Cisco Cisco Identity Services Engine 1.3 디자인 가이드
© 2015 思科系统公司
第
86 页
安全访问操作指南
注:需要使用
RADIUS 计帐功能才能将传感器数据转发至 ISE。但是,无需 RADIUS 身份验证和授权即可收
集传感器数据并将其发送至
ISE。因此,当组织尚未准备好启用 RADIUS 身份验证时,即使是在仅监控模式
下,在网络发现阶段都可以将设备传感器用于
ISE 预部署。此支持可扩展至将 ISE 分析服务用于未部署
RADIUS 访问控制的思科 NAC 设备的部署中。
在
ISE 中启用 RADIUS 探测功能
步骤
1 在
章节详细介绍了启用
RADIUS 探测功能的步骤。请参阅该章节,了解如
何正确启用和配置
RADIUS 探测功能。
步骤
2 该章节提供的说明中有一种例外情况,即在未使用基于 RADIUS 的身份验证和授权的部署中使用设
备传感器。在此场景中,应该未向
ISE 添加接入设备,但是由于它们需要向 ISE 沟通 RADIUS 计帐
信息,因此需要在
Administration Network Resources Network Devices 下添加支持设备传感器
的所有接入设备。
步骤
3 请确保在 ISE 中输入的 IP 地址与接入设备捕获到的用于发送 RADIUS 的值匹配。此外,请确保
RADIUS 共享密钥与接入设备上配置的值匹配。需要执行这些步骤才能支持从设备传感器接收
RADIUS 计帐数据包。
RADIUS 计帐数据包。
在思科有线交换机上启用分析协议
要从终端收集
CDP、LLDP 或 DHCP 属性,接入交换机需要启用这些协议以允许它读取和收集关联属性。
步骤
1 访问支持设备传感器的接入交换机的命令控制台。
步骤
2 启用交换机,支持 CDP。
步骤
3 默认情况下,思科交换机上会全局启用 CDP。如已禁用,请使用此全局命令启用:
cat3750x(config)# cdp run
步骤
4 默认情况下,各个交换端口都会启用 CDP。如已禁用,请使用以下接口命令启用:
cat3750x(config-if)# cdp enable
步骤
5 如下所示,使用 show cdp neighbors 命令,验证交换机上 CDP 是否正常运行:
cat3750x# show cdp neighbors
Capability Codes: R - Router, T - Trans Bridge, B - Source Route Bridge
S - Switch, H - Host, I - IGMP, r - Repeater, P - Phone,
D - Remote, C - CVTA, M - Two-port Mac Relay
Device ID Local Intrfce Holdtme Capability Platform Port ID
APc471.fe34.197a Gig 1/0/2 137 T AIR-LAP11 Gig 0
SEP003094C4528A Gig 1/0/1 150 H P M IP Phone Port 1
cat6503.cts.local
Gig 1/0/24 140 R S I WS-C6503 Gig 2/47
Capability Codes: R - Router, T - Trans Bridge, B - Source Route Bridge
S - Switch, H - Host, I - IGMP, r - Repeater, P - Phone,
D - Remote, C - CVTA, M - Two-port Mac Relay
Device ID Local Intrfce Holdtme Capability Platform Port ID
APc471.fe34.197a Gig 1/0/2 137 T AIR-LAP11 Gig 0
SEP003094C4528A Gig 1/0/1 150 H P M IP Phone Port 1
cat6503.cts.local
Gig 1/0/24 140 R S I WS-C6503 Gig 2/47