Cisco Cisco Identity Services Engine 1.3 Bedienungsanleitung
© 2015 思科系统公司
第
4 页
安全访问操作指南
使用的组件:
•
Cisco ISE 1.2.0.899
•
运行 IOS-XE 版本 03.02.02.SE 的思科 3850
•
Cisco LWAP 3602
•
作为 AD/DNS/DHCP 服务器的 Microsoft Windows 2008
有关
NGWC 无线功能的一些注意事项:
•
无线管理接口必须与 AP 接入 VLAN 一样,此布局中不支持 FlexConnect 模式下的 AP
•
客户端空闲超时是全局设置(与最新的 AireOS 相对)
•
AP 需要直接连接到 3850 交换机
•
无需使用 DHCP 选项 43 或 DNS 条目的传统 AP 发现方法。借助 CAPWAP 监听,所有直接连接的 AP
只要使用正确的
VLAN 配置,都可以联接 3850。由于采用 CAPWAP 监听,如果在 3850 上配置了无
线管理接口,所有直接连接的
AP 都只能与 3850 通信
•
支持 https 重定向,但是用户需要信任 3850 https 的证书,才能继续登录页面
•
借助 IOS-XE 版本 03.02.02.SE,3850 交换机可提供一些基于 GUI 的无线配置功能
注:思科
3850 能够以移动代理 (MA) 模式或移动控制器 (MC) 模式工作。每个移动部署都需要至少一个 MC,
而且由于我们的设计包括一个
3850 交换机,所以我们会将此交换机配置为 MC 模式。
3850 交换机无线配置步骤
思科
3850 是一个统一接入平台,可将有线和无线网络融合到一个物理基础设施中。此配置示例显示如何将用
于无线身份验证的思科
3850 交换机与 ISE 集成,为 BYOD 和安全状况评估等高级身份功能提供基础。本文
档中的示例将主要侧重于
3850 上用于无线配置的命令行界面。
注:借助版本
03.02.02.SE,思科为 3850 引入了通过 GUI 访问无线配置的能力。但是,配置的很多部分仍然
依赖于
CLI。本文档仅介绍 CLI 配置。
验证许可
3850 随附标配使用权 (RTU) 许可证方案。RTU 许可允许用户订购和激活特定类型和级别的许可证,以及在交
换机上管理许可证使用情况。要激活许可证,用户需要接受最终用户许可协议
换机上管理许可证使用情况。要激活许可证,用户需要接受最终用户许可协议
(EULA)。对于评估许可证,在
90 天试用期到期之前,系统会通知用户购买永久许可证或停用该评估许可证。用户需要满足以下三个条件,
才能在
才能在
3850 上启用无线功能:运行 ipbase 或 ipservices 功能包、拥有 RTU 许可证,并且已接受 EULA。如果
此交换机用作移动控制器
(MC),则 RTU 还会管理 AP 计数。
注:配置必备条件:本指南假定交换机具有所需的许可证;以下步骤将侧重于此平台上
RTU 许可证的验证。
步骤
1
验证 RTU 许可证已就绪。
步骤
2
运行以下
show 命令以查看处于可用和使用中状态的许可证:
3850#show license right-to-use summary