在思科 ISE 中定义网络设备
网络设备(如交换机或路由器)是一种向Cisco ISE 发送身份验证、授权和记账 (AAA) 服务请求所借助的 AAA 客户端。在Cisco ISE 中定义网络设备,以启用Cisco ISE 与网络设备之间的交互。
可以配置用于 RADIUS 或 TACACS AAA 的网络设备,以及用于分析服务的简单网络管理协议 (SNMP),以收集Cisco发现协议和链路层发现协议 (LLDP) 属性进行终端分析,以及用于Cisco Trustsec 设备的 Trustsec 属性。未在Cisco ISE 中定义的网络设备无法收到Cisco ISE 的 AAA 服务。
在网络设备定义中:
-
选择适合网络设备的供应商配置文件。配置文件包括设备的预定义配置,如 URL 重定向设置和授权变更。
-
配置用于 RADIUS 身份验证的 RADIUS 协议。当Cisco ISE 收到网络设备的 RADIUS 请求时,它会查找相应的设备定义以检索所配置的共享密钥。如果Cisco ISE 找到设备定义,它会获取在设备上配置的共享密钥并将其与请求中的共享密钥进行匹配,对访问权限进行身份验证。如果共享密钥匹配,RADIUS 服务器将进一步根据策略和配置处理该请求。如果共享密钥不匹配,系统会向网络设备发送拒绝响应。并生成一份未通过身份验证的报告,提供失败原因。
-
配置用于进行 TACACS+ 身份验证的 TACACS+ 协议。当Cisco ISE 收到网络设备的 TACACS+ 请求时,它会查找相应的设备定义以检索配置的共享密钥。如果Cisco ISE 找到设备定义,它会获取在设备上配置的共享密钥并将其与请求中的共享密钥进行匹配,对访问权限进行身份验证。如果共享密钥匹配,TACACS+ 服务器将进一步根据策略和配置处理该请求。如果共享密钥不匹配,系统会将拒绝响应发送到网络设备,并生成一份未通过身份验证的报告,提供失败原因。
-
可以在网络设备定义中配置用于分析服务的简单网络管理协议 (SNMP),以便与网络设备进行通信并对连接到网络设备的终端进行分析。
-
必须在Cisco ISE 中定义支持Cisco Trustsec 的设备才能处理来自这类设备的请求,支持 Trustsec 的设备可以是Cisco Trustsec 解决方案的一部分。任何支持Cisco Trustsec 解决方案的交换机都是支持Cisco TrustSec 的设备。
Cisco Trustsec 设备不使用 IP 地址。相反,必须定义其他设置,以便Cisco Trustsec 设备可与Cisco ISE 通信。
支持Cisco TrustSec 的设备使用 Trustsec 属性与Cisco ISE 通信。支持Cisco Trustsec 的设备(例如 Nexus 7000 系列交换机、Catalyst 6000 系列交换机、Catalyst 4000 系列交换机和 Catalyst 3000 系列交换机)使用您在添加Cisco Trustsec 设备时定义的 Trustsec 属性进行身份验证。
注 |
在Cisco ISE 上配置网络设备时,我们建议不要在共享密钥中包含反斜线 (\)。这是因为,在升级Cisco ISE 时,反斜线不会出现在共享密钥中。但请注意,如果重新映像Cisco ISE 而不是对其进行升级,则共享密钥中会显示反斜线。 |
在思科 ISE 中定义默认网络设备
注 |
我们建议仅为基本 RADIUS 和 TACACS 身份验证添加默认设备定义。对于高级流程,您必须为每个网络设备添加单独的设备定义。 |
当Cisco ISE 从网络设备接收到 RADIUS 或 TACACS 请求时,Cisco ISE 会查找对应的设备定义,以检索网络设备定义中配置的共享密钥。
当Cisco ISE 收到 RADIUS 或 TACACS 请求时,它执行以下程序:
-
查找与请求中的地址匹配的具体 IP 地址。
-
查找范围以了解请求中的 IP 地址是否属于指定的范围。
-
如果步骤 1 和 2 都失败了,它会使用默认设备定义(如已定义)处理请求。
Cisco ISE 会获取设备定义中为该设备配置的共享密钥并将其与 RADIUS 或 TACACS 请求中的共享密钥进行匹配以执行访问身份验证。如果找不到设备定义,Cisco ISE 会从默认网络设备定义中获取共享密钥并处理 RADIUS 或 TACACS 请求。
网络设备
您可以使用这些窗口在Cisco ISE 中添加和管理网络设备。
网络设备定义设置
下表介绍网络设备 (Network Devices) 窗口上的字段,您可以使用该窗口配置Cisco ISE 中的网络访问设备。要查看此处窗口,请点击菜单 (Menu) 图标 (),然后选择 ,然后点击添加 (Add)。
网络设备设置
下表介绍新网络设备 (New Network Devices) 窗口中的字段。
字段名称 |
说明 |
||
---|---|---|---|
名称 |
输入网络设备的名称。 您可以为网络设备提供一个不同于设备主机名的描述性名称。设备名称是一个逻辑标识符。
|
||
说明 |
输入设备的说明。 |
||
IP 地址或 IP 范围 |
从下拉列表中选择以下选项之一,并在显示的字段中输入所需的值:
以下是定义 IP 地址和子网掩码或 IP 地址范围时必须遵守的准则:
|
||
设备配置文件 |
从下拉列表中选择网络设备的供应商。 使用下拉列表旁的工具提示可查看选定供应商的网络设备所支持的流和服务。工具提示还显示设备使用的 RADIUS CoA 端口和 URL 重定向类型。这些属性在设备类型的网络设备配置文件中进行定义。 |
||
型号名称 |
从下拉列表中选择设备型号。 在基于规则的策略中查找条件时,可以将型号名称用作其中一个参数。此属性存在于设备字典中。 |
||
软件版本 |
从下拉列表中选择在网络设备上运行的软件版本。 在基于规则的策略中查找条件时,您可以将软件版本用作其中一个参数。此属性存在于设备字典中。 |
||
网络设备组 |
在网络设备组 (Network Device Group) 区域中,从位置 (Location)、IPSEC 和设备类型 (Device Type) 下拉列表中选择所需的值。 如果未将设备专门分配到组,则设备将加入默认设备组(根网络设备组),位置为所有位置 (All Locations),设备类型为所有设备类型 (All Device Types)。 |
RADIUS 身份验证设置
下表介绍 RADIUS 身份验证设置 (RADIUS Authentication Settings) 区域中的字段。
字段名称 |
使用指南 |
||||
---|---|---|---|---|---|
RADIUS UDP 设置 |
|||||
协议 |
显示 RADIUS 作为所选协议。 |
||||
共享密钥 |
输入网络设备的共享密钥。 共享密钥是使用 radius-host 命令和 pac 选项在网络设备上配置的密钥。
|
||||
使用第二个共享密钥 |
指定网络设备和Cisco ISE 要使用的第二个共享密钥。
|
||||
CoA 端口 |
指定要用于 RADIUS DTLS CoA 的端口。 设备的默认 CoA 端口在为网络设备配置的网络设备配置文件中进行定义(网络资源 (Network Resources) > 网络设备配置文件 (Network Device Profiles))。点击设置为默认 (Set To Default) 按钮以使用默认 CoA 端口。 >
|
||||
RADIUS DTLS 设置 |
|||||
需要 DTLS |
如果选中需要 DTLS (DTLS Required) 复选框,则Cisco ISE 仅处理来自此设备的 DTLS 请求。如果禁用此选项,则Cisco ISE 会同时处理来自此设备的 UDP 和 DTLS 请求。 RADIUS DTLS 为安全套接字层 (SSL) 隧道建立和 RADIUS 通信提供了更高的安全性。 |
||||
共享密钥 |
显示用于 RADIUS DTLS 的共享密钥。此值为固定值,用于计算消息摘要 5 (MD5) 完整性检查。 |
||||
CoA 端口 |
指定用于 RADIUS DTLS CoA 的端口。 |
||||
CoA ISE 证书 CA 颁发者 |
从下拉列表中选择要用于 RADIUS DTLS CoA 的证书颁发机构。 |
||||
DNS 名称 |
输入网络设备的 DNS 名称。如果在 RADIUS 设置 (RADIUS Settings) 窗口下启用启用 RADIUS/DTLS客户端身份验证选项( ,Cisco ISE 会将此 DNS 名称与客户端证书中指定的 DNS 名称进行比较,以验证网络设备的身份。 |
||||
常规设置 |
|||||
启用 KeyWrap |
仅当网络设备支持 KeyWrap 算法时,选中启用 KeyWrap (Enable KeyWrap) 复选框。此选项用于通过 AES KeyWrap 算法提高 RADIUS 安全性。
|
||||
密钥加密密钥 |
输入用于会话加密(保密)的加密密钥。 |
||||
消息身份验证器代码密钥 |
输入用于 RADIUS 消息键控散列消息验证码 (HMAC) 计算的密钥。 |
||||
密钥输入格式 |
点击以下格式之一对应的单选按钮:
指定想要用于输入Cisco ISE FIPS 加密密钥的密钥输入格式,从而使其与无线 LAN 控制器上的配置一致。您指定的值必须是密钥的正确(完整)长度,不允许使用短于此长度的值。 |
TACACS 身份验证设置
字段名称 |
使用指南 |
---|---|
共享密钥 |
当启用 TACACS+ 协议时,会向网络设备分配文本字符串。在网络设备验证用户名和密码之前,用户必须输入文本。在用户提供共享密钥之前,连接始终被拒绝。 |
停用的共享密钥处于启用状态 |
当停用期处于启用状态时显示。 |
淘汰 |
停用现有的共享密钥而不是结束它。点击停用 (Retire) 时,系统会显示一个消息框。您可以点击是 (Yes) 或否 (No)。 |
剩余停用期 |
(仅当在停用 (Retire) 消息框中选择是 (Yes) 时可用)显示在以下导航路径中指定的默认值: 您可以更改默认值。这允许输入新的共享密钥。旧共享密钥会在指定天数内保持有效。 |
结束 |
(仅当在停用 (Retire) 消息框中选择是 (Yes) 时可用)结束停用期并终止旧共享密钥。 |
启用单连接模式 |
选中启用单连接模式 (Enable Single Connect Mode) 复选框,将单一 TCP 连接用于与网络设备之间的所有 TACACS 通信。点击以下选项之一的单选按钮:
|
SNMP 设置
下表介绍 SNMP 设置 (SNMP Settings) 部分中的字段。
字段名称 |
使用指南 |
||
---|---|---|---|
SNMP 版本 |
从 SNMP (SNMP 版本) 下拉列表中,选择以下选项之一:
|
||
SNMP 只读社区 |
(仅适用于 SNMP 版本 1 和 2c)输入只读社区字符串,为Cisco ISE 提供特殊类型的设备访问权限。
|
||
SNMP 用户名 |
(仅适用于 SNMP 版本 3)输入 SNMP 用户名。 |
||
安全级别 |
(仅适用于 SNMP 版本 3)从安全级别 (Security Level) 下拉列表中选择以下选项之一:
|
||
身份验证协议 |
(选择安全级别身份验证 [Auth] 和隐私 [Priv] 时,仅适用于 SNMP 版本 3)从身份验证协议 (Auth Protocol) 下拉列表中,选择希望网络设备使用的身份验证协议。
|
||
身份验证密码 |
(选择安全级别身份验证 [Auth] 和隐私 [Priv] 时,仅适用于 SNMP 版本 3)输入身份验证密钥。密码的长度应至少为 8 个字符。 点击显示 (Show),显示已为设备配置的身份验证密码。
|
||
隐私协议 |
(选择安全级别隐私 [Priv] 时,仅适用于 SNMP 版本 3)从隐私协议 (Privacy Protocol) 下拉列表中,选择以下选项之一:
|
||
隐私密码 |
(选择安全级别隐私 [Priv] 时,仅适用于 SNMP 版本 3)输入隐私密钥。 点击显示 (Show),显示已为设备配置的隐私密码。
|
||
轮询间隔 |
输入轮询间隔(秒)。默认值为 3600 秒。 |
||
链路陷阱查询 |
选中链路陷阱查询 (Link Trap Query) 复选框,可接收和解析通过 SNMP 陷阱接收的链路接通和链路断开通知。 |
||
MAC 陷阱查询 |
选中链路陷阱查询 (Link Trap Query) 复选框,可接收和解析通过 SNMP 陷阱接收的 MAC 通知。 |
||
原始策略服务节点 |
从原始策略服务节点 (Originating Policy Services Node) 下拉列表中,选择要用于轮询 SNMP 数据的Cisco ISE 服务器。此字段的默认值为自动 (Auto)。从下拉列表中选择特定值以覆盖设置。 |
高级 Trustsec 设置
下表介绍高级 Trustsec 设置 (Advanced Trustsec Settings) 部分中的字段。
字段名称 |
使用指南 |
---|---|
设备身份验证设置 |
|
将设备 ID 用于 Trustsec 标识 |
如果希望在设备 ID (Device ID) 字段中将设备名称作为设备标识符列出,请选中将设备 ID 用于 Trustsec 标识 (Use Device ID for TrustSec Identification) 复选框。 |
设备 ID |
仅当未选中将设备 ID 用于 Trustsec 标识 (Use Device ID for TrustSec Identification) 复选框时,才能在此字段中输入设备 ID。 |
密码 |
输入在Cisco TrustSec 设备 CLI 中配置的密码,用于对Cisco TrustSec 设备进行身份验证。 点击显示 (Show) 可显示密码。 |
HTTP REST API 设置 |
|
启用 HTTP REST API (Enable HTTP REST API) |
选中启用 HTTP REST API (Enable HTTP REST API) 复选框以使用 HTTP REST API 向网络设备提供所需的Cisco TrustSec 信息。与 RADIUS 协议相比,这提高了在短时间内下载大型配置的效率和能力。它还通过使用 TCP over UDP 提高了可靠性。 |
用户名 |
输入在Cisco TrustSec 设备 CLI 中配置的用户名,用于对Cisco TrustSec 设备进行身份验证。用户名不能包含特殊字符,如空格 ! % ^ : ; , [ { | } ] ` " = < > ? |
密码 |
输入在Cisco TrustSec 设备 CLI 中配置的密码,用于对Cisco TrustSec 设备进行身份验证。 |
Trustsec 设备通知和更新 |
|
设备 ID |
仅当未选中将设备 ID 用于 Trustsec 标识 (Use Device ID for TrustSec Identification) 复选框时,才能在此字段中输入设备 ID。 |
密码 |
输入在Cisco TrustSec 设备 CLI 中配置的密码,用于对Cisco TrustSec 设备进行身份验证。 点击显示 (Show) 可显示密码。 |
每<...> 下载一次环境数据 (Download Environment Data Every <...>) |
通过从此区域的下拉列表中选择所需的值,指定设备从Cisco ISE 下载其环境数据时必须遵守的时间间隔。您可以选择秒、分钟、小时、天或周为单位的时间间隔。默认值为一天。 |
每 <...>下载一次对等授权策略 (Download Peer Authorization Policy Every <...>) |
通过从此区域的下拉列表中选择所需的值,指定设备从Cisco ISE 下载对等授权策略时必须遵守的时间间隔。您可以指定单位为秒、分钟、小时、天或周的时间间隔。默认值为一天。 |
每 <...>重新进行身份验证 (Reauthentication Every <...>) |
通过从此区域的下拉列表中选择所需的值,指定在初始身份验证后设备对照Cisco ISE 重新进行身份验证的时间间隔。您可以配置秒、分钟、小时、天或周为单位的时间间隔。例如,如果输入 1000 秒,则设备会每 1000 秒对照Cisco ISE 对自身重新进行身份验证。默认值为一天。 |
每 <...>下载 SGACL 列表 (Download SGACL Lists Every <...>) |
通过从此区域的下拉列表中选择所需的值,指定设备从Cisco ISE 下载 SGACL 列表时遵守的时间间隔。您可以配置秒、分钟、小时、天或周为单位的时间间隔。默认值为一天。 |
其他 TrustSec 设备信任该设备(Trustsec 信任) |
选中其他 TrustSec 设备信任该设备 (Other TrustSec Devices to Trust This Device) 复选框,可允许所有对等设备信任此Cisco TrustSec 设备。如果取消选中此复选框,则对等设备不信任此设备,所有从此设备到达的数据包都会相应地标注颜色或进行标记。 |
将配置更改发送到设备 |
如果希望Cisco ISE 使用 CoA 或 CLI (SSH) 将Cisco TrustSec 配置更改发送到Cisco TrustSec 设备,请选中将配置更改发送到设备 (Send Configuration Changes to Device) 复选框。根据需要,点击 CoA 或 CLI (SSH) 的单选按钮。 如果希望Cisco ISE 使用 CoA 将配置更改发送到Cisco TrustSec 设备,请选择 CoA 选项。 如果希望Cisco ISE 使用 CLI(使用 SSH 连接)将配置更改发送到Cisco TrustSec 设备,请选择 CLI (SSH) 选项。有关详细信息,请参阅向不支持 CoA 的设备推送配置更改。 |
发送自 |
从下拉列表中选择必须从哪一个Cisco ISE 节点将配置更改发送到Cisco TrustSec 设备。您可以选择 PAN 或 PSN 节点。如果所选择的 PSN 节点关闭,则使用 PAN 将配置更改发送到Cisco TrustSec 设备。 |
测试连接 |
您可以使用此选项测试Cisco TrustSec 设备与所选Cisco ISE 节点(PAN 或 PSN)之间的连接。 |
SSH 密钥 |
要使用此功能,请打开从Cisco ISE 到网络设备的 SSHv2 隧道,然后使用设备的 CLI 检索 SSH 密钥。您必须复制此密钥并将其粘贴到 SSH 密钥 (SSH Key) 字段中以进行验证。有关详细信息,请参阅《》中的“ SSH 密钥验证”部分请参阅SSH 密钥验证。 |
设备配置部署设置 |
|
当部署安全组标签映射更新时纳入该设备 |
如果希望Cisco TrustSec 设备使用设备接口凭据获取 IP-SGT 映射,请选中当部署安全组标记映射更新时包含此设备 (Include this device when deploying Security Group Tag Mapping Updates) 复选框。 |
EXEC 模式用户名 |
输入用于登录Cisco TrustSec 设备的用户名。 |
EXEC 模式密码 |
输入设备密码。 点击显示 (Show) 可查看密码。 |
启用模式密码 |
(可选)输入用于在特权模式下编辑Cisco TrustSec 设备配置的启用密码。 点击显示 (Show) 可查看密码。 |
带外 Trustsec PAC |
|
颁发日期 |
显示Cisco ISE 为Cisco Trustsec 设备生成的最后一个Cisco Trustsec PAC 的颁发日期。 |
到期日期 |
显示Cisco ISE 为Cisco Trustsec 设备生成的最后一个Cisco Trustsec PAC 的到期日期。 |
颁发者 |
显示Cisco ISE 为Cisco Trustsec 设备生成的最后一个Cisco Trustsec PAC 的颁发者(Cisco TrustSec 管理员)名称。 |
生成 PAC |
点击生成 PAC (Generate PAC) 按钮,为Cisco TrustSec 设备生成带外Cisco TrustSec PAC。 |
默认网络设备定义设置
下表介绍默认网络设备 (Default Network Device) 窗口中的字段,该窗口用于配置Cisco ISE 可用于 RADIUS 和 TACACS+ 身份验证的默认网络设备。选择以下导航路径之一:
字段名称 |
使用指南 |
||
---|---|---|---|
默认网络设备状态 |
从默认网络设备状态 (Default Network Device Status) 下拉列表中选择启用 (Enable),以启用默认网络设备定义。
|
||
设备配置文件 |
显示思科 (Cisco) 为默认的设备供应商。 |
||
RADIUS 身份验证设置 |
|||
启用 RADIUS |
选中启用 RADIUS (Enable RADIUS) 复选框,启用设备的 RADIUS 身份验证。 |
||
RADIUS UDP 设置 |
|||
共享密钥 |
输入共享密钥。共享密钥最大长度为 127 个字符。 共享密钥是您使用 radius-host 命令和 pac 选项在网络设备上配置的密钥。
|
||
RADIUS DTLS 设置 |
|||
需要 DTLS |
如果选中需要 DTLS (DTLS Required) 复选框,则Cisco ISE 仅处理来自此设备的 DTLS 请求。如果禁用此选项,则Cisco ISE 会同时处理来自此设备的 UDP 和 DTLS 请求。 RADIUS DTLS 为 SSL 隧道建立和 RADIUS 通信提供了更高的安全性。 |
||
共享密钥 |
显示用于 RADIUS DTLS 的共享密钥。此值为固定值,用于计算 MD5 完整性检查。 |
||
CoA ISE 证书 CA 颁发者 |
从 CoA ISE 证书 CA 颁发者 (Issuer CA of ISE Certificates for CoA) 下拉列表中,选择要用于 RADIUS DTLS CoA 的证书颁发机构。 |
||
常规设置 |
|||
启用 KeyWrap |
仅在网络设备支持 KeyWrap 算法时选中启用 KeyWrap (Enable KeyWrap) 复选框,这可以通过 AES KeyWrap 算法提高 RADIUS 安全性。 |
||
密钥加密密钥 |
启用 KeyWrap 时,输入用于会话加密(保密)的加密密钥。 |
||
消息身份验证器代码密钥 |
启用 KeyWrap 时,输入对 RADIUS 消息进行键控散列消息身份认证代码 (HMAC) 计算的密钥。 |
||
密钥输入格式 |
通过点击相应的单选按钮选择以下格式之一,并在密钥加密密钥 (Key Encryption Key) 和消息身份验证器代码密钥 (Message Authenticator Code Key) 字段中输入值:
|
||
TACACS 身份验证设置 |
|||
共享密钥 |
当 TACACS+ 协议启用时,将文本字符串分配给网络设备。在网络设备验证用户名和密码之前,用户必须输入文本。在用户提供共享密钥之前,连接始终被拒绝。 |
||
停用的共享密钥处于启用状态 |
当停用期处于启用状态时显示。 |
||
淘汰 |
停用现有的共享密钥而不是结束它。点击停用 (Retire) 时,系统会显示一个消息框。点击是 (Yes) 或否 (No)。 |
||
剩余停用期 |
(仅当在上述消息框中选择是 (Yes) 时可用)显示在以下导航路径中指定的默认值: 您可以更改默认值。这允许您输入新的共享密钥,而且旧共享密钥将在指定天数中保持启用状态。 |
||
结束 |
(只有当您在上述消息框中选择是时才可用)结束停用期并终止旧共享密钥。 |
||
启用单连接模式 |
选中启用单连接模式 (Enable Single Connect Mode) 复选框,将单一 TCP 连接用于与网络设备之间的所有 TACACS+ 通信。点击以下选项之一的单选按钮:
如果禁用此选项,Cisco ISE 会为每个 TACACS+ 请求使用新的 TCP 连接。 |
网络设备导入设置
下表介绍 Network Device Import 页面上的字段,您可以使用此页面将网络设备详细信息导入Cisco ISE。要查看此处窗口,请点击菜单 (Menu) 图标 (),然后选择 。
字段名称 |
使用指南 |
---|---|
生成模板 |
点击创建模板 (Generate a Template) 可创建逗号分隔值 (CSV) 模板文件。 使用相同格式的网络设备信息更新模板,并将其保存在本地。然后,使用编辑的模板将网络设备导入任何Cisco ISE 部署。 |
文件 |
点击选择文件 (Choose File),选择您可能最近创建的或以前从任何Cisco ISE 部署导出的 CSV 文件。 您可以使用导入 (Import) 选项将包含新的和更新后的网络设备信息的网络设备导入其他Cisco ISE 部署中。 |
用新数据覆盖现有数据 |
选中用新数据覆盖现有数据 (Overwrite Existing Data with New Data) 复选框可用您的导入文件中的设备取代现有网络设备。 如不选中此复选框,则导入文件中可用的新网络设备定义将添加到网络设备存储库。系统会忽略重复条目。 |
遇到第一个错误时停止导入 |
如果您希望Cisco ISE 在导入过程中遇到错误时停止导入,请选中遇到第一个错误时停止导入 (Stop Import on First Error) 复选框。Cisco ISE 会导入网络设备,直至出现错误。 如未选中此复选框并且遇到错误,系统会报错并且Cisco ISE 会继续导入剩余设备。 |
在思科 ISE 中添加网络设备
您可以在Cisco ISE 中添加网络设备或使用默认网络设备。
您还可以在网络设备 (Network Devices) 窗口( )中添加网络设备。
开始之前
过程
步骤 1 |
。 |
步骤 2 |
点击添加 (Add)。 |
步骤 3 |
在名称 (Name)、说明 和 IP 地址 (IP Address) 字段中输入相应的值。 |
步骤 4 |
从设备配置文件 (Device Profile)、型号名称 (Model Name)、软件版本 (Software Version) 和网络设备组 (Network Device Group) 字段的下拉列表中选择所需的值。 |
步骤 5 |
(可选)选中 RADIUS 身份验证设置 (RADIUS Authentication Settings) 复选框以配置用于身份验证的 RADIUS 协议。 |
步骤 6 |
(可选)选中 TACACS 身份验证设置 (TACACS Authentication Settings) 复选框以配置用于身份验证的 TACACS 协议。 |
步骤 7 |
(可选)选中 SNMP 设置 (SNMP Settings) 复选框以为Cisco ISE 分析服务配置 SNMP,以便从设备收集信息。 |
步骤 8 |
(可选)选中高级 Trustsec 设置 (Advanced Trustsec Settings) 复选框以配置启用Cisco Trustsec 的设备。 |
步骤 9 |
点击提交 (Submit)。 |
将网络设备导入思科 ISE
要使Cisco ISE 能够与网络设备通信,您必须在Cisco ISE 中添加网络设备的设备定义。通过网络设备 (Network Devices) 窗口将网络设备的设备定义导入Cisco ISE(从主菜单中,选择 )。
使用逗号分隔值 (CSV) 文件,将设备定义列表导入到Cisco ISE 节点中。当您在网络设备 (Network Devices) 窗口中点击导入 (Import) 时,CSV 模板文件可用。下载此文件,输入所需的设备定义,然后通过导入 (Import) 窗口上传编辑的文件。
您不能同时运行同一资源类型的多项导入。例如,不能同时从两个不同的导入文件导入网络设备。
导入设备定义的 CSV 文件时,您可以通过点击用新数据覆盖现有数据 (Overwrite Existing Data with New Data) 选项创建新记录或更新现有记录。
每个Cisco ISE 中的模板导入可能有所不同。请勿导入从其他Cisco ISE 版本导出的网络设备的 CSV 文件。在您的版本的 CSV 模板文件中输入网络设备的详细信息,然后将此文件导入Cisco ISE。
注 |
您可以导入 IP 地址在所有八位组的范围内的网络设备。 |
过程
步骤 1 |
。 |
步骤 2 |
点击导入。 |
步骤 3 |
在显示的导入网络设备 (Import Network Devices) 窗口中,点击生成模板 (Generate A Template) 下载一个 CSV 文件,您可以编辑它,填好所需的详细信息后导入Cisco ISE。 |
步骤 4 |
点击选择文件 (Choose File),从正在运行客户端浏览器的系统中选择该 CSV 文件。 |
步骤 5 |
(可选)根据需要,选中用新数据覆盖现有数据 (Overwrite Existing Data with New Data) 和遇到第一个错误时停止导入 (Stop Import on First Error) 复选框。 |
步骤 6 |
点击导入。 文件导入完成后,Cisco ISE 会显示摘要消息。摘要消息包括导入状态(成功或不成功)、遇到的错误数(如果有)以及文件导入过程所需的总处理时间。 |
从思科 ISE 导出网络设备
您可以用 CSV 文件的形式导出Cisco ISE 节点中可用的网络设备的设备定义。然后,您可以将此 CSV 文件导入另一个Cisco ISE 节点,以便设备定义可用于所需的Cisco ISE 节点。
注 |
您可以导出 IP 地址在所有八位组中的网络设备。 |
过程
步骤 1 |
。 |
步骤 2 |
点击导出。 |
步骤 3 |
通过执行以下操作之一,导出添加到Cisco ISE 节点的网络设备的设备定义。
|
步骤 4 |
在这两种情况下,设备定义 CSV 文件都会下载到您的系统。 |
解决网络设备配置问题
过程
步骤 1 |
。 |
步骤 2 |
在网络设备 IP (Network Device IP) 字段中输入您想要评估其配置的网络设备的 IP 地址。 |
步骤 3 |
选中相应复选框,然后点击要与建议模板进行比较的配置选项旁边的单选按钮。 |
步骤 4 |
点击运行 (Run)。 |
步骤 5 |
在显示的进度详细信息... (Progress Details...) 区域中,点击点击此处输入凭证 (Click Here to Enter Credentials)。在显示的凭证窗口 (Credentials Window) 对话框中,输入与网络设备建立连接所需的连接参数和凭证,然后点击提交 (Submit)。 要取消工作流程,请在进度详细信息... (Progress Details...) 窗口中点击点击此处取消正在运行的工作流程 (Click Here to Cancel the Running Workflow)。 |
步骤 6 |
选中想要分析的接口旁边的复选框,然后点击提交 (Submit)。 |
步骤 7 |
点击显示结果摘要 (Show Results Summary) 以查看配置评估的详细信息。 |
执行网络设备命令诊断工具
执行网络设备命令诊断工具允许您在任何网络设备上运行 show 命令。
显示的结果与您应在控制台上看到的结果相同。通过此工具,您可以发现设备配置中的任何问题。
使用此工具可验证任何网络设备的配置,也可以使用此工具了解网络设备的配置方式。
要访问执行网络设备命令诊断工具,请选择以下导航路径之一:
-
。
-
。
在显示的执行网络设备命令 (Execute Network Device Command) 窗口中,在相应字段中输入网络设备的 IP 地址和您想要运行的 show 命令。点击运行 (Run)。