Cisco Cisco Identity Services Engine 1.3 Merkblatt
![Cisco](https://files.manualsbrain.com/attachments/7380d0050044647c30f5c24bbbf5d0c0b6d9bb84/common/fit/150/50/faa183d287233c52228cfea3dbc2a127fe780f60564fcb0955d9c3d1cd23/brand_logo.png)
© 2015 思科系统公司
第
18 页
安全访问操作指南
步骤
2 在图 19 中,请注意 Allowed Protocol 框后的 "and..."。在 "and..." 这个词旁边是黑色的下拉三
角形(在图
19 中标有圆圈)
步骤
3 点击此三角形。
此操作的结果如图
20 所示。身份验证策略表中的各规则均含有第二部分。此行用于选择凭证
库。默认情况下,会将
MAC 身份验证绕行的此预配置规则配置为使用内部终端数据存储。
内部终端数据存储是
ISE 内部已知设备的数据库,此数据库可以进行手动填充或动态填充。
图
20 身份验证策略:MAB
注:手动填充示例:管理员从
Cisco Unified Communications Manager 界面导出已知思科统一 IP 电话 MAC 地址列表,然后将该列表导入 ISE。
动态填充示例:
ISE 分析通过一个或多个分析探针发现此设备,然后在内部终端数据存储中创建此设备条目。
IF-THEN 语句显示如下:
IF
Wired_MAB
THEN
Allow the default protocols
AND
Check Credentials with the Internal Endpoints Data Store
ELSE
Move to next Line in Authentication Policy Table
注:
Wired_MAB 是预构建条件,用来匹配 RADIUS 属性
service-type = call-check 和 nas-port-type = ethernet。
程序
2 启用无线身份验证
步骤
1 导航至 Policy Authentication。
步骤
2 展开 Dot1X 规则的 IF 条件,并选择 Add Condition from Library(图 21)。
图
21 身份验证策略:添加 WLAN 条件 1