 VLAN 分配以进行网络访问控制。

Teams using implementing-network-access-control-with-cisco-ise should expect a more consistent output, faster repeated execution, less prompt rewriting.

When to use this skill

  • You want a reusable workflow that can be run more than once with consistent structure.

When not to use this skill

  • You only need a quick one-off answer and do not need a reusable workflow.
  • You cannot install or maintain the underlying files, dependencies, or repository context.

Installation

Claude Code / Cursor / Codex

$curl -o ~/.claude/skills/implementing-network-access-control-with-cisco-ise/SKILL.md --create-dirs "https://raw.githubusercontent.com/killvxk/cybersecurity-skills-zh/main/skills/implementing-network-access-control-with-cisco-ise/SKILL.md"

Manual Installation

  1. Download SKILL.md from GitHub
  2. Place it in .claude/skills/implementing-network-access-control-with-cisco-ise/SKILL.md inside your project
  3. Restart your AI agent — it will auto-discover the skill

How implementing-network-access-control-with-cisco-ise Compares

Feature / Agentimplementing-network-access-control-with-cisco-iseStandard Approach
Platform SupportNot specifiedLimited / Varies
Context Awareness High Baseline
Installation ComplexityUnknownN/A

Frequently Asked Questions

What does this skill do?

部署 Cisco Identity Services Engine,实现 802.1X 有线和无线认证、MAC 认证旁路、态势评估和动态 VLAN 分配以进行网络访问控制。

Where can I find the source code?

You can find the source code on GitHub using the link provided at the top of the page.

SKILL.md Source

# 使用 Cisco ISE 实施网络访问控制

## 概述

Cisco Identity Services Engine(ISE)通过 802.1X 认证、MAC 认证旁路(MAB)、态势评估和访客访问管理提供集中式网络访问控制。ISE 作为 RADIUS 策略服务器,评估来自网络设备(交换机、无线控制器)的认证请求,并返回授权策略,包括 VLAN 分配、可下载 ACL(dACL)和安全组标签(SGT)。本技能涵盖使用 Active Directory 集成、MAB 回退、态势合规执行和 TrustSec 分段部署 ISE 进行企业有线 802.1X 认证。

## 前置条件

- Cisco ISE 3.1+ 设备或虚拟机(生产环境最低 16 CPU 核心、64GB 内存)
- 支持 802.1X 的 Cisco 交换机(推荐 Catalyst 9000 系列)
- 带用户和计算机账户的 Active Directory 域
- 用于 EAP-TLS 基于证书认证的 PKI 基础设施
- ISE 节点和网络设备之间 DNS 和 NTP 配置一致
- 端点上的认证客户端软件(Windows 原生、AnyConnect NAM 或 SecureW2)

## 核心概念

### 802.1X 架构

802.1X 框架涉及三个组件:

| 组件 | 角色 | 示例 |
|------|------|------|
| **认证客户端(Supplicant)** | 请求网络访问的客户端 | Windows 802.1X 客户端、AnyConnect NAM |
| **认证方(Authenticator)** | 控制端口访问的网络设备 | Cisco Catalyst 交换机 |
| **认证服务器(Authentication Server)** | 策略决策引擎 | Cisco ISE(RADIUS) |

### 认证流程

```
1. 端点连接到交换机端口
2. 交换机向端点发送 EAP-Request/Identity
3. 端点响应 EAP-Response/Identity
4. 交换机通过 RADIUS Access-Request 将凭据转发到 ISE
5. ISE 对 AD/LDAP/内部存储进行认证
6. ISE 评估授权策略
7. ISE 返回带属性(VLAN、dACL、SGT)的 RADIUS Access-Accept
8. 交换机在端口上执行授权
```

### 认证方法

| 方法 | 用途 | 安全级别 |
|------|------|---------|
| EAP-TLS | 基于证书,最高安全性 | 高 |
| PEAP-MSCHAPv2 | 通过 AD 的用户名/密码 | 中 |
| EAP-FAST | Cisco 专有,快速重认证 | 中 |
| MAB | 非 802.1X 设备(打印机、IP 电话) | 低 |

## 实施步骤

### 步骤 1:为 Active Directory 集成配置 ISE

导航至 **Administration > Identity Management > External Identity Sources > Active Directory**:

1. 添加 AD 加入点,填写域名(如 `corp.example.com`)
2. 提供 ISE 机器账户的域管理员凭据
3. 将 ISE 加入域
4. 为授权策略选择 AD 组:
   - `Domain Users` - 标准员工访问
   - `Domain Computers` - 机器认证
   - `IT-Admins` - 特权访问
   - `BYOD-Users` - 个人设备访问

### 步骤 2:在 ISE 中配置网络设备

导航至 **Administration > Network Resources > Network Devices**:

```
名称:SW-ACCESS-01
IP 地址:10.0.1.1/32
RADIUS 共享密钥:C0mpl3x$3cretKey!
SNMP 设置:v2c,团体字符串
设备类型:Cisco Switches
位置:Building-A-Floor-1
```

创建网络设备组层次结构:
```
设备类型:
  ├── Cisco Switches(Cisco 交换机)
  │   ├── Access Layer(接入层)
  │   └── Distribution Layer(汇聚层)
  └── Wireless Controllers(无线控制器)
位置:
  ├── Building-A(A 栋)
  └── Building-B(B 栋)
```

### 步骤 3:为 802.1X 配置交换机

将以下配置应用到接入交换机:

```
! 启用 AAA
aaa new-model
aaa authentication dot1x default group radius
aaa authorization network default group radius
aaa accounting dot1x default start-stop group radius
aaa accounting update newinfo periodic 2880

! 配置 RADIUS 服务器
radius server ISE-PRIMARY
 address ipv4 10.0.5.10 auth-port 1812 acct-port 1813
 key 0 C0mpl3x$3cretKey!
 automate-tester username radius-test probe-on

radius server ISE-SECONDARY
 address ipv4 10.0.5.11 auth-port 1812 acct-port 1813
 key 0 C0mpl3x$3cretKey!
 automate-tester username radius-test probe-on

aaa group server radius ISE-GROUP
 server name ISE-PRIMARY
 server name ISE-SECONDARY
 deadtime 15
 ip radius source-interface Loopback0

! 全局启用 802.1X
dot1x system-auth-control

! 启用 RADIUS CoA(授权变更)
aaa server radius dynamic-author
 client 10.0.5.10 server-key C0mpl3x$3cretKey!
 client 10.0.5.11 server-key C0mpl3x$3cretKey!

! 启用设备跟踪以映射 IP 到 MAC
device-tracking tracking auto-source

! 配置接入端口模板
interface range GigabitEthernet1/0/1-48
 description 802.1X 接入端口
 switchport mode access
 switchport access vlan 100

 ! 认证设置
 authentication host-mode multi-auth
 authentication order dot1x mab
 authentication priority dot1x mab
 authentication port-control auto
 authentication periodic
 authentication timer reauthenticate server
 authentication timer inactivity server dynamic
 authentication violation restrict

 ! 802.1X 设置
 dot1x pae authenticator
 dot1x timeout tx-period 10
 dot1x max-reauth-req 2

 ! MAB 回退
 mab

 ! 启用 spanning-tree portfast(及时认证必需)
 spanning-tree portfast

 ! 应用预认证 ACL
 ip access-group PRE-AUTH-ACL in

! 预认证 ACL(允许 DHCP、DNS、ISE 门户)
ip access-list extended PRE-AUTH-ACL
 permit udp any any eq 67
 permit udp any any eq 68
 permit udp any any eq 53
 permit tcp any host 10.0.5.10 eq 8443
 permit tcp any host 10.0.5.11 eq 8443
 deny ip any any
```

### 步骤 4:配置 ISE 认证策略

导航至 **Policy > Policy Sets**:

**认证策略:**

| 规则名称 | 条件 | 允许协议 | 身份源 |
|---------|------|---------|--------|
| Dot1X-EAP-TLS | Radius:EAP-Type EQUALS EAP-TLS | EAP-TLS | 带证书的 AD |
| Dot1X-PEAP | Radius:EAP-Type EQUALS PEAP | PEAP-MSCHAPv2 | Active Directory |
| MAB | Radius:Service-Type EQUALS Call-Check | MAB Lookup | 内部端点 |
| Default | Default | Default | Deny Access |

### 步骤 5:配置 ISE 授权策略

**授权策略:**

| 规则名称 | 条件 | 授权配置文件 |
|---------|------|------------|
| IT-Admin-Wired | AD:Group EQUALS IT-Admins AND Dot1X | VLAN10-FullAccess |
| Employee-Compliant | AD:Group EQUALS Domain Users AND Posture:Compliant | VLAN100-Corporate |
| Employee-NonCompliant | AD:Group EQUALS Domain Users AND Posture:NonCompliant | VLAN200-Remediation |
| Printer-MAB | EndpointIdentityGroup EQUALS Printers | VLAN150-Printers |
| IP-Phone-MAB | EndpointIdentityGroup EQUALS IP-Phones | VLAN50-Voice |
| BYOD-Onboarding | AD:Group EQUALS BYOD-Users AND !Registered | BYOD-Portal-Redirect |
| Guest-Access | GuestEndpointGroup EQUALS GuestEndpoints | VLAN300-Guest |
| Default | Default | DenyAccess |

**授权配置文件:**

```
配置文件:VLAN100-Corporate
  VLAN:100
  dACL:PERMIT_ALL
  SGT:Employees (0x0005)
  重认证定时器:28800

配置文件:VLAN200-Remediation
  VLAN:200
  dACL:REMEDIATION-ACL(仅允许访问修复服务器)
  Web 重定向:Posture Discovery
  重认证定时器:300

配置文件:DenyAccess
  访问类型:ACCESS_REJECT
```

### 步骤 6:配置态势评估

导航至 **Work Centers > Posture**:

**态势条件:**
```
- Windows 防火墙已启用(注册表检查)
- 防病毒软件运行且已更新(AV 复合条件)
- OS 补丁级别当前(Windows Update 检查)
- 磁盘加密已启用(BitLocker 检查)
```

**态势要求:**
```
要求:Corporate-Windows-Compliance
  OS:Windows All
  条件:Windows 防火墙 AND 防病毒软件 AND OS 补丁
  修复:使用 AnyConnect ISE Posture Module 自动修复
```

**态势策略:**
```
规则:Windows-Endpoints
  身份组:Any
  OS:Windows All
  要求:Corporate-Windows-Compliance
```

### 步骤 7:配置 TrustSec 分段

启用基于 SGT 的分段:

```
! 在交换机上启用 CTS
 cts credentials id SW-ACCESS-01 password CtsP@ss
 cts role-based enforcement
 cts role-based sgt-map 10.0.100.0/24 sgt 5

! 从 ISE 下载 SGT 策略
 cts role-based permissions
```

ISE TrustSec 矩阵(SGACL):

| 源 SGT | 目标 SGT | 策略 |
|--------|---------|------|
| Employees (5) | Servers (10) | Permit_HTTP_HTTPS |
| Employees (5) | PCI_Zone (15) | Deny_All |
| IT-Admins (3) | Servers (10) | Permit_All |
| Guest (7) | Internet (99) | Permit_HTTP_HTTPS |
| Guest (7) | Servers (10) | Deny_All |

## 故障排除

```bash
# 在交换机上验证认证状态
show authentication sessions
show authentication sessions interface Gi1/0/1 details
show dot1x all

# 检查 RADIUS 连接
test aaa server radius ISE-PRIMARY username testuser password testpass

# 在 ISE 上检查实时日志
# 导航至 Operations > RADIUS > Live Logs
# 按 MAC 地址或用户名过滤
# 查看认证详情了解失败原因

# 常见失败原因:
# 12514 - EAP-TLS 握手失败(证书问题)
# 22056 - 身份存储中未找到主题
# 24408 - Active Directory 中未找到用户
# 24454 - 用户密码已过期
```

## 最佳实践

- **先监控模式** - 在执行关闭模式前以监控模式(开放认证)部署
- **低影响模式** - 使用 `authentication open` 结合预认证 dACL 进行渐进式部署
- **MAB 数据库** - 为打印机、电话等预先填充端点数据库中的已知 MAC 地址
- **设备画像** - 启用 ISE 画像功能按类型自动分类端点
- **CoA 支持** - 确保配置授权变更以进行动态策略更新
- **高可用性** - 以主/备节点对部署 ISE,启用 PAN 故障转移
- **证书基础设施** - 使用机器证书进行 EAP-TLS 以实现最强认证

## 参考资料

- [Cisco ISE Admin Guide 3.1](https://www.cisco.com/c/en/us/td/docs/security/ise/3-1/admin_guide/b_ise_admin_3_1.html)
- [Cisco 802.1X Design Guide](https://www.cisco.com/c/en/us/support/docs/lan-switching/8021x/214843-guide-ieee-802-1x-deployment-with-cisco.html)
- [CiscoLive ISE Deployment Guide 2025](https://www.ciscolive.com/c/dam/r/ciscolive/emea/docs/2025/pdf/BRKSEC-2660.pdf)
- [Cisco ISE Wired 802.1X Configuration](https://www.networkcomputing.com/network-security/cisco-ise-wired-802-1x-configuration)

Related Skills

testing-for-broken-access-control

9
from killvxk/cybersecurity-skills-zh

系统性测试 Web 应用程序中的访问控制缺陷,包括权限提升、缺失的功能级检查以及不安全的直接对象引用。

securing-remote-access-to-ot-environment

9
from killvxk/cybersecurity-skills-zh

本技能涵盖为操作员、工程师和供应商实施OT/ICS环境的安全远程访问,同时防止可能危害工业运营的未授权访问。涉及跳板服务器架构、多因素认证、会话记录、特权访问管理、供应商远程访问控制,以及符合IEC 62443和NERC CIP-005远程访问要求。

scanning-network-with-nmap-advanced

9
from killvxk/cybersecurity-skills-zh

使用 Nmap 的脚本引擎、时序控制、规避技术和输出解析,对授权目标网络执行高级网络侦察, 发现主机、枚举服务、检测漏洞并识别操作系统。

performing-wireless-network-penetration-test

9
from killvxk/cybersecurity-skills-zh

执行无线网络渗透测试,通过捕获握手包、破解 WPA2/WPA3 密钥、检测流氓接入点以及使用 Aircrack-ng 和相关工具测试无线网络分段,评估 WiFi 安全性。

performing-privileged-account-access-review

9
from killvxk/cybersecurity-skills-zh

对特权账户进行系统性审查,验证访问权限,识别过多权限,并在 PAM 基础设施中执行最小权限原则。

performing-ot-network-security-assessment

9
from killvxk/cybersecurity-skills-zh

本技能涵盖对运营技术(OT)网络(包括SCADA系统、DCS架构和工业控制系统通信路径)进行全面安全评估。内容涉及Purdue参考模型各层、识别IT/OT融合风险、评估区域间防火墙规则,以及映射工业协议流量(Modbus、DNP3、OPC UA、EtherNet/IP),以检测关键基础设施中的错误配置、未授权连接和攻击面。

performing-network-traffic-analysis-with-zeek

9
from killvxk/cybersecurity-skills-zh

部署 Zeek 网络安全监控器,捕获、解析和分析网络流量元数据,用于威胁检测、异常识别和取证调查。

performing-network-traffic-analysis-with-tshark

9
from killvxk/cybersecurity-skills-zh

使用 tshark 和 pyshark 自动化网络流量分析,进行协议统计、可疑流量检测、DNS 异常识别以及从 PCAP 文件中提取威胁指标(IOC)

performing-network-packet-capture-analysis

9
from killvxk/cybersecurity-skills-zh

使用 Wireshark、tshark 和 tcpdump 对网络数据包捕获(PCAP/PCAPNG)进行取证分析,重建网络通信、提取传输文件、识别恶意流量,并建立数据渗出或命令与控制活动的证据。

performing-network-forensics-with-wireshark

9
from killvxk/cybersecurity-skills-zh

使用 Wireshark 和 tshark 捕获并分析网络流量,重建网络事件、提取制品并识别恶意通信。

performing-initial-access-with-evilginx3

9
from killvxk/cybersecurity-skills-zh

在红队演练中,使用 EvilGinx3 中间人(Adversary-in-the-Middle)钓鱼框架执行授权的初始访问,捕获会话令牌并绕过多因素认证(MFA)。

performing-external-network-penetration-test

9
from killvxk/cybersecurity-skills-zh

依照 PTES 方法论,通过侦察、扫描、漏洞利用和报告等阶段,对面向互联网的基础设施执行全面的外部网络渗透测试,识别可利用漏洞。