配置模式下的思科 ISE CLI 命令

本章介绍在配置 (config) 模式下使用的思科 ISE 命令行界面 (CLI) 命令。本章的每个命令之后会随附命令使用、命令语法、使用指南和一个或多个示例的简要说明。

在执行模式下切换到配置模式

在执行模式下,可以通过运行 configure configure terminal (conf t) 命令进入配置模式。

您无法在执行模式下直接从思科 ISE CLI 输入配置命令。某些配置命令需要您进入配置子模式才能完成命令配置。

要退出配置模式,请输入 exit end Ctrl-z 命令。

配置命令包括 interface Policy List repository

您可以在配置模式下执行配置任务。您必须保存配置更改,以便在系统重新加载或断电期间保留这些更改。

当您保存配置时,这些命令会在每次思科 ISE 服务器重新启动时保持不变,但前提是您运行了以下任一命令:

  • copy running-config startup-config

  • write memory

在配置模式下配置思科 ISE

您可以在配置模式下输入配置和配置子模式命令来更改思科 ISE 服务器的实际配置。

过程


步骤 1

输入 configure terminal 进入接口配置模式。


ise/admin# configure terminal
Enter configuration commands, one per line. End with CNTL-Z.
ise/admin(config)# (configuration mode)
步骤 2

在配置模式下输入问号 (?) 可获取命令列表。


ise/admin(config)# ?
Configure commands:
cdp               CDP Configuration parameters
clock             Configure timezone
conn-limit        Configure a TCP connection limit from source IP
do                EXEC command
end               Exit from configure mode
exit              Exit from configure mode
hostname          Configure hostname
icmp              Configure icmp echo requests
interface         Configure interface
ip                Configure IP features
kron              Configure command scheduler
logging           Configure system logging
max-ssh-sessions  Configure number of concurrent SSH sessions
no                Negate a command or set its defaults
ntp               Specify NTP configuration
password-policy   Password Policy Configuration
rate-limit        Configure a TCP/UDP/ICMP packet rate limit from source IP
repository        Configure Repository
service           Specify service to manage
snmp-server       Configure snmp server
synflood-limit    Configure a TCP SYN packet rate limit
username          User creation
步骤 3

进入配置子模式。配置模式有几个配置子模式。每个子模式会分别带您进入提示层次结构中的更深层次。在此层次,您可以将命令直接输入到思科 ISE 配置中。


ise/admin(config)# interface GigabitEthernet 0
ise/admin(config-GigabitEthernet)#
步骤 4

在命令提示符处依次输入 exit 可退出配置模式和执行模式。当输入 exit 时,思科 ISE 会使您退出一个层次并返回到上一个层次。当再次输入 exit 时,思科 ISE 会使您退出到执行层次。


ise/admin(config)# exit
ise/admin# exit

在配置子模式下配置思科 ISE

您可以在配置子模式下输入特定配置的命令。可以使用 exit end 命令退出此提示符并返回到配置提示符。

过程


步骤 1

输入 configure terminal 进入接口配置模式。


ise/admin# configure terminal
Enter configuration commands, one per line. End with CNTL-Z.
ise/admin(config)# (configuration mode)
步骤 2

进入配置子模式。


ise/admin# configure terminal
ise/admin(config)# interface GigabitEthernet 0
ise/admin(config-GigabitEthernet)# ?
Configure ethernet interface:
  backup    Configure NIC bonding feature
  do        EXEC command
  end       Exit from configure mode
  exit      Exit from this submode
  ip        Configure IP features
  ipv6      Configure IPv6 features
  no        Negate a command or set its defaults
  shutdown  Shutdown the interface
ise/admin(config-GigabitEthernet)#
步骤 3

在命令提示符处输入 exit 可退出配置子模式和配置模式。


ise/admin(config-GigabitEthernet)# exit
ise/admin(config)# exit
ise/admin#

CLI 配置命令默认设置

CLI 配置命令可具有默认形式,它会将命令设置复原为默认值。默认情况下,大多数命令处于禁用状态,在此类情况下,使用默认形式的结果与使用命令的 no 形式的结果相同。

但是,在默认情况下,某些命令处于启用状态,并且会将变量设置为某些默认值。在这些情况下,命令的默认形式会启用命令,并且将变量设置为默认值。

backup interface

要在一个虚拟接口上配置两个以太网接口以获得高可用性(也称为 NIC 绑定或 NIC 组合功能),请在配置子模式下使用 backup interface 命令。要取消 NIC 绑定配置,请使用此命令的 no 形式。两个接口绑定在一起时,两个 NIC 似乎是具有单个 MAC 地址的单台设备。

思科 ISE 中的 NIC 绑定功能不支持负载均衡或链路汇聚功能。思科 ISE 仅支持 NIC 绑定的高可用性功能。

接口绑定可以确保思科 ISE 服务在下列情况下不受影响:

  • 物理接口故障

  • 交换机端口断开连接(关闭或出现故障)

  • 交换机线卡故障

两个接口绑定在一起时,其中一个接口将成为主接口,另一个接口成为备用接口。两个接口绑定在一起时,正常情况下,所有流量都会流经主接口。如果主接口因某种原因出现故障,则备用接口承接此任务,并处理所有流量。绑定将采用主接口的 IP 地址和 MAC 地址。

当您配置 NIC 绑定功能时,思科 ISE 会与固定的物理 NIC 配对,以形成绑定的 NIC。下表列出了哪些 NIC 可以绑定在一起形成绑定的接口。

思科 ISE 物理 NIC 名称

Linux 物理 NIC 名称

绑定的 NIC 中的角色

绑定的 NIC 名称

千兆以太网 0

Eth0

主服务器

绑定 0

千兆以太网 1

Eth1

备份

千兆以太网 2

Eth2

主服务器

绑定 1

千兆以太网 3

Eth3

备份

千兆以太网 4

Eth4

主服务器

绑定 2

千兆以太网 5

Eth5

备份

NIC 绑定功能在所有受支持的平台和节点角色上都受支持。受支持的平台包括:

  • SNS-3400 系列设备 - 绑定 0 和 1(思科 ISE 3400 系列设备最多支持 4 个 NIC)

  • SNS-3500 系列工具 - 绑定 0、1 和 2

  • VMware 虚拟机 - 绑定 0、1 和 2(如果六个 NIC 可用于虚拟机)

  • Linux KVM 节点 - 绑定 0、1 和 2(如果六个 NIC 可用于虚拟机)

Syntax Description

backup interface

配置 NIC 绑定功能。

GigabitEthernet

配置被指定为备用接口的千兆以太网接口。

0 - 3

要配置为备用接口的千兆以太网端口的数量。

Command Default

无默认行为或值。

Command Modes

接口配置子模式 (config-GigabitEthernet)#

Command History

版本

修改

2.1.0.474

引入了此命令。

Usage Guidelines

  • 由于思科 ISE 最多可支持六个以太网接口,它只能有三个绑定,即绑定 0、绑定 1 和绑定 2。

  • 您不能更改属于某个绑定的接口,也不能更改绑定中接口的角色。请参阅上表,了解有关如何将 NIC 绑定在一起及其在绑定中的角色的信息。

  • Eth0 接口既用作管理接口,也用作运行时接口。其他接口用作运行时接口。

  • 在您创建一个绑定之前,必须为主接口(主 NIC)分配 IP 地址。创建绑定 0 之前,必须为 Eth0 接口分配 IPv4 地址。类似地,在创建绑定 1 和 2 之前,必须为 Eth2 和 Eth4 接口分别分配 IPv4 或 IPv6 地址。

  • 在您创建一个绑定之前,如果为备用接口(Eth1、Eth3 和 Eth5)分配了 IP 地址,请将该 IP 地址从备用接口删除。不应该给备用接口分配 IP 地址。

  • 您可以选择仅创建一个绑定(绑定 0),并让剩余接口保持不变。在这种情况下,绑定 0 作为管理接口和运行时接口,剩余接口作为运行时接口。

  • 您可以更改绑定中主接口的 IP 地址。绑定的接口将被分配新的 IP 地址,因为该地址将用作主接口的 IP 地址。

  • 当您删除两个接口之间的绑定时,为绑定的接口分配的 IP 地址将重新分配给主接口。

  • 如果要在属于某个部署的思科 ISE 节点上配置 NIC 绑定功能,则必须从部署中取消注册该节点,配置 NIC 绑定,然后将该节点重新注册到部署中。

  • 如果作为某绑定中的主接口(Eth0、Eth2 或 Eth4 接口)的物理接口配置了静态路由,则这些静态路由将自动更新,以在绑定的接口而非该物理接口上运行。

示例 1 - 配置 NIC 绑定

以下程序介绍了如何在 Eth0 和 Eth1 接口之间配置绑定 0。



如果为一个充当备用接口的物理接口(例如 Eth1、Eth3,Eth5 接口)配置了 IP 地址,则必须从备用接口删除该 IP 地址。不应为备用接口分配 IP 地址。



ise/admin# configure terminal  
Enter configuration commands, one per line.  End with CNTL/Z.
ise/admin(config)# interface gigabitEthernet 0 
ise/admin(config-GigabitEthernet)# backup interface gigabitEthernet 1 
Changing backup interface configuration may cause ISE services to restart.
Are you sure you want to proceed? Y/N [N]: Y 
Stopping ISE Monitoring & Troubleshooting Log Processor...
ISE PassiveID Service is disabled
ISE pxGrid processes are disabled
Stopping ISE Application Server...
Stopping ISE Certificate Authority Service...
Stopping ISE EST Service...
ISE Sxp Engine Service is disabled
Stopping ISE Profiler Database...
Stopping ISE Indexing Engine...
Stopping ISE Monitoring & Troubleshooting Session Database...
Stopping ISE AD Connector...
Stopping ISE Database processes...
Starting ISE Monitoring & Troubleshooting Session Database...
Starting ISE Profiler Database...
Starting ISE Application Server...
Starting ISE Indexing Engine...
Starting ISE Certificate Authority Service...
Starting ISE EST Service...
Starting ISE Monitoring & Troubleshooting Log Processor...
Starting ISE AD Connector...
Note: ISE Processes are initializing. Use 'show application status ise'
      CLI to verify all processes are in running state. 
ise/admin(config-GigabitEthernet)#

示例 2 - 验证 NIC 绑定配置

要验证 NIC 绑定功能是否已配置,请从思科 ISE CLI 运行 show running-config 命令。您会看到类似如下的输出:


!        
interface GigabitEthernet 0
  ipv6 address autoconfig
  ipv6 enable
  backup interface GigabitEthernet 1
  ip address 192.168.118.214 255.255.255.0
!    

在上面的输出中,“备用接口千兆以太网 1”表示在千兆以太网 0 上配置了 NIC 绑定,其中千兆以太网 0 作为主接口,千兆以太网 1 作为备用接口。此外,尽管主接口和备用接口实际上具有相同的 IP 地址,但 ADE-OS 配置不会在运行配置中的备用接口上显示 IP 地址。

您也可以运行 show interfaces 命令查看已绑定的接口。


ise/admin# show interface  
bond0: flags=5187<UP,BROADCAST,RUNNING,MASTER,MULTICAST>  mtu 1500
        inet 10.126.107.60  netmask 255.255.255.0  broadcast 10.126.107.255
        inet6 fe80::8a5a:92ff:fe88:4aea  prefixlen 64  scopeid 0x20<link>
        ether 88:5a:92:88:4a:ea  txqueuelen 0  (Ethernet)
        RX packets 1726027  bytes 307336369 (293.0 MiB)
        RX errors 0  dropped 844  overruns 0  frame 0
        TX packets 1295620  bytes 1073397536 (1023.6 MiB)
        TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0

GigabitEthernet 0
        flags=6211<UP,BROADCAST,RUNNING,SLAVE,MULTICAST>  mtu 1500
        ether 88:5a:92:88:4a:ea  txqueuelen 1000  (Ethernet)
        RX packets 1726027  bytes 307336369 (293.0 MiB)
        RX errors 0  dropped 844  overruns 0  frame 0
        TX packets 1295620  bytes 1073397536 (1023.6 MiB)
        TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0
        device memory 0xfab00000-fabfffff  

GigabitEthernet 1
        flags=6147<UP,BROADCAST,SLAVE,MULTICAST>  mtu 1500
        ether 88:5a:92:88:4a:ea  txqueuelen 1000  (Ethernet)
        RX packets 0  bytes 0 (0.0 B)
        RX errors 0  dropped 0  overruns 0  frame 0
        TX packets 0  bytes 0 (0.0 B)
        TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0
        device memory 0xfaa00000-faafffff

cdp holdtime

要指定接收设备在丢弃来自思科 ISE 服务器的思科发现协议数据包之前应保留该数据包的时间,请在配置模式下使用 cdp holdtime 命令。

cdp holdtime

要恢复为默认设置,请使用此命令的 no 形式。

no cdp holdtime

Syntax Description

holdtime

指定通告的思科发现协议保持时间。

seconds

通告的保持时间值(秒)。值的范围为 10 到 255 秒。

Command Default

默认 CDP 保持时间为 180(秒)。

Command Modes

Configuration (config)#

Command History

版本

修改

2.0.0.306

引入了此命令。

Usage Guidelines

思科发现协议数据包与留存时间或保持时间值一起传输。在保持时间过后,接收设备将会丢弃思科发现协议数据包中的思科发现协议信息。

cdp holdtime 命令只带一个参数;否则,会发生错误。

示例


ise/admin(config)# cdp holdtime 60
ise/admin(config)#

cdp run

要在所有接口上启用思科发现协议,请在配置模式下使用 cdp run 命令。

cdp run GigabitEthernet

要禁用思科发现协议,请使用此命令的 no 形式。

no cdp run

Syntax Description

run

启用思科发现协议。使用 cdp run 命令的 no 形式时,可禁用思科发现协议。

GigabitEthernet

(可选)。指定要在其上启用思科发现协议的千兆以太网接口。

0-3

指定要在其上启用思科发现协议的千兆以太网接口编号。

Command Default

无默认行为或值。

Command Modes

Configuration (config)#

Command History

版本

修改

2.0.0.306

引入了此命令。

Usage Guidelines

此命令具有一个可选参数,该参数为接口名称。无需可选的接口名称,此命令即可在所有接口上启用思科发现协议。



此命令的默认设置位于已启动并运行的接口上。当您启动接口时,请先停止思科发现协议,然后再次启动思科发现协议。


示例


ise/admin(config)# cdp run GigabitEthernet 0
ise/admin(config)#

cdp timer

要指定思科 ISE 服务器发送思科发现协议更新的频率,请在配置模式下使用 cdp timer 命令。

cdp timer

要恢复为默认设置,请使用此命令的 no 形式。

no cdp timer

Syntax Description

timer

以指定的时间间隔进行刷新。

seconds

指定思科 ISE 服务器发送思科发现协议更新的频率(秒)。值的范围为 5 到 254 秒。

Command Default

默认刷新时间间隔值为 60(秒)。

Command Modes

Configuration (config)#

Command History

版本

修改

2.0.0.306

引入了此命令。

Usage Guidelines

思科发现协议数据包与留存时间或保持时间值一起传输。在保持时间过后,接收设备将会丢弃思科发现协议数据包中的思科发现协议信息。

cdp timer 命令只带一个参数;否则,会发生错误。

示例


ise/admin(config)# cdp timer 60
ise/admin(config)#

clear screen

要清除终端屏幕的内容,请在配置模式下使用 clear screen 命令。

clear screen

Syntax Description

此命令没有关键字和参数。

Command Default

无默认行为或值。

Command Modes

Configuration (config)#

Command History

版本

修改

2.0.0.306

引入了此命令。

Usage Guidelines

clear screen 是隐藏命令。虽然 clear screen 在思科 ISE 中可用,但如果您尝试通过在命令行输入问号来查看此命令,CLI 交互式帮助不会显示此命令。

示例

以下示例显示了如何清除终端内容:


ise/admin(config)# clear screen
ise/admin#

clock timezone

要设置时区,请在配置模式下使用 clock timezone 命令。

clock timezone timezone

要禁用时区,请使用此命令的 no 形式。

no clock timezone



安装后在思科 ISE 设备上更改时区会导致该节点上的思科 ISE 应用不可用,需要重新启动 ISE。在安装过程中,当初始设置向导提示您输入时区时,建议您使用首选时区(默认设置 UTC)。

Syntax Description

timezone

配置系统时区。

timezone

采用标准时间时可见的时区的名称。最多支持 64 个字母数字字符。

如果您已启用主要管理节点 (PAN) 自动故障切换配置,请在设置时区前禁用该配置。您可以在时区设置后启用该配置。

Command Default

协调世界时 (UTC)

Command Modes

Configuration (config)#

Command History

版本

修改

2.0.0.306

引入了此命令。

Usage Guidelines

系统在内部采用 UTC 时间。如果您不知道自己所在的特定时区,则可以输入区域、国家/地区和城市(有关要在系统中输入的常见时区以及澳大利亚时区和亚洲时区,请参阅表 4-1、4-2 和 4-3)。



还有另外几个时区可供您使用。输入 show timezones 和出现在思科 ISE 服务器中的所有可用时区列表。选择一个最适合您的时区。


如果您已在部署中启用 PAN 自动故障切换配置,系统将会显示以下消息:

PAN Auto Failover is enabled, this operation is not
allowed! Please disable PAN Auto-failover first.

示例


ise/admin(config)# clock timezone EST
ise/admin(config)# exit
ise/admin# show timezone
EST
ise/admin#

更改思科 ISE 节点上的时区

安装后在 Cisco ISE 设备上更改时区会导致该节点上的 Cisco ISE 应用不可用。但是,当初始设置向导提示您输入时区时,可以在安装过程中配置首选时区(默认设置 UTC)。

更改时区会影响不同思科 ISE 节点类型的部署。

要从影响中恢复过来,请使用以下步骤:

独立或主要思科 ISE 节点

要在安装后更改时区,必须重新映像节点。

确保您拥有最新配置的备份,并导出必要的证书和密钥。

如果您无意中更改了时区,请执行以下操作:

  • 重新映像主思科 ISE 节点。

  • 在安装期间,选择适当的时区。

  • 恢复备份和证书。

  • 重新加入 Active Directory 并为 ISE 分析探测器、LDAP 等应用任何每节点配置。

辅助 ISE 节点

如果您要更改辅助节点的时区以使其与主节点时区相同,请执行以下操作:

  • 导出必要证书。

  • 撤销注册辅助节点。

  • 重新映像节点。

  • 如果需要,请导入必要的证书。

  • 将节点重新注册为主节点的辅助节点。

  • 重新加入 Active Directory 并为 ISE 分析探测器、LDAP 等应用任何每节点配置。

常见时区

表 1. 表 4-1 常见时区(续)

缩写词或名称

时区名称

欧洲

GMT、GMT0、GMT-0、GMT+0、UTC、格林威治、世界时、祖鲁

格林威治标准时间,与 UTC 一样

GB

英国

GB Eire、Eire

爱尔兰

WET

西欧时间,与 UTC 一样

CET

中欧时间,在 UTC 的基础上加 1 小时

EET

东欧时间,在 UTC 的基础上加 2 小时

美国和加拿大

EST、EST5EDT

东部标准时间,在 UTC 的基础上减 5 小时

CST、CST6CDT

中央标准时间,在 UTC 的基础上减 6 小时

MST、MST7MDT

山区标准时间,在 UTC 的基础上减 7 小时

PST、PST8PDT

太平洋标准时间,在 UTC 的基础上减 8 小时

HST

夏威夷标准时间,在 UTC 的基础上减 10 小时

澳大利亚时区



对于澳大利亚时区,输入国家/地区和城市,使用正斜杠 (/) 将它们分隔;例如,澳大利亚/柯里。


表 2. 表 4-2 澳大利亚时区(续)

澳大利亚

澳大利亚首都直辖区 (ACT)

阿德莱德

布里斯班

布罗肯希尔

堪培拉

柯里

达尔文

霍巴特

豪勋爵

林德曼岛

豪勋爵岛 (LHI)

墨尔本

新南威尔士 (NSW)

珀斯

昆士兰州

悉尼

塔斯马尼亚岛

维多利亚

西

Yancowinna

亚洲时区



亚洲时区涵盖从东亚、东南亚南部、西亚到中亚的城市。一起输入区域和城市或国家/地区,使用正斜杠 (/) 分隔;例如,亚洲/亚丁。


表 3. 表 4-3 亚洲时区(续)

亚洲

亚丁

阿拉木图

安曼

阿纳德尔

阿克套

阿克托别

阿什哈巴德

阿什喀巴德

巴格达

巴林

巴库

曼谷

贝鲁特

比什凯克

文莱

加尔各答

乔巴山

重庆

Columbo

大马士革

达喀尔

帝力

迪拜

杜尚别

加沙

哈尔滨

香港

科布多

伊尔库茨克

伊斯坦布尔

雅加达

查亚普拉

耶路撒冷

喀布尔

堪察加

卡拉奇

喀什格尔

加德满

吉隆坡

古晋

科威特

克拉斯诺雅茨克

cls

要清除终端屏幕的内容,请在配置模式下使用 cls 命令。

cls

Syntax Description

此命令没有关键字和参数。

Command Default

无默认行为或值。

Command Modes

Configuration (config)#

Command History

版本

修改

2.0.0.306

引入了此命令。

Usage Guidelines

cls 是隐藏命令。虽然 cls 在思科 ISE 中可用,但如果您尝试通过在命令行输入问号来查看此命令,CLI 交互式帮助不会显示此命令。

示例

以下示例显示了如何清除终端内容:


ise/admin(config)# cls
ise/admin#

conn-limit

要配置从源 IP 地址传入的 TCP 连接的限制,请在配置模式下使用 conn-limit 命令。要删除该功能,请使用此命令的 no 形式。

Syntax Description

<1-2147483647>

TCP 连接的数量。

ip

(可选)。要应用 TCP 连接限制的源 IP 地址。

mask

(可选)。要应用 TCP 连接限制的源 IP 掩码。

port

(可选)。要应用 TCP 连接限制的目标端口号。

Command Default

无默认行为或值。

Command Modes

Configuration (config)#

Command History

版本

修改

2.0.0.306

引入了此命令。

Usage Guidelines

使用此 conn-limit 命令时,应将 TCP 连接数限制为大于 99。如果少于 100 个连接,系统会显示以下警告:

% Warning: Setting a small conn-limit may adversely affect system performance

示例


ise/admin(config)# conn-limit 25000 ip 77.10.122.133 port 22
ise/admin(config)# end
ise/admin

do

要从配置模式或任何配置子模式执行 EXEC 系统级别的命令,请在任何配置模式下使用 do 命令。

do EXEC 命令

Syntax Description

EXEC 命令

指定执行 EXEC 系统级别的命令(请参阅表 4-4)。

表 4. 表 4-4 Do 命令的命令选项(续)

命令

说明

application configure

配置特定应用。

application install

安装特定应用。

application remove

删除特定应用。

application reset-config

将应用配置重置为出厂默认设置。

application reset-passwd

为指定用户重置应用密码。

application start

启动或启用特定应用

application stop

停止或禁用特定应用。

application upgrade

升级特定应用。

backup

执行备份(思科 ISE 和思科 ADE OS),将备份放在存储库中。

backup-logs

将思科 ISE 服务器中的所有日志备份到远程位置。

clock

在思科 ISE 服务器中设置系统时钟。

configure

进入配置模式。

copy

将文件从源复制到目标。

debug

显示各种命令情况的所有错误或事件;例如,备份和恢复、配置、复制、资源锁定、文件传输和用户管理。

delete

删除思科 ISE 服务器中的文件。

dir

列出思科 ISE 服务器中的文件。

forceout

强制注销特定思科 ISE 节点用户的所有会话。

halt

禁用或关闭思科 ISE 服务器。

mkdir

创建新目录。

nslookup

查询远程系统的 IPv4 或 IPv6 地址或主机名。

password

更新 CLI 帐户密码。

patch

安装补丁包或卸载应用补丁。

ping

确定远程系统的 IPv4 地址或主机名。

ping6

确定远程系统的 IPv6 地址。

reload

重新启动思科 ISE 服务器。

restore

从存储库恢复和检索备份。

rmdir

删除现有的目录。

show

提供有关思科 ISE 服务器的信息。

ssh

启动与远程系统的加密会话。

tech

提供技术支持中心 (TAC) 命令。

terminal length

设置终端线路参数。

terminal session-timeout

设置所有终端会话的非活动超时。

terminal session-welcome

设置所有终端会话的系统欢迎消息。

terminal terminal-type

指定连接到当前会话的当前线路的终端的类型。

traceroute

跟踪远程 IP 地址的路由。

undebug

禁用各种命令情况的调试命令的输出(错误或事件显示);例如,备份和恢复、配置、复制、资源锁定、文件传输和用户管理。

write

清除强制运行设置实用程序和提示网络配置的启动配置、将运行配置复制到启动配置、显示控制台上的运行配置。

Command Default

无默认行为或值。

Command Modes

Configuration (config)# or any configuration submode (config-GigabitEthernet)# and (config-Repository)#

Command History

版本

修改

2.0.0.306

引入了此命令。

Usage Guidelines

在配置思科 ISE 服务器时,可使用此 do 命令来执行 EXEC 命令(如 show clear debug 命令)。执行 EXEC 命令之后,系统将返回到您正使用的配置模式。

示例


ise/admin(config)# do show run
Generating configuration...
!
hostname ise
!
ip domain-name cisco.com
!
interface GigabitEthernet 0
  ip address 172.23.90.113 255.255.255.0
  ipv6 address autoconfig
!
ip name-server 171.70.168.183
!
ip default-gateway 172.23.90.1
!
clock timezone EST
!
ntp server time.nist.gov
!
username admin password hash $1$JbbHvKVG$xMZ/XL4tH15Knf.FfcZZr. role admin
!
service sshd
!
backup-staging-url nfs://loc-filer02a:/vol/local1/private1/jdoe
!
password-policy
  lower-case-required
  upper-case-required
  digit-required
  no-username
  disable-cisco-passwords
  min-password-length 6
!
logging localhost
logging loglevel 6
!
--More--
ise/admin(config)#

end

要结束当前配置会话并返回到执行模式,请在配置模式下使用 end 命令。

此命令没有关键字和参数。

end

Command Default

无默认行为或值。

Command Modes

Configuration (config)#

Command History

版本

修改

2.0.0.306

引入了此命令。

Usage Guidelines

不管您是在配置模式下还是在子模式下,此命令都会让您返回执行模式。

当您完成系统配置并要返回到执行模式以执行验证步骤时,请使用此命令。

示例


ise/admin(config)# end
ise/admin#

exit

要从任何配置模式退出到 CLI 模式层次结构中的下一个最高模式,请在配置模式下使用 exit 命令。

exit

此命令没有关键字和参数。

Command Default

无默认行为或值。

Command Modes

Configuration (config)#

Command History

版本

修改

2.0.0.306

引入了此命令。

Usage Guidelines

exit 命令在思科 ISE 服务器中用于从当前命令模式退出到 CLI 模式层次结构中的下一个最高命令模式。

例如,在配置模式下使用 exit 命令可返回到执行模式。在配置子模式下使用 exit 命令可返回到配置模式。在最高层次执行模式下,exit 命令可用于退出执行模式并断开与思科 ISE 服务器的连接。

示例


ise/admin(config)# exit
ise/admin#

hostname

要设置系统的主机名,请在配置模式下使用 hostname 命令。

hostname hostname

Syntax Description

hostname

主机的名称。最多支持 19 个字母数字字符和下划线 ( _ )。主机名必须以不是空格的字符开头。

Command Default

无默认行为或值。

Command Modes

Configuration (config)#

Command History

版本

修改

2.0.0.306

引入了此命令。

Usage Guidelines



如果在“hostname”命令的 CLI 配置更改过程中发出“Ctrl-C”命令,则系统最终所处的状态可能是,某些应用组件具有旧主机名,而某些组件使用新主机名。此情况会将思科 ISE 节点置于非工作状态。

此问题的解决方法是再次运行“hostname”配置命令,以便将主机名设置为所需的值。


使用 hostname 命令可更改当前主机名。hostname 命令的一个实例类型在系统配置中只出现一次。主机名必须包含一个参数;否则,会发生错误。

如果使用此命令更新思科 ISE 服务器的主机名,则系统将显示以下警告消息:

% Warning:  Updating the hostname will cause any certificate using the old
%           hostname to become invalid. Therefore, a new self-signed
%           certificate using the new hostname will be generated now for
%           use with HTTPs/EAP.  If CA-signed certs were used on this node,
%           please import them with the correct hostname. If Internal-CA
%           signed certs are being used, please regenerate ISE Root CA certificate.
%           In addition, if this ISE node will be joining a new Active Directory
%           domain, please leave your current Active Directory domain before
%           proceeding. If this ISE node is already joined to
%           an Active Directory domain, then it is strongly advised
%           to rejoin all currently joined join-points in order to
%           avoid possible mismatch between current and previous
%           hostname and joined machine account name.

示例


ise/admin(config)# hostname new-hostname
% Changing the hostname will cause ISE services to restart 
Continue with hostname change?  Y/N [N]: y

Stopping ISE Monitoring & Troubleshooting Log Processor...
ISE Identity Mapping Service is disabled
ISE pxGrid processes are disabled
Stopping ISE Application Server...
Stopping ISE Certificate Authority Service...
Stopping ISE Profiler Database...
Stopping ISE Monitoring & Troubleshooting Session Database...
Stopping ISE AD Connector...
Stopping ISE Database processes...
ISE Database processes already running, PID: 9651
Starting ISE Monitoring & Troubleshooting Session Database...
Starting ISE Profiler Database...
Starting ISE Application Server...
Starting ISE Certificate Authority Service...
Starting ISE Monitoring & Troubleshooting Log Processor...
Starting ISE AD Connector...
Note: ISE Processes are initializing. Use 'show application status ise'
      CLI to verify all processes are in running state.
ise-1/admin#

icmp echo

要配置互联网控制消息协议 (ICMP) 回送响应,请在配置模式下使用 icmp echo 命令。

icmp echo {off | on}

Syntax Description

echo

配置 ICMP 回送响应。

off

禁用 ICMP 回送响应

on

启用 ICMP 回送响应。

Command Default

系统像 ICMP 回送响应打开(启用)一样正常运行。

Command Modes

Configuration (config)#

Command History

版本

修改

2.0.0.306

引入了此命令。

Usage Guidelines

使用此 icmp echo 命令可打开或关闭 ICMP 回送响应。

示例


ise/admin(config)# icmp echo off
ise/admin(config)#

identity-store

要将 CLI 管理员加入到 Active Directory 域,请在配置模式下使用 identity-store 命令。如果思科 ISE 节点已加入多个域,使用此命令只能加入一个域。每个 CLI 管理员单独加入。请等待 5 分钟以便思科 ISE 完成操作。

如果您使用此命令加入的域与加入 ISE 节点的域是同一个域,则必须在管理员控制台中重新加入此域。管理 CLI 用户必须是超级管理员。

示例

identity-store active-directory domain-name <aDomainFQDN> user <adUserNameWithJoinPrivs>

Interface

要配置接口类型并进入接口配置模式,请在配置模式下使用 interface 命令。此命令没有 no 形式。



VMware 虚拟机可能有许多可用的接口,具体取决于添加到虚拟机的网络接口 (NIC) 的数量。

interface GigabitEthernet {0 | 1 | 2 | 3}


Syntax Description

GigabitEthernet

配置千兆以太网接口。

0 - 3

要配置的千兆以太网端口的数量。



interface 命令中输入千兆以太网端口号之后,即可进入 config-GigabitEthernet 配置子模式(请参阅以下语法说明)。


Syntax Description

backup

配置 NIC 绑定功能,以便为物理接口提供高可用性。

do

EXEC 命令。允许您在此模式下执行所有 EXEC 命令。

end

退出 config-GigabitEthernet 子模式并返回到执行模式。

exit

退出 config-GigabitEthernet 配置子模式。

ip

为千兆以太网接口设置 IP 地址和网络掩码。

ipv6

从 DHCPv6 服务器配置 IPv6 自动配置地址和 IPv6 地址。

no

在此模式使命令无效。有两个关键字可用:

  • ip - 为接口设置 IP 地址和网络掩码。

  • ipv6 - 为接口设置 IPv6 地址。

  • shutdown - 关闭接口。

shutdown

关闭接口。

Command Default

无默认行为或值。

Command Modes

Interface configuration (config-GigabitEthernet)#

Command History

版本

修改

2.0.0.306

引入了此命令。

Usage Guidelines

可以使用 interface 命令配置接口,以满足各种要求。

示例


ise/admin(config)# interface GigabitEthernet 0
ise/admin(config-GigabitEthernet)#

ip address

要为千兆以太网接口设置 IP 地址和网络掩码,请在接口配置模式下使用 ip address 命令。

ip address ip-address network mask

要删除 IP 地址或禁用 IP 处理,请使用此命令的 no 形式。

no ip address



您可以在多个接口上配置相同的 IP 地址。如果您要限制从使用一个接口转换到使用另一个接口所需的配置步骤,则可能要执行上述操作。


Syntax Description

ip-address

IPv4 地址。

network mask

关联 IP 子网的掩码。

如果您已启用主要管理节点 (PAN) 自动故障切换配置,请在设置 IP 地址前将其禁用。在配置 IP 地址后,您可以启用 PAN 自动故障切换配置。

Command Default

已启用。

Command Modes

Interface configuration (config-GigabitEthernet)#

Command History

版本

修改

2.0.0.306

引入了此命令。

Usage Guidelines



在 IP 地址更改的情况下,如果在“ip address”命令的 CLI 配置更改过程中发出“Ctrl-C”命令,则系统最终所处的状态可能是,某些应用组件具有旧 IP 地址,而某些组件使用新 IP 地址。

此情况会将思科 ISE 节点置于非工作状态。此情况的解决方法是发出另一个“ip address”配置 CLI,以便将 IP 地址设置为所需的值。


只需要一个地址和一个网络掩码;否则,会发生错误。

如果您已在部署中启用 PAN 自动故障切换配置,系统将会显示以下消息:

PAN Auto Failover is enabled, this operation is not
allowed! Please disable PAN Auto-failover first.

示例


ise/admin(config)# interface GigabitEthernet 1
ise/admin(config-GigabitEthernet)# ip address 209.165.200.227 255.255.255.224
Changing the hostname or IP may result in undesired side effects,
such as installed application(s) being restarted.
........
To verify that ISE processes are running, use the
'show application status ise' command.
ise/admin(config-GigabitEthernet)#

ip default-gateway

要定义或设置带 IP 地址的默认网关,请在配置模式下使用 ip default-gateway 命令。

ip default-gateway ip-address

要禁用该功能,请使用此命令的 no 形式。

no ip default-gateway

Syntax Description

default-gateway

定义带 IP 地址的默认网关。

ip-address

默认网关的 IP 地址。

Command Default

已禁用。

Command Modes

Configuration (config)#

Command History

版本

修改

2.0.0.306

引入了此命令。

Usage Guidelines

如果您输入多个参数或不输入参数,会发生错误。

示例


ise/admin(config)# ip default-gateway 209.165.202.129
ise/admin(config)#

ip domain-name

要定义思科 ISE 服务器用于完成主机名的默认域名,请在配置模式下使用 ip domain-name 命令。

ip domain-name domain-name

要禁用该功能,请使用此命令的 no 形式。

no ip domain-name

Syntax Description

domain-name

定义默认域名。

domain-name

用于完成主机名的默认域名。至少包含 2-64 个字母数字字符。

Command Default

已启用。

Command Modes

Configuration (config)#

Command History

版本

修改

2.0.0.306

引入了此命令。

Usage Guidelines



在 IP 域名更改的情况下,如果在“ip domain-name”命令的 CLI 配置更改过程中发出“Ctrl-C”命令,则系统最终所处的状态可能是,某些应用组件具有旧域名,而某些组件使用新域名。

此情况会将思科 ISE 节点置于非工作状态。此情况的解决方法是发出另一个“ip domain-name”配置 CLI,以便将域名设置为所需的值。


如果您输入的参数超过或少于规定数量,则会发生错误。

如果您使用此命令为思科 ISE 服务器更新域名,它会显示以下警告消息:

% Warning:  Updating the domain name will cause any certificate using the old
%           domain name to become invalid. Therefore, a new self-signed
%           certificate using the new domain name will be generated now for
%           use with HTTPs/EAP.  If CA-signed certs were used on this node,
%           please import them with the correct domain name. If Internal-CA
%           signed certs are being used, please regenerate ISE Root CA certificate.
%           In addition, if this ISE node will be joining a new Active Directory
%           domain, please leave your current Active Directory domain before
%           proceeding.

示例


ise/admin(config)# ip domain-name cisco.com
ise/admin(config)#

ip host

要将主机别名和完全限定域名 (FQDN) 字符串关联到 eth0 之外的 eth1、eth2 和 eth3 等以太网接口,请在全局配置模式下使用 ip host 命令。

当思科 ISE 处理授权配置文件重定向 URL 时,会将 IP 地址替换为思科 ISE 节点的 FQDN。

ip host [ipv4-address | ipv6-address] [host-alias | FQDN-string]

要删除主机别名和 FQDN 的关联,请使用此命令的 no 形式。

no ip host [ipv4-address | ipv6-address] [host-alias | FQDN-string]

Syntax Description

ipv4-address

网络接口的 IPv4 地址。

ipv6-address

网络接口的 IPv6 地址。

host-alias

主机别名是您分配给网络接口的名称。

FQDN-string

网络接口的完全限定域名 (FQDN)。

如果您已启用主要管理节点 (PAN) 自动故障切换配置,请在更改以太网接口的主机别名和 FQDN 前将其禁用。您可以在完成主机别名和 FQDN 配置后启用 PAN 自动故障切换配置。

如果您已在部署中启用 PAN 自动故障切换配置,系统将会显示以下消息:

PAN Auto Failover is enabled, this operation is 
not allowed! Please disable PAN Auto-failover first.

Command Default

无默认行为或值。

Command Modes

Configuration (config)#

Command History

版本

修改

2.0.0.306

引入了此命令。

Usage Guidelines

支持的 IPv6 地址格式包括:

  • 完整表示法:冒号分隔的八组四个十六进制数字。例如,2001:0db8:85a3:0000:0000:8a2e:0370:7334

  • 缩短表示法:去除组中的前导零;使用两个连续的冒号替换零值组。例如:2001:db8:85a3::8a2e:370:7334

  • 点分四组表示法(IPv4 映射和兼容 IPv4 的 Ipv6 地址):例如,::ffff:192.0.2.128

使用 ip host 命令可为 IP 地址映射添加主机别名和完全限定域名 (FQDN) 字符串。它用于为 eth1、eth2 和 eth3 等以太网接口查找匹配的 FQDN。使用 show running-config 命令可查看主机别名定义。

您可以提供主机别名和/或 FQDN 字符串。如果提供这两个值,则主机别名必须与 FQDN 字符串的第一部分匹配。如果仅提供 FQDN 字符串,思科 ISE 会使用 FQDN 替换 URL 中的 IP 地址。如果仅提供主机别名,思科 ISE 会将主机别名与所配置的 IP 域名组合以形成完整的 FQDN,并用 FQDN 替换 URL 中的网络接口 IP 地址。

示例 1

ise/admin(config)# ip host 172.21.79.96 ise1 ise1.cisco.com
Host alias was modified. You must restart ISE for change to take effect.
Do you want to restart ISE now? (yes/no) yes
Stopping ISE Monitoring & Troubleshooting Log Processor...
Stopping ISE Application Server...
Stopping ISE Profiler DB...
Stopping ISE Monitoring & Troubleshooting Session Database...
Stopping ISE Database processes...
Starting ISE Database processes...
Stopping ISE Database processes...
Starting ISE Database processes...
Starting ISE Monitoring & Troubleshooting Session Database...
Starting ISE Profiler DB...
Starting ISE Application Server...
Starting ISE Monitoring & Troubleshooting Log Processor...
Note: ISE Processes are initializing. Use 'show application status ise'
      CLI to verify all processes are in running state.
ise/admin(config)#

示例 2


ise/admin(config)# ipv6 host 2001:db8:cc00:1::1 ise1 ise1.cisco.com
Host alias was modified. You must restart ISE for change to take effect.
Do you want to restart ISE now? (yes/no) yes
Stopping ISE Monitoring & Troubleshooting Log Processor...

Stopping ISE Application Server...
Stopping ISE Profiler DB...
Stopping ISE Monitoring & Troubleshooting Session Database...
Stopping ISE Database processes...
Starting ISE Database processes...
Stopping ISE Database processes...
Starting ISE Database processes...
Starting ISE Monitoring & Troubleshooting Session Database...
Starting ISE Profiler DB...
Starting ISE Application Server...
Starting ISE Monitoring & Troubleshooting Log Processor...
Note: ISE Processes are initializing. Use 'show application status ise'
      CLI to verify all processes are in running state.
ise/admin(config)#

ip mtu

要设置接口上发送的 IP 数据包的最大传输单位 (MTU) 大小,请在接口配置模式下使用 ip mtu 命令。要恢复默认 MTU 设置,请使用此命令的 no 形式。

ip mtu bytes

no ip mtu bytes

Syntax Description

mtu

在 ISE 接口上配置 MTU。

bytes

MTU 的大小(从 1300 到 1500 字节)。默认 MTU 值为 1500 字节。

Command Default

MTU 设置为 1500。

Command Modes

Interface configuration (config-GigabitEthernet)#

Command History

版本

修改

2.4.0.357

引入了此命令。

Usage Guidelines

如果 IP 数据包超出为接口设置的 MTU,则思科 ISE 将对其进行分段。物理介质上的所有设备都必须具有相同的协议 MTU 才能运行。

示例

以下示例显示了如何在接口上配置 MTU:


ise/admin(config)# int GigabitEthernet 1
ise/admin(config-GigabitEthernet)# ip mtu ?
<1300-1500>  Select MTU value in range of 1300 to 1500

以下示例显示了配置 MTU 后显示的输出:


ise/admin# show run | in mtu
ip mtu 1350

ip name-server

要设置在 DNS 查询过程中使用的域名服务器 (DNS),请在配置模式下使用 ip name-server 命令。您可以配置一到三个 DNS 服务器。

ip name-server ip-address {ip-address *}

要禁用该功能,请使用此命令的 no 形式。

no ip name-server ip-address {ip-address *}



使用此命令的 no 形式可从配置中删除所有名称服务器。此命令的 no 形式和其中一个 IP 名称只能删除该名称服务器。


Syntax Description

name-server

配置名称服务器的 IP 地址。

ip-address

域名服务器的地址。

ip-address*

(可选)。其他域名服务器的 IP 地址。

 

可以配置 IPv4 和/或 IPv6 地址的任何组合。如果要添加具有 IPv6 地址的名称服务器,请确保 ISE eth0 接口已静态配置有 IPv6 地址。

如果您已在部署中启用主要管理节点 (PAN) 自动故障切换配置,请在运行 ip name-server 命令前删除该功能并在配置 DNS 服务器后重新启用。

Command Default

无默认行为或值。

Command Modes

Configuration (config)#

Command History

版本

修改

2.0.0.306

引入了此命令。

Usage Guidelines

使用 ip name-server 命令添加的第一个名称服务器会占用第一个位置,系统会最先使用该服务器来解析 IP 地址。

您可以使用 IPv4 或 IPv6 地址将域名服务器添加到系统中。可以通过单个命令配置一至三个 IPv4 或 IPv6 地址。如果您已为系统配置了四个域名服务器,则必须至少删除一个服务器才能添加其他域名服务器。

要将名称服务器放在第一个位置,以便子系统最先使用该服务器,必须使用此命令的 no 形式删除所有名称服务器,然后才能继续。



如果您为 AD 连接修改此设置,则必须重新启动思科 ISE 才能使更改生效。此外,您需要确保思科 ISE 中配置的所有 DNS 服务器都能解析所有相关的 AD DNS 记录。如果更改 DNS 设置后,系统无法正确解析已配置的 AD 加入点,您必须手动执行 Leave 操作,并重新加入 AD 加入点。


如果您已在部署中启用 PAN 自动故障切换配置,系统将会显示以下消息:

PAN Auto Failover is enabled, this operation is not
allowed! Please disable PAN Auto-failover first.

示例 1


ise/admin(config)# ip name-server ?
<A.B.C.D>|<valid IPv6 format>  Primary DNS server IP address  
<A.B.C.D>|<valid IPv6 format>  DNS server 2 IP address 
<A.B.C.D>|<valid IPv6 format>  DNS server 3 IP address

ise/admin(config)# ip name-server

示例 2

您可以在配置 IP 域名服务器后看到以下输出。


ise/admin# show run | in name-server
ip name-server 171.70.168.183 171.68.226.120 
3201:db8:0:20:f41d:eee:7e66:4eba
ise/admin#
 

示例 3


ise/admin(config)# ip name-server ?
ip name-server 10.126.107.120 10.126.107.107 10.106.230.244
DNS Server was modified. If you modified this setting for AD connectivity, you must restart ISE for the change to take effect.
Do you want to restart ISE now? (yes/no) 

ip route

要配置静态路由,请在配置模式下使用 ip route 命令。要删除静态路由,请使用此命令的 no 形式。

ip route prefix mask gateway ip-address

no ip route prefix mask

Syntax Description

prefix

目标的 IP 路由前缀。

mask

目标的前缀掩码。

ip-address

可用于到达该网络的下一跳的 IP 地址。

Command Default

无默认行为或值。

Command Modes

Configuration (config)#

Command History

版本

修改

2.0.0.306

引入了此命令。

Usage Guidelines

手动配置静态路由,此方式会使静态路由丧失灵活性(它们无法动态地适应网络拓扑变化),但非常稳定。静态路由会优化带宽利用率,因为不需要发送路由更新来维护静态路由。它们还可以轻松地实施路由策略。

虽然 ip route 命令可用于在单独的思科 ISE 节点上定义静态路由,但此命令得到增强,可以为每个接口定义默认路由,并且可以降低多接口 IP 节点中固有的不对称 IP 转发的影响。

当在多接口节点上配置一个默认路由时,从任一节点的 IP 接口收到的所有 IP 流量会路由到导致不对称 IP 转发的默认网关的下一跳。在思科 ISE 节点上配置多个默认路由会消除不对称转发的影响。

以下示例介绍如何配置多个默认路由:

分别对思科 ISE 节点 eth0、eth1、eth2 和 eth3 接口考虑以下接口配置:


ISE InterfaceIPNetworkGateway
192.168.114.10 192.168.114.0 192.168.114.1
192.168.115.10 192.168.115.0 192.168.115.1
192.168.116.10 192.168.116.0 192.168.116.1
192.168.117.10 192.168.117.0 192.168.117.1


ip route 命令在此处用于定义每个接口的默认路由。

ise/admin(config)# ip route 0.0.0.0 0.0.0.0 192.168.114.1
ise/admin(config)# ip route 0.0.0.0 0.0.0.0 192.168.115.1
ise/admin(config)# ip route 0.0.0.0 0.0.0.0 192.168.116.1
ise/admin(config)# ip route 0.0.0.0 0.0.0.0 192.168.117.1
ise/admin(config)# ip default-gateway 192.168.118.1


上面所示的“ip default-gateway”是所有接口的最后选用路由。


show ip route 命令可显示使用 ip route 命令创建的静态路由(默认路由和非默认路由)和系统创建的路由(包括使用“ip default gateway”命令配置的路由)的输出。它会显示每个路由的传出接口。



当您更改接口的 IP 地址时,如果任何静态路由因为某个无法访问的网关而变为无法访问,则静态路由会从运行配置中删除。控制台会显示已变为无法访问的路由。


示例 2


ise/admin(config)# ip route 192.168.0.0 255.255.0.0 gateway 172.23.90.2
ise/admin(config)#

ipv6 address

要基于 IPv6 通用前缀配置静态 IPv6 地址并为接口启用 IPv6 处理,请在接口配置模式下使用 ipv6 address 命令。

ipv6 address ipv6-address/prefix-length

要删除 IPv6 地址或禁用 IPv6 处理,请使用此命令的 no 形式。

no ipv6 address ipv6-address/prefix-length

Syntax Description

ipv6-address

IPv6 地址。

prefix-length

IPv6 前缀的长度。0 到 128 之间的十进制值,表示地址的多少个高位连续位构成前缀(地址的网络部分)。十进制值前面必须有斜线标记。

如果您已启用主要管理节点 (PAN) 自动故障切换配置,请在设置 IPv6 地址前将其禁用。在配置 IPv6 地址后,您可以启用 PAN 自动故障切换配置。

如果您已在部署中启用 PAN 自动故障切换配置,系统将会显示以下消息:

PAN Auto Failover is enabled, this operation is not
allowed! Please disable PAN Auto-failover first.

Command Default

无默认行为或值。

Command Modes

Interface configuration (config-GigabitEthernet)#

Command History

版本

修改

2.0.0.306

引入了此命令。

Usage Guidelines

支持的 IPv6 地址格式包括:

  • 完整表示法:冒号分隔的八组四个十六进制数字。例如,2001:0db8:85a3:0000:0000:8a2e:0370:7334

  • 缩短表示法:去除组中的前导零;使用两个连续的冒号替换零值组。例如:2001:db8:85a3::8a2e:370:7334

  • 点分四组表示法(IPv4 映射及 IPv4 兼容的 IPv6 地址)︰例如,::ffff:192.0.2.128

使用 fe80 前缀可分配一个本地链路地址。为接口分配全局地址会自动创建一个本地链路地址。



在 IPv6 地址更改的情况下,如果在 ipv6 address 命令的 CLI 配置更改过程中发出“Ctrl-C”命令,则系统最终所处的状态可能是,某些应用组件使用旧 IPv6 地址,而某些组件使用新 IPv6 地址。

此情况会将思科 ISE 节点置于非工作状态。此情况的解决方法是发出另一个 ipv6 address 命令,以便将 IPv6 地址设置为所需的值。


示例 1


ise/admin(config)# interface GigabitEthernet 1
ise/admin(config-GigabitEthernet)# ipv6 address 2001:DB8:0:1::/64
Changing the IPv6 address may result in undesired side effects on any installed application(s).
Are you sure you want to proceed? Y/N[N]: y
........
Note: ISE Processes are initializing. Use 'show application status ise' CLI to verify all processes are in running state.
ise/admin(config-GigabitEthernet)#

示例 2


ise/admin(config)# interface GigabitEthernet 1
ise/admin(config-GigabitEthernet)# ipv6 address fe80::250:56ff:fe87:4763/64
ise/admin(config-GigabitEthernet)#

ipv6 address autoconfig

要在某个接口上使用无状态自动配置启用 IPv6 地址的自动配置,并在该接口上启用 IPv6 处理,请在接口配置模式下使用 ipv6 address autoconfig 命令。

默认情况下,IPv6 地址自动配置在 Linux 中处于启用状态。思科 ADE 2.0 会在运行配置中为已启用的所有接口显示 IPv6 地址自动配置。

ipv6 address autoconfig

使用此命令的 no 形式可从接口中禁用 IPv6 地址的自动配置。

Command Default

无默认行为或值。

Command Modes

Interface configuration (config-GigabitEthernet)#

Command History

版本

修改

2.0.0.306

引入了此命令。

Usage Guidelines

IPv6 无状态自动配置存在具有可预测 IP 地址的安全隐患。此隐患可通过隐私扩展解决。可以使用 show interface 命令验证是否已启用隐私扩展功能。

示例

ise/admin(config-GigabitEthernet)# ipv6 address autoconfig
ise/admin(config)#

配置 IPv6 自动配置

要启用 IPv6 无状态自动配置,请在接口配置模式下使用 interface GigabitEthernet 0 命令:

ise/admin# configure terminal
Enter configuration commands, one per line.  End with CNTL/Z.
ise/admin(config)# interface GigabitEthernet 0
ise/admin(config)# (config-GigabitEthernet)# ipv6 address autoconfig
ise/admin(config)# (config-GigabitEthernet)# end
ise/admin#
当 IPv6 自动配置启用时,运行配置会显示类似如下的接口设置:

!
interface GigabitEthernet 0
  ip address 172.23.90.116 255.255.255.0
  ipv6 address autoconfig
!

可使用 show interface GigabitEthernet 0 命令显示接口设置。在下面的示例中,您可以看到该接口有三个 IPv6 地址。第一个地址(以 3ffe 开头)可使用无状态自动配置获取。

要使无状态自动配置正常工作,您必须在该子网上启用 IPv6 路由通告。下一个地址(以 fe80 开头)是没有任何范围在主机之外的链接本地地址。

无论是 IPv6 自动配置还是 DHCPv6 配置,您始终会看到链接本地地址。最后一个地址(以 2001 开头)从 IPv6 DHCP 服务器获取。


ise/admin# show interface GigabitEthernet 0
eth0      Link encap:Ethernet  HWaddr 00:0C:29:AF:DA:05
          inet addr:172.23.90.116  Bcast:172.23.90.255  Mask:255.255.255.0
          inet6 addr: 3ffe:302:11:2:20c:29ff:feaf:da05/64 Scope:Global
          inet6 addr: fe80::20c:29ff:feaf:da05/64 Scope:Link
          inet6 addr: 2001:558:ff10:870:8000:29ff:fe36:200/64 Scope:Global
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:77848 errors:0 dropped:0 overruns:0 frame:0
          TX packets:23131 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:10699801 (10.2 MiB)  TX bytes:3448374 (3.2 MiB)
          Interrupt:59 Base address:0x2000
ise/admin#

验证隐私扩展功能

要验证隐私扩展功能是否已启用,可以使用 show interface GigabitEthernet 0 命令。您可以看到两个自动配置地址:一个是没有隐私扩展的地址,另一个是具有隐私扩展的地址。

在以下示例中,MAC 为 3ffe:302:11:2:20c:29ff:feaf:da05/64 且非 RFC3041 地址包含 MAC,而隐私扩展地址为 302:11:2:9d65:e608:59a9:d4b9/64。

其输出与下列显示类似:


ise/admin# show interface GigabitEthernet 0
eth0      Link encap:Ethernet  HWaddr 00:0C:29:AF:DA:05
          inet addr:172.23.90.116  Bcast:172.23.90.255  Mask:255.255.255.0
          inet6 addr: 3ffe:302:11:2:9d65:e608:59a9:d4b9/64 Scope:Global
          inet6 addr: 3ffe:302:11:2:20c:29ff:feaf:da05/64 Scope:Global
          inet6 addr: fe80::20c:29ff:feaf:da05/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:60606 errors:0 dropped:0 overruns:0 frame:0
          TX packets:2771 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:9430102 (8.9 MiB)  TX bytes:466204 (455.2 KiB)
          Interrupt:59 Base address:0x2000
ise/admin#

ipv6 address dhcp

要从 IPv6 动态主机配置协议 (DHCPv6) 服务器中获取某个接口的 IPv6 地址,请在接口配置模式下使用 ipv6 address dhcp 命令。要从接口中删除该地址,请使用此命令的 no 形式。

ipv6 address dhcp

Command Default

无默认行为或值。

Command Modes

Interface configuration (config-GigabitEthernet)#

Command History

版本

修改

2.0.0.306

引入了此命令。

Usage Guidelines

示例


ise/admin# configure terminal
Enter configuration commands, one per line.  End with CNTL/Z.
ise/admin(config)# interface GigabitEthernet 1
ise/admin(config-GigabitEthernet)# ipv6 address dhcp
ise/admin(config-GigabitEthernet)# end
ise/admin#
当启用 IPv6 DHCP 时,运行配置会显示类似如下的接口设置:

!
interface GigabitEthernet 1
  ipv6 address dhcp
		ipv6 enable
!


IPv6 无状态自动配置和 IPv6 DHCP 地址并不互相排斥。可在同一接口同时具有 IPv6 无状态自动配置和 IPv6 DHCP 地址。

可以使用 show interface 命令显示用于特定接口的 IPv6 地址。


当同时启用 IPv6 无状态自动配置和 IPv6 DHCP 地址时,运行配置会显示类似如下的接口设置:

!
interface GigabitEthernet 1
    ipv6 address dhcp
				ipv6 address autoconfig
				ipv6 enable     
!

ipv6 enable

要在接口上启用 IPv6,请在接口配置模式下使用 ipv6 enable 命令。

ipv6 enable

使用此命令的 no 形式可在接口上禁用 IPv6。

no ipv6 enable

Command Default

无默认行为或值。

Command Modes

Interface configuration (config-GigabitEthernet)#

Command History

版本

修改

2.0.0.306

引入了此命令。

Usage Guidelines

使用 ipv6 enable 命令可在接口上启用 IPv6,并基于接口 MAC 地址自动生成本地链路地址。

示例 1


ise/admin(config)# interface GigabitEthernet 1
ise/admin(config-GigabitEthernet)# ipv6 enable
ise/admin(config-GigabitEthernet)#

示例 2

默认情况下,所有接口上均启用 ipv6。要禁用此功能,请使用此命令的 no 形式。


ise/admin# show interface gigabitEthernet 1
GigabitEthernet 1
flags=4163UP,BROADCAST,RUNNING,MULTICAST mtu 1500
inet6 fe80::20c:29ff:fe83:a610 prefixlen 64 scopeid 0x20 link
ether 00:0c:29:83:a6:10 txqueuelen 1000 (Ethernet)
RX packets 11766 bytes 1327285 (1.2 MiB)
RX errors 0 dropped 13365 overruns 0 frame 0
TX packets 6 bytes 508 (508.0 B)
TX errors 0 dropped 0 overruns 0 carrier 0 collisions 0


ise/admin# configure terminal 
Enter configuration commands, one per line. End with CNTL/Z.
ise/admin(config)# interface gigabitEthernet 1
ise/admin(config-GigabitEthernet)# no ipv6 enable 
ise/admin(config-GigabitEthernet)# exit
ise/admin(config)# end
ise/admin# show interface gigabitEthernet 1
GigabitEthernet 1
flags=4163 UP,BROADCAST,RUNNING,MULTICAST mtu 1500
ether 00:0c:29:83:a6:10 txqueuelen 1000 (Ethernet)
RX packets 64 bytes 5247 (5.1 KiB)
RX errors 0 dropped 13365 overruns 0 frame 0
TX packets 3 bytes 258 (258.0 B)
TX errors 0 dropped 0 overruns 0 carrier 0 collisions 0


ipv6 route

要手动配置 IPv6 静态路由并在两个网络设备之间定义显式路径,请在全局配置模式下使用 ipv6 route 命令。静态路由不会自动更新,因此您必须在网络拓扑发生变化时重新手动配置静态路由。

ipv6 route ipv6-address/prefix-length gateway route-specific gateway

要删除 IPv6 静态路由,请使用此命令的 no 形式。

no ipv6 route ipv6-address/prefix-length gateway route-specific gateway

要配置带 IPv6 地址的默认静态路由,请在全局配置模式下使用 ipv6 route ::/0 gateway route-specific gateway 命令。要禁用带 IPv6 地址的默认静态路由,请使用此命令的 no 形式。

Syntax Description

ipv6-address

IPv6 地址。

prefix-length

IPv6 前缀的长度。0 到 128 之间的十进制值,表示地址的多少个高位连续位构成前缀(地址的网络部分)。十进制值前面必须有斜线标记。

route-specific gateway

可用于到达该网络的下一跳的 IPv6 地址。

Command Default

无默认行为或值。

Command Modes

Global configuration (config)#

Command History

版本

修改

2.0.0.306

引入了此命令。

Usage Guidelines

支持的 IPv6 地址格式包括:

  • 完整表示法:冒号分隔的八组四个十六进制数字。例如,2001:0db8:85a3:0000:0000:8a2e:0370:7334

  • 缩短表示法:去除组中的前导零;使用两个连续的冒号替换零值组。例如:2001:db8:85a3::8a2e:370:7334

  • 点分四组表示法(IPv4 映射及 IPv4 兼容的 IPv6 地址)︰例如,::ffff:192.0.2.128

使用 show ipv6 route 命令可查看配置的 IPv6 路由。

示例 1


ise/admin(config)# ipv6 route 2001:DB8:cc00:1::/64 gateway 2001:DB8::cc00:1::1

示例 2


ise/admin(config)# ipv6 route ::/0 gateway 2001:db::5

其中,::/0 表示默认路由前缀。

kron occurrence

要安排一个或多个命令调度程序命令在特定日期和时间运行或重复运行,请在配置模式下使用 kron occurrence 命令。要删除该计划,请使用此命令的 no 形式。

kron occurrence occurrence-name

Syntax Description

occurrence

安排命令调度程序命令。

occurrence-name

事件的名称。最多支持 80 个字母数字字符。(请参阅以下备注和语法说明。)



kron occurrence 命令中输入 occurrence-name 之后,即可进入 config-Occurrence 配置子模式(请参阅以下语法说明)。


Syntax Description

at

确定事件要在指定的日历日期和时间运行。用法:at [hh:mm] [day-of-week | day-of-month | month day-of-month]

do

EXEC 命令。允许您在此模式下执行所有 EXEC 命令。

end

退出 kron-occurrence 配置模式并返回到执行模式。

exit

退出 kron-occurrence 配置模式。

no

在此模式使命令无效。

有三个关键字可用:

  • at - 用法:at [hh:mm] [day-of-week | day-of-month | month day-of-month]。

  • policy-list - 指定事件要运行的策略列表。最多支持 80 个字母数字字符。

  • recurring - 应重复执行策略列表。

policy-list

指定事件要运行的命令调度程序策略。

recurring

确定事件重复运行。

 

如果 kron occurrence 未重复,则在运行计划备份的 kron occurrence 配置后,将其删除。

Command Default

无默认行为或值。

Command Modes

Configuration (config-Occurance)#

Command History

版本

修改

2.0.0.306

引入了此命令。

Usage Guidelines

使用 kron occurrence policy-list 命令可安排一个或多个策略列表同时运行或者以相同的时间间隔运行。

kron policy-list 命令与 cli 命令结合使用可创建命令调度程序策略,该策略包含要安排在指定时间在思科 ISE 服务器上运行的 EXEC CLI 命令。



运行 kron 命令时,系统会使用唯一名称(通过添加时间戳)创建备份捆绑包,从而确保文件不会互相覆盖。




建议您通过在 GUI 中使用 Administration > System > Backup and Restore 页面来安排配置或监控备份。


示例 1:每周备份


ise/admin(config)# kron occurrence WeeklyBackup
ise/admin(config-Occurrence)# at 14:35 Monday
ise/admin(config-Occurrence)# policy-list SchedBackupPolicy
ise/admin(config-Occurrence)# recurring
ise/admin(config-Occurrence)# exit
ise/admin(config)#

示例 2:每日备份


ise/admin(config)# kron occurrence DailyBackup
ise/admin(config-Occurrence)# at 02:00
ise/admin(config-Occurrence)# exit
ise/admin(config)#

示例 3:每周备份


ise/admin(config)# kron occurrence WeeklyBackup
ise/admin(config-Occurrence)# at 14:35 Monday
ise/admin(config-Occurrence)# policy-list SchedBackupPolicy
ise/admin(config-Occurrence)# no recurring
ise/admin(config-Occurrence)# exit
ise/admin(config)#

kron policy-list

要为命令调度程序策略指定名称并进入 kron-Policy List 配置子模式,请在配置模式下使用 kron policy-list 命令。要删除命令调度程序策略,请使用此命令的 no 形式。

kron policy-list list-name

Syntax Description

policy-list

为命令调度程序策略指定名称。

list-name

策略列表的名称。最多支持 80 个字母数字字符。



kron policy-list 命令中输入 list-name 后,即可进入 config-Policy List 配置子模式(请参阅以下语法说明)。


Syntax Description

cli

由调度程序执行的命令。最多支持 80 个字母数字字符。

do

EXEC 命令。允许您在此模式下执行所有 EXEC 命令。

end

退出 config-Policy List 配置子模式并返回到执行模式。

exit

退出此子模式。

no

在此模式使命令无效。有一个关键字可用:

  • cli - 由调度程序执行的命令。

Command Default

无默认行为或值。

Command Modes

Configuration (config-Policy List)#

Command History

版本

修改

2.0.0.306

引入了此命令。

Usage Guidelines

kron policy-list 命令与 cli 命令结合使用可创建命令调度程序策略,该策略包含要安排在指定时间在 ISE 服务器上运行的 EXEC CLI 命令。使用 kron occurrence policy list 命令可安排一个或多个策略列表同时运行或者以相同的时间间隔运行。



无法通过 CLI 使用 kron policy-list 命令安排配置和运营数据备份。您可以通过思科 ISE 管理员门户安排这些备份。


示例


ise/admin(config)# kron policy-list BackupLogs
ise/admin(config-Policy List)# cli backup-logs ScheduledBackupLogs repository SchedBackupRepo encryption-key plain xyzabc
ise/admin(config-Policy List)# exit
ise/admin(config)#

logging

要配置日志级别,请在配置模式下使用 logging 命令。

logging loglevel {0 | 1 | 2 | 3 | 4 | 5 | 6 | 7}

要禁用该功能,请使用此命令的 no 形式。

no logging

Syntax Description

loglevel

为 logging 命令配置日志级别的命令。

0-7

设置日志消息的所需优先级。优先级包括(请输入关键字的编号):

  • 0-emerg - 紧急:系统不可用。

  • 1-alert - 警报:需要立即采取行动。

  • 2-crit - 严重:严重情况。

  • 3-err - 错误:错误情况。

  • 4-warn - 警告:警告情况。

  • 5-notif - 通知:正常但值得注意的情况。

  • 6-inform -(默认)信息消息。

  • 7-debug - 调试消息。

Command Default

无默认行为或值。

Command Modes

Configuration (config)#

Command History

版本

修改

2.0.0.306

引入了此命令。

Usage Guidelines

此命令需要 loglevel 关键字。

示例


ise/admin(config)# logging loglevel 0
ise/admin(config)#

max-ssh-sessions

要配置分布式部署中每个节点的最大并发命令行界面 (CLI) 会话数量,请在配置模式下使用 max-ssh-sessions 命令。

max-ssh-sessions {0 | 1 | 2 | 3 | 4 | 5 | 6 | 7 | 8 | 9 | 10}

Syntax Description

1-10

并发 SSH 会话的数量。默认值为 5。

Command Default

从思科 ISE 管理员门户将允许的最大并发 CLI 会话的默认数量设置为 5。

Command Modes

Configuration (config)#

Command History

版本

修改

2.0.0.306

引入了此命令。

Usage Guidelines

max-ssh-sessions 参数不可从命令行界面配置。最大活动 CLI 会话数量从主要管理 ISE 管理员门户进行复制。

当您超过最大 CLI 会话数量时,“Maximum active ssh sessions reached”消息会显示在关闭该会话的命令行界面中,并且您可以在底部看到“Not connected - press Enter or Space to connect”消息。

可以通过控制台登录 CLI,并使用 forceout username 命令注销用户以减少活动的 SSH 会话数量。

用于配置最大命令行界面 (CLI) 会话数量的导航路径位于思科 ISE 管理员门户的 Session 选项卡的以下位置:Administration > System > Admin Access > Settings > Access

ntp

要指定 NTP 配置,请在配置模式下将 ntp 命令与 authenticate authentication-key server trusted-key 命令结合使用。

ntp authenticate

ntp authentication-key <key id> md5hash | plain<key value>

ntp server {ip-address | hostname} key <peer key number>

ntp trusted-key <key>

no ntp server

Syntax Description

authenticate

启用所有时间源的身份验证。

authentication-key

为受信任的时间源指定身份验证密钥。

server

指定要使用的 NTP 服务器。

trusted-key

为受信任的时间源指定密钥编号。

Command Default

Command Modes

Configuration (config)#

Command History

版本

修改

2.0.0.306

引入了此命令。

Usage Guidelines

使用 ntp 命令可指定 NTP 配置。

要终止设备上的 NTP 服务,必须输入带关键字或参数(如 authenticate authentication-key server, trusted-key )的 no ntp 命令。例如,如果您先前发出了 ntp server 命令,则使用带 server no ntp 命令。

示例


ise/admin(config)# ntp ?
  authenticate        Authenticate time sources
  authentication-key  Authentication key for trusted time sources
  server              Specify NTP server to use
  trusted-key         Key numbers for trusted time sources
ise/admin(config)#
ise/admin(config)# no ntp server
ise/admin(config)# do show ntp
% no NTP servers configured
ise/admin(config)#

ntp authenticate

要启用所有时间源的身份验证,请使用 ntp authenticate 命令。没有 NTP 身份验证密钥的时间源将不会同步。

要禁用该功能,请使用此命令的 no 形式。

ntp authenticate

Syntax Description

authenticate

启用所有时间源的身份验证。

Command Default

Command Modes

Configuration (config)#

Command History

版本

修改

2.0.0.306

引入了此命令。

Usage Guidelines

使用 ntp authenticate 命令可启用所有时间源的身份验证。此命令是可选的,即使没有此命令,身份验证也能正常进行。

如果您要在混合模式下进行身份验证(在此情况下,只有某些服务器需要身份验证,即,只有某些服务器需要配置密钥进行身份验证),则不应执行此命令。

示例


ise/admin(config)# ntp authenticate
ise/admin(config)#

ntp authentication-key

要为时间源指定身份验证密钥,请在配置命令中使用带唯一标识符和密钥值的 ntp authentication-key 命令。

ntp authentication-key key id md5 hash | plain key value

要禁用该功能,请使用此命令的 no 形式。

no ntp authentication-key

Syntax Description

authentication-key

为受信任的时间源配置身份验证密钥。

key id

您要分配给此密钥的标识符。支持 1-65535 之间的数字值。

md5

身份验证密钥的加密类型。

hash

身份验证的散列密钥。指定跟随加密类型的加密(散列)密钥。最多支持 40 个字符。

plain

身份验证的明文密钥。指定跟随加密类型的未加密明文密钥。最多支持 15 个字符。

key value

采用与上述 md5 plain | hash 匹配的格式的密钥值。

Command Default

Command Modes

Configuration (config)#.

Command History

版本

修改

2.0.0.306

引入了此命令。

Usage Guidelines

使用 ntp authentication-key 命令可对时间源设置 NTP 身份验证密钥并指定相关的密钥标识符、密钥加密类型和密钥值设置。将此密钥添加到 ntp server 命令之前,请先将其添加到受信任列表。

没有已添加到受信任列表中的 NTP 身份验证密钥的时间源将不会同步。



show running-config 命令将始终显示以消息摘要 5 (MD5) 明文格式输入的密钥,此格式出于安全考虑而转换成散列格式。例如,ntp authentication-key 1 md5 hashee18afc7608ac7ecdbeefc5351ad118bc9ce1ef3


示例 1


ise/admin# configure
ise/admin(config)#
ise/admin(config)# ntp authentication-key 1 md5 plain SharedWithServe
ise/admin(config)# ntp authentication-key 2 md5 plain SharedWithServ
ise/admin(config)# ntp authentication-key 3 md5 plain SharedWithSer

示例 2


ise/admin(config)# no ntp authentication-key 3 
(Removes authentication key 3.)

示例 3


ise/admin(config)# no ntp authentication-key
(Removes all authentication keys.)

ntp server

要允许系统的 NTP 服务器进行软件时钟同步,请在配置模式下使用 ntp server 命令。最多允许三台服务器为一行,其中每台服务器都有一个密钥。密钥是可选参数,但密钥对于 NTP 身份验证而言是必需的。

对于 NTP 服务器,思科 ISE 也支持公钥身份验证。NTPv4 使用对称密钥加密,但是也可根据公钥加密提供新的自动密钥方案。公钥加密通常被认为比对称密钥加密更安全,因为其安全性基于各个服务器生成的不会泄露的专用值。如果使用自动密钥,所有密钥分发和管理功能都将仅涉及公共值,可在很大程度上简化密钥分发和存储。我们建议您使用 IFF(敌我识别)识别方案,因为这种方案的使用最为广泛。

思科 ISE 始终需要有效、可访问的 NTP 服务器。

虽然密钥是可选参数,但如果您需要验证 NTP 服务器,则必须配置密钥。

要禁用此功能,请使用该命令的 no 形式,此形式只在您要删除 NTP 服务器并添加另一个 NTP 服务器时使用。

ntp server {ip-address | hostname} {autokey | key <peer key number>}

Syntax Description

server

允许系统与指定服务器同步。

ip-address | hostname

提供时钟同步的服务器的 IPv4 或 IPv6 地址或主机名。参数限制为 255 个字母数字字符。如果要添加具有 IPv6 地址的 NTP 服务器,请确保 ISE eth0 接口已静态配置有 IPv6 地址。

autokey

指定应对 NTP 服务器使用公钥身份验证。如果选择此选项,请确保使用 crypto 命令将 NTP 服务器的公共密钥导入思科 ISE 节点。

key

(可选)。对等密钥编号。最多支持 65535 个数字字符。

此密钥需要通过 ntp authentication-key 命令使用密钥值进行定义,还需要通过 ntp trusted-key 命令添加为受信任的密钥。

为使身份验证正常进行,此密钥和密钥值应该与在实际 NTP 服务器上定义的密钥和密钥值相同。

Command Default

默认情况下,未配置任何服务器。

Command Modes

Configuration (config)#

Command History

版本

修改

2.0.0.306

引入了此命令。

Usage Guidelines

如果要让系统与指定服务器同步,请将此 ntp server 命令和受信任的密钥一起使用。

密钥是可选的,但对于 NTP 身份验证而言是必需的。要将此密钥添加到 ntp server 命令,请先在 ntp authentication-key 命令中定义此密钥,然后将其添加到 ntp trusted-key 命令。

show ntp 命令将显示同步状态。如果任何配置的 NTP 服务器都无法访问或未进行身份验证(如果已配置 NTP 身份验证),则此命令会显示层次最低的本地同步。

如果 NTP 服务器无法访问或未正确通过身份验证,则根据此命令统计信息,其范围将为 0。

要从思科 ISE 管理员门户定义 NTP 服务器配置和身份验证密钥,请参阅《思科身份服务引擎管理指南》中的“系统时间和 NTP 服务器设置”一节。您只能在配置模式下从思科 ISE CLI 将 NTP 服务器配置为使用自动密钥。将 NTP 服务器配置为使用自动密钥后,请确保导入 NTP 服务器生成的公钥。有关详细信息,请参阅 crypto 命令。



在对 NTP 服务器使用公钥身份验证时:

  • 请确保网络中可用的 NTP 服务器配置为使用自动密钥。NTP 服务器必须可通过 DNS/hostname 地址进行访问。有关如何将 NTP 服务器配置为使用公钥的详细信息,请参阅 NTP 支持网站

  • 在 NTP 服务器中使用 ntp-keygen-T 命令生成密钥对,并获取 NTP 服务器的受信任公共密钥。使用 crypto 命令将公共密钥导入思科 ISE。




此命令会在同步过程中提供冲突信息。同步过程最多可能需要 20 分钟才能完成。


示例

ise/admin# configure terminal 
Enter configuration commands, one per line.  End with CNTL/Z.
ise/admin(config)# ntp server 209.165.200.225 autokey

ise/admin# show running-config 
interface GigabitEthernet 0
  ip address 209.165.200.225 255.255.255.0
  ipv6 address autoconfig
  ipv6 enable
!        
ip name-server 209.165.200.226  
!        
ip default-gateway 209.165.200.227
!        
ip route 2.2.2.0 255.255.255.0 gateway 127.0.0.1
!        
!        
clock timezone Asia/Kolkata
!        
ntp authentication-key nn md5 hash xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
ntp trusted-key nn
ntp server 209.165.200.228 key nn
ntp server 209.165.200.229
ntp server 209.165.200.225 autokey
!

为 NTP 服务器身份验证配置受信任的密钥

要允许系统的 NTP 服务器进行软件时钟同步,请在配置模式下使用 ntp server 命令。

ise/admin(config)# ntp server ntp.esl.cisco.com key 1
% WARNING: Key 1 needs to be defined as a ntp trusted-key.
ise/admin(config)#
ise/admin(config)# ntp trusted-key 1
% WARNING: Key 1 needs to be defined as a ntp authentication-key.
ise/admin(config)#
ise/admin(config)# ntp authentication-key 1 md5 plain SharedWithServe
ise/admin(config)#

ise/admin(config)# ntp server ntp.esl.cisco.com 1
ise/admin(config)# ntp server 171.68.10.80 2
ise/admin(config)# ntp server 171.68.10.150 3
ise/admin(config)#
ise/admin(config)# do show running-config
Generating configuration...
!
hostname ise
!
ip domain-name cisco.com
!
interface GigabitEthernet 0
  ip address 10.105.171.218 255.255.255.0
  ipv6 address 2001:420:54ff:4::420:101/112
  ipv6 address autoconfig
  ipv6 enable
!ip name-server 10.105.171.200 2001:420:54ff:4::420:200 
!
ip default-gateway 172.21.79.1
ipv6 route ::/0 gateway 2001:420:54ff:4::420:10
!
clock timezone UTC

!
ntp authentication-key 1 md5 hash ee18afc7608ac7ecdbeefc5351ad118bc9ce1ef3
ntp authentication-key 2 md5 hash f1ef7b05c0d1cd4c18c8b70e8c76f37f33c33b59
ntp authentication-key 3 md5 hash ee18afc7608ac7ec2d7ac6d09226111dce07da37
ntp trusted-key 1
ntp trusted-key 2
ntp trusted-key 3
ntp authenticate
ntp server 10.105.171.10 key 1
ntp server 2001:420:54ff:4::420:111 key 2
ntp server clock.cisco.com key 3
!
--More--

验证同步状态

要检查同步状态,请使用 show ntp 命令。

示例 1


ise/admin# show ntp
Primary NTP   : ntp.esl.cisco.com
Secondary NTP : 171.68.10.80
Tertiary NTP : 171.68.10.150
synchronised to local net at stratum 11
   time correct to within 448 ms
   polling server every 64 s
     remote           refid      st t when poll reach   delay   offset  jitter
==============================================================================
*127.127.1.0     .LOCL.          10 l   46   64   37    0.000    0.000   0.001
 171.68.10.80    .RMOT.          16 u   46   64    0    0.000    0.000   0.000
 171.68.10.150   .INIT.          16 u   47   64    0    0.000    0.000   0.000
Warning: Output results may conflict during periods of changing synchronization.
ise/admin#

示例 2


ise/admin# show ntp
Primary NTP   : ntp.esl.cisco.com
Secondary NTP : 171.68.10.150
Tertiary NTP : 171.68.10.80
synchronised to NTP server (171.68.10.150) at stratum 3
   time correct to within 16 ms
   polling server every 64 s
     remote           refid      st t when poll reach   delay   offset  jitter
==============================================================================
 127.127.1.0     .LOCL.          10 l   35   64  377    0.000    0.000   0.001
+171.68.10.80    144.254.15.122   2 u   36   64  377    1.474    7.381   2.095
*171.68.10.150   144.254.15.122   2 u   33   64  377    0.922   10.485   2.198
Warning: Output results may conflict during periods of changing synchronization.
ise/admin#

ntp trusted-key

要将时间源添加到受信任列表中,请使用带唯一标识符的 ntp trusted-key 命令。

ntp trusted-key 密钥

要禁用该功能,请使用此命令的 no 形式。

no ntp trusted-key

Syntax Description

trusted-key

您要分配给此密钥的标识符。

key

为需要定义为 NTP 身份验证密钥的受信任时间源指定密钥编号。最多支持 65535 个数字字符。

Command Default

Command Modes

Configuration (config)#

Command History

版本

修改

2.0.0.306

引入了此命令。

Usage Guidelines

在您将此密钥添加到 NTP 服务器之前,请将此密钥定义为 NTP 身份验证密钥,然后将此密钥添加到受信任列表。只能使用已添加到受信任列表的密钥,这样才允许 NTP 服务器与系统同步。

示例 1


ise/admin# configure
ise/admin(config)#
ise/admin(config)# ntp trusted-key 1
ise/admin(config)# ntp trusted-key 2
ise/admin(config)# ntp trusted-key 3
ise/admin(config)# no ntp trusted-key 2
(Removes key 2 from the trusted list).

示例 2


ise/admin(config)# no ntp trusted-key
(Removes all keys from the trusted list).

rate-limit

要配置源 IP 地址的 TCP/UDP/ICMP 数据包限制,请在配置模式下使用 rate-limit 命令。要删除该功能,请使用此命令的 no 形式。

rate-limit 250 ip-address net-mask port

Syntax Description

<1-10000>

每秒的 TCP/UDP/ICMP 数据包平均数。

ip-address

要应用数据包速率限制的源 IP 地址。

net-mask

要应用数据包速率限制的源 IP 掩码。

port

要应用数据包速率限制的目标端口号。

Command Default

无默认行为或值。

Command Modes

Configuration (config)#

Command History

版本

修改

2.0.0.306

引入了此命令。

Usage Guidelines

无。

示例


ise49/admin(config)# rate-limit 4000 ip 20.20.20.20 port 443
% Notice : Actual rate limit rounded up by iptables to 5000 per second
ise49/admin(config)# do show running-config | incl rate
rate-limit 5000 ip 20.20.20.20 port 443 
ise49/admin(config)# 
ise49/admin(config)# rate-limit 6000 ip 10.10.10.10 port 443
% Notice : Actual rate limit rounded up by iptables to 10000 per second
ise49/admin(config)# do show running-config | incl rate
rate-limit 10000 ip 10.10.10.10 port 443 
rate-limit 5000 ip 20.20.20.20 port 443 
ise49/admin(config)# 

password-policy

要在系统中启用或配置密码,请在配置模式下使用 password-policy 命令。要禁用该功能,请使用此命令的 no 形式。

password-policy options



password-policy 命令需要一个策略选项(请参阅语法说明)。必须在其他 password-expiration 命令前输入 password-expiration-enabled 命令。




输入 password-policy 命令后,即可进入 config-password-policy 配置子模式。


Syntax Description

digit-required

用户密码中需要使用一个数字。

disable-cisco-password

禁用使用文字“Cisco”或任意组合作为密码的功能。

disable-repeat-chars

禁用密码包含四个以上相同字符的功能。

do

Exec 命令。

end

退出配置模式。

exit

退出子模式。

lower-case-required

用户密码中需要使用一个小写字母。

min-password-length

有效密码的最小字符数。最多支持 40 个字符。

no

使命令无效或设置其默认值。

no-previous-password

阻止用户重新使用其部分先前密码。

no-username

禁止用户重新使用其用户名作为密码的一部分。

password-delta

不同于旧密码的字符数。

password-expiration-days

密码到期前的天数。支持最大整数 3650。

password-expiration-enabled

启用密码有效期。

 

必须在其他 password-expiration 命令前输入 password-expiration-enabled 命令。

password-expiration-warning

出现即将到期警告的到期前天数。支持最大整数 3650。

password-lock-enabled

在若干次尝试失败后锁定密码。

password-lock-retry-count

用户密码锁定前的失败尝试次数。支持最大整数 20。

password-time-lockout

设置清除帐户锁定的时间间隔(分钟)。支持的时间值范围为 5 分钟至 1440 分钟。

special-required

用户密码中需要使用一个特殊字符。

upper-case-required

用户密码中需要使用一个大写字母。

Command Default

无默认行为或值。

Command Modes

Configuration (config-password-policy)#

Command History

版本

修改

2.0.0.306

引入了此命令。

Usage Guidelines

无。

示例


ise/admin(config)# password-policy
ise/admin(config-password-policy)# password-expiration-days 30
ise/admin(config-password-policy)# exit
ise/admin(config)#

repository

要进入备份配置的存储库子模式,请在配置模式下使用 repository 命令。

repository repository-name

Syntax Description

repository-name

存储库的名称。最多支持 80 个字母数字字符。



repository 命令中输入存储库名称后,即可进入 config-Repository 配置子模式(请参阅语法说明)。


Syntax Description

do

EXEC 命令。允许您在此模式下执行所有 EXEC 命令。

end

退出 config-Repository 子模式并返回到执行模式。

exit

退出此模式。

no

在此模式使命令无效。

有两个关键字可用:

  • url - 存储库 URL。

  • user - 用于访问的存储库用户名和密码。

url

存储库的 URL。最多支持 300 个字母数字字符(请参阅表 4-5)。

user

配置用于访问的用户名和密码。对于用户名,最多支持 30 个字母数字字符;对于密码,最多支持 15 个字母数字字符。

密码可以包含以下字符:0-9、a-z、A-Z、-、.、|、@、#、$、%、^、&、*、(、)、+、和 =。



服务器是指服务器名称,路径则是指 /subdir/subsubdir。请注意,对于 NFS 网络服务器,服务器之后必须有冒号 (:)。


表 5. 表 4-5 URL 关键字(续)

关键字

目标的源。

URL

输入存储库 URL,包括服务器和路径信息。最多支持 80 个字母数字字符。

cdrom:

本地 CD-ROM 驱动器(只读)。

disk:

本地存储。

可以运行 show repository repository_name 查看本地存储库中的所有文件。

 

所有本地存储库都在 /localdisk 分区上创建。当您在存储库 URL 中指定 disk:// 时,系统会在指向 /localdisk 的相对路径中创建目录。例如,如果输入 disk://backup, ,则系统会在 /localdisk/backup 创建目录。

ftp:

FTP 网络服务器的源或目标 URL。使用 url ftp://server/path

http:

HTTP 服务器的源或目标 URL(只读)。

https:

HTTPS 网络服务器的源或目标 URL(只读)。

nfs:

NFS 网络服务器的源或目标 URL。使用 url nfs://server:/path

sftp:

SFTP 网络服务器的源或目标 URL。使用 url sftp://server/path

tftp:

TFTP 网络服务器的源或目标 URL。使用 url tftp://server/path

 

您无法使用 TFTP 存储库执行思科 ISE 升级。

Command Default

无默认行为或值。

Command Modes

Configuration (config-Repository)#

Command History

版本

修改

2.0.0.306

引入了此命令。

Usage Guidelines

在子模式下配置 url sftp: 时,必须先将 RSA 指纹(也称为主机密钥)从目标 SFTP 主机加载到 ISE。可以通过 CLI 使用 crypto host_key add 命令来执行此操作。有关详细信息,请参阅 crypto 命令。

要禁用此功能,请在子模式下使用 host-key host 命令的 no 形式。

当您在思科 ISE 管理员门户的 Administration > System > Maintenance > Repository > Add Repository 中配置安全的 ftp 存储库时,思科 ISE 会显示以下警告。

您必须先通过 CLI 使用 host-key 选项添加 SFTP 服务器的主机密钥,然后才能使用此存储库。

当您尝试在不配置 host-key 的情况下备份到安全的 FTP 存储库时,会在思科 ADE 中引发相应的错误。



即使未在 ISE 上启用 FIPS 模式,思科 ISE 也会在 FIPS 模式下启动出站 SSH 或 SFTP 连接。确保与 ISE 通信的远程 SSH 或 SFTP 服务器允许 FIPS 140-2 批准的加密算法。

思科 ISE 使用嵌入式 FIPS 140-2 验证加密模块。有关 FIPS 合规要求的详细信息,请参阅 FIPS 合规证明书


service

要指定将管理的服务,请在配置模式下使用 service 命令。

service sshd

要禁用该功能,请使用此命令的 no 形式。

no service

Syntax Description

sshd

安全外壳守护程序。SSH 的守护程序。

enable

启用 sshd 服务。

encryption-algorithm

配置 SSH 密码加密算法。支持的算法为 a、aes128-cbc、aes128-ctr、aes256-cbc 和 aes256-ctr。

encryption-mode

在系统上配置 SSH 加密模式。支持的模式为 cbc 和 ctr。

key-exchange-algorithm

为 sshd 服务指定允许的密钥交换算法。

diffie-hellman-group14-sha1

将密钥交换算法限制为 diffie-hellman-group14-sha1

Loglevel

将消息的日志级别从 sshd 指定为安全系统日志。

  • 1 - 安静

  • 2 - 严重

  • 3 - 错误

  • 4 - 信息(默认)

  • 5 - 冗长

  • 6 - 调试

  • 7 - 调试 1

  • 8 - 调试 2

  • 9 - 调试 3

Command Default

无默认行为或值。

Command Modes

Configuration (config)#

Command History

版本

修改

2.0.0.306

引入了此命令。

Usage Guidelines

无。

示例


ise/admin(config)# service sshd
ise/admin(config)# service sshd enable
ise/admin(config)# service sshd encryption-algorithm
	Configure aes128-cbc algo
	Configure aes128-ctr algo
	Configure aes256-cbc algo
	Configure aes256-ctr algo
ise/admin(config)# service sshd encryption-mode
	Configure cbc cipher suites
	Configure ctr cipher suites
ise/admin(config)# service sshd key-exchange-algorithm diffie-hellman-group14-sha1
ise/admin(config)# service sshd loglevel 4
ise/admin(config)#

shutdown

要关闭接口,请在接口配置模式下使用 shutdown 命令。要禁用该功能,请使用此命令的 no 形式。

此命令没有关键字和参数。

Command Default

无默认行为或值。

Command Modes

Configuration (config-GigabitEthernet)#

Command History

版本

修改

2.0.0.306

引入了此命令。

Usage Guidelines

当使用此命令关闭接口时,您将无法通过该接口连接到思科 ISE 设备(即使设备仍处于通电状态)。

但是,如果您已在具有不同 IP 地址的设备上配置了第二个接口,则可以通过该第二个接口访问设备。

要关闭接口,您还可以使用 ONBOOT 参数修改 ifcfg-eth[0,1] 文件,此文件位于 /etc/sysconfig/network-scripts:

  • 禁用接口:设置 ONBOOT="no”

  • 启用接口:设置 ONBOOT="yes"

    还可以使用 no shutdown 命令启用接口。

示例


ise/admin(config)# interface GigabitEthernet 0
ise/admin(config-GigabitEthernet)# shutdown

snmp-server enable

要在思科 ISE 上启用 SNMP 服务器,请在全局配置模式下使用 snmp-server enable 命令。

snmp-server enable

要禁用 SNMP 服务器,请使用此命令的 no 形式。

Command Default

启用 SNMP 服务器。

Command Modes

Configuration (config)#

Command History

版本

修改

2.0.0.306

引入了此命令。

示例


ise/admin(config)# snmp-server enable
ise/admin(config)# 

snmp-server user

要配置新的 SNMP 用户,请在全局配置模式下使用 snmp-server user 命令。

snmp-server user username v3 {hash | plain} auth-password priv-password



只能将此命令用于 SNMP 第 3 版。


要删除指定的 SNMP 用户,请使用此命令的 no 形式。

Syntax Description

user

配置新用户。

username

属于 SNMP 代理的主机上用户的名称。

v3

用于发送陷阱的 SNMP 的版本。

指定应使用 SNMP 第 3 版安全模型来启用 priv 和 auth 关键字。

{hash | plain}

密码采用加密或明文格式。加密密码必须为十六进制形式。

auth-password

指定身份验证用户密码。密码的最小长度为 1 个字符;但是,出于安全原因,我们建议使用至少 8 个字符

 

如果忘记了密码,将无法恢复,而必须重新配置用户。您可以指定纯文本密码或本地化摘要。本地化摘要必须与为用户选择的身份验证算法(可以为 MD5 或 SHA)相匹配。当用户配置显示在控制台上或写入到文件(例如,启动配置文件)时,始终显示本地化身份验证和隐私摘要而非纯文本密码。

priv-password

指定加密用户密码。密码的最小长度为 1 个字符;但是,出于安全原因,我们建议使用至少 8 个字符。

 

如果忘记了密码,将无法恢复,而必须重新配置用户。您可以指定纯文本密码或本地化摘要。本地化摘要必须与为用户选择的身份验证算法(可以为 MD5 或 SHA)相匹配。当用户配置显示在控制台上或写入到文件(例如,启动配置文件)时,始终显示本地化身份验证和隐私摘要而非纯文本密码。

Command Default

已禁用。

Command Modes

Configuration (config)#

Command History

版本

修改

2.0.0.306

引入了此命令。

Usage Guidelines

配置用户后,请确保配置 SNMP 第 3 版主机。除了目标 IP 地址外,还必须配置用户名,因为陷阱仅发送到已配置的用户。

示例


ise/admin(config)# snmp-server user testuser v3 hash authpassword privpassword
ise/admin(config)#

snmp-server host

要将 SNMP 陷阱发送到收件人,请在配置模式下使用 snmp-server host 命令。默认情况下,SNMP 陷阱已启用。默认情况下,UDP 端口为 162。

snmp-server host {ip-address | hostname} version {{1 | 2c} community | 3 username engine_ID {hash | plain} auth-password priv-password}

要取消陷阱转发,请使用此命令的 no 形式。



在思科 ISE 中配置 SNMP 第 3 版主机时,用户必须与该主机关联,因为陷阱仅发送到已配置的用户。要在添加 snmp-server host 命令后接收陷阱,必须使用思科 ISE 中配置的凭证来配置 NMS 上的用户凭证。


Syntax Description

host

配置接收 SNMP 通知的主机。

ip-address

SNMP 通知主机的 IP 地址。最多支持 32 个字母数字字符。

hostname

SNMP 通知主机的名称。最多支持 32 个字母数字字符。

version {1 | 2c | 3}

(可选)。用于发送陷阱的 SNMP 的版本。默认设置 = 1。

如果您使用版本关键字,请指定以下其中一个关键字:

  • 1 - SNMPv1。

  • 2c - SNMPv2C。

  • 3 - SNMP v3。

community

指定思科 ISE 与 NMS 之间的共享密钥。该值区分大小写,最多可包含 32 个字符。不允许使用空格。默认社区字符串为“public”。思科 ISE 使用此密钥确定传入 SNMP 请求是否有效。

username

(可选;仅在您选择 SNMP 第 3 版时需要)在思科 ISE 中配置 SNMP 第 3 版主机时,将用户与主机关联。

engine_ID

(可选;仅在您选择 SNMP 第 3 版时需要)远程引擎 ID。

auth-password

(可选;仅在您选择 SNMP 第 3 版时需要)指定身份验证用户密码。

priv-password

(可选;仅在您选择 SNMP 第 3 版时需要)指定加密用户密码。

Command Default

已启用。

Command Modes

Configuration (config)#

Command History

版本

修改

2.0.0.306

引入了此命令。

Usage Guidelines

如果已配置 SNMP,当设备启动(重新加载)时,思科 ISE 会发送“coldStart(0)'”陷阱。思科 ISE 会使用 Net-SNMP 客户端在其首次启动时发送“coldStart(0)'”陷阱,在停止时发送企业特定陷阱“nsNotifyShutdown”。

通常在您使用 snmp-server host 命令重新配置 SNMP 后,会生成企业特定陷阱“nsNotifyRestart”(而不是标准的“coldStart(0)”或“warmStart(1)”陷阱)。



如果 SNMP 陷阱目标由主机名或 FQDN 指定,并由 DNS 解析为 IPv4 和 IPv6 地址,ISE 将通过 IPv4(而不是 IPv6)将 SNMP 陷阱发送到 IPv6 双堆栈目标接收器。为了确保陷阱通过 IPv6 发送,ISE 管理员可以在配置 SNMP 陷阱时,通过 DNS 仅将主机名或 FQDN 解析为IPv6,或者直接指定 IPv6 地址。


示例


ise/admin(config)# snmp-server community new ro
ise/admin(config)# snmp-server host 209.165.202.129 version 1 password
ise/admin(config)#

ise/admin(config)# snmp-server host ise1 version 2c public
ise/admin(config)# snmp-server community public ro
2012-09-24T18:37:59.263276+00:00 ise1 snmptrapd[29534]: ise1.cisco.com [UDP: [192.168.118.108]:44474]: Trap , 
DISMAN-EVENT-MIB::sysUpTimeInstance = Timeticks: (29) 0:00:00.29, SNMPv2-MIB::snmpTrapOID.0 = OID: SNMPv2-MIB::coldStart, 
SNMPv2-MIB::snmpTrapEnterprise.0 = OID: NET-SNMP-MIB::netSnmpAgentOIDs.10
ise/admin(config)# snmp-server contact admin@cisco.com
2012-09-24T18:43:32.094128+00:00 ise1 snmptrapd[29534]: ise1.cisco.com [UDP: [192.168.118.108]:53816]: Trap ,
DISMAN-EVENT-MIB::sysUpTimeInstance = Timeticks: (33311) 0:05:33.11, SNMPv2-MIB::snmpTrapOID.0 = OID: NET-SNMP-AGENT-MIB::nsNotifyRestart, SNMPv2-MIB::snmpTrapEnterprise.0 = OID: NET-SNMP-MIB::netSnmpNotificationPrefix

ise/admin(config)# snmp-server host a.b.c.d version 3 testuser 0x12439343 hash authpassword privpassword
ise/admin(config)#

snmp-server community

要设置社区访问字符串,以允许访问简单网络管理协议 (SNMP),请在配置模式下使用 snmp-server community 命令。

snmp-server community community-string ro

要禁用该功能,请使用此命令的 no 形式。

no snmp-server

Syntax Description

community

设置 SNMP 社区字符串。

community-string

功能与密码相似且允许访问 SNMP 的访问字符串。不允许使用空格。最多支持 255 个字母数字字符。

ro

指定只读访问权限。

Command Default

无默认行为或值。

Command Modes

Configuration (config)#

Command History

版本

修改

2.0.0.306

引入了此命令。

Usage Guidelines

snmp-server community 命令需要一个社区字符串和 ro 参数;否则,会发生错误。思科 ISE 上的 SNMP 代理提供对以下 MIB 的 SNMP v1 和 SNMP V2c 只读访问权限:
  • SNMPv2-MIB
  • RFC1213-MIB
  • IF-MIB
  • IP-MIB
  • IP-FORWARD-MIB
  • TCP-MIB
  • UDP-MIB
  • HOST-RESOURCES-MIB
  • ENTITY-MIB - 在 ENTITY-MIB 上只支持 3 个 MIB 变量:
    • 产品 ID:entPhysicalModelName
    • 版本 ID:entPhysicalHardwareRev
    • 序列号:entPhysicalSerialNumber
  • DISMAN-EVENT-MIB
  • NOTIFICATION-LOG-MIB
  • CISCO-CDP-MIB

示例


ise/admin(config)# snmp-server community new ro
ise/admin(config)#

snmp-server contact

要在系统上配置 SNMP 联系人管理信息库 (MIB) 值,请在配置模式下使用 snmp-server contact 命令。要删除系统联系人信息,请使用此命令的 no 形式。

snmp-server contact contact-name

Syntax Description

contact

确定此受管节点的联系人。最多支持 255 个字母数字字符。

contact-name

描述节点的系统联系人信息的字符串。最多支持 255 个字母数字字符。

Command Default

无默认行为或值。

Command Modes

Configuration (config)#

Command History

版本

修改

2.0.0.306

引入了此命令。

Usage Guidelines

无。

示例


ise/admin(config)# snmp-server contact Luke
ise/admin(config)#

snmp-server location

要在系统上配置 SNMP 位置 MIB 值,请在配置模式下使用 snmp-server location 命令。要删除系统位置信息,请使用此命令的 no 形式。

snmp-server location location

Syntax Description

location

配置此受管节点的物理位置。最多支持 255 个字母数字字符。

location

描述系统的物理位置信息的字符串。最多支持 255 个字母数字字符。

Command Default

无默认行为或值。

Command Modes

Configuration (config)#

Command History

版本

修改

2.0.0.306

引入了此命令。

Usage Guidelines

思科建议您在 word 字符串内的术语之间使用下划线 (_) 或连字符 (-)。如果您在 word 字符串内的术语之间使用空格,则必须使用引号(“)将字符串引起来。

示例 1


ise/admin(config)# snmp-server location Building_3/Room_214
ise/admin(config)#

示例 2


ise/admin(config)# snmp-server location “Building 3/Room 214”
ise/admin(config)#

snmp-server trap dskThresholdLimit

要将 SNMP 服务器配置为当其中一个 ISE 分区达到磁盘使用限制阈值时接收陷阱,请在配置模式下使用 snmp-server trap dskThresholdLimit 命令。

snmp-server trap dskThresholdLimit value

要停止发送磁盘使用限制阈值陷阱,请使用此命令的 no 形式。

Syntax Description

value

数字表示可用磁盘空间百分比。值的范围为 1 至 100.

Command Default

无默认行为或值。

Command Modes

Configuration (config)#

Command History

版本

修改

2.1.0.474

引入了此命令。

Usage Guidelines

此配置是思科 ISE 中所有分区的通用配置。如果您将限制阈值配置为 40,当分区的磁盘空间利用率达到 60%(即可用磁盘空间仅有 40%)时,您会收到陷阱。这意味着,当达到所配置的可用空间量时,系统会发送陷阱。

从思科 ISE CLI 中配置此命令后,系统会每 5 分钟运行一次 cron 作业,并逐一监控思科 ISE 的各个分区。如果有任何一个分区达到限制阈值,思科 ISE 会向已配置的 SNMP 服务器发送一个陷阱,其中包含磁盘路径和限制阈值。如果多个分区达到限制阈值,系统会发送多个陷阱。您可以使用 MIB 浏览器中的陷阱接收器查看 SNMP 陷阱。

示例


ise/admin(config)# snmp-server trap dskThresholdLimit 40 
ise/admin(config)#

snmp engineid

要将现有引擎 ID 更改为一个新值,请在配置模式下使用 snmp engineid command 命令。此命令会显示一条警告,指示需要重新创建所有现有用户。

snmp engineid engine_ID_string

要删除配置的引擎 ID,请使用此命令的 no 形式。

Syntax Description

engineid

将现有引擎 ID 更改为您指定的新值。

engine_ID_string

用于标识引擎 ID 的字符串(最多 24 个字符)。

Command Default

无命令默认值。

Command Modes

Configuration (config)#

Command History

版本

修改

2.0.0.306

引入了此命令。

示例


ise/admin(config)# snmp engineid Abcdef129084B
% Warning: As a result of engineID change, all SNMP users will need 
           to be recreated.
ise/admin(config)# 

synflood-limit

配置 TCP SYN 数据包速率限制。

synflood-limit ?

Syntax Description

synflood-limit

允许的平均每秒 TCP SYN 数据包数

?

1-2147483647(TCP SYN 数据包的范围)。

Command Default

无默认行为或值。

Command Modes

Configuration (config)#

Command History

版本

修改

2.0.0.306

引入了此命令。

Usage Guidelines

使用此 synflood-limit 可配置TCP SYN 数据包速率限制。

示例 1

ise-pap-sec/admin(config)# synflood-limit ?

username

要添加可以使用 SSH 访问思科 ISE 设备的用户,请在配置模式下使用 username 命令。如果用户已存在,则可以使用此命令更改密码、权限级别或同时更改这两者。要从系统中删除该用户,请使用此命令的 no 形式。

username username password hash | plain {password} role admin | user email {email-address}

对于现有用户,请使用以下命令选项:

username username password role admin | user {password}

Syntax Description

username

一个用于用户名参数的词语。不允许使用空格和引号(“)。最多支持 31 个字母数字字符。

password

指定密码。

password

密码字符长度最多可包含 40 个字母数字字符。您必须为所有新用户指定密码。

hash | plain

密码的类型。最多支持 34 个字母数字字符。

role admin | user

为用户设置用户角色和权限级别。

disabled

根据用户的邮件地址禁用用户。

email

设置用户的邮件地址。

email-address

指定用户的邮件地址。例如,user1@mydomain.com。

Command Default

在设置过程中的初始用户。

Command Modes

Configuration (config)#

Command History

版本

修改

2.0.0.306

引入了此命令。

Usage Guidelines

username 命令要求用户名和密码关键字位于 hash | plain 和 admin | user 选项前面。

示例 1


ise/admin(config)# username admin password hash ###### role admin
ise/admin(config)#

示例 2


ise/admin(config)# username admin password plain Secr3tp@swd role admin
ise/admin(config)#

示例 3


ise/admin(config)# username admin password plain Secr3tp@swd role admin email admin123@mydomain.com
ise/admin(config)#

要显示管理 CLI 中可用命令的内容,请在配置模式下使用 which 命令。

which

Syntax Description

此命令没有关键字和参数。

Command Default

无默认行为或值。

Command Modes

Configuration (config)#

Command History

版本

修改

2.0.0.306

引入了此命令。

Usage Guidelines

which 是隐藏命令。虽然 which 在思科 ISE 中可用,但如果您尝试通过在命令行输入问号来查看此命令,CLI 交互式帮助不会显示此命令。

示例

以下示例显示了 which 的输出:


ise/admin(config)# which
[     1].  application  configure<STRING>
[     2].  application  install<STRING><STRING>
[     3].  application  remove<STRING>
[     4].  application  reset-config<STRING>
[     5].  application  reset-passwd<STRING><STRING>
[     6].  application  start<STRING>
[     7].  application  start<STRING>  safe
[     8].  application  stop<STRING>
[     9].  application  upgrade  cleanup
[    10].  application  upgrade  prepare<STRING><STRING>