Cisco Cisco Identity Services Engine 1.3 Bedienungsanleitung
© 2015 思科系统公司
第
3 页
安全访问操作指南
全局交换机配置
本文档说明如何执行全局交换机配置。在
Cisco TrustSec 2.1 系统中,交换机执行多种关键功能。它处理 Web
身份验证的
URL 重定向以及从状态代理(思科网络访问控制 [NAC] 设备代理)到 Cisco ISE 服务器的发现流
量的重定向。交换机在网络入口同时提供第
2 层和第 3 层流量实施,其中,第 2 层实施有助于确保仅授权用
户和设备才可以获得网络访问权限。
这些推荐配置经过编译,成为适用于所有部署的最佳实践。最佳实践的目标是使该配置在部署的不同阶段自
始自终保持一致并选定不同的部署类型。借此可以使用软件工具(例如
始自终保持一致并选定不同的部署类型。借此可以使用软件工具(例如
Cisco Prime™ 基础设施)设置端口模
板,以便于配置多个端口和在接入层进行故障排除工作。
思科最佳实践:建议使用网络配置管理解决方案(例如
Cisco Prime LAN 管理解决方案 [LMS])管理整个企业
范围的配置。但是,此方案已经超过
Cisco TrustSec 2.1 测试实验室的范围,因此文中将不再提及。相关内容
将在未来版本中加以介绍。
交换机配置
– 全局设置
相较于之前的
NAC 解决方案需要设备捕捉网络流量并重定向至 Web 身份验证页面,新的解决方案是在第 2 层
接入(边缘)设备执行
URL 重定向,这可以简化 Web 身份验证部署和状态代理发现流程,无疑是一项巨大
的改进。
注:必备配置:本指南假定交换机已预先配置了基础配置。例如,最佳实践是使用网络时间协议
(NTP) 设置
正确的日期和时间,但本指南中不会提及此设置。
最佳实践:始终确保交换机能够与客户端子网通信,有助于确保
HTTP 重定向功能正常运作。为安全地进行
最佳实践,请使用接入等级来限制可以管理交换机的地址。本主题不在本文档说明范围之内。
在交换机上配置
HTTP 服务器
步骤
1 在交换机上设置 DNS 域名。
a. 在设备上定义 DNS 域名之前,思科 IOS
®
软件不允许创建和安装证书或自生成密钥。输入以下
命令:
C3750X(config)#ip domain-name domain_name
步骤
2 通过输入以下命令,生成要用于 HTTPS 的密钥:
C3750X(config)#crypto key generate rsa general-keys mod 2048
注:为避免在
Web 重定向期间可能发生的证书不匹配错误,我们建议您使用由受信任证书颁发机构颁发的证
书而非本地证书。本主题不在本文档说明范围之内。