Cisco Cisco Identity Services Engine 1.3 작동 가이드
© 2015 思科系统公司
第
6 页
安全访问操作指南
步骤
4
在交换机上启用
HTTP 服务器。
必须在交换机上启用
HTTP 服务器才能执行 HTTP/HTTPS 捕捉和重定向。输入以下命令:
3850(config)#ip http server
3850(config)#ip http secure-server
注:在执行第
2 步生成密钥之前,请勿运行 ip http secure-server 命令。如果您没按照顺序执行命令,那么交
换机会自动生成密钥较短的证书。此证书可导致重定向
HTTPS 流量时出现意外。不同于使用 AireOS 的 WLC,
3850 系列无线支持重定向 HTTP 请求,但是在重定向期间会提示终端信任交换机的自签名证书。
步骤
5
禁用其他交换机管理功能的
HTPP 和 HTTPS(可选):
3850(config)#ip http active-session-modules none
3850(config)#ip http secure-active-session-modules none
注:这将禁用对
3850 无线配置以及从 NCS 主要基础设施执行的配置的管理访问。
配置全局
AAA 命令
步骤
1
在接入交换机上启用身份验证、授权和记帐
(AAA)。
默认情况下会禁用思科交换机的
AAA“子系统”。启用 AAA 子系统之前,配置中所需的任何命令
均不可用。输入以下命令:
3850(config)#aaa new-model
3850(config)#aaa session-id common
注:此命令可启用
AAA 网络安全服务提供的所有服务,例如本地登录身份验证和授权,定义和应用方法列表
等。有关详细信息,请参阅《思科
IOS 安全配置指南》。
步骤
2
创建
802.1X 的身份验证方法。
必须通过身份验证方法指示交换机将哪组
RADIUS 服务器用于处理 802.1X 身份验证请求:
3850(config)#aaa authentication dot1x default group radius
步骤
3
创建
802.1X 的授权方法。
在步骤
2 中创建的方法会使用户/设备身份(用户名/密码或证书)通过 RADIUS 服务器进行验证。
但是,只有有效的凭证还不够,还必须获得授权。授权是指用于定义用户或设备是否真正获得网络
访问权限的条件以及实际允许的访问级别。
访问权限的条件以及实际允许的访问级别。
3850(config)#aaa authorization network default group radius