Cisco Cisco Identity Services Engine 1.3 Guia De Utilização
© 2015 思科系统公司
第
10 页
安全访问操作指南
配置本地访问控制列表
交换机上有些功能需要使用本地配置的访问控制列表
(ACL),如 URL 重定向。您创建的其中有些 ACL 可以
立即使用,而有些则要到部署的后期阶段才能使用。本部分的目标是同时为所有可能的部署模式准备好交换
机,并限制重复的交换机配置所带来的运营成本。
机,并限制重复的交换机配置所带来的运营成本。
步骤
1
添加以下要用于
Web 身份验证 URL 重定向的 ACL:
3850(config)#ip access-list extended REDIRECT-ACL
3850(config-ext-nacl)#deny udp any host 192.168.201.72 eq 53
3850(config-ext-nacl)#deny udp any eq bootpc host 192.168.201.72 eq bootps
3850(config-ext-nacl)#deny ip any host 192.168.201.88
3850(config-ext-nacl)#permit ip any any
配置全局
802.1X 命令
步骤
1
在交换机上全局启用
802.1X。
在交换机上全局启用
802.1X 实际上不会在任何 WLAN 或端口上启用身份验证。
3850(config)#dot1x system-auth-control
步骤
2
启用可下载的
ACL 以正常工作。
可下载的访问控制列表
(dACL) 在 Cisco ISE 部署中是一种十分常见的实施机制。要使 dACL 在交换机上正常
工作,必须全局启用
IP 设备跟踪,如下所示:
3850(config)#ip device tracking
注:
Windows 7 和不响应 ARP 的设备存在一些需要使用 ip device tracking use SVI 命令的特殊情况。
配置全局无线功能
步骤
1
在交换机上启用移动控制器
(MC) 功能。
3850 交换机可以仅用作移动代理 (MA),也可以同时用作移动控制器 (MC) 和 MA。对于任何 3850 无线
部署,都至少需要一个可用于部署的
部署,都至少需要一个可用于部署的
MC。由于我们只有一个 3850 交换机,所以我们将该 3850 配置为
MC+MA。
3850(config)#wireless mobility controller
注:
3850 交换机始终配置为 MA 。