Cisco Cisco Identity Services Engine 1.3 Operating Guide
© 2015 思科系统公司
第
7 页
安全访问操作指南
步骤
2 配置交换机来发送陷阱消息。
现在,我们将启用
SNMP 陷阱发送,其中包含对 MAC 地址表的更改。每当在地址表中插入、删除
或移动新地址时,都会向
Cisco ISE 发送包括设备 MAC 地址和接口标识符的陷阱。
C3750X(config)#snmp-server enable traps mac-notification change move threshold
步骤
3 将 Cisco ISE 添加为 SNMP 陷阱接收器。
在此,将服务器添加陷阱接收器,用于接收已配置的
MAC 通知:
C3750X(config)#snmp-server host ise_ip_address version 2c community_string mac-notification
步骤
4 为受信任端口配置动态主机配置协议 (DHCP) 监听。
DHCP 监听对于 Cisco TrustSec 2.1 不是必需的做法,但却是最佳实践。它不仅通过拒绝欺诈 DHCP
服务器实现更好的可用性,而且还为诸如动态地址解析协议
服务器实现更好的可用性,而且还为诸如动态地址解析协议
(ARP) 检测等其他安全工具准备交换机。
DHCP 监听还有助于为 Cisco TrustSec 技术后续版本中引入的功能准备交换机。
配置
DHCP 监听之前,请确保对您信任的 DHCP 服务器位置进行备注。配置 DHCP 监听时,交换
机会拒绝来自任何未配置为“
trusted”的端口的 DHCP 服务器应答。输入上行链路接口的接口配置
模式,并将其配置为信任端口。
注:仅当上行链路端口是交换机端口或中继端口而不是第
3 层接口时,才需要执行此步骤。这一事
实说明,本节结尾处的示例配置中不使用
ip dhcp snooping trust 命令的原因。
C3750X(config)#interface interface_name
C3750X(config-if)#ip dhcp snooping trust
步骤
5 启用 DHCP 监听。
系统在全局配置模式下启用
DHCP 监听。启用 DHCP 监听后,必须配置与之配合使用的 VLAN,
如下所示:
C3750X(config)#ip dhcp snooping
C3750X(config)#ip dhcp snooping vlan vlan_id_or_vlan_range