Cisco Cisco Identity Services Engine 1.3 Operating Guide
© 2015 思科系统公司
第
9 页
安全访问操作指南
配置全局
802.1X 命令
步骤
1 在交换机上全局启用 802.1X。
在交换机上全局启用
802.1X 实际上不会在任何交换机端口上启用身份验证。此时会对身份验证进
行配置,但直到配置监控模式才会启用身份验证。
C3750X(config)#
dot1x system-auth-control
步骤
2 使可下载的 ACL 发挥作用。
可下载访问控制列表
(dACL) 是 Cisco TrustSec 部署中十分常见的实施机制。为使 dACL 在交换机
上正常运作,必须全局启用
IP 设备跟踪,如下所示:
C3750X(config)#
ip device tracking
注:在某些不常见情况下,
Windows 7 和设备不会响应 ARP,此时要求使用命令 ip device tracking
use SVI。
步骤
3 在交换机上启用系统日志。
许多事件都会在思科
IOS
®
软件上生成系统日志。某些系统日志消息可以发送至思科 ISE,用于排
除故障。要帮助确保思科
ISE 能够编译来自交换机的合适系统日志消息,请使用以下命令:
注:日志应发送至起监控作用的思科
ISE 节点。
C3750X(config)#logging monitor informational
C3750X(config)#logging origin-id ip
C3750X(config)#logging source-interface <interface_id>
C3750X(config)#logging host <ISE_MNT_PERSONA_IP_Address_x> transport udp port 20514
在交换机上设置标准日志记录功能,以支持对思科
ISE 功能进行故障排除/录制。实施策略模块
(EPM) 是思科 IOS 软件的一部分,负责实现诸如 Web 身份验证和可下载 ACL 等功能:
启用
EPM 日志记录会生成与可下载 ACL 授权相关的系统日志,当此类日志发送至思科 ISE 时,部
分日志可以在思科
ISE 中进行关联。
注:对于概念验证或试点项目来说,启用系统日志是理想之选。对于大规模建立的部署来说,如果
担心流量问题,可以禁用系统日志记录。
担心流量问题,可以禁用系统日志记录。
C3750X(config)#epm logging