对接思科ISE
背景信息
对接思科ISE功能是指以Cisco ISE服务器作为NAC组网中的认证和授权服务器的功能。NAC(Network Access Control)称为网络接入控制,是一种“端到端”的安全结构,包括802.1X认证、MAC认证与Portal认证,并支持对汇聚层和接入层进行配置。NAC可以实现对设备管理员和接入用户的认证、授权和计费,保证设备与网络安全。
操作步骤
- 依次单击,进入配置界面。
- 在“选择认证接口”界面选中要配置认证的接口。可根据需要在接口选择区域中执行以下操作:
- 单击接口图标选中单个接口,再次单击该接口图标取消选中。
- 拖动鼠标批量选中连续的接口。
- 多次单击不同接口图标,选中多个接口,再次单击选中的某个接口图标取消选中该接口。
选择接口后,可以点击“清除接口认证配置”,清除接口原有的认证配置。
- 单击“清除认证配置”,清除设备上所有的认证配置。
- 在“认证方式”后选择“802.1X”、“MAC”或者“Portal”认证。
- 在“网络层次”后选择“汇聚层”或“接入层”。
当“认证方式”为“802.1X”时,才可配置“网络层次”。
- 在“认证配置”中填写需要配置的数据,如图5-77所示。
当“认证方式”为“802.1X”,并且“网络层次”为“接入层”时,不支持“认证配置”。
界面信息含义如表5-42所示。
表5-42 配置认证参数列表参数项
说明
认证服务器IP地址
配置RADIUS认证服务器的IPv4地址。
备服务器地址
配置备RADIUS认证服务器的IPv4地址。
计费服务器IP地址
配置RADIUS计费服务器的IPv4地址。
备服务器地址
配置备RADIUS计费服务器的IPv4地址。
共享密钥
配置RADIUS服务器的共享密钥。
认证服务
端口号
配置RADIUS认证服务器的端口号。
发送报文源地址
配置交换机向RADIUS认证服务器发送RADIUS报文所使用的源地址。- IP地址:使用指定IPv4地址。
- VLANIF:使用指定VLANIF接口的IPv4地址。
- Loopback:使用指定Loopback接口的IPv4地址。
备服务器端口号
配置备RADIUS认证服务器的端口号。
仅在配置备RADIUS认证服务器地址后才可配置此项。
备服务器发送报文源地址
配置向备RADIUS认证服务器发送报文所使用的源地址。- IP地址:指定IPv4地址作为向备RADIUS认证服务器发送RADIUS报文时使用的源IPv4地址。
- VLANIF:指定VLANIF接口的IP地址作为源IP地址。
- Loopback:指定Loopback接口的IP地址作为源IP地址。
仅在配置备RADIUS认证服务器地址后才可配置此项。
计费服务
端口号
配置RADIUS计费服务器的端口号。
发送报文源地址
配置向RADIUS计费服务器发送报文所使用的源地址。- IP地址:指定IPv4地址作为向RADIUS计费服务器发送RADIUS报文时使用的源IPv4地址。
- VLANIF:指定VLANIF接口的IP地址作为源IP地址。
- Loopback:指定Loopback接口的IP地址作为源IP地址。
备服务器端口号
配置备RADIUS计费服务器的端口号。
仅在配置备计费服务器地址后才可配置此项。
备服务器发送报文源地址
指定向备RADIUS计费服务器发送报文所使用的源地址。- IP地址:指定IPv4地址作为向备RADIUS计费服务器发送RADIUS报文时使用的源IPv4地址。
- VLANIF:指定VLANIF接口的IP地址作为源IP地址。
- Loopback:指定Loopback接口的IP地址作为源IP地址。
仅在配置备计费服务器地址后才可配置此项。
实时计费周期(分钟)
配置实时计费时间间隔。
Calling-Station-Id中MAC地址格式
配置RADIUS报文中Calling-Station-Id(Type 31)属性字段中MAC地址的封装格式。
Called-Station-Id中MAC地址格式
配置RADIUS报文中Called-Station-Id(Type 30)属性字段中MAC地址的封装格式。
设备发送认证请求最大次数
配置向802.1X用户发送认证请求报文或握手报文的重传次数。
仅当“认证方式”为“802.1X”时支持配置。
客户端认证超时时间(秒)
配置客户端认证超时时间。
认证用户名形式
配置MAC认证用户采用的用户名类型。
- MAC地址:指定MAC认证用户采用的用户名为MAC地址类型。
- 固定用户名:指定MAC认证用户采用的用户名为用户名类型。
仅当“认证方式”为“MAC”时支持配置。
MAC地址格式
配置MAC认证用户采用的用户名为MAC地址的格式。
仅在MAC认证用户采用的用户名为MAC地址类型才可配置此项。
MAC地址大小写
配置MAC认证用户采用的用户名为MAC地址的大写格式。
仅在MAC认证用户采用的用户名为MAC地址类型才可配置此项。
MAC认证用户名
配置MAC认证用户采用的用户名为固定用户名。
仅在MAC认证用户采用的用户名为用户名类型才可配置此项。
MAC认证密码
配置MAC认证用户的密码。
外置Portal服务器IP地址
配置指向Portal服务器的IP地址。
仅当“认证方式”为“Portal”时支持配置。
共享密钥
配置设备与Portal服务器信息交互的共享密钥。
SSL策略模板
配置内置Portal服务器使用的SSL策略。
URL地址
配置指向Portal服务器的重定向URL的URL。
URL分隔符
配置URL中的开始符号替换成“?”。
交换机-IP
配置在URL中携带设备的IP地址。
交换机-MAC
配置在URL中携带设备的MAC地址。
用户访问URL
配置在URL中携带接入用户访问的原始URL地址。
用户MAC
配置在URL中携带接入用户的MAC地址的名称。
用户IP地址
配置在URL中携带接入用户的IP地址。
系统名称
配置在URL中携带接入设备的系统名称。
AP-IP
配置在URL中携带AP的IP地址。
AP-MAC
配置在URL中携带AP的MAC地址。
AP名称
配置在URL中携带AP名称。
AP位置
配置在URL中携带AP位置。
AP组名称
配置在URL中携带AP组名称。
SSID
配置在URL中携带用户关联的SSID。
登录URL关键字/登录URL
配置重定向时携带给Portal服务器登录URL的识别关键字,以及接入设备上指定的URL。
- 在“全局配置”中填写需要配置的数据,如图5-78所示。
当“认证方式”为“802.1X”,并且“网络层次”为“接入层”时,不支持“全局配置”。
界面信息含义如表5-43所示。
- 在“802.1X透传配置”中选择填写需要配置的数据,如图5-79所示。
当“认证方式”为“802.1X”,并且“网络层次”为“接入层”时,支持“802.1X透传配置”。
界面信息含义如表5-44所示。
- 单击“应用”,完成配置。
