Cisco Cisco Identity Services Engine 1.3 디자인 가이드

 

 

 

© 2015 思科系统公司 

第

 93 页 

安全访问操作指南

默认情况下，思科交换机上会启用嵌入式设备分类器，此分类器会通过程序启用设备传感器。因此，默认情
况下，也会启用设备传感器。当启用

 RADIUS 身份验证和记帐功能，向 ISE 发送传感器数据时，对于各项 

TLV 更改，可能会发送一个重复的 RADIUS 计帐数据包。这是由于本地分析器执行的会话监控导致的。要防
止发送重复的计帐消息，必须禁用本地分析器。

 

如果禁用

 RADIUS 身份验证（例如，在处于 ISE 预部署/发现阶段或已使用思科 NAC 设备实施 ISE 分析服务

的网络中），如果禁用本地分析器，则不会发送任何传感器数据。要允许在不受本地分析器影响的情况下，
发送传感器数据，请使用

 access-session template monitor 命令。 

步骤

 10   将交换机配置为使用 RADIUS 计帐功能向 ISE 发送会话计帐信息。 

步骤

 11   如果已经配置 RADIUS 身份验证和授权，此步骤应已完成。有关配置交换机以与 ISE 通信的其他详

细信息，请参考

 

步骤

 12   如果尚未部署 RADIUS/802.1X，请务必在交换机配置中包含以下命令： 

cat3750x(config)# aaa new-model 
cat3750x(config)# aaa accounting dot1x default start-stop group radius 
cat3750x(config)# radius-server host <PSN_ip> auth-port <port> acct-port <port> key <shared-
secret>

 

cat3750x(config)# radius-server vsa send accounting 

步骤

 13   验证设备传感器是否在收集分析数据。 

如下所示，使用

 show device-sensor cache 命令，验证设备传感器是否在正常运行： 

cat3750x# show device-sensor cache all 
Device: 0050.56a0.0b3a on port GigabitEthernet1/0/1 
-------------------------------------------------- 
Proto Type:Name                       Len Value 
dhcp    55:parameter-request-list      14 37 0C 01 0F 03 06 2C 2E 2F 1F 21 79 F9 2B 
dhcp    60:class-identifier            10 3C 08 4D 53 46 54 20 35 2E 30 
dhcp    12:host-name                    9 0C 07 77 69 6E 37 2D 70 63 
dhcp    50:requested-address            6 32 04 0A 01 0A 64 
dhcp    61:client-identifier            9 3D 07 01 00 50 56 A0 0B 3A 
 
Device: 0012.d9e3.427e on port GigabitEthernet1/0/24 
-------------------------------------------------- 
Proto Type:Name                       Len Value 
cdp      4:capabilities-type            8 00 04 00 08 00 00 00 29 
cdp      2:address-type                17 00 02 00 11 00 00 00 01 01 01 CC 00 04 0A 01 32 01 
cdp      6:platform-type               18 00 06 00 12 63 69 73 63 6F 20 57 53 2D 43 36 35 30 33 
cdp      1:device-name                 21 00 01 00 15 63 61 74 36 35 30 33 2E 63 74 73 2E  
                                          6C 6F 63 61 6C 
 
Device: c471.fe34.197a on port GigabitEthernet1/0/2 
-------------------------------------------------- 
Proto Type:Name                       Len Value 
cdp      4:capabilities-type            8 00 04 00 08 00 00 00 02 
cdp      2:address-type                17 00 02 00 11 00 00 00 01 01 01 CC 00 04 0A 01 0E 64 
cdp      6:platform-type               30 00 06 00 1E 63 69 73 63 6F 20 41 49 52 2D 4C 41 
                                          50 31 31 34 32 4E 2D 41 2D 4B 39 20 20 20 
cdp      1:device-name                 20 00 01 00 14 41 50 63 34 37 31 2E 66 65 33 34 2E 31 39 37 
61 
dhcp    50:requested-address            6 32 04 0A 01 0E 64 
dhcp    60:class-identifier            16 3C 0E 43 69 73 63 6F 20 41 50 20 63 31 31 34 30 
dhcp    55:parameter-request-list      10 37 08 01 06 0F 2C 03 21 96 2B 
dhcp    12:host-name                   18 0C 10 41 50 63 34 37 31 2E 66 65 33 34 2E 31 39 37 61 
dhcp    61:client-identifier            9 3D 07 01 C4 71 FE 34 19 7A