Manualsbrain.com
  1. Manuais
  2. Marcas
  3. Cisco
  4. Cisco Identity Services Engine 1.3
  5. Folheto

Cisco Cisco Identity Services Engine 1.3 Folheto

Download
Página de 25
  
 
 
 
 
 
© 2015 思科系统公司 
 8   
安全访问操作指南
 
步骤
 4   对于 dACL,请通过转至 Policy  Policy Elements  Results  Authorization  Downloadable ACLs 
验证
 ISE ACL 语法是否正确。 
步骤
 5   对于 Catalyst 交换机,可以使用 ISE Evaluate Configuration Validator 工具来验证配置。转至 
Operations  Troubleshooting  Diagnostic Tools  General Tools(图 8)。 
 
 6. 评估验证器配置 
验证终端到
 NAD 通信 
步骤
 1   对于 Catalyst 交换机,请通过在执行模式下运行以下命令启用 802.1X 调试: 
debug dot1x 
步骤
 2   通过检查调试日志,验证客户端是否在发送 EAP over LAN (EAPoL) 启动消息。 
步骤
 3   对于使用 MAC 身份验证绕行 (MAB) 的设备,请验证设备是否在发送流量。 
如果使用推荐用于
 Cisco TrustSec 2.1 的顺序和计时器设置来配置接口,则经过 30 秒后,交换机才
会接受并使用来自终端的流量发送
 MAB 请求。这对于频繁通信的设备(例如 Windows PC 设备)
而言通常不是问题;但是,某些打印机可能需要一些时间来完成
 MAB。如果您经历长时间延迟才
成功对设备(例如打印机)执行
 MAB,请考虑运行接口特定命令 authentication control-
direction in,以允许在身份验证之前流量从网络传递到终端,从而加快 MAB 过程。 
检查应用于
 VLAN 和会话的 ACL 
步骤
 4   对于 dVLAN,请验证应用于 VLAN 的 ACL 是否未受到过多限制。为此,您可以查看 VLAN 接口 
ACL 或将接口手动分配到未启用 802.1X 的接口并验证终端状况。 
步骤
 5   对于 dACL,请验证应用于会话的 ACL 是否未受到过多限制。以下列出一些有用的命令: 
show authentication sessions interface <int_name> 
show ip access-list interface <int_name> 
show running-config interface <int_name> 
show access-list <int_name>