Cisco Cisco Identity Services Engine 1.3 Bedienungsanleitung
© 2015 思科系统公司
第
4 页
安全访问操作指南
步骤
3 在交换机上启用 HTTP 服务器。
必须在交换机上启用
HTTP 服务器才能执行 HTTP/HTTPS 捕捉和重定向。输入以下命令:
C3750X(config)#ip http server
C3750X(config)#ip http secure-server
注:在执行步骤
2 生成密钥之前,请勿运行 ip http secure-server 命令。如果您没按照顺序执行命令,那么交
换机会自动生成密钥长度较短的证书,此证书会导致重定向
HTTPS 流量时出现意外。
配置全局
AAA 命令
步骤
1 在接入交换机上启用身份验证、授权和记帐 (AAA)。
默认情况下会禁用思科交换机的
AAA“子系统”。启用 AAA 子系统之前,配置中所需的任何命令
均不可用。输入以下命令:
C3750X(config)#aaa new-model
注:此命令启用
AAA 网络安全服务提供的任何服务(例如,本地登录身份验证和授权),从而定义并应用方法列表等等。有关更多详细信息,请参阅
《思科
IOS 安全配置指南》。
步骤
2 创建 802.1X 的身份验证方法。
必须通过身份验证方法指示交换机哪组
RADIUS 服务器用于处理 802.1X 身份验证请求:
C3750X(config)#aaa authentication dot1x default group radius
步骤
3 创建 802.1X 的授权方法。
通过步骤
2 中创建的方法,可以由 RADIUS 服务器验证用户/设备身份(用户名/密码或证书)。但
是,只有有效的凭证还不够,还必须获得授权。授权是指用于定义用户或设备是否真正获得网络访
问权限的条件以及实际允许的访问级别。
问权限的条件以及实际允许的访问级别。
C3750X(config)#aaa authorization network default group radius
步骤
4 创建 802.1X 的记账方法。
RADIUS 记账数据包非常有用,并且对于许多 ISE 功能是必需的。这些类型的数据包将有助于确保
RADIUS 服务器 (Cisco ISE) 了解交换机端口和终端的确切状态。如果没有记账数据包,Cisco ISE
将只能了解身份验证和授权通信情况。记账数据包提供有关授权会话的长度以及交换机制定的本地
决策(例如
将只能了解身份验证和授权通信情况。记账数据包提供有关授权会话的长度以及交换机制定的本地
决策(例如
AuthFail VLAN 分配等)的信息。
C3750X(config)#aaa accounting dot1x default start-stop group radius