Cisco Cisco Identity Services Engine 1.2 操作指南
© 2015 思科系统公司
第
6 页
安全访问操作指南
步骤
5 将交换机配置为使用思科供应商特定属性。
此处我们将交换机配置为在身份验证请求和记账更新期间向
Cisco ISE PSN 发送任何已定义的供应
商特定属性
(VSA)。
C3750X(config)#radius-server vsa send authentication
C3750X(config)#radius-server vsa send accounting
步骤
6 接下来,我们将启用供应商特定属性 (VSA)。
C3750X(config)#radius-server attribute 6 on-for-login-auth
C3750X(config)#radius-server attribute 8 include-in-access-req
C3750X(config)#radius-server attribute 25 access-request include
步骤
7 确保交换机始终从正确的接口发送流量。
交换机通常可能具有多个与其关联的
IP 地址。因此,最好始终强制所有管理通信均通过一个指定
接口执行,此接口
IP 地址必须与 Cisco ISE 网络设备对象中定义的 IP 地址相匹配
。
思科最佳实践:作为网络管理最佳实践,对于所有管理通信使用环回适配器,同时向内部路由协议通告该环
回接口。
回接口。
C3750X(config)#ip radius source-interface interface_name
C3750X(config)#snmp-server trap-source interface_name
C3750X(config)#snmp-server source-interface informs interface_name
将交换机配置为允许面向
/来自 Cisco ISE 的分析
Cisco ISE 将使用简单网络管理协议 (SNMP) 查询交换机的某些属性,从而帮助识别连接至交换机的设备。我
们会配置
们会配置
SNMP 社区供 Cisco ISE 查询,并配置要发送至 Cisco ISE 的 SNMP 陷阱。
步骤
1 配置只读 SNMP 社区。
Cisco ISE 只需
“
只读
”
SNMP 命令,确保此社区字符串与 Cisco ISE 内网络设备对象中配置的社区
字符串相匹配。
思科最佳实践:该最佳实践是使用接入类限制
SNMP 对交换机的访问的安全最佳实践。SNMP 配置不属于
Cisco TrustSec 2.1 的测试范围,因此本文档中不会进行介绍。
C3750X(config)#snmp-server community community_string RO