Cisco Cisco Identity Services Engine 1.3 작동 가이드

  

 

 

 

 
 

© 2015 思科系统公司 

第

 6 页  

安全访问操作指南

步骤

 4 

在交换机上启用

 HTTP 服务器。 

必须在交换机上启用

 HTTP 服务器才能执行 HTTP/HTTPS 捕捉和重定向。输入以下命令： 

3850(config)#ip http server 

3850(config)#ip http secure-server 

注：在执行第

 2 步生成密钥之前，请勿运行 ip http secure-server 命令。如果您没按照顺序执行命令，那么交

换机会自动生成密钥较短的证书。此证书可导致重定向

 HTTPS 流量时出现意外。不同于使用 AireOS 的 WLC，

3850 系列无线支持重定向 HTTP 请求，但是在重定向期间会提示终端信任交换机的自签名证书。 

 

步骤

 5 

禁用其他交换机管理功能的

 HTPP 和 HTTPS（可选）： 

3850(config)#ip http active-session-modules none 

3850(config)#ip http secure-active-session-modules none 

注：这将禁用对

 3850 无线配置以及从 NCS 主要基础设施执行的配置的管理访问。  

配置全局

 AAA 命令 

步骤

 1 

在接入交换机上启用身份验证、授权和记帐

 (AAA)。 

默认情况下会禁用思科交换机的

 AAA“子系统”。启用 AAA 子系统之前，配置中所需的任何命令

均不可用。输入以下命令：

 

3850(config)#aaa new-model 

3850(config)#aaa session-id common 

注：此命令可启用

 AAA 网络安全服务提供的所有服务，例如本地登录身份验证和授权，定义和应用方法列表

等。有关详细信息，请参阅《思科

 IOS 安全配置指南》。 

步骤

 2 

创建

 802.1X 的身份验证方法。 

必须通过身份验证方法指示交换机将哪组

 RADIUS 服务器用于处理 802.1X 身份验证请求： 

3850(config)#aaa authentication dot1x default group radius 

步骤

 3 

创建

 802.1X 的授权方法。 

在步骤

 2 中创建的方法会使用户/设备身份（用户名/密码或证书）通过 RADIUS 服务器进行验证。

但是，只有有效的凭证还不够，还必须获得授权。授权是指用于定义用户或设备是否真正获得网络
访问权限的条件以及实际允许的访问级别。

 

3850(config)#aaa authorization network default group radius