Cisco Cisco Identity Services Engine 1.2 产品宣传页

第

38 页

安全访问操作指南

添加网络设备

概述

任何交换机或无线局域网控制器

(WLC) 如果需要将 RADIUS 请求发送到思科 ISE 进行身份验证和网络客户端

授权，都应添加到思科

ISE。思科 ISE 提供一台默认设备，可配置为允许任何网络设备发送 RADIUS 请求，

但是使用此功能并不是一个安全的好办法。

为了提供全面的策略创建和详细的报告，建议将所有设备逐一添加到思科

ISE，并使用网络设备组 (NDG) 来

组织这些网络设备。

注：思科

ISE 提供导入/导出机制，用于批量导入网络设备并将这些设备分配到相应的 NDG。

有关详细说明，请参阅思科

ISE 用户手册

(http://www.cisco.com/en/US/docs/security/ise/1.1/user_guide/ise_admin.html)。

配置网络设备组

如果使用得当，

NDG 是功能很强大的工具。思科 ISE 在进行策略决策时能够使用任意数量的属性。NDG 成

员就是可用作策略条件的属性之一。例如，可以为交换机创建一个

NDG，再为 VPN 设备创建一个，然后为

WLC 创建第三个组。

思科最佳实践：至少要按照设备类型和位置创建相应的

NDG。

步骤

转至

Administration  Network Resource  Network Device Groups。

默认情况下，最高一级的

NDG 类型有两个：All Device Types 和 All Locations。大多数部署都可以从这两个类

型开始。您的部署可能需要创建多个位置的子组。其可能性几近无限（请参阅随后的层次结构示例）

组采用分层结构。以组结构

"All Locations  North America  US  SJC  Building M  1st Floor" 为例，您

可以在策略中使用组层次结构的任意级别。换言之，您可以在策略中选择

"US" 并获得 "US" 下面每个组中的

每台设备。

图