Cisco Cisco Identity Services Engine 1.3 Folheto
![Cisco](https://files.manualsbrain.com/attachments/7380d0050044647c30f5c24bbbf5d0c0b6d9bb84/common/fit/150/50/faa183d287233c52228cfea3dbc2a127fe780f60564fcb0955d9c3d1cd23/brand_logo.png)
© 2015 思科系统公司
第
8 页
安全访问操作指南
步骤
4 对于 dACL,请通过转至 Policy Policy Elements Results Authorization Downloadable ACLs
验证
ISE ACL 语法是否正确。
步骤
5 对于 Catalyst 交换机,可以使用 ISE Evaluate Configuration Validator 工具来验证配置。转至
Operations Troubleshooting Diagnostic Tools General Tools(图 8)。
图
6. 评估验证器配置
验证终端到
NAD 通信
步骤
1 对于 Catalyst 交换机,请通过在执行模式下运行以下命令启用 802.1X 调试:
debug dot1x
步骤
2 通过检查调试日志,验证客户端是否在发送 EAP over LAN (EAPoL) 启动消息。
步骤
3 对于使用 MAC 身份验证绕行 (MAB) 的设备,请验证设备是否在发送流量。
如果使用推荐用于
Cisco TrustSec 2.1 的顺序和计时器设置来配置接口,则经过 30 秒后,交换机才
会接受并使用来自终端的流量发送
MAB 请求。这对于频繁通信的设备(例如 Windows PC 设备)
而言通常不是问题;但是,某些打印机可能需要一些时间来完成
MAB。如果您经历长时间延迟才
成功对设备(例如打印机)执行
MAB,请考虑运行接口特定命令 authentication control-
direction in,以允许在身份验证之前流量从网络传递到终端,从而加快 MAB 过程。
检查应用于
VLAN 和会话的 ACL
步骤
4 对于 dVLAN,请验证应用于 VLAN 的 ACL 是否未受到过多限制。为此,您可以查看 VLAN 接口
ACL 或将接口手动分配到未启用 802.1X 的接口并验证终端状况。
步骤
5 对于 dACL,请验证应用于会话的 ACL 是否未受到过多限制。以下列出一些有用的命令:
show authentication sessions interface <int_name>
show ip access-list interface <int_name>
show running-config interface <int_name>
show access-list <int_name>