Cisco Cisco Identity Services Engine 1.3 Guia De Utilização
© 2015 思科系统公司
第
5 页
安全访问操作指南
配置全局
RADIUS 命令
我们配置主动方法来检查
RADIUS 服务器的可用性。通过此操作,交换机将定期向 RADIUS 服务器 (Cisco
ISE) 发送测试身份验证消息,并等待服务器的 RADIUS 响应。并非一定要得到成功消息,身份验证失败的消
息也可以,因为这也足以证明服务器处于活动状态。
息也可以,因为这也足以证明服务器处于活动状态。
最佳实践:不可能将这些身份验证记录从
Cisco ISE 1.1(377) 中的日志记录服务器中过滤掉。过滤会使 Cisco
ISE 控制面板上显示的身份验证成功和失败信息出现偏差,因此我们建议使用能够成功进行身份验证、但授权
会拒绝访问的帐户。
会拒绝访问的帐户。
步骤
1 在全局配置模式下,为 RADIUS 保持连接间隔添加用户名和密码。
此处创建的用户名将在后面的步骤中添加至
Cisco ISE 中的本地用户数据库中,我们在稍后定义
RADIUS 服务器的步骤中会用到此帐户。
C3750X(config)#username
radius-test
password password
步骤
2 将 Cisco ISE 服务器添加至 RADIUS 组。
在此步骤中,将使用以前创建的测试帐户把各个
Cisco ISE 策略服务节点 (PSN) 添加至交换机配置
中,并对各个
PSN 重复此步骤。
C3750X(config)#radius-server host ise_ip_address auth-port 1812 acct-port 1813 test username
radius-test
key
shared_secret
注:除正常过程中发生的所有身份验证或授权以外,服务器还将每小时一次主动检查响应。
步骤
3 设置停机条件。
交换机已配置为主动检查
Cisco ISE 服务器来获取 RADIUS 响应。现在配置交换机上的计数器,以
确定服务器是处于活动状态还是处于停机状态。默认设置为,等待
5 秒以获取来自 RADIUS 服务
器的响应,并且进行
3 次测试尝试后将服务器标记为停机。如果 Cisco ISE 服务器在 15 秒内没有作
出有效响应,系统会将其标记为停机。
C3750X(config)#radius-server dead-criteria time 5 tries 3
注:我们会在部署模式部分更加详细地讨论高畅通性。
步骤
4 启用授权变更 (CoA)。
之前,已经定义了
RADIUS 服务器(交换机会将 RADIUS 消息发送到该服务器)的 IP 地址。而我
们还会在其他列表中定义可执行授权变更
(RFC 3576) 操作的服务器,此操作也是在全局配置模式
下进行,如下所示:
C3750X(config)#aaa server radius dynamic-author
C3750X(config-locsvr-da-radius)#client ise_ip_address server-key
shared_secret