Cisco Cisco Identity Services Engine 1.3 Designanleitung
© 2015 思科系统公司
第
16 页
安全访问操作指南
表
3. 示例 RADIUS 属性
User-Name NAS-IP-Address
NAS-Port Framed-IP-Address
Calling-Station-Id Acct-Session-Id Acct-Session-Time Acct-Terminate-Cause
虽然
Calling-Station-ID 取决于接入设备配置,但是其通常是所连接终端的 MAC 地址。此属性一个立竿见影的
好处是可以根据
MAC 地址在终端连接至网络并进行身份验证时快速识别唯一终端。它还根据从 MAC 地址前
三个字节提取的组织唯一标识符
(OUI),提供关于供应商网络适配器的信息。
RADIUS 记帐数据包中的 Framed-IP-Address 提供所连接终端的 IP 地址。此属性与 Calling-Station-ID 相结合,
可向
可向
ISE 提供支持依赖于 IP 地址的其他探测功能(例如 DNS、HTTP、Cisco NetFlow 和 NMAP)所需的关键
IP 到 MAC 绑定。
配置
RADIUS 探测功能
RADIUS 探测功能是最容易启用和部署的探测功能之一,因为网络接入设备已经配置为向运行会话服务的 ISE
策略服务节点发送
策略服务节点发送
RADIUS 数据包,以进行用于网络身份验证和授权。
在
ISE 中启用 RADIUS 探测功能
步骤
1 转至 Administration System Deployment,在右侧窗格中从已部署节点的列表中,选择要执行分
析的策略服务节点。
步骤
2 选择 Profiling Configuration 选项卡,然后选中相应复选框以启用 RADIUS 探测功能。此探测功能将
在为
RADIUS 服务配置的接口上自动启用(图 10)。
图
8. RADIUS 探测功能配置
步骤
3 点击 Save 以提交更改。
步骤
4 对已配置分析服务的所有其他策略服务节点重复本程序中的步骤。
验证是否已在
ISE 中配置接入设备
本指南假定已在
Administration Network Resources Network Devices 下配置了网络接入设备,可进行标准
RADIUS 通信。
验证是否已将接入设备配置为向
ISE PSN 发送 RADIUS
本指南假定已配置网络接入设备,可对
ISE 策略服务节点 (PSN) 进行 RADIUS 身份验证、授权和记帐。以下
是适用于有线交换机的一个示例
RADIUS 配置: