Cisco Cisco Identity Services Engine 1.2 操作指南

操作指南

-21-监控模式部署指南 

7 

配置身份验证

 

程序

 1 

检查默认思科

 ISE 身份验证策略 

步骤

 1  导航至 Policy  Authentication（图 6）。 

图

 6 添加身份验证策略 

 

身份验证策略中有两条预配置规则以及一条默认规则。策略规则表与访问列表一样，从上向下进行处理，采用第一
条匹配的规则。

 

身份验证请求与规则行按照一定条件进行匹配。为详细说明，我们将具体介绍一下第一条预配置规则

 MAB，这是交

换机中用于

 MAC 身份验证绕行的规则。 

思科

 ISE 策略采用逻辑 IF-THEN 格式。请注意显示为 Wired_MAB 的“选择器”前面的 IF。此行说明：“如果 

RADIUS 请求是 Wired_MAB，则允许使用默认网络协议。”例如： 

IF

 Wired_MAB  

THEN

 Allow the default protocols 

ELSE

 Move to next Line in Authentication Policy Table 

步骤

 2  在图 7 中，请注意黑色下拉三角形（其概览见图 7）。 

步骤

 3  点击下图标记出来的三角形。 

图

 7：添加身份验证策略 

 

身份验证策略表中的各规则均含有第二部分。此行用于选择凭证库。默认情况下，会将

 MAC 身份验证绕行的此预

配置规则配置为使用“内部端点”数据存储。内部端点数据存储是

 ISE 内部已知设备的数据库。此数据库可以进行

手动填充或动态填充。

 

注：手动填充示例：管理员从

 Cisco Unified Communications Manager 界面导出已知思科统一 IP 电话 MAC 地址列表，然后将该列表导入 ISE。

动态填充示例：

ISE 分析通过一个或多个分析探针发现此设备，然后在内部端点数据存储中创建此设备条目。 

IF-THEN 语句显示如下： 

IF

 Wired_MAB  

THEN

 Allow the default protocols 

AND

 Check Credentials with the Internal Endpoints Data Store 

ELSE

 Move to next Line in Authentication Policy Table 

注：

Wired_MAB 是预构建条件，用来匹配 RADIUS 属性：

service-type = call-check 和 nas-port-type = ethernet。