Cisco Cisco Identity Services Engine 1.2 操作指南
© 2015 思科系统公司
第
7 页
安全访问操作指南
步骤
4
创建
802.1X 的记帐方法。
RADIUS 记帐数据包非常有用,对许多 ISE 功能都是必需的。这些类型的数据包有助于确保
RADIUS 服务器 (Cisco ISE) 了解接口和终端的确切状态。如果没有记帐数据包,Cisco ISE 将只能
了解身份验证和授权通信情况。记帐数据包可提供有关授权会话长度以及客户端带宽使用情况的
信息。
了解身份验证和授权通信情况。记帐数据包可提供有关授权会话长度以及客户端带宽使用情况的
信息。
3850(config)#aaa accounting dot1x default start-stop group radius
步骤
5
配置定期
RADIUS 记帐更新。
定期
RADIUS 记帐数据包允许 Cisco ISE 跟踪网络上仍处于活动状态的会话。此命令会每隔 15 分
钟定期发送更新。
3850(config)#aaa accounting update periodic 15
配置全局
RADIUS 命令
我们通过配置主动方法来检查
RADIUS 服务器的可用性。通过此操作,交换机将定期向 RADIUS 服务器
(Cisco ISE) 发送测试身份验证消息,并等待服务器的 RADIUS 响应。并非一定要得到成功消息,身份验证失
败的消息也可以,因为这也足以证明服务器处于活动状态。
败的消息也可以,因为这也足以证明服务器处于活动状态。
最佳实践:通过
ISE 1.2,可使用某些条件抑制身份验证。我们将使用该功能抑制任何 RADIUS 保持连接消息。
有关说明,请参阅本文档结尾部分。
步骤
1
将
Cisco ISE 服务器添加至 RADIUS 组。
在此步骤中,我们将使用
radius 测试帐户,向交换机配置添加各个思科 ISE 策略服务节点 (PSN)。
对各个
PSN 重复这一步骤。
3850(config)#radius-server host 192.168.201.88 auth-port 1812 acct-port 1813 test username
radius-
test
idle-time 5 key cisco123
注:除了正常流程中执行的所有身份验证或授权之外,每隔
5 分钟会主动进行一次服务器响应检查。对于非
ISE 1.2 部署,由于在更低版本的 ISE 上缺少日志抑制功能,所以此值可能太强,在那种情况下可将此值改为
60 分钟或更高的值。
步骤
2
设置停机条件。
交换机已配置为主动检查
Cisco ISE 服务器的 RADIUS 响应。现在配置交换机上的计数器,以确定
服务器是处于活动状态还是处于停机状态。我们的设置为,每
10 秒测试一次 RADIUS 服务器响应,
进行
3 次测试尝试后将服务器标记为停机。如果 Cisco ISE 服务器在 30 秒内没有做出有效响应,系
统会将其标记为停机。此外,停机时间定义交换机将服务器标记为停机的时间长度,我们将其设置
为
为
15 分钟。