请确保在交换机配置中包含以下命令，以为思科 ISE 启用标准 Web 身份验证功能，包括身份验证后的 URL 重定向调配：

ip classless


ip route 0.0.0.0 0.0.0.0 10.1.2.3


ip http server

! Must enable HTTP/HTTPS for URL-redirection on port 80/443

ip http secure-server 

输入以下命令以使交换机像该网络的 RADIUS 一样与思科 ISE 节点通信：

username test-radius password 0 abcde123 

输入以下命令，确保在交换机上指定的 NTP 服务器与思科 ISE 中的设置相同：

ntp server <IP_address>|<domain_name> 

在交换机上输入以下命令可启用交换机与思科 ISE 之间的各种 AAA 功能，包括 802.1X 和 MAB 身份验证功能：

aaa new-model

! Creates an 802.1X port-based authentication method list

aaa authentication dot1x default group radius

! Required for VLAN/ACL assignment

aaa authorization network default group radius

! Authentication & authorization for webauth transactions

aaa authorization auth-proxy default group radius

! Enables accounting for 802.1X and MAB authentications

aaa accounting dot1x default start-stop group radius

!

aaa session-id common

!

aaa accounting update periodic 5


! Update AAA accounting information periodically every 5 minutes


aaa accounting system default start-stop group radius

!

 

输入以下命令，将交换机配置为与用作 RADIUS 源服务器的思科 ISE 进行互操作：

!
radius-server <ISE Name> 

! ISE Name is the name of the ISE PSN

address ipv4 <ip address> auth-port 1812 acct-port 1813  

! IP address is the address of the PSN. This example uses the standard RADIUS ports. 

key <passwd> 

! passwd is the secret password confiugured in Cisco ISE

exit 

注	我们建议将死亡标准时间配置为 30 秒，期间允许 3 次重试，为使用 Active Directory 进行身份验证的 RADIUS 请求提供更长的响应时间。

请通过输入以下命令，指定设置以确保交换机能够相应地处理 RADIUS CoA，支持思科 ISE 的安全状态功能：

aaa server radius dynamic-author

client <ISE-IP> server-key 0 abcde123 

注	思科 ISE 将端口 1700（思科 IOS 软件默认端口）与 RFC 默认端口 3799 用于 CoA。现有 Cisco Secure ACS 5.x 客户如果将 CoA 作为现有 ACS 实施的环节，则可能已将此端口设置为 端口 3799。 共享密钥应与添加网络设备时在思科 ISE 上配置的密钥相同，并且IP地址应为 PSN IP 地址。

! Optional

ip dhcp snooping

! Required!

! Configure Device Tracking Policy!
device-tracking policy <DT_POLICY_NAME>
no protocol ndp
tracking enable

! Bind it to interface!
interface <interface_id>
device-tracking attach-policy<DT_POLICY_NAME> 

在 RADIUS 记帐中，即便已启用 DHCP 监听，DHCP 属性也不会通过 IOS 传感器发送到思科 ISE。在这种情况下，则应启用 VLAN 的 DHCP 监听使 DHCP 成为活动状态。

使用以下命令启用 VLAN 的 DHCP 监听：

ip dhcp snooping 

ip dhcp snooping vlan 1-100 

输入以下命令可为交换机端口全局开启 802.1X 身份验证：

dot1x system-auth-control
 

要支持局域网上的请求方身份验证请求，请输入以下命令，为临界身份验证（不可访问的身份验证绕行）启用 EAP：

dot1x critical eapol 

当发生关键身份验证恢复事件时，通过输入以下命令，您可以配置交换机自动引入延迟（以毫秒为单位）以确保思科 ISE 能够在恢复后再次启动服务：

authentication critical recovery delay 1000 

输入以下命令，根据网络中已知的实施状态，定义 VLAN 名称、编号和虚拟交换机接口 (SVI)。创建单独的 VLAN 接口，实现网络间路由。对于处理来自终端（如 PC、笔记本电脑）和终端通过其连接到网络的 IP 电话等在同一网段上传递的多个流量源，这特别有帮助。

vlan <VLAN_number>

name ACCESS!

vlan <VLAN_number>

name VOICE

!

interface <VLAN_number>

description ACCESS

ip address 10.1.2.3 255.255.255.0

ip helper-address <DHCP_Server_IP_address>

ip helper-address <Cisco_ISE_IP_address>

!

interface <VLAN_number>

description VOICE

ip address 10.2.3.4 255.255.255.0

ip helper-address <DHCP_Server_IP_address>
 

通过输入以下命令，在较低版本的交换机（使用低于 12.2(55)SE 版本的思科 IOS 软件的交换机）上启用这些功能，确保思科 ISE 能够执行进行身份验证和授权所需的动态 ACL 更新。

ip access-list extended ACL-ALLOW

 permit ip any any

!

ip access-list extended ACL-DEFAULT

  remark DHCP

  permit udp any eq bootpc any eq bootps

  remark DNS

  permit udp any any eq domain

  remark Ping

  permit icmp any any

  remark Ping

  permit icmp any any

  remark PXE / TFTP

  permit udp any any eq tftp

  remark Allow HTTP/S to ISE and WebAuth portal


permit tcp any host <Cisco_ISE_IP_address> eq www



permit tcp any host <Cisco_ISE_IP_address> eq 443



permit tcp any host <Cisco_ISE_IP_address> eq 8443



permit tcp any host <Cisco_ISE_IP_address> eq 8905



permit udp any host <Cisco_ISE_IP_address> eq 8905



permit udp any host <Cisco_ISE_IP_address> eq 8906



permit tcp any host <Cisco_ISE_IP_address> eq 8080



permit udp any host <Cisco_ISE_IP_address> eq 9996



remark Drop all the rest

  deny ip any any log 


!

! The ACL to allow URL-redirection for WebAuth

ip access-list extended ACL-WEBAUTH-REDIRECT 

 permit tcp any any eq www

 permit tcp any any eq 443 

注	无线控制器上的这种配置可以提高 CPU 使用率，但是也会提高系统不稳定的风险。这是 IOS 问题，不会对思科 ISE 产生不利影响。

以下示例显示一项控制策略，该策略可配置为允许使用 802.1X、MAB 和 Web 身份验证的顺序身份验证方法。

class-map type control subscriber match-all DOT1X
 match method dot1x
!
class-map type control subscriber match-all DOT1X_FAILED
 match method dot1x
 match result-type method dot1x authoritative
!
class-map type control subscriber match-all DOT1X_NO_RESP
 match method dot1x
 match result-type method dot1x agent-not-found
!
class-map type control subscriber match-all MAB
 match method mab
!
class-map type control subscriber match-all MAB_FAILED
 match method mab
 match result-type method mab authoritative
!
!


policy-map type control subscriber DOT1XMAB
 event session-started match-all
  10 class always do-until-failure
   10 authenticate using dot1x retries 2 retry-time 0 priority 10
 event authentication-failure match-first
  10 class DOT1X_NO_RESP do-until-failure
   10 terminate dot1x
   20 authenticate using mab priority 20
  20 class DOT1X_FAILED do-until-failure
   10 terminate dot1x
   20 authenticate using mab priority 20
   30 authorize
  40 class always do-until-failure
   10 terminate dot1x
   20 terminate mab
   30 authentication-restart 60
 event agent-found match-all
  10 class always do-until-failure
   10 terminate mab
   20 authenticate using dot1x retries 2 retry-time 0 priority 10
!

以下示例显示一项控制策略，该策略可配置为允许使用 MAB、802.1X 和 Web 身份验证的顺序身份验证方法。

policy-map type control subscriber MABDOT1X
 event session-started match-all
  10 class always do-until-failure
   10 authenticate using mab priority 20
   20 authenticate using dot1x priority 10
 event authentication-failure match-first
  10 class ALL_FAILED do-until-failure
   10 authentication-restart 60
 event authentication-success match-all
  10 class DOT1X do-until-failure
   10 terminate mab
 event agent-found match-all
  10 class always do-until-failure
   10 authenticate using dot1x priority 10

在接口上应用服务策略：

interface GigabitEthernet1/0/4
 switchport mode access
 device-tracking attach-policy pol1
 ip access-group sample in
 authentication timer reauthenticate server
 access-session port-control auto
 mab
 dot1x pae authenticator
 dot1x timeout tx-period 10
 dot1x timeout auth-period 10
 spanning-tree portfast
 service-policy type control subscriber DOT1XMAB

在交换机上设置标准日志记录功能，以支持对思科 ISE 功能进行可能的故障排除和记录：

epm logging 

确保交换机能够通过网段中的适当 VLAN，从思科 ISE 接收 SNMP 陷阱传输：

snmp-server community public RO


snmp-server trap-source <VLAN_number> 

使用以下命令来配置交换机，确保按预期执行 SNMP v3 轮询以支持思科 ISE 分析服务。在此之前，请在SNMP 设置 (SNMP Settings) 窗口的思科 ISE GUI 中配置 SNMP 设置。 要查看此处窗口，请单击菜单 图标 ()，然后选择管理 (Administration) > 网络资源 (Network Resources) > 网络设备 (Network Devices) > 添加 (Add) | 编辑 (Edit) > SNMP 设置 (SNMP Settings)。

Snmp-server user <name> <group> v3 auth md5 <string> priv des <string>


snmp-server group  <group> v3 priv


snmp-server group <group> v3 priv contextvlan-1
 

注	必须为每个情景配置 snmp-server group <group> v3 priv context vlan-1 命令。snmp show context 命令会列出所有上下文信息。

如果 SNMP 请求超时并且不存在连接问题，则可以提高超时值。

配置您的交换机以传送适当的 MAC 通知陷阱，这样思科 ISE 分析器功能就可以收集网络终端上的信息：

mac address-table notification change


mac address-table notification mac-move


snmp trap mac-notification change added


snmp trap mac-notification change removed 

要在交换机上配置 RADIUS 空闲超时，请使用以下命令：

Switch(config-if)# authentication timer inactivity 

其中 inactivity 是以秒为单位的非活动时间间隔，这个时间之后，客户端活动将被视为未授权。

在思科 ISE 中，可以为这类会话非活动计时器应用到的任何授权策略启用此选项。 在思科 ISE GUI 中，单击菜单 图标 ()，然后选择 策略 (Policy) > 策略元素 (Policy Elements) > 结果 (Results) > 授权 (Authorization) > 授权配置文件 (Authorization Profiles)。

对于单 SSID

要支持基于 Apple iOS 的设备（iPhone 或 iPad）从一个 SSID 切换至同一无线接入点的另一个 SSID，请将无限控制器配置为启用 FAST SSID change 功能。此功能有助于确保基于 IOS 的设备能够在 SSID 之间快速切换。

对于双 SSID BYOD

必须启用快速 SSID 以支持双 SSID BYOD。启用快速 SSID 更改后，无线控制器允许客户端在 SSID 间更快速移动。启用快速 SSID 时，不会清除客户端条目，也不会强制执行延迟。有关在思科无线控制器上配置快速 SSID 的详细信息，请参阅《Cisco Wireless Controller 配置指南》。

无线控制器配置示例

WLC (config)# FAST SSID change 

当您尝试在某些基于 Apple iOS 的设备中连接无线网络时，您可以会看到以下错误信息：

您可以忽略该错误消息，因为这不会影响设备的身份验证。