Cisco Cisco Identity Services Engine 1.2 操作指南

第

4 页

安全访问操作指南

步骤

3 在交换机上启用 HTTP 服务器。

必须在交换机上启用

HTTP 服务器才能执行 HTTP/HTTPS 捕捉和重定向。输入以下命令：

C3750X(config)#ip http server

C3750X(config)#ip http secure-server

注：在执行步骤

2 生成密钥之前，请勿运行 ip http secure-server 命令。如果您没按照顺序执行命令，那么交

换机会自动生成密钥长度较短的证书，此证书会导致重定向

HTTPS 流量时出现意外。

配置全局

AAA 命令

步骤

1 在接入交换机上启用身份验证、授权和记帐 (AAA)。

默认情况下会禁用思科交换机的

AAA“子系统”。启用 AAA 子系统之前，配置中所需的任何命令

均不可用。输入以下命令：

C3750X(config)#aaa new-model

注：此命令启用

AAA 网络安全服务提供的任何服务（例如，本地登录身份验证和授权），从而定义并应用方法列表等等。有关更多详细信息，请参阅

《思科

IOS 安全配置指南》。

步骤

2 创建 802.1X 的身份验证方法。

必须通过身份验证方法指示交换机哪组

RADIUS 服务器用于处理 802.1X 身份验证请求：

C3750X(config)#aaa authentication dot1x default group radius

步骤

3 创建 802.1X 的授权方法。

通过步骤

2 中创建的方法，可以由 RADIUS 服务器验证用户/设备身份（用户名/密码或证书）。但

是，只有有效的凭证还不够，还必须获得授权。授权是指用于定义用户或设备是否真正获得网络访
问权限的条件以及实际允许的访问级别。

C3750X(config)#aaa authorization network default group radius

步骤

4 创建 802.1X 的记账方法。

RADIUS 记账数据包非常有用，并且对于许多 ISE 功能是必需的。这些类型的数据包将有助于确保

RADIUS 服务器 (Cisco ISE) 了解交换机端口和终端的确切状态。如果没有记账数据包，Cisco ISE
将只能了解身份验证和授权通信情况。记账数据包提供有关授权会话的长度以及交换机制定的本地
决策（例如

AuthFail VLAN 分配等）的信息。

C3750X(config)#aaa accounting dot1x default start-stop group radius