Cisco Cisco Identity Services Engine 1.2 操作指南

第

6 页

安全访问操作指南

步骤

5 将交换机配置为使用思科供应商特定属性。

此处我们将交换机配置为在身份验证请求和记账更新期间向

Cisco ISE PSN 发送任何已定义的供应

商特定属性

(VSA)。

C3750X(config)#radius-server vsa send authentication

C3750X(config)#radius-server vsa send accounting

步骤

6 接下来，我们将启用供应商特定属性 (VSA)。

C3750X(config)#radius-server attribute 6 on-for-login-auth

C3750X(config)#radius-server attribute 8 include-in-access-req

C3750X(config)#radius-server attribute 25 access-request include

步骤

7 确保交换机始终从正确的接口发送流量。

交换机通常可能具有多个与其关联的

IP 地址。因此，最好始终强制所有管理通信均通过一个指定

接口执行，此接口

IP 地址必须与 Cisco ISE 网络设备对象中定义的 IP 地址相匹配

。

思科最佳实践：作为网络管理最佳实践，对于所有管理通信使用环回适配器，同时向内部路由协议通告该环
回接口。

C3750X(config)#ip radius source-interface interface_name

C3750X(config)#snmp-server trap-source interface_name

C3750X(config)#snmp-server source-interface informs interface_name

将交换机配置为允许面向

/来自 Cisco ISE 的分析

Cisco ISE 将使用简单网络管理协议 (SNMP) 查询交换机的某些属性，从而帮助识别连接至交换机的设备。我
们会配置

SNMP 社区供 Cisco ISE 查询，并配置要发送至 Cisco ISE 的 SNMP 陷阱。

步骤

1 配置只读 SNMP 社区。

Cisco ISE 只需

“

只读

”

SNMP 命令，确保此社区字符串与 Cisco ISE 内网络设备对象中配置的社区

字符串相匹配。

思科最佳实践：该最佳实践是使用接入类限制

SNMP 对交换机的访问的安全最佳实践。SNMP 配置不属于

Cisco TrustSec 2.1 的测试范围，因此本文档中不会进行介绍。

C3750X(config)#snmp-server community community_string RO