Cisco Cisco Identity Services Engine 1.2 操作指南

  

 

 

 

 
 

© 2015 思科系统公司 

第

 7 页  

安全访问操作指南

步骤

 4 

创建

 802.1X 的记帐方法。 

RADIUS 记帐数据包非常有用，对许多 ISE 功能都是必需的。这些类型的数据包有助于确保 

RADIUS 服务器 (Cisco ISE) 了解接口和终端的确切状态。如果没有记帐数据包，Cisco ISE 将只能
了解身份验证和授权通信情况。记帐数据包可提供有关授权会话长度以及客户端带宽使用情况的
信息。

 

3850(config)#aaa accounting dot1x default start-stop group radius 

步骤

 5 

配置定期

 RADIUS 记帐更新。 

定期

 RADIUS 记帐数据包允许 Cisco ISE 跟踪网络上仍处于活动状态的会话。此命令会每隔 15 分

钟定期发送更新。

 

3850(config)#aaa accounting update periodic 15 

配置全局

 RADIUS 命令  

我们通过配置主动方法来检查

 RADIUS 服务器的可用性。通过此操作，交换机将定期向 RADIUS 服务器 

(Cisco ISE) 发送测试身份验证消息，并等待服务器的 RADIUS 响应。并非一定要得到成功消息，身份验证失
败的消息也可以，因为这也足以证明服务器处于活动状态。

 

最佳实践：通过

 ISE 1.2，可使用某些条件抑制身份验证。我们将使用该功能抑制任何 RADIUS 保持连接消息。

有关说明，请参阅本文档结尾部分。

 

步骤

 1 

将

 Cisco ISE 服务器添加至 RADIUS 组。 

在此步骤中，我们将使用

 radius 测试帐户，向交换机配置添加各个思科 ISE 策略服务节点 (PSN)。

对各个

 PSN 重复这一步骤。 

3850(config)#radius-server host 192.168.201.88 auth-port 1812 acct-port 1813 test username 

 idle-time 5 key cisco123 

注：除了正常流程中执行的所有身份验证或授权之外，每隔

 5 分钟会主动进行一次服务器响应检查。对于非 

ISE 1.2 部署，由于在更低版本的 ISE 上缺少日志抑制功能，所以此值可能太强，在那种情况下可将此值改为 

60 分钟或更高的值。 

步骤

 2 

设置停机条件。

 

交换机已配置为主动检查

 Cisco ISE 服务器的 RADIUS 响应。现在配置交换机上的计数器，以确定

服务器是处于活动状态还是处于停机状态。我们的设置为，每

 10 秒测试一次 RADIUS 服务器响应，

进行

 3 次测试尝试后将服务器标记为停机。如果 Cisco ISE 服务器在 30 秒内没有做出有效响应，系

统会将其标记为停机。此外，停机时间定义交换机将服务器标记为停机的时间长度，我们将其设置
为

 15 分钟。