Cisco Cisco Identity Services Engine 1.2 操作指南

第

9 页

安全访问操作指南

配置全局

802.1X 命令

步骤

1 在交换机上全局启用 802.1X。

在交换机上全局启用

802.1X 实际上不会在任何交换机端口上启用身份验证。此时会对身份验证进

行配置，但直到配置监控模式才会启用身份验证。

C3750X(config)#

dot1x system-auth-control

步骤

2 使可下载的 ACL 发挥作用。

可下载访问控制列表

(dACL) 是 Cisco TrustSec 部署中十分常见的实施机制。为使 dACL 在交换机

上正常运作，必须全局启用

IP 设备跟踪，如下所示：

C3750X(config)#

ip device tracking

注：在某些不常见情况下，

Windows 7 和设备不会响应 ARP，此时要求使用命令 ip device tracking

use SVI。

步骤

3 在交换机上启用系统日志。

许多事件都会在思科

IOS

软件上生成系统日志。某些系统日志消息可以发送至思科 ISE，用于排

除故障。要帮助确保思科

ISE 能够编译来自交换机的合适系统日志消息，请使用以下命令：

注：日志应发送至起监控作用的思科

ISE 节点。

C3750X(config)#logging monitor informational

C3750X(config)#logging origin-id ip

C3750X(config)#logging source-interface <interface_id>

C3750X(config)#logging host <ISE_MNT_PERSONA_IP_Address_x> transport udp port 20514

在交换机上设置标准日志记录功能，以支持对思科

ISE 功能进行故障排除/录制。实施策略模块

(EPM) 是思科 IOS 软件的一部分，负责实现诸如 Web 身份验证和可下载 ACL 等功能：

启用

EPM 日志记录会生成与可下载 ACL 授权相关的系统日志，当此类日志发送至思科 ISE 时，部

分日志可以在思科

ISE 中进行关联。

注：对于概念验证或试点项目来说，启用系统日志是理想之选。对于大规模建立的部署来说，如果
担心流量问题，可以禁用系统日志记录。

C3750X(config)#epm logging