Cisco Cisco Identity Services Engine 1.3 작동 가이드

  

 

 

 

 
 

© 2015 思科系统公司 

第

 5 页  

安全访问操作指南 

配置全局

 RADIUS 命令  

我们配置主动方法来检查

 RADIUS 服务器的可用性。通过此操作，交换机将定期向 RADIUS 服务器 (Cisco 

ISE) 发送测试身份验证消息，并等待服务器的 RADIUS 响应。并非一定要得到成功消息，身份验证失败的消
息也可以，因为这也足以证明服务器处于活动状态。

 

最佳实践：不可能将这些身份验证记录从

 Cisco ISE 1.1(377) 中的日志记录服务器中过滤掉。过滤会使 Cisco 

ISE 控制面板上显示的身份验证成功和失败信息出现偏差，因此我们建议使用能够成功进行身份验证、但授权
会拒绝访问的帐户。

 

步骤

  1  在全局配置模式下，为 RADIUS 保持连接间隔添加用户名和密码。 

此处创建的用户名将在后面的步骤中添加至

 Cisco ISE 中的本地用户数据库中，我们在稍后定义 

RADIUS 服务器的步骤中会用到此帐户。 

C3750X(config)#username 

 password password 

步骤

  2  将 Cisco ISE 服务器添加至 RADIUS 组。 

在此步骤中，将使用以前创建的测试帐户把各个

 Cisco ISE 策略服务节点 (PSN) 添加至交换机配置

中，并对各个

 PSN 重复此步骤。 

C3750X(config)#radius-server host ise_ip_address auth-port 1812 acct-port 1813 test username 

 key 

 

注：除正常过程中发生的所有身份验证或授权以外，服务器还将每小时一次主动检查响应。

 

步骤

  3  设置停机条件。 

交换机已配置为主动检查

 Cisco ISE 服务器来获取 RADIUS 响应。现在配置交换机上的计数器，以

确定服务器是处于活动状态还是处于停机状态。默认设置为，等待

 5 秒以获取来自 RADIUS 服务

器的响应，并且进行

 3 次测试尝试后将服务器标记为停机。如果 Cisco ISE 服务器在 15 秒内没有作

出有效响应，系统会将其标记为停机。

 

C3750X(config)#radius-server dead-criteria time 5 tries 3 

注：我们会在部署模式部分更加详细地讨论高畅通性。

 

步骤

  4  启用授权变更 (CoA)。 

之前，已经定义了

 RADIUS 服务器（交换机会将 RADIUS 消息发送到该服务器）的 IP 地址。而我

们还会在其他列表中定义可执行授权变更

 (RFC 3576) 操作的服务器，此操作也是在全局配置模式

下进行，如下所示：

 

C3750X(config)#aaa server radius dynamic-author 

C3750X(config-locsvr-da-radius)#client ise_ip_address server-key