Cisco Cisco Identity Services Engine 1.2 操作指南

  

 

 

 

 
 

© 2015 思科系统公司 

第

 10 页  

安全访问操作指南

配置本地访问控制列表

交换机上有些功能需要使用本地配置的访问控制列表

 (ACL)，如 URL 重定向。您创建的其中有些 ACL 可以

立即使用，而有些则要到部署的后期阶段才能使用。本部分的目标是同时为所有可能的部署模式准备好交换
机，并限制重复的交换机配置所带来的运营成本。

 

步骤

 1 

添加以下要用于

 Web 身份验证 URL 重定向的 ACL： 

3850(config)#ip access-list extended REDIRECT-ACL 

3850(config-ext-nacl)#deny udp any host 192.168.201.72 eq 53 

3850(config-ext-nacl)#deny udp any eq bootpc host 192.168.201.72 eq bootps 

3850(config-ext-nacl)#deny ip any host 192.168.201.88 

3850(config-ext-nacl)#permit ip any any 

配置全局

 802.1X 命令  

步骤

 1 

在交换机上全局启用

 802.1X。 

在交换机上全局启用

 802.1X 实际上不会在任何 WLAN 或端口上启用身份验证。 

3850(config)#dot1x system-auth-control 

步骤

 2 

启用可下载的

 ACL 以正常工作。 

可下载的访问控制列表

 (dACL) 在 Cisco ISE 部署中是一种十分常见的实施机制。要使 dACL 在交换机上正常

工作，必须全局启用

 IP 设备跟踪，如下所示： 

3850(config)#ip device tracking

注：

Windows 7 和不响应 ARP 的设备存在一些需要使用 ip device tracking use SVI 命令的特殊情况。 

配置全局无线功能

步骤

 1 

在交换机上启用移动控制器

 (MC) 功能。 

3850 交换机可以仅用作移动代理 (MA)，也可以同时用作移动控制器 (MC) 和 MA。对于任何 3850 无线
部署，都至少需要一个可用于部署的

 MC。由于我们只有一个 3850 交换机，所以我们将该 3850 配置为 

MC+MA。 

3850(config)#wireless mobility controller

 

注：

3850 交换机始终配置为 MA 。