Cisco Cisco Identity Services Engine 1.3 작동 가이드

  

 

 

 

 
 

© 2015 思科系统公司 

第

 8 页  

安全访问操作指南

3850(config)#radius-server dead-criteria time 10 tries 3 

3850(config)#radius-server deadtime 15 

注：我们会在部署模式部分更加详细地介绍高可用性。

 

 

步骤

 3 

启用授权更改

 (CoA)。 

之前我们已对

 RADIUS 服务器（交换机要将 RADIUS 消息发送到该服务器）的 IP 地址进行了定义。

但是，我们还会在其他列表中定义可执行授权更改

 (RFC 3576) 操作的服务器，此操作也是在全局

配置模式下进行，如下所示：

 

3850(config)#aaa server radius dynamic-author 

3850(config-locsvr-da-radius)#client 192.168.201.88 server-key cisco123 

3850(config-locsvr-da-radius)#auth-type any 

步骤

 4 

将交换机配置为使用思科供应商指定属性。

 

在此，我们将交换机配置为在身份验证请求和记帐更新过程中将所有已定义的供应商指定属性

 

(VSA) 发送到 Cisco ISE PSN。 

3850(config)#radius-server vsa send authentication 

3850(config)#radius-server vsa send accounting 

步骤

 5 

接下来，我们将启用供应商指定属性

 (VSA)。 

3850(config)#radius-server attribute 6 on-for-login-auth 

3850(config)#radius-server attribute 8 include-in-access-req 

3850(config)#radius-server attribute 25 access-request include 

3850(config)#radius-server attribute 31 mac format ietf upper-case 

3850(config)#radius-server attribute 31 send nas-port-detail mac-only 

步骤

 6 

对于

 RADIUS 请求，请确保交换机始终从正确接口发送流量。 

交换机可能经常有多个关联的

 IP 地址。因此，最好始终强制所有管理通信均通过一个指定接口执

行。此接口

 IP 地址必须与 Cisco ISE 网络设备对象中定义的 IP 地址相匹配。 

思科最佳实践：网络管理最佳实践为，对所有管理通信使用环回适配器，同时向内部路由协议通告该环回接口。

 

3850(config)#ip radius source-interface vlan 201