Cisco Cisco Identity Services Engine 1.2 产品宣传页

 

 
 

© 2015 思科系统公司 

第

 14 页  

安全访问操作指南

与

 ISE PSN 的通信 

当客户端尝试进行身份验证时，交换机没有或无法将

 RADIUS 消息发送到 AAA 服务器有三种常见原因： 

•

  缺乏适当的网络连接 

•

  交换机上的 RADIUS 配置 

•

  缺乏来自客户端的响应 

要验证网络连接，请从交换机对

 AAA 服务器执行 ping 操作。以下是 ping 命令示例： 

Switch# 

ping 192.168.1.60 

 

Type escape sequence to abort. 

Sending 5, 100-byte ICMP Echos to 192.168.1.60, timeout is 2 seconds: 

!!!!! 

Success rate is 100 percent (5/5), round-trip min/avg/max = 1/1/1 ms 

Switch# 

如果

 ping 不成功，或者某些数据包被丢弃，请使用标准路由和交换调试技术在交换机和 AAA 服务器之间建

立可靠的连接。

 

如果

 ISE PSN 可以通过 ping 连通，则在此情况下使用 test aaa 诊断命令可有所帮助。以下示例说明此命令： 

test aaa group radius testuser cisco123 new-code  

User successfully authenticated 

 

Switch# 

test aaa 命令导致交换机向 AAA 服务器发送访问请求，从而（在本例中）使用密码 

cisco123 对用户 

testuser 进行 PAP（明文）身份验证。交换机将尝试向 radius-server host 命令中配置的服务器进行身份验证。
或者，如果您使用的是

 AAA 组而不是默认 RADIUS 组，则可以指定特定 RADIUS 组对配置为该组的一部分

的特定服务器进行测试。

 

如果

 test aaa 命令的结果为 User successfully authenticated（如先前代码片段中所示），则意

味着有三种情况成立：交换机正确配置为与

 AAA 服务器通信（正确的共享密钥）；交换机具有到 AAA 服务

器的网络连接；

test 命令中指定的用户名和密码有效。ISE 实时身份验证事件将显示以下身份验证： 

test aaa group radius testuser cisco123 new-code  

User rejected 

 

Switch# 

如果

 test aaa 命令的结果为 User authentication request was rejected by server，则表明

交换机配置有效并且网络连接进行了验证，但是

 test 命令中提供的用户名和/或密码无效。此失败的身份验证

将显示在

 ISE 实时身份验证事件中。另一种可能性是交换机无法向 AAA 服务器进行身份验证。共享密钥不匹

配，或者没有到

 AAA 服务器的网络连接，这可能是 AAA 服务器没有收到 RADIUS 消息的原因。重新验证配

置和

/或验证网络连接将使交换机能够在 802.1X 身份验证期间与 AAA 服务器通信。