Cisco Cisco Identity Services Engine 1.3 디자인 가이드
© 2015 思科系统公司
第
17 页
安全访问操作指南
aaa authentication dot1x default group radius
aaa authorization network default group radius
aaa accounting dot1x default start-stop group radius
ip radius source-interface <Interface>
radius-server attribute 6 on-for-login-auth
radius-server attribute 8 include-in-access-req
radius-server attribute 25 access-request include
radius-server host <ISE_PSN_Address> auth-port 1812 acct-port 1813 key xxx
radius-server vsa send accounting
radius-server vsa send authentication
aaa authorization network default group radius
aaa accounting dot1x default start-stop group radius
ip radius source-interface <Interface>
radius-server attribute 6 on-for-login-auth
radius-server attribute 8 include-in-access-req
radius-server attribute 25 access-request include
radius-server host <ISE_PSN_Address> auth-port 1812 acct-port 1813 key xxx
radius-server vsa send accounting
radius-server vsa send authentication
图
11 显示的是一个无线控制器的示例 RADIUS 服务器配置。要访问此配置页面,请转至 WLC Web 管理界面
上的
Security AAA RADIUS Authentication。
图
9. 无线控制器的全局 RADIUS 服务器配置示例
思科最佳实践:
如图 11 所示,请务必将 Call Station ID Type 设置为 System MAC Address 以允许分析非 802.1X 客户端。这样可以确保 ISE 能够
将终端添加到数据库中并根据已知
MAC 地址将所接收的其他配置文件数据与同一终端关联。
对于无线控制器,在
RADIUS 记帐配置下应该显示类似的条目(图 12)。