Cisco Cisco Identity Services Engine 1.3 디자인 가이드
© 2015 思科系统公司
第
40 页
安全访问操作指南
图
29. 无线控制器的 DHCP 中继配置示例
步骤
3 对于在使用 DHCP 的 WLC 上配置的每个 WLAN,请确保如前面的程序中所述,上游网关配置为将
DHCP 中继至 ISE 策 略服务节点中。
将网络设备配置为将多份
DHCP 流量发送至 PSN(仅 DHCP SPAN 探测功能)
有多种方式可将流量镜像到
ISE 策略服务节点。本程序将介绍在 Cisco Catalyst 交换机上使用基本 SPAN 的一
种常用方法。
确定将作为
DHCP 流量来源的接口或 VLAN。WLC 的出口接口或与 DHCP 服务器的连接等某些阻塞点可以
作为捕获所有客户端
DHCP 数据包的理想位置。
在下面的示例中,接口千兆以太网
1/1 是思科 5500 系列无线局域网控制器的中继连接。接口千兆以太网 2/37
是连接运行
VMware ESXi 4.1 的 Cisco UCS
®
服务器的一个交换端口连接。ESX 服务器承载配置为启用分析功
能的策略服务节点的一个
ISE 虚拟设备。接口千兆以太网 2/37 连接至与作为千兆以太网 3 的 ISE PSN 链接的
虚拟接口。
interface GigabitEthernet1/1
description WLC5508 ETH0 (Port 1)
switchport
switchport trunk encapsulation dot1q
switchport trunk allowed vlan 40-44
switchport mode trunk
interface GigabitEthernet2/37
description UCS1 SPAN (port 3 of 4)
switchport
description WLC5508 ETH0 (Port 1)
switchport
switchport trunk encapsulation dot1q
switchport trunk allowed vlan 40-44
switchport mode trunk
interface GigabitEthernet2/37
description UCS1 SPAN (port 3 of 4)
switchport
将
SPAN 配置为捕获 5500 交换机连接上的所有入站和出站流量并转发至 ISE PSN 连接。为此,接口千兆以太
网
1/1 要设置为 SPAN 源并且接口千兆以太网 2/37 要设置为目标。因为 ISE 无需看见带标记的数据包,所以
在交换端口上未启用
802.1Q 中继。
cat6500(config)# monitor session 1 source interface gigabitEthernet 1/1 both
cat6500(config)# monitor session 1 destination interface gigabitEthernet 2/37
cat6500(config)# monitor session 1 destination interface gigabitEthernet 2/37