Cisco Cisco Identity Services Engine 1.3 Merkblatt

第

18 页

安全访问操作指南

步骤

2 在图 19 中，请注意 Allowed Protocol 框后的 "and..."。在 "and..." 这个词旁边是黑色的下拉三

角形（在图

19 中标有圆圈）

步骤

3 点击此三角形。

此操作的结果如图

20 所示。身份验证策略表中的各规则均含有第二部分。此行用于选择凭证

库。默认情况下，会将

MAC 身份验证绕行的此预配置规则配置为使用内部终端数据存储。

内部终端数据存储是

ISE 内部已知设备的数据库，此数据库可以进行手动填充或动态填充。

图

20 身份验证策略：MAB

注：手动填充示例：管理员从

Cisco Unified Communications Manager 界面导出已知思科统一 IP 电话 MAC 地址列表，然后将该列表导入 ISE。

动态填充示例：

ISE 分析通过一个或多个分析探针发现此设备，然后在内部终端数据存储中创建此设备条目。

IF-THEN 语句显示如下：

Wired_MAB

THEN

Allow the default protocols

AND

Check Credentials with the Internal Endpoints Data Store

ELSE

Move to next Line in Authentication Policy Table

注：

Wired_MAB 是预构建条件，用来匹配 RADIUS 属性

service-type = call-check 和 nas-port-type = ethernet。

程序

2 启用无线身份验证

步骤

1 导航至 Policy  Authentication。

步骤

2 展开 Dot1X 规则的 IF 条件，并选择 Add Condition from Library（图 21）。

图

21 身份验证策略：添加 WLAN 条件 1