Cisco Cisco Identity Services Engine 1.2 操作指南

第

3 页

安全访问操作指南

全局交换机配置

本文档说明如何执行全局交换机配置。在

Cisco TrustSec 2.1 系统中，交换机执行多种关键功能。它处理 Web

身份验证的

URL 重定向以及从状态代理（思科网络访问控制 [NAC] 设备代理）到 Cisco ISE 服务器的发现流

量的重定向。交换机在网络入口同时提供第

2 层和第 3 层流量实施，其中，第 2 层实施有助于确保仅授权用

户和设备才可以获得网络访问权限。

这些推荐配置经过编译，成为适用于所有部署的最佳实践。最佳实践的目标是使该配置在部署的不同阶段自
始自终保持一致并选定不同的部署类型。借此可以使用软件工具（例如

Cisco Prime™ 基础设施）设置端口模

板，以便于配置多个端口和在接入层进行故障排除工作。

思科最佳实践：建议使用网络配置管理解决方案（例如

Cisco Prime LAN 管理解决方案 [LMS]）管理整个企业

范围的配置。但是，此方案已经超过

Cisco TrustSec 2.1 测试实验室的范围，因此文中将不再提及。相关内容

将在未来版本中加以介绍。

交换机配置

– 全局设置

相较于之前的

NAC 解决方案需要设备捕捉网络流量并重定向至 Web 身份验证页面，新的解决方案是在第 2 层

接入（边缘）设备执行

URL 重定向，这可以简化 Web 身份验证部署和状态代理发现流程，无疑是一项巨大

的改进。

注：必备配置：本指南假定交换机已预先配置了基础配置。例如，最佳实践是使用网络时间协议

(NTP) 设置

正确的日期和时间，但本指南中不会提及此设置。

最佳实践：始终确保交换机能够与客户端子网通信，有助于确保

HTTP 重定向功能正常运作。为安全地进行

最佳实践，请使用接入等级来限制可以管理交换机的地址。本主题不在本文档说明范围之内。

在交换机上配置

HTTP 服务器

步骤

1 在交换机上设置 DNS 域名。

a. 在设备上定义 DNS 域名之前，思科 IOS

软件不允许创建和安装证书或自生成密钥。输入以下

命令：

C3750X(config)#ip domain-name domain_name

步骤

2 通过输入以下命令，生成要用于 HTTPS 的密钥：

C3750X(config)#crypto key generate rsa general-keys mod 2048

注：为避免在

Web 重定向期间可能发生的证书不匹配错误，我们建议您使用由受信任证书颁发机构颁发的证

书而非本地证书。本主题不在本文档说明范围之内。