Cisco Cisco Identity Services Engine 1.2 产品宣传页
© 2015 思科系统公司
第
38 页
安全访问操作指南
添加网络设备
概述
任何交换机或无线局域网控制器
(WLC) 如果需要将 RADIUS 请求发送到思科 ISE 进行身份验证和网络客户端
授权,都应添加到思科
ISE。思科 ISE 提供一台默认设备,可配置为允许任何网络设备发送 RADIUS 请求,
但是使用此功能并不是一个安全的好办法。
为了提供全面的策略创建和详细的报告,建议将所有设备逐一添加到思科
ISE,并使用网络设备组 (NDG) 来
组织这些网络设备。
注:思科
ISE 提供导入/导出机制,用于批量导入网络设备并将这些设备分配到相应的 NDG。
有关详细说明,请参阅思科
ISE 用户手册
(http://www.cisco.com/en/US/docs/security/ise/1.1/user_guide/ise_admin.html)。
配置网络设备组
如果使用得当,
NDG 是功能很强大的工具。思科 ISE 在进行策略决策时能够使用任意数量的属性。NDG 成
员就是可用作策略条件的属性之一。例如,可以为交换机创建一个
NDG,再为 VPN 设备创建一个,然后为
WLC 创建第三个组。
思科最佳实践:至少要按照设备类型和位置创建相应的
NDG。
步骤
1
转至
Administration Network Resource Network Device Groups。
默认情况下,最高一级的
NDG 类型有两个:All Device Types 和 All Locations。大多数部署都可以从这两个类
型开始。您的部署可能需要创建多个位置的子组。其可能性几近无限(请参阅随后的层次结构示例)
组采用分层结构。以组结构
"All Locations North America US SJC Building M 1st Floor" 为例,您
可以在策略中使用组层次结构的任意级别。换言之,您可以在策略中选择
"US" 并获得 "US" 下面每个组中的
每台设备。
图
19. 网络设备组