安全接入

在思科 ISE 中定义网络设备

网络设备(如交换机或路由器)是一种向思科 ISE 发送身份验证、授权和记账 (AAA) 服务请求所借助的 AAA 客户端。在思科 ISE 中定义网络设备可启用思科 ISE 与网络设备之间的交互。

可以配置用于 RADIUS 或 TACACS AAA 的网络设备,以及用于分析服务的简单网络管理协议 (SNMP),以收集思科发现协议和链路层发现协议 (LLDP) 属性进行终端分析,以及用于思科 Trustsec 设备的 Trustsec 属性。未在思科 ISE 中定义的网络设备无法收到思科 ISE 的 AAA 服务。

从 思科 ISE 主菜单中,选择Administration > Network Resources > Network Devices,然后点击添加。在显示的 新建网络设备 窗口中,输入以下详细信息以定义网络设备:

  • 选择适合网络设备的供应商配置文件。配置文件包括设备的预定义配置,如 URL 重定向设置和授权变更。

  • 配置用于 RADIUS 身份验证的 RADIUS 协议。当思科 ISE 收到网络设备的 RADIUS 请求时,它会查找相应的设备定义以检索所配置的共享密钥。如果思科 ISE 找到设备定义,它会获取在设备上配置的共享密钥并将其与请求中的共享密钥进行匹配,对访问权限进行身份验证。如果共享密钥匹配,RADIUS 服务器将进一步根据策略和配置处理该请求。如果共享密钥不匹配,系统会向网络设备发送拒绝响应。并生成一份未通过身份验证的报告,提供失败原因。

  • 配置用于进行 TACACS+ 身份验证的 TACACS+ 协议。当思科 ISE 收到网络设备的 TACACS+ 请求时,它会查找相应的设备定义以检索配置的共享密钥。如果思科 ISE 找到设备定义,它会获取在设备上配置的共享密钥并将其与请求中的共享密钥进行匹配,对访问权限进行身份验证。如果共享密钥匹配,TACACS+ 服务器将进一步根据策略和配置处理该请求。如果共享密钥不匹配,系统会将拒绝响应发送到网络设备,并生成一份未通过身份验证的报告,提供失败原因。

  • 可以在网络设备定义中配置用于分析服务的简单网络管理协议 (SNMP),以便与网络设备进行通信并对连接到网络设备的终端进行分析。

  • 必须在思科 ISE 中定义支持思科 TrustSec 的设备才能处理来自这类设备的请求,支持 TrustSec 的设备可以是思科 TrustSec 解决方案的一部分。任何支持思科 TrustSec 解决方案的交换机都是支持思科 TrustSec 的设备。

    思科 Trustsec 设备不使用 IP 地址。相反,必须定义其他设置,以便思科 Trustsec 设备可与思科 ISE 通信。

    支持思科 TrustSec 的设备使用 Trustsec 属性与思科 ISE 通信。支持思科 Trustsec 的设备(例如 Cisco Nexus 7000 系列交换机、Cisco Catalyst 6000 系列交换机、Cisco Catalyst 4000 系列交换机和 Cisco Catalyst 3000 系列交换机)使用您在添加 Cisco TrustSec 设备时定义的 Cisco TrustSec 属性进行身份验证。


在思科 ISE 上配置网络设备时,我们建议不要在共享密钥中包含反斜线 (\)。这是因为,在升级思科 ISE 时,反斜线不会出现在共享密钥中。然而,如果重新映像思科 ISE 而不是对其进行升级,则共享密钥中会显示反斜线。

在思科 ISE 中定义默认网络设备

思科 ISE 支持用于 RADIUS 和 TACACS 身份验证的默认设备定义。您可以定义思科 ISE 在找不到特定 IP 地址的设备定义时可以使用的默认网络设备。此功能允许您为新调配的设备定义一个默认的 RADIUS 或 TACACS 共享密钥和访问权限级别。

我们建议您仅为基本 RADIUS 和 TACACS 身份验证添加默认设备定义。对于高级流程,您必须为每个网络设备添加单独的设备定义。

当思科 ISE 从网络设备接收到 RADIUS 或 TACACS 请求时,思科 ISE 会查找对应的设备定义,以检索网络设备定义中配置的共享密钥。

当思科 ISE 收到 RADIUS 或 TACACS 请求时,它执行以下程序:

  1. 查找与请求中的地址匹配的具体 IP 地址。

  2. 查找范围以了解请求中的 IP 地址是否属于指定的范围。

  3. 如果步骤 1 和 2 都失败了,它会使用默认设备定义(如已定义)处理请求。

思科 ISE 会获取设备定义中为该设备配置的共享密钥并将其与 RADIUS 或 TACACS 请求中的共享密钥进行匹配以执行访问身份验证。如果找不到设备定义,思科 ISE 会从默认网络设备定义中获取共享密钥并处理 RADIUS 或 TACACS 请求。

网络设备

下列会话所描述的窗口可使您在思科 ISE 中添加和管理网络设备。

网络设备定义设置

下表介绍网络设备 (Network Devices) 窗口上的字段,您可以使用该窗口配置思科 ISE 中的网络访问设备。要查看此处窗口,请单击菜单 图标 (),然后选择 管理 (Administration) > 网络资源 (Network Resources) > 网络设备 (Network Devices),然后单击添加 (Add)

网络设备设置

下表介绍新网络设备 (New Network Devices) 窗口中的字段。

表 1. 网络设备设置

字段名称

说明

Name

输入网络设备的名称。

您可以为网络设备提供一个不同于设备主机名的描述性名称。设备名称是一个逻辑标识符。

 

如果需要,可以在配置后更改设备的名称。

说明

输入设备的说明。

IP 地址IP 范围

从下拉列表中选择以下选项之一,并在显示的字段中输入所需的值:

  • IP 地址:输入单个 IP 地址(IPv4 或 IPv6 地址)和子网掩码。

  • IP 范围:输入所需的 IPv4 地址范围。要在身份验证期间排除 IP 地址,请在排除 (Exclude) 字段中输入 IP 地址或 IP 地址范围。

以下是定义 IP 地址和子网掩码或 IP 地址范围时必须遵守的准则:

  • 您可以定义一个特定 IP 地址或具有子网掩码的 IP 地址范围。如果设备 A 定义了 IP 地址范围,则可以使用在设备 A 中定义的 IP 地址范围的某个地址配置另一设备 B。

  • 您可以在所有八位组中定义 IP 地址范围。您可以使用连字符 (-) 或使用星号 (*) 作为通配符来指定 IP 地址范围。例如,*.*.*.*、1-10.1-10.1-10.1-10 或 10-11.*.5.10-15。

  • 在已添加 IP 地址范围子集的场景中,可以从配置的范围中排除该子集,例如 10.197.65.*/10.197.65.1, or 10.197.65.* 排除 10.197.65.1。

  • 您可以为每个网络设备配置最多 40 个 IP 地址或 IP 范围。

  • 您不能使用相同的特定 IP 地址定义两台设备。

  • 您不能使用同一 IP 地址范围定义两台设备。IP 地址范围不得部分或全部重叠。

设备配置文件

从下拉列表中选择网络设备的供应商。

使用下拉列表旁的工具提示可查看选定供应商的网络设备所支持的流和服务。工具提示还显示设备使用的 RADIUS 授权变更 (CoA) 端口和 URL 重定向类型。这些属性在设备类型的网络设备配置文件中进行定义。

Model Name

从下拉列表中选择设备型号。

在基于规则的策略中查找条件时,可以将型号名称用作其中一个参数。此属性存在于设备字典中。

软件版本

从下拉列表中选择在网络设备上运行的软件版本。

在基于规则的策略中查找条件时,您可以将软件版本用作其中一个参数。此属性存在于设备字典中。

网络设备组 (Network Device Group)

网络设备组 (Network Device Group) 区域中,从位置 (Location)IPSEC设备类型 (Device Type) 下拉列表中选择所需的值。

如果未将设备专门分配到组,则设备将加入默认设备组(根网络设备组),位置为所有位置 (All Locations),设备类型为所有设备类型 (All Device Types)

使用过滤器从思科 ISE 部署中选择和删除网络访问设备 (NAD) 时,请清除浏览器缓存,以确保仅删除选定的 NAD。
RADIUS 身份验证设置

下表介绍 RADIUS 身份验证设置 (RADIUS Authentication Settings) 区域中的字段。

表 2. “RADIUS 身份验证设置”(RADIUS Authentication Settings) 区域中的字段

字段名称

使用指南

RADIUS UDP 设置

协议

显示 RADIUS 作为所选协议。

共享密钥 (Shared Secret)

输入网络设备的共享密钥。

共享密钥是使用 radius-host 命令和 pac 选项在网络设备上配置的密钥。

 

共享密钥长度必须等于或大于在设备安全设置 (Device Security Settings) 窗口的 RADIUS 共享密钥最小长度 (Minimum RADIUS Shared Secret Length) 字段中配置的值( 管理 (Administration) 网络资源 (Network Resources) 网络设备 (Network Devices) 设备安全设置 (Device Security Settings) )。

对于 RADIUS 服务器,长度最好为 22 个字符。对于新安装和升级的部署,默认情况下,共享密钥长度为四个字符。您可以在设备安全设置 (Device Security Settings) 窗口中更改此值。

使用第二个共享密钥

指定网络设备和思科 ISE 要使用的第二个共享密钥。

 

虽然思科 TrustSec 设备可以利用双重共享密钥(密钥),但思科 ISE 发送的思科 TrustSec CoA 数据包将始终使用第一个共享密钥(密钥)。要启用第二个共享密钥,请选择必须从哪一个思科 ISE 节点向 TrustSec 设备发送思科 TrustSec CoA 数据包。在工作中心 (Work Centers) > 设备管理 (Device Administration) > 网络资源 (Network Resources) > 网络设备 (Network Devices) > 添加 (Add) > 高级 TrustSec 设置 (Advanced TrustSec Settings) 窗口的发送自 (Send From) 下拉列表中,配置要用于此任务的思科 ISE 节点。您可以选择主管理节点 (PAN) 或策略服务节点 (PSN)。如果所选 PSN 节点关闭,PAN 将向思科 TrustSec 设备发送思科 TrustSec CoA 数据包。

 

RADIUS 访问请求的“第二共享密钥”功能仅适用于包含消息-身份验证器 (Message-Authenticator) 字段的数据包。

CoA 端口

指定要用于 RADIUS DTLS CoA 的端口。

设备的默认 CoA 端口在为网络设备配置的网络设备配置文件中进行定义(管理 (Administration) > 网络资源 (Network Resources) > 网络设备配置文件 (Network Devices Profiles) > 网络资源 (Network Resources) > 网络设备配置文件 (Network Devices Profiles))。点击 设置为默认 按钮以使用默认 CoA 端口。

 

如果修改在 RADIUS 身份验证设置 (RADIUS Authentication Settings) 下的网络设备 (Network Devices) 窗口(管理 (Administration) > 网络资源 (Network Resources) > 网络设备 (Network Devices))中指定的 CoA 端口,请确保在网络设备配置文件 (Network Device Profile) 窗口(管理 (Administration) > 网络资源 (Network Resources) > 网络设备配置文件 (Network Device Profiles))中为相应配置文件指定相同的 CoA 端口。

RADIUS DTLS 设置

需要 DTLS

如果选中需要 DTLS (DTLS Required) 复选框,则思科 ISE 仅处理来自此设备的 DTLS 请求。如果禁用此选项,则思科 ISE 会同时处理来自此设备的 UDP 和 DTLS 请求。

RADIUS DTLS 为安全套接字层 (SSL) 隧道建立和 RADIUS 通信提供了更高的安全性。

共享密钥

显示用于 RADIUS DTLS 的共享密钥。此值为固定值,用于计算消息摘要 5 (MD5) 完整性检查。

CoA 端口

指定用于 RADIUS DTLS CoA 的端口。

CoA ISE 证书 CA 颁发者

从下拉列表中选择要用于 RADIUS DTLS CoA 的证书颁发机构。

DNS 名称

输入网络设备的 DNS 名称。如果在 RADIUS 设置 窗口下启用了 启用 RADIUS/DTLS 客户端身份验证管理 > 系统 > 设置 > 协议 > RADIUS,思科 ISE 会将此 DNS 名称与客户端证书中指定的 DNS 名称进行比较,以验证网络设备的身份。

常规设置

启用 KeyWrap (Enable KeyWrap)

仅当网络设备支持 KeyWrap 算法时,选中启用 KeyWrap (Enable KeyWrap) 复选框。此选项用于通过 AES KeyWrap 算法提高 RADIUS 安全性。

密钥加密密钥 (ey Encryption Key)

输入用于会话加密(保密)的加密密钥。

消息身份验证器代码密钥 (Message Authenticator Code Key)

输入用于 RADIUS 消息键控散列消息验证码 (HMAC) 计算的密钥。

密钥输入格式 (Key Input Format)

点击以下单选按钮之一:

  • ASCII:在 密钥加密密钥 字段中输入的值的长度必须为 16 个字符(字节),在 消息身份验证器代码密钥 字段中输入的值长度必须为 20 个字符(字节)。

  • 十六进制:在 密钥加密密钥 字段中输入的值的长度必须为 32 个字符(字节),在 消息身份验证器代码密钥 字段中输入的值长度必须为 40 个字符(字节)。

您可以指定要用于输入密钥加密密钥和消息身份验证器代码密钥的密钥输入格式,以便与网络设备上的配置相匹配。您指定的值必须是密钥的正确(完整)长度,不允许使用短于此长度的值。
TACACS 身份验证设置
表 3. TACACS 身份验证设置区域中的字段

字段名称

使用指南

Shared Secret

当启用 TACACS+ 协议时,会向网络设备分配文本字符串。在网络设备验证用户名和密码之前,用户必须输入文本。在用户提供共享密钥之前,连接始终被拒绝。

停用共享密钥处于启用状态 (Retired Shared Secret is Active)

当停用期处于启用状态时显示。

淘汰

停用现有的共享密钥而不是结束它。当您点击 停用 时,系统会显示一个对话框。您可以点击是 (Yes)否 (No)

剩余停用期 (Remaining Retired Period)

(只有当您在 淘汰 对话框中点击 时才可用)以下显示指定的默认值: 工作中心 > 设备管理 > 设置 > 连接设置 > 默认共享密钥停用期。根据需要,您可以更改默认值。

旧共享密钥会在指定天数内保持有效。

结束

(仅当在 停用 对话框中选择 时可用)结束停用期并终止旧共享密钥。

启用单连接模式

选中启用单连接模式 (Enable Single Connect Mode) 复选框,将单一 TCP 连接用于与网络设备之间的所有 TACACS 通信。点击以下单选按钮之一:

  • 传统思科设备 (Legacy Cisco Devices)

  • TACACS 草案合规性单连接支持

     

    如果禁用单连接模式 (Single Connect Mode),思科 ISE 会对每个 TACACS 请求使用新的 TCP 连接。

SNMP 设置

下表介绍 SNMP 设置 (SNMP Settings) 部分中的字段。

表 4. SNMP 设置区域中的字段

字段名称

使用指南

SNMP 版本 (SNMP Version)

SNMP (SNMP 版本) 下拉列表中,选择以下选项之一:

  • 1:SNMPv1 不支持通知。

  • 2c

  • 3:SNMPv3 是最安全的型号,因为它允许您在选择 安全级别 字段中 Priv 时加密数据包。

     

    如果已使用 SNMPv3 参数配置网络设备,则无法生成监控服务提供的网络设备会话状态 (Network Device Session Status) 摘要报告(操作 (Operations) > 报告 (Reports) > 诊断 (Diagnostics) > 网络设备会话状态 (Network Device Session Status))。如果网络设备使用 SNMPv1 或 SNMPv2c 参数配置,则可以成功生成此报告。

SNMP 只读社区 (SNMP RO Community)

(仅适用于 SNMP 版本 1 和 2c)输入只读社区字符串,为思科 ISE 提供特殊类型的设备访问权限。

 

不允许使用插入符号 (circumflex ^)。

SNMP 用户名 (SNMP Username)

(仅适用于 SNMP 版本 3)输入 SNMP 用户名。

安全级别 (Security Level)

(仅适用于 SNMP 版本 3)从安全级别 (Security Level) 下拉列表中选择以下选项之一:

  • 身份验证 (Auth):启用 MD5 或安全散列算法 (SHA) 数据包身份验证。

  • 无身份验证 (No Auth):无身份验证,无隐私安全级别。

  • 隐私 (Priv):启用数据加密标准 (DES) 数据包加密。

身份验证协议 (Auth Protocol)

(选择安全级别身份验证 [Auth]隐私 [Priv] 时,仅适用于 SNMP 版本 3)从身份验证协议 (Auth Protocol) 下拉列表中,选择希望网络设备使用的身份验证协议。

  • MD5

  • SHA

身份验证密码 (Auth Password)

(选择安全级别身份验证 [Auth]隐私 [Priv] 时,仅适用于 SNMP 版本 3)输入身份验证密钥。密码的长度应至少为 8 个字符。

点击显示 (Show),显示已为设备配置的身份验证密码。

 

不能使用插入符号 (circumflex ^)。

隐私协议 (Privacy Protocol)

(选择安全级别隐私 [Priv] 时,仅适用于 SNMP 版本 3)从隐私协议 (Privacy Protocol) 下拉列表中,选择以下选项之一:

  • DES

  • AES128

  • AES192

  • AES256

  • 3DES

隐私密码 (Privacy Password)

(选择安全级别隐私 [Priv] 时,仅适用于 SNMP 版本 3)输入隐私密钥。

点击显示 (Show),显示已为设备配置的隐私密码。

 

不能使用插入符号 (circumflex ^)。

轮询间隔 (Polling Interval)

输入轮询间隔(秒)。默认值为 3600。

链路陷阱查询 (Link Trap Query)

选中链路陷阱查询 (Link Trap Query) 复选框,可接收和解析通过 SNMP 陷阱接收的链路接通和链路断开通知。

MAC 陷阱查询 (Mac Trap Query)

选中链路陷阱查询 (Link Trap Query) 复选框,可接收和解析通过 SNMP 陷阱接收的 MAC 通知。

Originating Policy Services Node (原始策略服务节点)

原始策略服务节点 (Originating Policy Services Node) 下拉列表中,选择要用于轮询 SNMP 数据的思科 ISE 服务器。此字段的默认值为自动 (Auto)。从下拉列表中选择特定值以覆盖设置。

高级 Trustsec 设置 (Advanced TrustSec Settings)

下表介绍高级 Trustsec 设置 (Advanced Trustsec Settings) 部分中的字段。

表 5. 高级 TrustSec 设置区域中的字段

字段名称

使用指南

设备身份验证设置

将设备 ID 用于 Trustsec 标识 (Use Device ID for TrustSec Identification)

如果希望在设备 ID (Device ID) 字段中将设备名称作为设备标识符列出,请选中将设备 ID 用于 Trustsec 标识 (Use Device ID for TrustSec Identification) 复选框。

设备 ID

仅当未选中 将设备 ID 用于 Trustsec 标识 复选框时,才能使用此字段。

密码

输入在思科 TrustSec 设备 CLI 中配置的密码,用于对思科 TrustSec 设备进行身份验证。

点击显示 (Show) 可显示密码。

HTTP REST API 设置

启用 HTTP REST API (Enable HTTP REST API)

选中启用 HTTP REST API (Enable HTTP REST API) 复选框以使用 HTTP REST API 向网络设备提供所需的思科 TrustSec 信息。与 RADIUS 协议相比,这提高了在短时间内下载大型配置的效率和能力。它还通过使用 TCP over UDP 提高了可靠性。

用户名

输入在思科 TrustSec 设备 CLI 中配置的用户名,用于对思科 TrustSec 设备进行身份验证。用户名不能包含特殊字符,如空格 ! % ^ : ; , [ { | } ] ` " = < > ?

密码

输入在思科 TrustSec 设备 CLI 中配置的密码,用于对思科 TrustSec 设备进行身份验证。

Trustsec 设备通知和更新

设备 ID

仅当未选中 将设备 ID 用于 Trustsec 标识 复选框时,才能使用此字段。

密码

输入在思科 TrustSec 设备 CLI 中配置的密码,用于对思科 TrustSec 设备进行身份验证。

点击显示 (Show) 可显示密码。

每<...> 下载一次环境数据 (Download Environment Data Every <...>)

通过从此区域的下拉列表中选择所需的值,指定设备从思科 ISE 下载其环境数据时必须遵守的时间间隔。您可以选择秒、分钟、小时、天或周为单位的时间间隔。默认值为一天。

每 <...>下载一次对等授权策略 (Download Peer Authorization Policy Every <...>)

通过从此区域的下拉列表中选择所需的值,指定设备从思科 ISE 下载对等授权策略时必须遵守的时间间隔。您可以指定单位为秒、分钟、小时、天或周的时间间隔。默认值为一天。

每 <...>重新进行身份验证 (Reauthentication Every <...>)

通过从此区域的下拉列表中选择所需的值,指定在初始身份验证后设备对照思科 ISE 重新进行身份验证的时间间隔。您可以配置秒、分钟、小时、天或周为单位的时间间隔。例如,如果输入 1000 秒,则设备会每 1000 秒对照思科 ISE 对自身重新进行身份验证。默认值为一天。

每 <...>下载 SGACL 列表 (Download SGACL Lists Every <...>)

通过从此区域的下拉列表中选择所需的值,指定设备从思科 ISE 下载 SGACL 列表时遵守的时间间隔。您可以配置秒、分钟、小时、天或周为单位的时间间隔。默认值为一天。

其他 TrustSec 设备信任该设备(Trustsec 信任)(Other TrustSec Devices to Trust This Device [TrustSec Trusted])

选中其他 TrustSec 设备信任该设备 (Other TrustSec Devices to Trust This Device) 复选框,可允许所有对等设备信任此思科 TrustSec 设备。如果取消选中此复选框,则对等设备不信任此设备,所有从此设备到达的数据包都会相应地标注颜色或进行标记。

将配置更改发送到设备 (Send Configuration Changes to Device)

如果希望思科 ISE 使用 CoA 或 CLI (SSH) 将思科 TrustSec 配置更改发送到思科 TrustSec 设备,请选中将配置更改发送到设备 (Send Configuration Changes to Device) 复选框。根据需要,点击 CoACLI (SSH) 的单选按钮。

如果希望思科 ISE 使用 CoA 将配置更改发送到思科 TrustSec 设备,请点击 CoA 单选按钮。

如果希望思科 ISE 使用 CLI(使用 SSH 连接)将配置更改发送到思科 TrustSec 设备,请点击 CLI (SSH) 单选按钮。有关详细信息,请参阅 思科 ISE 管理员指南:分段中的“将配置更改推送到不支持 CoA 的设备”部分

发送自 (Send From)

从下拉列表中选择必须从哪一个思科 ISE 节点将配置更改发送到思科 TrustSec 设备。您可以选择 PAN 或 PSN。如果所选择的 PSN 节点关闭,则使用 PAN 将配置更改发送到思科 TrustSec 设备。

测试连接

您可以使用此选项测试思科 TrustSec 设备与所选思科 ISE 节点(PAN 或 PSN)之间的连接。

SSH 密钥

要使用此功能,请打开从思科 ISE 到网络设备的 SSHv2 隧道,然后使用设备的 CLI 检索 SSH 密钥。您必须复制此密钥并将其粘贴到 SSH 密钥 (SSH Key) 字段中以进行验证。有关详细信息,请参阅 思科 ISE 管理员指南:分段中的“ SSH 密钥验证”部分

设备配置部署设置

当部署安全组标签映射更新时纳入该设备 (Include this device when deploying Security Group Tag Mapping Updates)

如果希望思科 TrustSec 设备使用设备接口凭据获取 IP-SGT 映射,请选中 当部署安全组标记映射更新时包含此设备 复选框。

EXEC 模式用户名 (EXEC Mode Username)

输入用于登录思科 TrustSec 设备的用户名。

EXEC 模式密码 (EXEC Mode Password)

输入设备密码。

点击显示 (Show) 可查看密码。

 

我们建议您避免在密码(包括 EXEC 模式和启用模式密码)中使用 % 字符,以避免安全漏洞。

启用模式密码 (Enable Mode Password)

(可选)输入用于在特权 EXEC 模式下编辑思科 TrustSec 设备配置的启用密码。

点击显示 (Show) 可查看密码。

带外 Trustsec PAC

颁发日期 (Issue Date)

显示思科 ISE 为思科 Trustsec 设备生成的最后一个思科 Trustsec PAC 的颁发日期。

到期日期

显示思科 ISE 为思科 Trustsec 设备生成的最后一个思科 Trustsec PAC 的到期日期。

颁发者

显示思科 ISE 为思科 Trustsec 设备生成的最后一个思科 Trustsec PAC 的颁发者(思科 TrustSec 管理员)名称。

生成 PAC (Generate PAC)

点击生成 PAC (Generate PAC) 按钮,为思科 TrustSec 设备生成带外思科 TrustSec PAC。

默认网络设备定义设置

下表介绍默认网络设备 (Default Network Device) 窗口中的字段,该窗口用于配置思科 ISE 可用于 RADIUS 和 TACACS+ 身份验证的默认网络设备。选择以下导航路径之一:

  • 管理 (Administration) > 网络资源 (Network Resources) > 网络设备 (Network Devices) > 默认设备 (Default Device)

  • 工作中心 (Work Centers) > 设备管理 (Device Administration) > 网络资源 (Network Resources) > 默认设备 (Default Devices)

表 6. “默认网络设备”窗口中的字段

字段名称

使用指南

Default Network Device Status

默认网络设备状态 (Default Network Device Status) 下拉列表中选择启用 (Enable),以启用默认网络设备定义。

 

如果默认设备已启用,则必须通过选中窗口中的复选框启用 RADIUS 或 TACACS+ 身份验证设置。

设备配置文件

显示思科 (Cisco) 为默认的设备供应商。

RADIUS 身份验证设置

启用 RADIUS

选中启用 RADIUS (Enable RADIUS) 复选框,启用设备的 RADIUS 身份验证。

RADIUS UDP 设置

共享密钥

输入共享密钥。共享密钥最大长度为 127 个字符。

共享密钥是您使用 radius-host 命令和 pac 关键词在网络设备上配置的密钥。

 

共享密钥长度必须等于或大于在设备安全设置 (Device Security Settings) 窗口的 RADIUS 共享密钥最小长度 (Minimum RADIUS Shared Secret Length) 字段中配置的值(管理 (Administration) > 网络资源 (Network Resources) > 网络设备 (Network Devices) > 设备安全设置 (Device Security Settings))。默认情况下,对于新安装和升级的部署,此值为 4 个字符。对于 RADIUS 服务器,长度最好为 22 个字符。

RADIUS DTLS 设置

需要 DTLS

如果选中需要 DTLS (DTLS Required) 复选框,则思科 ISE 仅处理来自此设备的 DTLS 请求。如果禁用此选项,则思科 ISE 会同时处理来自此设备的 UDP 和 DTLS 请求。

RADIUS DTLS 为 SSL 隧道建立和 RADIUS 通信提供了更高的安全性。

共享密钥

显示用于 RADIUS DTLS 的共享密钥。此值为固定值,用于计算 MD5 完整性检查。

CoA ISE 证书 CA 颁发者

CoA ISE 证书 CA 颁发者 下拉列表中,选择要用于 RADIUS DTLS CoA 的证书颁发机构。

常规设置

启用 KeyWrap (Enable KeyWrap)

(可选)仅在网络设备支持 KeyWrap 算法时选中启用 KeyWrap (Enable KeyWrap) 复选框,这可以通过 AES KeyWrap 算法提高 RADIUS 安全性。

密钥加密密钥 (ey Encryption Key)

启用 KeyWrap 时,输入用于会话加密(保密)的加密密钥。

Message Authenticator Code Key

启用 KeyWrap 时,输入对 RADIUS 消息进行键控散列消息身份认证代码 (HMAC) 计算的密钥。

Key Input Format

通过点击相应的单选按钮选择以下格式之一,并在密钥加密密钥 (Key Encryption Key)消息身份验证器代码密钥 (Message Authenticator Code Key) 字段中输入值:

  • ASCII密钥加密密钥 (Key Encryption Key) 长度必须为 16 个字符(字节),而消息身份验证器代码密钥 (Message Authenticator Code Key) 长度必须为 20 个字符(字节)。

  • 十六进制 (Hexadecimal)密钥加密密钥 (Key Encryption Key) 长度必须为 32 个字节,而消息身份验证器代码密钥 (Message Authenticator Code Key) 长度必须为 40 个字节。

指定要用于输入密钥加密密钥和消息身份验证器代码密钥的密钥输入格式,以便与网络设备上的配置相匹配。您指定的值必须是密钥的正确(完整)长度。不允许使用较短的值。

TACACS 身份验证设置

共享密钥

当 TACACS+ 协议启用时,输入文本字符串以分配给网络设备。请注意,在网络设备验证用户名和密码之前,用户必须输入文本。在用户提供共享密钥之前,连接始终被拒绝。

停用共享密钥处于启用状态 (Retired Shared Secret is Active)

当停用期处于启用状态时显示。

淘汰

停用现有的共享密钥而不是结束它。当您点击 停用 时,系统会显示一个对话框。点击是 (Yes)否 (No)

剩余停用期 (Remaining Retired Period)

(可选)仅当您在 停用 对话框中点击 时可用。显示在工作中心 > 设备管理 > 设置 > 连接设置 > 默认共享密钥失效期窗口中指定的默认值。您可以更改默认值。

这允许输入新的共享密钥。旧共享密钥将在指定天数内保持有效。

结束

(可选)仅当您在 剩余停用期间 对话框中选择 时可用。结束停用期并终止旧的共享密钥。

启用单连接模式 (Enable Single Connect Mode)

选中启用单连接模式 (Enable Single Connect Mode) 复选框,将单一 TCP 连接用于与网络设备之间的所有 TACACS+ 通信。点击以下单选按钮之一:

  • 传统思科设备 (Legacy Cisco Devices)

  • TACACS 草案合规性单连接支持 (TACACS Draft Compliance Single Connect Support)

 

如果禁用此字段,思科 ISE 会为每个 TACACS+ 请求使用新的 TCP 连接。

网络设备导入设置

下表介绍 导入网络设备 窗口上的字段,您可以使用此页面将网络设备详细信息导入思科 ISE。要查看此处窗口,请单击菜单 图标 (),然后选择 管理 (Administration) > 网络资源 (Network Resources) > 网络设备 (Network Devices)。在 网络设备 窗口中,点击 导入

表 7. 导入网络设备设置

字段名称

使用指南

生成模板 (Generate a Template)

点击创建模板 (Generate a Template) 可创建逗号分隔值 (CSV) 模板文件。

使用 CSV 格式的网络设备信息更新模板,并将其保存在本地。然后,使用编辑的模板将网络设备导入任何思科 ISE 部署。

文件

点击 选择文件 ,选择您可能最近创建的或以前从思科 ISE 部署导出的 CSV 文件。

您可以使用 导入 选项将包含新的和更新后的网络设备信息的网络设备导入其他思科 ISE 部署中。

用新数据覆盖现有数据 (Overwrite Existing Data with New Data)

选中 用新数据覆盖现有数据 复选框可用您的导入文件中的设备取代现有网络设备。

如不选中此复选框,则导入文件中可用的新网络设备定义将添加到网络设备存储库。系统会忽略重复条目。

Stop Import on First Error

如果您希望思科 ISE 在导入过程中遇到错误时停止导入,请选中遇到第一个错误时停止导入 (Stop Import on First Error) 复选框。思科 ISE 会导入网络设备,直至出现错误。

如未选中此复选框并且遇到错误,系统会报错并且思科 ISE 会继续导入剩余设备。

在思科 ISE 中添加网络设备

您可以在思科 ISE 中添加网络设备或使用默认网络设备。

您也可以在网络设备 (Network Devices)工作中心 (Work Centers) > 设备管理 (Device Administration) > 网络资源 (Network Resources) > 网络设备 (Network Devices))窗口中添加网络设备。

开始之前

必须在要添加的网络设备上启用 AAA 功能。请参阅版本对应的《思科 ISE 管理员指南》“集成”一章中的“用于启用 AAA 功能的命令”

过程

步骤 1

在思科 ISE GUI 中,单击菜单图标 (),然后选择 管理 (Administration) > 网络资源 (Network Resources) > 网络设备 (Network Devices)
步骤 2

点击添加 (Add)
步骤 3

名称 (Name)说明 (Description)IP 地址 (IP Address) 字段中输入相应的值。

步骤 4

设备配置文件 (Device Profile)型号名称 (Model Name)软件版本 (Software Version)网络设备组 (Network Device Group) 的下拉列表中选择所需的值。

步骤 5

(可选)选中 RADIUS 身份验证设置 (RADIUS Authentication Settings) 复选框以配置用于身份验证的 RADIUS 协议。

步骤 6

(可选)选中 TACACS 身份验证设置 (TACACS Authentication Settings) 复选框以配置用于身份验证的 TACACS 协议。

步骤 7

(可选)选中 SNMP 设置 (SNMP Settings) 复选框以为思科 ISE 分析服务配置 SNMP,以便从设备收集信息。

步骤 8

(可选)选中高级 Trustsec 设置 (Advanced Trustsec Settings) 复选框以配置启用思科 Trustsec 的设备。

步骤 9

点击提交

将网络设备导入思科 ISE

要使思科 ISE 能够与网络设备通信,您必须在思科 ISE 中添加网络设备的设备定义。通过网络设备 (Network Devices) 窗口将网络设备的设备定义导入思科 ISE(从主菜单中,选择管理 (Administration) > 网络资源 (Network Resources) > 网络设备 (Network Devices))。

使用逗号分隔值 (CSV) 文件,将设备定义列表导入到思科 ISE 节点中。当您在 网络设备 窗口中点击 导入 时,CSV 模板文件可用。下载此文件,输入所需的设备定义,然后通过 导入 窗口上传编辑的文件。

您不能同时执行同一资源类型的多项导入。例如,不能同时从两个不同的导入文件导入网络设备。

导入设备定义的 CSV 文件时,您可以通过点击用新数据覆盖现有数据 (Overwrite Existing Data with New Data) 选项创建新记录或更新现有记录。

每个思科 ISE 中的模板导入可能有所不同。请勿导入从其他思科 ISE 版本导出的网络设备的 CSV 文件。在您的版本的 CSV 模板文件中输入网络设备的详细信息,然后将此文件导入思科 ISE。

您可以导入 IP 地址在所有八位组的范围内的网络设备。

过程

步骤 1

在思科 ISE GUI 中,单击菜单图标 (),然后选择 管理 (Administration) > 网络资源 (Network Resources) > 网络设备 (Network Devices)
步骤 2

单击导入
步骤 3

在显示的 导入网络设备 窗口中,点击 生成模板 下载一个 CSV 文件,您可以编辑它,填好所需的详细信息后导入思科 ISE。

步骤 4

点击选择文件 (Choose File),从正在运行客户端浏览器的系统中选择该 CSV 文件。

步骤 5

(可选)根据需要,选中 用新数据覆盖现有数据在发生第一个错误时停止导入复选框。

步骤 6

点击 Import

文件导入完成后,思科 ISE 会显示摘要消息。此消息包括导入状态(成功或不成功)、遇到的错误数(如果有)以及文件导入过程所需的总处理时间。

从思科 ISE 导出网络设备

您可以用 CSV 文件的形式导出思科 ISE 节点中可用的网络设备的设备定义。然后,您可以将此 CSV 文件导入另一个思科 ISE 节点,以便设备定义可用于所需的思科 ISE 节点。

您可以导出 IP 地址在所有八位组中的网络设备。

过程

步骤 1

在思科 ISE GUI 中,点击菜单图标 (),然后选择 管理 (Administration) > 网络资源 (Network Resources) > 网络设备 (Network Devices)
步骤 2

单击导出
步骤 3

通过执行以下操作之一,导出添加到思科 ISE 节点的网络设备的设备定义。

  • 选中要导出的设备旁边的复选框,选择 Export 下拉列表中的 Export Selected

  • 选择 Export 下拉列表中的 Export All ,以便导出添加到 思科 ISE 节点的所有网络设备。

步骤 4

在这两种情况下,设备定义 CSV 文件都会下载到您的系统。

解决网络设备配置问题

过程

步骤 1

在思科 ISE GUI 中,单击菜单图标 () 并选择 操作 (Operations) > 故障排除 (Troubleshoot) > 诊断工具 (Diagnostic Tools) > 常规工具 (General Tools) > 评估配置验证器 (Evaluate Configuration Validator)
步骤 2

网络设备 IP 字段中输入您想要评估网络设备的 IP 地址。

步骤 3

选中相应复选框,然后点击要与建议模板进行比较的配置选项旁边的单选按钮。
步骤 4

点击 Run
步骤 5

在显示的 进度详细信息... 区域中,点击 点击此处输入凭证
步骤 6

在显示的凭证窗口 (Credentials Window) 对话框中,输入与网络设备建立连接所需的连接参数和凭证。

步骤 7

点击提交 (Submit)
步骤 8

(可选)要取消工作流程,请在进度详细信息... (Progress Details...) 窗口中单击单击此处取消正在运行的工作流程 (Click Here to Cancel the Running Workflow)
步骤 9

(可选)选中想要分析的接口旁边的复选框,然后单击提交 (Submit)
步骤 10

(可选)单击显示结果摘要 (Show Results Summary) 以查看配置评估的详细信息。

执行网络设备命令诊断工具

执行网络设备命令诊断工具允许您在任何网络设备上运行 show 命令。

显示的结果与您应在控制台上看到的结果相同。通过此工具,您可以发现设备配置中的任何问题。

使用此工具可验证任何网络设备的配置,也可以使用此工具了解网络设备的配置方式。

要访问执行网络设备命令诊断工具,请选择以下导航路径之一:

  1. 在思科 ISE GUI 中,单击菜单图标 () 并选择 操作 (Operations) > 故障排除 (Troubleshoot) > 诊断工具 (Diagnostic Tools) > 执行网络设备命令 (Execute Network Device Command)在思科 ISE GUI 中,单击菜单图标 () 并选择 工作中心 (Work Centers) > 解析器 (Profiler) > 故障排除 (Troubleshoot) > 执行网络设备命令 (Execute Network Device Command)

  2. 在显示的 执行网络设备命令 窗口中,在相应字段中输入网络设备的 IP 地址和您想要运行的 显示 命令。

  3. 点击运行

思科 ISE 中的第三方网络设备支持

思科 ISE 通过使用网络设备配置文件,支持第三方网络访问设备 (NAD)。不管供应商端实施如何,NAD 配置文件都使用简化的策略配置定义第三方设备的功能。网络设备配置文件包含以下内容:

  • 该网络设备支持的协议,例如 RADIUS、TACACS+ 和思科 TrustSec。可以将任何有关该网络设备的供应商特定的 RADIUS 字典导入到思科 ISE 中。

  • 该设备用于各种身份验证流程的属性和值,例如有线 MAB 和 802.1x。通过这些属性和值,思科 ISE 可以根据网络设备使用的属性为您的设备检测正确的身份验证流程。

  • 网络设备具有的授权更改 (CoA) 功能。虽然 RADIUS 协议 RFC 5176 定义了 CoA 请求,但 CoA 请求中使用的属性因网络设备而异。大多数支持 RFC 5176 的非思科设备都会支持 推送断开连接 功能。对于不支持 RADIUS CoA 类型的设备,思科 ISE 还支持 SNMP CoA。

  • 网络设备针对 MAB 流程使用的属性和协议。不同供应商的网络设备采用不同方式执行 MAB 身份验证。

  • 设备使用的 VLAN 和 ACL 权限。保存配置文件后,思科 ISE 为每个配置的权限自动生成授权配置文件。

  • URL 重定向技术信息。对于高级流程(如自带设备 (BYOD)、访客访问和终端安全评估服务),URL 重定向是必需的。在网络设备上有两种类型的 URL 重定向—静态和动态。对于静态 URL 重定向,可以复制思科 ISE 门户 URL 并将其粘贴到配置中。对于动态 URL 重定向,思科 ISE 会通过 RADIUS 属性告诉网络设备应重定向至哪个地址。

    如果网络设备既不支持动态 URL 重定向,也不支持静态 URL 重定向,则思科 ISE 提供身份验证 VLAN 配置,用于模拟 URL 重定向。身份验证 VLAN 配置基于思科 ISE 中运行的 DHCP 和 DNS 服务。

在思科 ISE 中定义网络设备后,配置这些设备配置文件或使用思科 ISE 提供的预配置设备配置文件,以定义思科 ISE 用于启用基本身份验证流程以及高级流程(如分析器、访客、BYOD、MAB 和终端安全评估)的功能。

URL 重定向机制和身份验证 VLAN

在网络中使用第三方设备且该设备不支持动态或静态 URL 重定向时,思科 ISE 将模拟 URL 重定向流程。通过在思科 ISE 上运行 DHCP 或 DNS 服务来运行此类设备的 URL 重定向模拟流程。

以下是身份验证 VLAN 流程的示例:

  1. 访客终端连接到 NAD。

  2. 网络设备将 RADIUS 或 MAB 请求发送至思科 ISE。

  3. 思科 ISE 运行已配置的身份验证和授权策略,并存储用户帐户信息。

  4. 思科 ISE 发送 RADIUS 访问-接受消息,其中包含身份验证 VLAN ID。

  5. 访客终端接收网络访问。

  6. 终端广播 DHCP 请求,并从思科 ISE DHCP 服务获取客户端 IP 地址和思科 ISE DNS sinkhole IP 地址。

  7. 访客终端打开浏览器,从中发送 DNS 查询并接收思科 ISE IP 地址。

  8. 终端 HTTP 和 HTTPS 请求定向到思科 ISE。

  9. 思科 ISE 使用 HTTP 301 已移动 消息进行响应并提供访客门户 URL。终端浏览器重定向到访客门户窗口。

  10. 访客终端用户登录以进行身份验证。

  11. 思科 ISE 验证终端合规性,然后响应 NAD。思科 ISE 发送 CoA,授权终端并绕过 sinkhole。

  12. 访客用户基于 CoA 获得适当访问权限,终端从企业 DHCP 接收 IP 地址。访客用户现在即可使用网络。

可以使身份验证 VLAN 独立于企业网络,以防止访客终端在通过身份验证之前进行未经授权的网络访问。将身份验证 VLAN IP 助手配置为指向思科 ISE 计算机,或将一个思科 ISE 网络接口连接到身份验证 VLAN。

通过从 NAD 配置中配置 VLAN IP 助手可以将多个 VLAN 连接到一个网络接口卡。有关配置 IP 助手的详细信息,请参阅网络设备的管理指南说明。对于包含具有 IP 助手的 VLAN 的访客访问流程,请定义访客门户,并在绑定到 MAB 授权的授权配置文件中选择此门户。有关访客门户的详细信息,请参阅思科 ISE 管理员指南:访客和 BYOD 中的“思科 ISE 访客服务”部分

下图显示了定义身份验证 VLAN 时的基本网络设置(身份验证 VLAN 直接连接到思科 ISE 节点)。

图 1. 连接到思科 ISE 节点的身份验证 VLAN

下图显示了带有身份验证 VLAN 和 IP 助手的网络。

图 2. 配置有 IP 助手的身份验证 VLAN

CoA 类型

思科 ISE 同时支持 RADIUS 和 SNMP CoA 类型。必须支持 RADIUS 或 SNMP CoA 类型,NAD 才能在复杂流程中工作,而这对于基本流程不是强制性的。

在从思科 ISE 中配置 NAD 时定义网络设备支持的 RADIUS 和 SNMP 设置,并在配置 NAD 配置文件时指出要用于特定流程的 CoA 类型。有关为您的 NAD 定义协议的详细信息,请参阅网络设备定义设置。在思科 ISE 中创建设备配置文件和 NAD 配置文件之前,请与您的第三方供应商联系,以确认您的 NAD 所支持的 CoA 类型。

网络设备配置文件

思科 ISE 通过使用网络设备配置文件支持一些第三方 NAD。这些配置文件定义用于启用基本流量和高级流量(如访客、自带设备、MAB 和终端安全评估)的思科 ISE 功能。

思科 ISE 包含多个供应商网络设备的预定义配置文件。思科 ISE 2.1 及更高版本已在下表所列的网络设备上测试

表 8. 已经过思科 ISE 2.1 及更高版本测试的供应商设备

设备类型

供应商

CoA 类型

URL 重定向类型

支持或验证的使用案例

802.1X 和 MAB 流

无 CoA 的分析器

带 CoA 的分析器

终端安全评估

访客和 BYOD 流

无线

Aruba 7000,InstantAP

RADIUS

静态 URL

Motorola RFS 4000

RADIUS

动态 URL

HP 830

RADIUS

静态 URL

Ruckus ZD 1200

RADIUS

有线

HP A5500

RADIUS

ISE 提供的 Auth VLAN

HP 3800 和 2920 (ProCurve)

RADIUS

ISE 提供的 Auth VLAN

Alcatel 6850

SNMP

动态 URL

Brocade ICX 6610

RADIUS

ISE 提供的 Auth VLAN

Juniper EX3300-24p

RADIUS

ISE 提供的 Auth VLAN

对于其他第三方 NAD,您必须在思科 ISE 中确定设备属性和功能并创建自定义 NAD 配置文件。

需要 CoA 支持

需要 CoA 支持。

如果有线设备不支持 URL 重定向,思科 ISE 将使用 Auth VLAN。尚未使用 Auth VLAN 测试无线设备。

您必须为没有预定义配置文件的其他第三方网络设备创建自定义 NAD 配置文件。对于高级工作流程(例如访客、自带设备和终端安全评估),网络设备必须支持有关 CoA 支持这些流程。请参阅设备的管理指南,了解在思科 ISE 中创建网络设备配置文件所需的属性的相关信息。

如果从思科 ISE 版本 2.0 或更低版本升级到思科 ISE 版本 2.1 或更高版本,则升级后,早期版本中创建的用于与非思科 NAD 通信的身份验证策略规则和 RADIUS 词典将继续在思科 ISE 中运行。

ISE 社区资源

有关第三方 NAD 配置文件的信息,请参阅 ISE 第三方 NAD 配置文件和配置

在思科 ISE 中配置第三方网络设备

思科 ISE 通过使用网络设备配置文件支持第三方 NAD。这些配置文件对思科 ISE 用于启用流(例如,访客、BYOD、MAB 和安全状态)的功能进行定义。

开始之前

请参阅网络设备配置文件

过程

步骤 1

在思科 ISE 中配置第三方网络设备(参阅 将网络设备导入思科 ISE。如果要配置访客、BYOD 或终端安全评估工作流程,请确保已定义 CoA,并且已将 NAD 的 URL 重定向机制配置为指向相关的思科 ISE 门户。要配置 URL 重定向,请从门户的登录页面复制思科 ISE 门户 URL。有关为思科 ISE 中的 NAD 配置 CoA 类型和 URL 重定向的详细信息,请参阅 网络设备定义设置。此外,请参阅第三方的设备管理指南以了解有关说明。

步骤 2

确保在思科 ISE 中可使用设备的适当 NAD 配置文件。要查看现有的配置文件,请依次选择 管理 > 网络资源 > 网络设备配置文件如果思科 ISE 中不存在适当的配置文件,请创建自定义配置文件。有关如何创建自定义配置文件的信息,请参阅创建网络设备配置文件
步骤 3

将 NAD 配置文件分配至您想要配置的 NAD。在思科 ISE GUI 中,点击菜单图标 (),然后选择 管理 (Administration) > 网络资源 (Network Resources) > 网络设备 (Network Devices)。打开要分配配置文件的设备,然后从设备配置文件下拉列表中选择要分配的配置文件。

步骤 4

当您在配置策略规则时,在第 1 步中应明确地将授权配置文件设置为 NAD 配置文件;或者如果您使用 VLAN 或者 ACL,或者在您的网络中存在不同供应商的不同设备,则设置为 任何 。要为授权配置文件设置 NAD 配置文件,选择“策略”(Policy) > “策略元素”(Policy Elements) > “结果”(Results) > “授权”(Authorization) > “授权配置文件”(Authorization Profiles)。打开相关的授权配置文件,从 网络设备配置文件 下拉列表中,选择相关的 NAD 配置文件。在对访客流量使用 Auth VLAN 时,象常规的访客流量一样,您还应定义访客门户,并在绑定至 MAB 授权的授权配置文件中选择该访客门户。有关访客门户的详细信息, 请参阅 思科 ISE 管理员指南:访客和 BYOD中的“思科 ISE 访客服务”部分

创建网络设备配置文件

开始之前

  • 大多数 NAD 都具有供应商特定的 RADIUS 字典,除了提供标准的 IETF RADIUS 属性之外,该字典还提供多个供应商特定属性。如果网络设备有供应商特定的 RADIUS 字典,请将其导入到思科 ISE。有关需要哪一个 RADIUS 字典的说明,请参阅第三方设备的管理指南。在思科 ISE GUI 中,单击菜单图标 () 并选择 策略 (Policy) > 策略元素 (Policy Elements) > 词典 (Dictionaries) > 系统 (System) > Radius > RADIUS 供应商 (RADIUS Vendors)。要导入 RADIUS 字典,请参阅《安全访问》中的“创建 RADIUS 供应商字典”部分

  • 对于访客和终端安全评估等复杂流,网络设备必须支持 RFC 5176中定义的 CoA 类型。

  • 有关创建网络设备配置文件的字段和可能值的信息,请参阅安全访问中的“网络设备配置文件设置”部分

过程

步骤 1

在思科 ISE GUI 中,单击菜单图标 () 并选择 管理 (Administration) > 网络资源 (Network Resources) > 网络设备配置文件 (Network Device Profiles)
步骤 2

点击添加 (Add)
步骤 3

在显示的新网络设备配置文件 (New Network Device Profile) 窗口中,在网络设备的名称 (Name)说明 (Description) 字段中输入相应的值。

步骤 4

供应商下拉列表中,选择网络设备的供应商。

步骤 5

图标 (Icon) 区域中,点击更改图标... (Change Icon...),从您的系统上传网络设备的图标。

或者,在图标 (Icon) 区域中,点击设置为默认值以使用思科 ISE 提供的默认图标。

步骤 6

支持的协议 (Supported Protocols) 区域中,选中设备支持的协议所对应的复选框。仅选中要实际使用的协议对应的复选框。如果网络设备支持 RADIUS 协议,请从 RADIUS 字典 (RADIUS Dictionaries) 下拉列表中选择要用于设备的 RADIUS 字典。

步骤 7

模板 (Templates) 区域,输入相关详细信息:

  1. 点击身份验证/授权 (Authentication/Authorization),配置网络设备的默认流类型、属性别名和主机查找设置。在显示的新流类型条件 (Flow Type Conditions) 区域中,输入设备用于各种身份验证和授权流(如有线 MAB 或 802.1x)的属性和值。这使思科 ISE 能够根据它使用的属性为设备检测到正确的流类型。对于 MAB 没有 IETF 标准,不同的供应商对于 Service-Type 使用不同的值。请参阅设备的用户指南或使用 MAB 身份验证嗅探器跟踪以确定正确的设置。在属性别名 (Attribute Aliasing) 区域中,将设备特定的属性名称映射到通用名称以简化策略规则。目前,仅定义服务集标识符 (SSID)。如果网络设备具有无线 SSID 的概念,则将此设置为其使用的属性。在标准化 RADIUS 字典中,思科 ISE 将它映射至称为 SSID 的属性。您可以在一个规则中引用 SSID,并且即使底层属性不同,它也适用于多个设备,因此可简化策略规则配置。在主机查找 (Host Lookup) 区域中,选中处理主机查找 (Process Host Lookup) 复选框,并根据第三方提供的说明为设备选择相关 MAB 协议和属性。

  2. 点击权限 (Permissions),配置网络设备的默认 VLAN 和 ACL 设置。这些设置会根据您在思科 ISE 中创建的授权配置文件自动映射。

  3. 点击授权更改 (CoA) 以配置网络设备的 CoA 功能。

  4. 点击重定向 (Redirect) 以配置网络设备的 URL 重定向功能。URL 重定向对于访客、BYOD 和终端安全评估服务来说是必需的。

步骤 8

点击 Submit

从思科 ISE 导出网络设备配置文件

以 XML 文件的形式导出在思科 ISE 中配置的单个或多个网络设备配置文件。然后,可以编辑 XML 文件并将其作为新的网络配置文件导入到思科 ISE 文件中。

开始之前

请参阅如何创建 ISE 网络访问设备配置文件

过程

步骤 1

在思科 ISE GUI 中,单击菜单图标 () 并选择 管理 (Administration) > 网络资源 (Network Resources) > 网络设备配置文件 (Network Device Profiles)
步骤 2

选中您要导出的设备旁边的复选框,然后点击导出选定对象 (Export Selected)
步骤 3

将名为 DeviceProfiles.xml 的文件下载到您的本地硬盘。

将网络设备配置文件导入到思科 ISE

可以使用具有思科 ISE XML 结构的单个 XML 文件将单个或多个网络设备配置文件导入到思科 ISE。请注意,您无法同时导入来自多个导入文件的网络设备配置文件。

通常,您应首先从思科 ISE 管理员门户导出现有配置文件以用作模板。在文件中输入设备配置文件详细信息,并将其另存为 XML 文件。然后,将编辑后的文件重新导入到思科 ISE。为了使用多个网络设备配置文件,可将多个构造在一起的配置文件导出为单个 XML 文件,编辑该文件,然后将配置文件一并导入,以便在思科 ISE 中创建多个配置文件。

在导入网络设备配置文件时,只能创建新记录。您无法覆盖现有的配置文件。要更新现有网络设备配置文件,请从思科 ISE 导出现有配置文件,从思科 ISE 删除配置文件,然后在相应编辑后导入配置文件。

开始之前

请参阅如何创建 ISE 网络访问设备配置文件

过程

步骤 1

在思科 ISE GUI 中,单击菜单图标 () 并选择 管理 (Administration) > 网络资源 (Network Resources) > 网络设备配置文件 (Network Device Profiles)
步骤 2

单击导入
步骤 3

点击 选择文件 (Choose File),从正在运行客户端浏览器的系统中选择 XML 文件。

步骤 4

单击导入

管理网络设备组

通过以下窗口,您可以配置和管理网络设备组。

网络设备组设置

下表介绍 网络设备组 窗口上的字段,您可以使用此窗口创建网络设备组。要查看此处窗口,请单击菜单 图标 (),然后选择 管理 (Administration) > 网络资源 (Network Resources) > 网络设备组 (Network Device Groups) > 全部组 (All Groups)

您还可在工作中心 (Work Centers) > 设备管理 (Device Administration) > 网络资源 (Network Resources) > 网络设备组 (Network Device Groups) > 全部组 (All Groups) 窗口。

表 9. “网络设备组”(Network Device Group) 窗口中的字段

字段名称

使用指南

Name

为根网络设备组输入一个名称。对于添加到该根网络设备组的所有后续子网络设备组,请输入这个新建网络设备组的名称。

网络设备组层次结构中最多可以有六个节点,包括根节点。每个网络设备组的名称最多可以包含 32 个字符。

Description

为根网络设备组或子网络设备组输入一段说明。

网络设备数

此列中显示网络组中的网络设备数量。

网络设备组导入设置

下表列出了 网络设备组 窗口上 导入 对话框中的字段。要查看此处窗口,请单击菜单 图标 (),然后选择 管理 (Administration) > 网络资源 (Network Resources) > 网络设备组 (Network Device Groups)

表 10. 网络设备组导入窗口中的字段

字段名称

使用指南

生成模板 (Generate a Template)

点击此链接下载 CSV 模板文件。

以相同格式的网络设备组信息更新模板,并将其保存于本地位置,以将网络设备组导入任何思科 ISE 部署中。

文件

点击 选择文件,导航至您要上传的 CSV 文件的位置。这可能是新创建的文件,也可能是之前从其他思科 ISE 部署导出的文件。

可以将包含新的和更新后的网络设备组信息的网络设备组从一个思科 ISE 部署导入另一部署。

用新数据覆盖现有数据 (Overwrite Existing Data with New Data)

如果您希望思科 ISE 用您的导入文件中的设备组替换现有网络设备组,请选中此复选框。

如果未选中此复选框,则只会将导入文件中的新网络设备组添加到网络设备组存储库。系统会忽略重复条目。

Stop Import on First Error

选中此复选框,可在导入期间遇到错误的第一个实例时停止导入。

如果未选中此复选框并且遇到错误,思科 ISE 将报告错误,并继续导入剩余设备组。

网络设备组

思科 ISE 支持创建分层网路设备组。使用网络设备组根据不同的条件(例如地理位置、设备类型或其在网络中的相对位置 [例如,“接入层”或“数据中心”等])对网络设备进行逻辑分组。

要查看“网络设备组”(Network Device Group) 窗口,单击菜单图标 () 并选择 管理 (Administration) > 网络资源 (Network Resources) > 网络设备组 (Network Device Groups)

例如,要按地理位置组织网络设备,可以按大洲、区域和国家/地区将设备进行分组:

  • 非洲 > 南部 > 纳米比亚

  • 非洲 > 南部 > 南非

  • 非洲 > 南部 > 博茨瓦纳

根据设备类型对网络设备进行分组:

  • 非洲 > 南部 > 博茨瓦纳 > 防火墙

  • 非洲 > 南部 > 博茨瓦纳 > 路由器

  • 非洲 > 南部 > 博茨瓦纳 > 交换机

将网络设备分配给一个或多个分层网络设备组。当思科 ISE 通过已配置的网络设备组的有序列表确定要分配给特定设备的适当组时,它可能会发现同一设备配置文件适用于多个设备组。在这种情况下,思科 ISE 将应用匹配的第一个设备组。

对可创建的网络设备组的最大数量没有限制。您可以为网络设备组创建最多六个层级(包括父级组)。

设备组层级以两种视图显示:树表 (Tree Table)平面表 (Flat Table)。点击网络设备组列表上方的 树表平面表 ,按相应视图组织列表。

树表 (Tree Table) 视图中,根节点显示在树顶部,下面是按层级顺序排列的子组。点击全部展开 (Expand All) 以查看每个根组中的所有设备组。点击全部折叠 (Collapse All) 以查看仅含根组的列表。

平面表 (Flat Table) 视图中,组层次结构 (Group Hierarchy) 列中显示每个设备组的层次结构。

在两个视图中,分配给每个子组的网络设备的数量显示在相应的网络设备数量 (No. of Network Devices) 列中。点击数字可启动一个对话框,其中列出了分配给该设备组的所有网络设备。显示的对话框还包含两个按钮,可将网络设备从一个组移动到另一个组。点击 将设备移动到另一个组 ,可将网络设备从当前组移动到另一个组。点击 将设备添加到组 ,可将网络设备移至所选网络设备组。

要在 网络设备组 窗口中添加网络设备组,请点击 添加。在父级组 (Parent Group) 下拉列表中,选择网络设备组必须添加到的父级组,或选择添加为根组 (Add As Root Group) 选项将新网络设备组添加为父级组。


如果已向设备组分配了任何设备,则无法删除该设备组。在删除设备组之前,您必须将所有现有设备移动到另一个设备组。

根网络设备组

思科 ISE 包含两个预定义的根网路设备组:所有设备类型 (All Device Types)所有位置 (All Locations)。无法编辑、复制或删除这些预定义的网路设备组,但可以在这些组中添加新设备组。

您可以创建根网络设备组(网络设备组),然后在 网络设备组 窗口中的根组下创建子网络设备组,如前所述。

思科 ISE 在策略评估中使用的网络设备属性

创建新网络设备组时,新网络设备属性将添加至系统字典 (System Dictionaries) 中的设备 (Device) 字典(策略 (Policy) > 策略元素 (Policy Elements) > 词典 (Dictionaries))。添加的设备属性随后将在策略定义中使用。

思科 ISE 允许您使用设备 (Device) 字典属性(例如设备类型、位置、型号名称或网络设备上运行的软件版本)配置身份验证和授权策略。

将网络设备组导入到思科 ISE

您可以使用逗号分隔值 (CSV) 文件将网络设备组导入到思科 ISE 节点。请注意,您不能同时从两个不同的导入文件导入网络设备组。

从思科 ISE 管理员门户下载 CSV 模板,在模板中输入网络设备组详细信息,并将模板另存为 CSV 文件,然后将编辑的文件导入到思科 ISE。

导入设备组时,您可以创建新记录或更新现有记录。导入设备组时,您还可以定义在思科 ISE 遇到第一个错误时希望思科 ISE 使用新组覆盖现有设备组还是停止导入过程。

过程

步骤 1

在思科 ISE GUI 中,单击菜单图标 () 并选择 管理 (Administration) > 网络资源 (Network Resources) > 网络设备组 (Network Device Groups)
步骤 2

单击导入
步骤 3

在显示的对话框中,点击 选择文件 ,从正在运行客户端浏览器的系统中选择 CSV 文件。

要下载用于添加网络设备组的 CSV 模板文件,请点击生成模板 (Generate a Template)
步骤 4

要覆盖现有网络设备组,请选中 用新数据覆盖现有数据 复选框。

步骤 5

选中 Stop Import on First Error 复选框。

步骤 6

单击导入

从思科 ISE 导出网络设备组

您可以用 CSV 文件的形式导出在思科 ISE 中配置的网络设备组。然后,您可以将这些网络设备组导入另一个思科 ISE 节点。

过程

步骤 1

在思科 ISE GUI 中,单击菜单图标 () 并选择 管理 (Administration) > 网络资源 (Network Resources) > 网络设备组 (Network Device Groups) > 所有组 (All Groups)
步骤 2

要导出网络设备组,可以执行以下操作之一:

  • 选中您要导出的设备组旁边的复选框,然后选择导出 (Export) > 导出选定对象 (Export Selected)

  • 依次选择 导出 > 全部导出 ,导出已定义的所有网络设备组。

CSV 文件可下载到您的本地硬盘。

管理网络设备组

通过以下窗口,您可以配置和管理网络设备组。

网络设备组设置

下表介绍 网络设备组 窗口上的字段,您可以使用此窗口创建网络设备组。要查看此处窗口,请单击菜单 图标 (),然后选择 管理 (Administration) > 网络资源 (Network Resources) > 网络设备组 (Network Device Groups) > 全部组 (All Groups)

您还可在工作中心 (Work Centers) > 设备管理 (Device Administration) > 网络资源 (Network Resources) > 网络设备组 (Network Device Groups) > 全部组 (All Groups) 窗口。

表 11. “网络设备组”(Network Device Group) 窗口中的字段

字段名称

使用指南

Name

为根网络设备组输入一个名称。对于添加到该根网络设备组的所有后续子网络设备组,请输入这个新建网络设备组的名称。

网络设备组层次结构中最多可以有六个节点,包括根节点。每个网络设备组的名称最多可以包含 32 个字符。

Description

为根网络设备组或子网络设备组输入一段说明。

网络设备数

此列中显示网络组中的网络设备数量。

网络设备组导入设置

下表列出了 网络设备组 窗口上 导入 对话框中的字段。要查看此处窗口,请单击菜单 图标 (),然后选择 管理 (Administration) > 网络资源 (Network Resources) > 网络设备组 (Network Device Groups)

表 12. 网络设备组导入窗口中的字段

字段名称

使用指南

生成模板 (Generate a Template)

点击此链接下载 CSV 模板文件。

以相同格式的网络设备组信息更新模板,并将其保存于本地位置,以将网络设备组导入任何思科 ISE 部署中。

文件

点击 选择文件,导航至您要上传的 CSV 文件的位置。这可能是新创建的文件,也可能是之前从其他思科 ISE 部署导出的文件。

可以将包含新的和更新后的网络设备组信息的网络设备组从一个思科 ISE 部署导入另一部署。

用新数据覆盖现有数据 (Overwrite Existing Data with New Data)

如果您希望思科 ISE 用您的导入文件中的设备组替换现有网络设备组,请选中此复选框。

如果未选中此复选框,则只会将导入文件中的新网络设备组添加到网络设备组存储库。系统会忽略重复条目。

Stop Import on First Error

选中此复选框,可在导入期间遇到错误的第一个实例时停止导入。

如果未选中此复选框并且遇到错误,思科 ISE 将报告错误,并继续导入剩余设备组。

在思科 ISE 中导入模板

思科 ISE 可以让您使用 CSV 文件导入大量网络设备和网络设备组。模板包含用于定义字段格式的标题行。不得编辑此信头行。

在网络设备和网络设备组的相关导入流中,可以使用生成模板 (Generate a Template) 链接将 CSV 文件下载到本地系统。

网络设备导入模板格式

下表列出了重要网络设备 CSV 模板文件标题中的字段,并进行了说明。

表 13. 网络设备的 CSV 模板字段和说明

字段

使用指南

Name:String(32)

输入网络设备的名称。名字必须是一个最多包含 32 个字符的字母数字字符串。

Description:String(256)

(可选)输入网络设备的说明,最多 256 个字符。

IP Address:Subnets(a.b.c.d/m|...)

输入网络设备的 IP 地址和子网掩码。您可以输入多个值,使用竖线 “|” 符号分隔这些值。

IPv4 和 IPv6 地址是 支持网络设备(TACACS 和 RADIUS)配置以及外部 RADIUS 服务器配置。

输入 IPv4 地址时,可以使用地址范围和子网掩码。

Model Name:String(32)

输入网络设备的型号名称,最多 32 个字符。

Software Version:String(32)

输入网络设备的软件版本,最多 32 个字符。

Network Device Groups:String(100)

输入现有网络设备组的名称。如果是子组,必须同时包含由空格分隔的父组和子组。字符串必须是一个最多包含 100 个字符的字符串,例如, Location#All Location#US

Authentication:Protocol:String(6)

输入要使用的身份验证协议。唯一有效的值为 RADIUS (不区分大小写)。

Authentication:Shared Secret:String(128)

(如果在 身份验证:协议:字符串(6) 字段中输入一个值,则此字段为必填字段)此字段是一个最多为 128 个字符的字符串。

EnableKeyWrap:Boolean(true|false)

KeyWrap 仅在网络设备上支持此字段时才启用。必须输入 truefalse

EncryptionKey:String(ascii:16|hexa:32)

(如果启用 KeyWrap,则此字段为必填字段)输入用于会话加密的加密密钥。

ASCII 值: 长度为 16 个字符(字节)。

十六进制值 - 长度为 32 个字符(字节)。

AuthenticationKey:String(ascii:20|hexa:40)

(如果启用 KeyWrap,则此字段为必填字段。)输入 RADIUS 消息键控散列消息验证码 (HMAC) 计算的密钥。

ASCII 值: 长度为 20 个字符(字节)。

十六进制值 - 长度为 40 个字符(字节)。

InputFormat:String(32)

输入加密和身份验证密钥输入格式。接受 ASCII 和十六进制值。

SNMP:Version:Enumeration (|2c|3)

输入分析器服务必须使用的 SNMP 协议版本 - 1、2c 或 3。

SNMP:RO Community:String(32)

 (如果在 SNMP:Version:Enumeration (|2c|3) 字段中输入值,则为必填项)。为只读社区输入最多 32 个字符的字符串

SNMP:RW Community:String(32)

(如果在 SNMP:Version:Enumeration (|2c|3) 字段中输入值,则为必填项)。为读写社区输入最多包含 32 个字符的字符串。

SNMP:Username:String(32)

输入一个最多为 32 个字符的字符串。

(如果在 SNMP:Version:Enumeration (|2c|3) 字段中输入 SNMP 版本 3,则为必填项)输入 AuthNo AuthPriv

SNMP:Authentication Protocol:Enumeration(MD5|SHA)

(如果已输入 AuthPriv 作为 SNMP 安全级别,则此字段为必填字段。)输入 MD5SHA

SNMP:Authentication Password:String(32)

(如果已在 SNMP:Security Level:Enumeration(Auth|No Auth|Priv) 字段中输入 Auth,则为必填项。)输入一个最多为 32 个字符的字符串。

SNMP:Privacy Protocol:Enumeration(DES|AES128|AES192|AES256|3DES)

(如果您在 SNMP:Security Level:Enumeration(Auth|No Auth|Priv) 字段中输入了 Priv,则为必填项。)输入 DESAES128AES192AES2563DES

SNMP:Privacy Password:String(32)

(如果您在 SNMP:Security Level:Enumeration(Auth|No Auth|Priv) 字段中输入了 Priv,则为必填项。)输入一个最多为 32 个字符的字符串。

SNMP:Polling Interval:Integer:600-86400 seconds

输入 SNMP 轮询间隔(秒)。有效值为介于 600 和 86400 之间的整数。

SNMP:Is Link Trap Query:Boolean(true|false)

通过输入 truefalse 来启用或禁用 SNMP 链路陷阱。

SNMP:Is MAC Trap Query:Boolean(true|false)

通过输入 truefalse来启用或禁用 SNMP MAC 陷阱。

SNMP:Originating Policy Services Node:String(32)

指示必须用于轮询 SNMP 数据的思科 ISE 服务器。它默认情况下是自动的,但可以通过在此字段中分配不同的值来覆盖该设置。

Trustsec:Device Id:String(32)

输入思科 Trustsec 设备 ID,是最多为 32 个字符的字符串。

Trustsec:Device Password:String(256)

(如果已输入思科 TrustSec 设备 ID,则为必填项。)输入思科 TrustSec 设备密码,该密码是最多包含 256 个字符的字符串。

Trustsec:Environment Data Download Interval:Integer:1-2147040000 seconds

输入思科 TrustSec 环境数据下载时间间隔。有效值为介于 1 和 2147040000 之间的整数。

Trustsec:Peer Authorization Policy Download Interval:Integer:1-2147040000 seconds

输入 TrustSec 对等体授权策略下载时间间隔。有效值为介于 1 和 2147040000 之间的整数。

Trustsec:Reauthentication Interval:Integer:1-2147040000 seconds

输入 TrustSec 重新身份验证时间间隔。有效值为介于 1 和 2147040000 之间的整数。

Trustsec:SGACL List Download Interval:Integer:1-2147040000 seconds

输入思科 TrustSec 安全组 ACL 列表下载间隔。有效值为介于 1 和 2147040000 之间的整数。

Trustsec:Is Other Trustsec Devices Trusted:Boolean(true|false)

通过输入 truefalse指示思科 TrustSec 设备是否受信任。

Trustsec:Notify this device about Trustsec configuration changes:String(ENABLE_ALL|DISABLE_ALL)

通过输入 ENABLE_ALLDISABLE_ALL 通知思科 TrustSec 配置更改到思科TrustSec设备。

Trustsec:Include this device when deploying Security Group Tag Mapping Updates:Boolean(true|false)

通过输入 true or false指示思科 TrustSec 设备是否包含在安全组标签中。

Deployment:Execution Mode Username:String(32)

输入有权编辑设备配置的用户名。这是一个最多为 32 个字符的字符串。

Deployment:Execution Mode Password:String(32)

输入设备密码,该密码是最多包含 32 个字符的字符串。

Deployment:Enable Mode Password:String(32)

输入设备的密码,可以让您编辑设备的配置。这是一个最多为 32 个字符的字符串。

Trustsec:PAC issue date:Date

输入思科 ISE 为思科 TrustSec 设备生成的最后一个思科 Trustsec PAC 的颁发日期。

Trustsec:PAC expiration date:Date

输入思科 ISE 为思科 TrustSec 设备生成的最后一个思科 Trustsec PAC 的到期日期。

Trustsec:PAC issued by:String

输入思科 ISE 为思科 TrustSec 设备生成的最后一个思科 Trustsec PAC 的颁发者(思科 TrustSec 管理员)名称。它必须是一个字符串值。

网络设备组导入模板格式

下表列出模板标题中的字段并提供网络设备组 CSV 文件中的字段描述。

表 14. 网络设备组的 CSV 模板字段和描述

字段

说明 (Description)

Name:String(100):

(必填)此字段为网络设备组的名称。它是长度最大为 100 个字符的字符串。NDG 全名的长度最大为 100 个字符。例如,如果您要在父组 Global > Asia 下创建子组 India,则您创建的 NDG 的全名为 Global#Asia#India,并且该全名的长度不得超过 100 个字符。如果 NDG 的全名超过 100 个字符,则 NDG 将无法创建。

Description:String(1024)

这是可选的网络设备组说明。它是长度不超过 1024 个字符的字符串。

Type:String(64):

(必填)此字段为网络设备组的类型。它是长度最大为 64 个字符的字符串。

Is Root:Boolean(true|false):

(必填)此字段用于确定特定的网络设备组是否为根组。有效值为 true 或 false。

确保思科 ISE 与 NAD 之间安全通信的 IPsec 安全

IPsec 是为 IP 提供安全保护的一组协议。AAA、RADIUS 和 TACACS + 协议使用 MD5 散列算法。为了提高安全性,思科 ISE 提供 IPsec 功能。IPsec 通过对发送方进行身份验证,发现数据在传输过程中的任何变化以及对发送的数据进行加密来保证安全通信。

思科 ISE 在隧道及传输模式下支持 IPSec。当在思科 ISE 接口上启用 IPsec 并配置对等体时,会在思科 ISE 和 NAD 之间创建 IPsec 隧道以保护通信。

可以定义预共享密钥或使用 X.509 证书进行 IPsec 身份验证。可以在千兆以太网 1 到千兆以太网 5 接口上启用 IPsec。每个 PSN 仅可以在一个思科 ISE 接口上配置 IPSec。

由于智能许可证默认处于启用状态 (e0/2—> eth2),因此无法在千兆以太网2上启用IPsec。但是,如果需要启用 IP 安全,需要为智能许可选择其他接口。


千兆以太网 0 和绑定 0(当千兆以太网 0 和千兆以太网 1 接口绑定时)是思科 ISE CLI 中的管理接口。千兆以太网 0 和绑定 0 不支持 IPsec。

所需组件包括:

  • 思科 ISE 2.2 和更高版本。

  • Cisco IOS 软件、C5921 ESR 软件 (C5921_I86-UNIVERSALK9-M):默认情况下,ESR 5921 配置在隧道及传输模式下支持 IPsec。支持 Diffie-Hellman 组 15 和组 16。


    C5921 ESR 软件与思科 ISE 版本 2.2 及更高版本捆绑在一起。您需要 ESR 许可证才能将其启用。有关 ESR 许可信息,请参阅《思科 5921 嵌入式服务路由器集成指南》

在思科 ISE 上配置 RADIUS IPSec

要在思科 ISE 上配置 RADIUS IPsec,您必须:

过程

步骤 1

从思科 ISE CLI 配置接口上的 IP 地址。

千兆以太网 1 至千兆以太网 5 接口(绑定 1 和绑定 2)支持 IPsec。但是,只能在思科 ISE 节点的一个接口上配置 IPSec。
步骤 2

将直连网络设备添加到 IPsec 网络设备组。

 

RADIUS IPsec 需要通过设备的接口直接连接静态路由网关。

  1. 在思科 ISE GUI 中,单击菜单图标 () 并选择 管理 (Administration) > 网络资源 (Network Resources) > 网络设备 (Network Devices)

  2. 网络设备 (Network Devices) 窗口中,点击添加 (Add)

  3. 在相应字段中输入要添加的网络设备的名称、IP 地址和子网。

  4. 从 IPSEC 下拉列表中,选择是 (Yes)

  5. 选中 RADIUS Authentication Settings 复选框。

  6. 共享密钥 (Shared Secret) 字段中,输入您在网络设备上配置的共享密钥。

  7. 点击保存 (Save)
步骤 3

添加单独的管理界面,以与思科 Smart Software Manager (CSSM) 交互。有关嵌入式服务路由器 (ESR) 的信息,请参阅 Smart Software Manager satellite。要执行此操作,请从思科 ISE CLI 运行以下命令以选择相应的管理接口(千兆以太网 1 至 5 或绑定 1 或 2):

ise/admin# license esr smart {interface}

此接口必须能够连通 Cisco.com 才能访问思科在线许可服务器。

步骤 4

从思科 ISE CLI 将网络设备添加到直连网关。

ip route [ destination network] [ network mask] gateway [ next-hop address]

步骤 5

在思科 ISE 节点上激活 IPsec。

  1. 在思科 ISE GUI 中,单击菜单图标 () 并选择 管理 (Administration) > 系统 (System) > 设置 (Settings) > 协议 (Protocols) > IPSec

    此窗口中列出了部署中的所有思科 ISE 节点。

  2. 选中要激活 IPsec 的思科 ISE 节点旁边的复选框,然后点击启用 (Enable) 单选按钮。

  3. 所选节点的 IPSec 接口:(IPSec Interface for selected nodes:) 下拉列表中选择要用于 IPsec 通信的接口。

  4. 点击所选思科 ISE 节点的以下身份验证类型之一的单选按钮:

    • 预共享密钥 (Pre-shared Key):如果选择此选项,必须输入预共享密钥并在网络设备上配置相同的密钥。预共享密钥需使用字母数字字符。不支持特殊字符。有关如何在网络设备上配置预共享密钥的说明,请参阅网络设备文档。有关预共享密钥配置输出的示例,请参阅示例:思科 Catalyst 3850 系列交换机上预共享密钥配置的输出

    • X.509 证书 (X.509 Certificates):如果您选择此选项,请从思科 ISE CLI 转到 ESR shell 并为 ESR 5921 配置和安装 X.509 证书。然后,为 IPsec 配置网络设备。有关说明,请参阅在 ESR-5921 上配置和安装 X.509 证书

  5. 单击保存

 

不能直接修改 IPsec 配置。要在启用 IPsec 时修改 IPsec 隧道或身份验证,请禁用当前 IPsec 隧道,修改 IPsec 配置,然后重新启用不同配置的 IPsec 隧道。
 

启用后,IPsec 将从思科 ISE 接口删除 IP 地址并关闭该接口。当用户从思科 ISE CLI 登录时,接口显示为无 IP 地址且处于关闭状态。此 IP 地址将在 ESR-5921 接口上配置。
步骤 6

键入 esr 进入 ESR shell。 

ise/admin# esr
% Entering ESR 5921 shell
% Cisco IOS Software, C5921 Software (C5921_I86-UNIVERSALK9-M), Version 15.5(2)T2, RELEASE SOFTWARE (fc3)
% Technical Support: http://www.cisco.com/techsupport
% Copyright (c) 1986-2015 Cisco Systems, Inc.

Press RETURN to get started, CTRL-C to exit

ise-esr5921>
ise-esr5921>
 
对于 FIPS 合规性,必须配置长度至少为八个字符的加密密码。输入 Enable secret level 1 命令以指定密码: 
ise-esr5921(config)#enable secret level 1 ?
0 Specifies an UNENCRYPTED password will follow
5 Specifies a MD5 HASHED secret will follow
8 Specifies a PBKDF2 HASHED secret will follow
9 Specifies a SCRYPT HASHED secret will follow
LINE The UNENCRYPTED (cleartext) 'enable' secret
 

如果从 GUI 配置自定义 RADIUS 端口(1645、1646、1812 和 1813 除外),则必须在 ESR shell 中输入以下 CLI 命令,以便接受配置的 RADIUS 端口:

ip nat inside source static udp 10.1.1.2 [port_number] interface Ethernet0/0 [port_number]
步骤 7

验证 IPsec 隧道和经由 IPsec 隧道的 RADIUS 身份验证。

  1. 在思科 ISE 中添加用户并将用户分配到用户组(在思科 ISE GUI 中,单击菜单图标 () 并选择管理 (Administration) > 身份管理 (Identity Management) > 身份 (Identities) > 用户 (Users))。

  2. 执行以下步骤,验证是否已在思科 ISE 和 NAD 之间建立 IPsec 隧道:

    1. 使用 ping 命令来测试思科 ISE 和 NAD 之间是否已建立连接。

    2. 从 ESR shell 或 NAD CLI 运行以下命令,验证连接是否处于活动状态:

      show crypto isakmp sa 

      ise-esr5921#show crypto isakmp sa
IPv4 Crypto ISAKMP SA
dst             src             state          conn-id status
192.168.30.1    192.168.30.3    QM_IDLE           1001 ACTIVE

    3. 从 ESR shell 或 NAD CLI 运行以下命令,验证隧道是否已建立:

      show crypto ipsec sa 

      ise-esr5921#show crypto ipsec sa

interface: Ethernet0/0
    Crypto map tag: radius, local addr 192.168.30.1 

   protected vrf: (none)
   local  ident (addr/mask/prot/port): (192.168.30.1/255.255.255.255/0/0)
   remote ident (addr/mask/prot/port): (192.168.30.2/255.255.255.255/0/0)
   current_peer 192.168.30.2 port 500
     PERMIT, flags={}
    #pkts encaps: 52, #pkts encrypt: 52, #pkts digest: 52
    #pkts decaps: 57, #pkts decrypt: 57, #pkts verify: 57
    #pkts compressed: 0, #pkts decompressed: 0
    #pkts not compressed: 0, #pkts compr. failed: 0
    #pkts not decompressed: 0, #pkts decompress failed: 0
    #send errors 0, #recv errors 0

     local crypto endpt.: 192.168.30.1, remote crypto endpt.: 192.168.30.2
     plaintext mtu 1438, path mtu 1500, ip mtu 1500, ip mtu idb Ethernet0/0
     current outbound spi: 0x393783B6(959939510)
     PFS (Y/N): N, DH group: none

     inbound esp sas:
      spi: 0x8EA0F6EE(2392913646)
        transform: esp-aes esp-sha256-hmac ,
        in use settings ={Tunnel, }
        conn id: 99, flow_id: SW:99, sibling_flags 80000040, crypto map: radius
        sa timing: remaining key lifetime (k/sec): (4237963/2229)
        IV size: 16 bytes
        replay detection support: Y
        Status: ACTIVE(ACTIVE)

     inbound ah sas:

     inbound pcp sas:

     outbound esp sas:
      spi: 0x393783B6(959939510)
        transform: esp-aes esp-sha256-hmac ,
        in use settings ={Tunnel, }
        conn id: 100, flow_id: SW:100, sibling_flags 80000040, crypto map: radius
        sa timing: remaining key lifetime (k/sec): (4237970/2229)
        IV size: 16 bytes
        replay detection support: Y
        Status: ACTIVE(ACTIVE)

     outbound ah sas:

     outbound pcp sas:

  3. 使用以下方法之一验证 RADIUS 身份验证:

    • 使用您在步骤 8 (a) 中创建的用户的凭证登录网络设备。RADIUS 身份验证请求将发送到思科 ISE 节点。在实时身份验证 (Live Authentications) 窗口中查看详细信息。

    • 将终端主机连接到网络设备并配置 802.1X 身份验证。使用您在步骤 8 (a) 中创建的用户的凭证登录终端主机。RADIUS 身份验证请求将发送到思科 ISE 节点。在实时身份验证 (Live Authentications) 窗口中查看详细信息。

在 ESR-5921 上配置和安装 X.509 证书

过程

步骤 1

键入 esr 进入 ESR shell。 

ise/admin# esr
% Entering ESR 5921 shell
% Cisco IOS Software, C5921 Software (C5921_I86-UNIVERSALK9-M), Version 15.5(2)T2, RELEASE SOFTWARE (fc3)
% Technical Support: http://www.cisco.com/techsupport
% Copyright (c) 1986-2015 Cisco Systems, Inc.

Press RETURN to get started, CTRL-C to exit

ise-esr5921>
ise-esr5921>
 
对于 FIPS 合规性,必须配置长度至少为八个字符的加密密码。输入 Enable secret level 1 命令以指定密码: 
ise-esr5921(config)#enable secret level 1 ?
0 Specifies an UNENCRYPTED password will follow
5 Specifies a MD5 HASHED secret will follow
8 Specifies a PBKDF2 HASHED secret will follow
9 Specifies a SCRYPT HASHED secret will follow
LINE The UNENCRYPTED (cleartext) 'enable' secret
 

如果从 GUI 配置自定义 RADIUS 端口(1645、1646、1812 和 1813 除外),则必须在 ESR shell 中输入以下 CLI 命令,以便接受配置的 RADIUS 端口:

ip nat inside source static udp 10.1.1.2 [port_number] interface Ethernet0/0 [port_number]
步骤 2

使用以下命令生成 RSA 密钥对:

示例:

crypto key generate rsa label rsa2048 exportable modulus 2048
步骤 3

使用以下命令创建信任点:

示例:

crypto pki trustpoint trustpoint-name

enrollment terminal
serial-number none
fqdn none
ip-address none
subject-name cn=networkdevicename.cisco.com
revocation-check none
rsakeypair rsa2048
步骤 4

使用以下命令生成证书签名请求:

示例:

crypto pki enroll rsaca-mytrustpoint

Display Certificate Request to terminal? [yes/no]: yes
步骤 5

将证书签名请求的输出复制到文本文件,将其提交到外部 CA 进行签名,然后获取签名证书和 CA 证书。

步骤 6

使用以下命令导入证书颁发机构 (CA) 证书:

示例:

crypto pki authenticate rsaca-mytrustpoint

复制并粘贴 CA 证书的内容,包括“—BEGIN—”和“—-End—”行。

步骤 7

使用以下命令导入签名证书:

示例:

crypto pki import rsaca-mytrustpoint

复制并粘贴签名证书的内容,包括“—BEGIN—”和“—-End—”行。

以下是在思科 5921 ESR 上配置和安装 X.509 证书时显示的输出示例: 

ise-esr5921#show running-config
!
hostname ise-esr5921
!
boot-start-marker
boot host unix:default-config
boot-end-marker
!
no aaa new-model
bsd-client server url https://cloudsso.cisco.com/as/token.oauth2
mmi polling-interval 60
no mmi auto-configure
no mmi pvc
mmi snmp-timeout 180
call-home
! If contact email address in call-home is configured as sch-smart-licensing@cisco.com
! the email address configured in Cisco Smart License Portal will be used as contact email address to send SCH notifications.
contact-email-addr sch-smart-licensing@cisco.com
profile "CiscoTAC-1"
  active
  destination transport-method http
  no destination transport-method email
!
ip cef
no ipv6 cef
!
multilink bundle-name authenticated
!
crypto pki trustpoint SLA-TrustPoint
enrollment pkcs12
revocation-check crl
!
crypto pki trustpoint rsaca-mytrustpoint
enrollment terminal
serial-number none
fqdn none
ip-address none
subject-name cn=ise-5921.cisco.com
revocation-check none
rsakeypair rsa2048
!
crypto pki certificate chain SLA-TrustPoint
certificate ca 01
  30820321 30820209 A0030201 02020101 300D0609 2A864886 F70D0101 0B050030
  32310E30 0C060355 040A1305 43697363 6F312030 1E060355 04031317 43697363
  6F204C69 63656E73 696E6720 526F6F74 20434130 1E170D31 33303533 30313934
  3834375A 170D3338 30353330 31393438 34375A30 32310E30 0C060355 040A1305
  43697363 6F312030 1E060355 04031317 43697363 6F204C69 63656E73 696E6720
  526F6F74 20434130 82012230 0D06092A 864886F7 0D010101 05000382 010F0030
  82010A02 82010100 A6BCBD96 131E05F7 145EA72C 2CD686E6 17222EA1 F1EFF64D
  CBB4C798 212AA147 C655D8D7 9471380D 8711441E 1AAF071A 9CAE6388 8A38E520
  1C394D78 462EF239 C659F715 B98C0A59 5BBB5CBD 0CFEBEA3 700A8BF7 D8F256EE
  4AA4E80D DB6FD1C9 60B1FD18 FFC69C96 6FA68957 A2617DE7 104FDC5F EA2956AC
  7390A3EB 2B5436AD C847A2C5 DAB553EB 69A9A535 58E9F3E3 C0BD23CF 58BD7188
  68E69491 20F320E7 948E71D7 AE3BCC84 F10684C7 4BC8E00F 539BA42B 42C68BB7
  C7479096 B4CB2D62 EA2F505D C7B062A4 6811D95B E8250FC4 5D5D5FB8 8F27D191
  C55F0D76 61F9A4CD 3D992327 A8BB03BD 4E6D7069 7CBADF8B DF5F4368 95135E44
  DFC7C6CF 04DD7FD1 02030100 01A34230 40300E06 03551D0F 0101FF04 04030201
  06300F06 03551D13 0101FF04 05300301 01FF301D 0603551D 0E041604 1449DC85
  4B3D31E5 1B3E6A17 606AF333 3D3B4C73 E8300D06 092A8648 86F70D01 010B0500
  03820101 00507F24 D3932A66 86025D9F E838AE5C 6D4DF6B0 49631C78 240DA905
  604EDCDE FF4FED2B 77FC460E CD636FDB DD44681E 3A5673AB 9093D3B1 6C9E3D8B
  D98987BF E40CBD9E 1AECA0C2 2189BB5C 8FA85686 CD98B646 5575B146 8DFC66A8
  467A3DF4 4D565700 6ADF0F0D CF835015 3C04FF7C 21E878AC 11BA9CD2 55A9232C
  7CA7B7E6 C1AF74F6 152E99B7 B1FCF9BB E973DE7F 5BDDEB86 C71E3B49 1765308B
  5FB0DA06 B92AFE7F 494E8A9E 07B85737 F3A58BE1 1A48A229 C37C1E69 39F08678
  80DDCD16 D6BACECA EEBC7CF9 8428787B 35202CDC 60E4616A B623CDBD 230E3AFB
  418616A9 4093E049 4D10AB75 27E86F73 932E35B5 8862FDAE 0275156F 719BB2F0
  D697DF7F 28
        quit
crypto pki certificate chain rsaca-mytrustpoint
certificate 39
  30820386 3082026E A0030201 02020139 300D0609 2A864886 F70D0101 0B050030
  61310B30 09060355 04061302 5553310B 30090603 5504080C 024E4331 0C300A06
  03550407 0C035254 50310E30 0C060355 040A0C05 43495343 4F310C30 0A060355
  040B0C03 53544F31 19301706 03550403 0C107273 6163612E 65726368 616F2E63
  6F6D301E 170D3136 30393031 32313037 34335A17 0D313730 39303132 31303734
  335A301D 311B3019 06035504 03131269 73652D35 3932312E 63697363 6F2E636F
  6D308201 22300D06 092A8648 86F70D01 01010500 0382010F 00308201 0A028201
  0100EE87 CABFBA18 7E0405A8 ACAAAB23 E7CB6109 2CF98BAE 8EE93536 BF1EBBD3
  73E60BE7 F430B5AF EBF8B0C5 969B2828 A6783BB4 64E333E4 29C8744E 6E783617
  194AF1B0 7F04B4EA B89FD6EB F9C4F2DD 196DC6E0 CAA49B8B 665B6E0D 2FBC1D2F
  8E8181B9 60FAE126 D1B2E4E4 1F321A97 10C1B76A C2BB3174 361B13FA 2CB7BDFE
  22C0C33F 2792D714 C41E2237 00B1AE49 6593DCC3 A799D526 D81F9706 A71DA14E
  5ED76038 7A2C84B4 C668E35C 337BA1DC 9CA56AC2 C8E0059F 660CE39C 925310A0
  F9A21FFB 3C3C507A 20B924F7 E0125D60 6552321C 35736079 42449401 15E68DA6
  B4776DAA FB5AFDF8 59E31373 263175E3 1F14416A 24C21D69 A46173B6 96CC84FB
  5B9D0203 010001A3 818C3081 89300906 03551D13 04023000 302C0609 60864801
  86F84201 0D041F16 1D4F7065 6E53534C 2047656E 65726174 65642043 65727469
  66696361 7465301D 0603551D 0E041604 146DD31C 03690B98 330B67FA 6EDC7B20
  F99FB924 60301F06 03551D23 04183016 8014966A 0C21AF96 3E827690 423599CC
  EE8087A1 2909300E 0603551D 0F0101FF 04040302 05A0300D 06092A86 4886F70D
  01010B05 00038201 0100C0B9 D2845D97 6FFC16DB 01559659 BC1DECA6 E1A01965
  1F6CD459 E03D7ABE 91179FEB 08BF5B9B 84B62C36 236F528E E30C921C 81DA29E1
  EA3DFDC1 B0B0EEBA 14EADAEC 078576E4 D643A0EF 7D8E0880 C5FC3965 811B08C0
  5696DBF5 FADA4092 ACF549B8 2257F508 636D52AA 6CDC9596 AB43313F 6C33C9C1
  2CFDDBE3 EA9D407C 8D1B0F49 BBACD0CD 2832AC12 CD3FEFC8 501E1639 A4EFDC27
  69CA0147 971A1B2D DB2758E6 A84AFC86 4F9A4942 3D7EDBCC 7BDCC1BB 61F69B31
  BF13E39B 10AAC31C 55E73C8B C30BE516 7C506FF4 AC367D94 814A6880 EF201A6D
  CD2E1A95 7BBEC982 01CE867D 931F56E1 1EF1C457 9DC9A0BE 9DB2DC9B 19873585
  89AE82F6 A37E51D6 EECD
        quit
certificate ca 008DD3A81106B14664
  308203A2 3082028A A0030201 02020900 8DD3A811 06B14664 300D0609 2A864886
  F70D0101 05050030 61310B30 09060355 04061302 5553310B 30090603 5504080C
  024E4331 0C300A06 03550407 0C035254 50310E30 0C060355 040A0C05 43495343
  4F310C30 0A060355 040B0C03 53544F31 19301706 03550403 0C107273 6163612E
  65726368 616F2E63 6F6D301E 170D3135 31303231 32313135 34335A17 0D323531
  30313832 31313534 335A3061 310B3009 06035504 06130255 53310B30 09060355
  04080C02 4E43310C 300A0603 5504070C 03525450 310E300C 06035504 0A0C0543
  4953434F 310C300A 06035504 0B0C0353 544F3119 30170603 5504030C 10727361
  63612E65 72636861 6F2E636F 6D308201 22300D06 092A8648 86F70D01 01010500
  0382010F 00308201 0A028201 0100CB82 2AECEE38 1BCB27B9 FA5F2FBD 8609B190
  16A6F741 5BEC18B8 8B260CAF 190EA1CE 063BC558 556DC085 6FAC5425 14AFE225
  0E9E3A12 05F3DA7E D17E03F2 7FFE92FB 38D67027 DBC5C175 EB53E96B 66C20D11
  B4C32D38 AE04385C 8FD4CB74 31A97824 CA1CAFD5 091806C3 6F9CBF8D DC42DD5B
  D985703D F3BB9ED1 7DE99614 422D765C 86AB25CD E80008C5 22049BE8 66D1CA27
  E1EB6D4F 4FD3CC18 E091BBF0 6FE0EB52 B33F231A 6D6B7190 4196C929 D22E2C42
  B9CD2BBD 24550E82 8CD8838F C41B4DAD 2FA1636A 5787BBB2 F21E4718 335B005B
  DFBE6EA7 56EBE30B D52DE85F FFAF0189 E372CBFC 44BFF235 4DA7C9EF DAAC6D0A
  A196DA5A 1B525175 C26B3581 EA4B0203 010001A3 5D305B30 1D060355 1D0E0416
  0414966A 0C21AF96 3E827690 423599CC EE8087A1 2909301F 0603551D 23041830
  16801496 6A0C21AF 963E8276 90423599 CCEE8087 A1290930 0C060355 1D130405
  30030101 FF300B06 03551D0F 04040302 02A4300D 06092A86 4886F70D 01010505
  00038201 01002334 A3F0E5D3 4D229985 67A07754 73EC52E3 05B7D05F 926CC863
  220F849B 861C36B2 EF7C3485 474D4EF0 73895879 CAE08BBB 183B7CFA A20C4354
  86C6D9DF D445DACE C252C608 236F6673 F3F3C329 474B22E8 660BF91E 41054B8D
  43B80E44 AE69C164 2C9F41A2 8284F577 21FFAB8E A6771A5E DD34EBE4 A0DC2EAD
  95702010 02964566 478DA90F 5E134643 81A5F5EA 362D0394 1F9F23D1 DEE50B07
  12938299 1AF11A36 82DAFC6A 164B2F66 8B0AB7CC 9A723EBC B50E740B 0A9270E3
  60E2ED42 7F10D1A6 F6735144 AE93BF86 3D5A0502 6811D2BD 6E694693 28DE84C5
  3747CF0A D2B8D6C9 6CBEBA0A D1137CF8 E31CBF6B 437D82DD D74A4A9F 3557B3D9
  D0BD055F 65A8
        quit
license udi pid CISCO5921-K9 sn 9XG4481W768
username lab password 0 lab
!
redundancy
!
crypto keyring MVPN-spokes
rsa-pubkey address 0.0.0.0
  address 0.0.0.0
  key-string
  quit
!     
crypto isakmp policy 10
encr aes
hash sha256
group 16
!
crypto isakmp policy 20
encr aes
hash sha256
group 14
crypto isakmp profile MVPN-profile
   description LAN-to-LAN for spoke router(s) connection
   keyring MVPN-spokes
   match identity address 0.0.0.0
!
crypto ipsec transform-set radius esp-aes esp-sha256-hmac
mode tunnel
crypto ipsec transform-set radius-2 esp-aes esp-sha256-hmac
mode transport
!
crypto dynamic-map MVPN-dynmap 10
set transform-set radius radius-2
!
crypto map radius 10 ipsec-isakmp dynamic MVPN-dynmap
!
interface Ethernet0/0
description e0/0->connection to external NAD
ip address 192.168.20.1 255.255.255.0
ip nat outside
ip virtual-reassembly in
no ip route-cache
crypto map radius
!
interface Ethernet0/1
description e0/1->tap0 internal connection to ISE
ip address 10.1.1.1 255.255.255.252
ip nat inside
ip virtual-reassembly in
no ip route-cache
!
interface Ethernet0/2
no ip address
shutdown
!
interface Ethernet0/3
no ip address
shutdown
!
ip forward-protocol nd
!
no ip http server
no ip http secure-server
ip nat inside source list 1 interface Ethernet0/0 overload
ip nat inside source static udp 10.1.1.2 1645 interface Ethernet0/0 1645
ip nat inside source static udp 10.1.1.2 1646 interface Ethernet0/0 1646
ip nat inside source static udp 10.1.1.2 1812 interface Ethernet0/0 1812
ip nat inside source static udp 10.1.1.2 1813 interface Ethernet0/0 1813
!
access-list 1 permit 10.1.1.0 0.0.0.3
!
control-plane
!
line con 0
logging synchronous
line aux 0
line vty 0 4
login
transport input none
!
end

以下是在思科 Catalyst 3850 系列交换机上配置和安装 X.509 证书时显示的输出示例: 

cat3850#show running-config

enable password lab
!
username lab password 0 lab
aaa new-model

!

aaa group server radius ise
server name ise-vm
deadtime 60
!
aaa authentication login default group radius local

aaa authentication enable default group radius enable

!

crypto isakmp policy 10

encr aes

hash sha256
authentication rsa-sig
group 16       
!
crypto ipsec security-association lifetime seconds 86400
!
crypto ipsec transform-set radius esp-aes esp-sha256-hmac 
mode tunnel

!

crypto ipsec profile radius-profile

!

crypto map radius 10 ipsec-isakmp 
set peer 192.168.20.1
set transform-set radius 

match address 100 

!

interface GigabitEthernet1/0/1
no switchport
ip address 192.168.20.2 255.255.255.0

crypto map radius 

!
access-list 100 permit ip host 192.168.20.2 host 192.168.20.1
!
snmp-server community public RO
snmp-server community private RW
!
radius server rad-ise
address ipv4 192.168.20.1 auth-port 1645 acct-port 1646

key secret

示例:思科 Catalyst 3850 系列交换机上预共享密钥配置的输出

以下是在思科 Catalyst 3850 系列交换机上配置预共享密钥时显示的输出示例:

cat3850#show running-config

enable password lab
 !
 username lab password 0 lab
 aaa new-model
 !
 aaa group server radius ise
 server name ise-vm
 deadtime 60
 !
 aaa authentication login default group radius local

 aaa authentication enable default group radius enable

!

crypto isakmp policy 10

 encr aes

 hash sha256
 authentication pre-share
 group 16
 crypto isakmp key 123456789 address 0.0.0.0        
 !
 crypto ipsec security-association lifetime seconds 86400
 !
 crypto ipsec transform-set radius esp-aes esp-sha256-hmac 
 mode tunnel
 !
 crypto ipsec profile radius-profile
 !
 crypto map radius 10 ipsec-isakmp 
 set peer 192.168.20.1
 set transform-set radius 
 match address 100 
!
interface GigabitEthernet1/0/1
 no switchport
 ip address 192.168.20.2 255.255.255.0

 crypto map radius 
!
 access-list 100 permit ip host 192.168.20.2 host 192.168.20.1
 !
 snmp-server community public RO
 snmp-server community private RW
 !
 radius server rad-ise
 address ipv4 192.168.20.1 auth-port 1645 acct-port 1646

 key secret

移动设备管理器与思科 ISE 的互操作性

移动设备管理 (MDM) 服务器保护、监控、管理和支持跨移动运营商、服务提供商和企业部署的移动设备。传统上,MDM 服务器仅支持移动设备。某些 MDM 服务器现在管理网络中的所有类型的设备(移动电话、平板电脑、笔记本电脑和台式机),称为统一终端管理 (UEM) 服务器。MDM 服务器作为策略服务器运行,用于控制移动设备上的某些应用(例如,电子邮件应用)在部署环境中的使用。思科 ISE 向连接的 MDM 服务器查询可用于创建网络授权策略的各种属性的相关信息。

您可以在网络上运行多个活动 MDM 服务器,来自不同供应商的 MDM 服务器。这样,您就可以根据位置或设备类型等设备因素,将不同的终端路由到不同的 MDM 服务器。

思科 ISE 还使用思科 MDM 服务器信息 API 版本 2 和更高版本与 MDM 服务器集成,以便允许设备通过思科 AnyConnect 4.1 和思科自适应安全设备 9.3.2 或更高版本,利用 VPN 访问网络。

在此示例图中,思科 ISE 是执行点,而 MDM 策略服务器是策略信息点。思科 ISE 从 MDM 服务器获取数据,以提供完整的解决方案。

图 3. MDM 与思科 ISE 的互通性

配置思科 ISE,使其与一个或多个外部 MDM 服务器进行互操作。通过设置此类第三方连接,您可以使用 MDM 数据库中的详细信息。思科 ISE 使用 REST API 调用,从外部 MDM 服务器检索信息。思科 ISE 将相应的访问控制策略应用到交换机、接入路由器、无线接入点和其他网络接入点。策略可以让您能够更好地控制访问支持思科 ISE 的网络的远程设备。

有关思科 ISE 支持的 MDM 供应商的列表,请参阅支持的统一终端管理和移动设备管理服务器

支持的移动设备管理使用情形

思科 ISE 与外部 MDM 服务器联合执行以下功能:

  • 管理设备注册:访问网络的未注册终端会重定向到 MDM 服务器上托管的注册页面。设备注册包括用户角色、设备类型等。

  • 处理设备补救 :在补救期间向终端授予有限访问权限。

  • 增强终端数据:使用来自 MDM 服务器的信息更新终端数据库,这些信息是无法使用思科 ISE 分析服务收集的。思科 ISE 使用可在 终端 窗口中查看的多个设备属性。在思科 ISE GUI 中,单击菜单图标 () 并选择 工作中心 (Work Centers) > 网络访问 (Network Access) > 身份 (Identities) > 终端 (Endpoints)

    以下是可用设备属性的示例。

  • MDMImei: xx xxxxxx xxxxxx x

  • MDMManufacturer: Apple

  • MDMModel: iPhone

  • MDMOSVersion: iOS 6.0.0

  • MDMPhoneNumber: 5550100

  • MDMSerialNumber: DNPGQZGUDTFx

  • 每 4 小时轮询一次 MDM 服务器,获取设备合规性数据。在外部 MDM 服务器 (External MDM Servers) 窗口中配置轮询间隔。(要查看此窗口,单击菜单图标 () 并选择工作中心 (Work Centers) > 网络访问 (Network Access) > 网络资源 (Network Resources) > 外部 MDM 服务器 (External MDM Servers)

  • 通过 MDM 服务器发出设备指示:思科 ISE 通过 MDM 服务器发出针对用户设备的远程操作。通过终端 (Endpionts) 窗口从思科 ISE 管理门户发起远程操作。要查看此处窗口,单击菜单图标 () 并选择情景可视性 (Context Visibility) > 终端 (Endpoints)。选中 MDM 服务器旁的复选框,然后点击 MDM 操作 (MDM Actions)。从显示的下拉列表中选择所需的操作。

供应商 MDM 属性

在思科 ISE 中配置 MDM 服务器时,思科 ISE 会查询 MDM 服务器以获取设备属性信息,并将该信息添加到 MDM 系统词典。以下属性用于注册状态,通常受 MDM 供应商支持。

思科 ISE 使用 API 向 MDM 服务器查询所需的设备属性。思科 ISE 版本 3.1 及更高版本支持 MDM API 版本 3。版本 3 API 包括允许思科 ISE 向 MDM 服务器发送查询的 API,以帮助思科 ISE 识别使用 MAC 地址随机化的终端。思科 ISE 向 MDM 服务器查询以下属性:

  • GUID:唯一的设备标识符,用于代替 MAC 地址来标识设备。

  • MAC 地址:UEM 或 MDM 服务器为特定设备记录的 MAC 地址列表。一台设备最多可共享五个 MAC 地址。

如果 MDM 服务器未提供所需属性的值,思科 ISE 将使用下表中提到的默认值填充属性字段。

表 15. MDM 属性和值

属性名称

属性词典

默认值

预期来自 UEM 或 MDM 服务器的数据

预期来自 Microsoft SCCM 服务器的数据

DaysSinceLastCheckin

从 MDM API 版本 3 开始支持

MDM

自用户上次签入设备或将设备与 UEM 或 MDM 服务器同步以来的天数。有效范围为 1 至 365 天。

自用户上次签入设备或将设备与 SCCM 服务器同步以来的天数。有效范围为 1 至 365 天。

DeviceCompliantStatus

MDM

不合规

合规非合规

合规非合规

DeviceRegisterStatus

MDM

已注销

已注册已注销

已注册已注销

DiskEncryptionStatus

MDM

熄灭

开启关闭

开启关闭

IMEI

MDM

设备的 IMEI 编号。

不适用。

JailBrokenStatus

MDM

不间断

可访问无法访问

可访问无法访问

MDM 失败原因

MDM

设备故障原因。

设备故障原因。

MDMServerName

MDM

服务器的名称。

服务器的名称。

MDMServerReachable

MDM

可访问

可访问无法访问

可访问无法访问

MEID

MDM

设备的 MEID 值。

不适用。

Manufacturer

MDM

设备制造商的名称。

不适用。

型号

MDM

设备型号的名称。

不适用。

OsVersion

MDM

设备的操作系统版本。

不适用。

无法

MDM

设备的电话号码。

不适用。

PinLockStatus

MDM

熄灭

开启关闭

不适用。

SerialNumber

MDM

设备的序列号。

不适用。

服务器类型

MDM

移动设备管理器服务器的 MDM

桌面设备管理器服务器的 DM

桌面设备管理器服务器的 DM

UDID

MDM

设备的 UDID 编号。

不适用。

UserNotified

MDM

不支持

不适用。

GUID

从 MDM API 版本 3 开始支持

非字典属性

GUID 是用于标识设备的唯一设备标识符,而不是设备的 MAC 地址、UDID、MEID 或 IMEI 值。GUID 模板为 GUID:MDM-ID-Name:Value

GUID 值由 MDM 服务器生成和提供,而不是由思科 ISE 生成和提供。

不适用。

Macaddresses

从 MDM API 版本 3 开始支持

非字典属性

UEM 或 MDM 服务器为特定设备记录的 MAC 地址列表。一台设备最多可以共享五个 MAC 地址。

Macaddresses 值由 MDM 服务器生成和提供,而不是由思科 ISE 生成和提供。

不适用。

如果不支持供应商的唯一属性,可以使用 ERS API 来交换供应商特定属性。请查阅供应商的文档,了解有关支持的 ERS API 的信息。

新 MDM 字典属性可以在授权策略中使用。

支持的统一终端管理和移动设备管理服务器

支持的 MDM 服务器包括来自以下供应商的产品:

  • Absolute

  • Blackberry - BES

  • Blackberry - Good Secure EMM

  • Cisco Meraki 系统管理器

  • Citrix XenMobile 10.x (On-Prem)

  • Globo

  • IBM MaaS360

  • Ivanti(以前被称为 MobileIron UEM)、核心和云 UEM 服务

    对于在思科 ISE 3.1 中处理随机和更改 MAC 地址的使用案例,您必须集成 MobileIron Core 11.3.0.0 Build 24 以及更高版本才能接收 GUID 值。

    某些版本的 MobileIron 不适用于思科 ISE。MobileIron 已了解此问题,并已修复。请联系 MobileIron 了解更多信息。

  • JAMF Casper Suite

  • Microsoft Endpoint Configuration Manager

  • Microsoft Endpoint Manager Intune

  • Mosyle

  • SAP Afaria

  • Sophos

  • SOTI MobiControl

  • Symantec

  • Tangoe

  • VMware Workspace ONE(之前称为 AirWatch)

  • 42Gears

有关为了将服务器与思科 ISE 集成而必须在终端管理服务器中执行的配置,请参阅将 UEM 和 MDM 服务器与思科 ISE 集成

ISE 社区资源

何操作方法:Meraki EMM/MDM 与 ISE 集成

移动设备管理服务器使用的端口

下表列出思科 ISE 和 MDM 服务器之间要相互通信必须打开的端口。有关必须在 MDM 代理和服务器上打开的端口的列表,请参阅 MDM 供应商的文档。

表 16. MDM 服务器使用的端口

MDM 服务器

端口

MobileIron

443

Zenprise

443

Good

19005

Airwatch

443

Afaria

443

Fiberlink MaaS

443

Meraki

443

Microsoft Intune

80 和 443

Microsoft SCCM

80 和 443

移动设备管理集成流程

  1. 用户将设备与 SSID 关联。

  2. ISE 向 MDM 服务器发出 API 调用。

  3. 此 API 调用会返回用户的设备列表和这些设备的终端安全评估状态。


    输入参数是终端设备的 MAC 地址。对于异地 Apple iOS 设备(通过 VPN 连接到思科 ISE 的任何设备),输入参数为 UDID。

  4. 如果用户的设备不在此列表中,意味着该设备未注册。思科 ISE 向 NAD 发送授权请求以重定向至思科 ISE。系统会向用户显示 MDM 服务器页面。

    对于在思科 ISE 网络之外注册到 MDM 服务器上的设备,必须通过 MDM 门户对其进行注册。这适用于思科 ISE 1.4 及更高版本。在之前的思科 ISE 版本中,如果在启用思科 ISE 的网络外部注册的设备符合终端安全评估策略,将自动对其进行注册。

  5. 思科 ISE 使用 MDM 调配设备并向用户显示相应的页面供其注册设备。

  6. 用户在 MDM 服务器中注册设备,然后 MDM 服务器通过自动重定向或手动刷新浏览器将此请求重定向至思科 ISE。

  7. 思科 ISE 重新查询 MDM 服务器获取安全评估状态。

  8. 如果用户的设备不符合 MDM 服务器上配置的终端安全评估(合规性)策略,系统会向用户告知设备不合规。用户必须采取必要的措施来确保设备合规。

  9. 用户设备合规后,MDM 服务器会在其内部表中更新设备状态。

  10. 如果用户现在刷新浏览器,思科 ISE 将恢复控制。

  11. 思科 ISE 每四小时轮询 MDM 服务器一次,以获取合规性信息并发出适当的授权更改 (CoA)。您可以配置轮询间隔。思科 ISE 还会每五分钟检查一次 MDM 服务器以确保其可用。

下图说明 MDM 流程。


一个设备一次只能向一台 MDM 服务器注册。如果您要向其他供应商的 MDM 设备注册同一设备,用户必须删除设备上的前供应商的配置文件。MDM 服务通常提供“公司擦除”功能,仅删除设备的供应商配置(而不是整个设备)。用户还可以删除文件。例如,在 iOS 设备上,用户可以转到“设置”(Settings) >“常规”(General) >“设备管理”(Device management) 窗口,然后点击移除管理 (Remove Management)。或者,用户可以转到思科 ISE 中的我的设备门户,然后单击公司擦除 (Corporate Wipe)

通过移动设备管理服务器处理随机和不断变化的 MAC 地址

配置思科 ISE 以识别通过唯一设备标识符而不是 MAC 地址连接到 MDM 服务器的终端,以避免使用随机和不断变化的 MAC 地址导致的问题。作为一种隐私措施,移动设备越来越多地将随机且不断变化的 MAC 地址用于其连接的每个 SSID。某些桌面操作系统还为用户提供了定期对 MAC 地址进行随机化的功能。这意味着终端会向 MDM 服务器和思科 ISE 提供不同的 MAC 地址。因此,当 MDM 服务器和思科 ISE 集成并为终端发起操作时,会由于两个系统中终端身份的差异而出现问题。

要解决此问题,可以将思科 ISE 配置为使用唯一设备标识符而不是 MAC 地址。当终端向 MDM 服务器注册时,MDM 服务器就会向终端发送带有 GUID 值的证书。终端会使用此证书对思科 ISE 进行身份验证。思科 ISE 会从证书接收终端的 GUID。思科 ISE 和 MDM 服务器之间的所有通信现在都会使用 GUID 来识别终端,从而确保两个系统之间的准确性和一致性。

请注意,GUID 仅适用于基于证书的身份验证方式。您必须将 MDM 或 UEM 服务器颁发的证书配置为在 SAN URI 或 CN 字段中包含 GUID。我们建议为 GUID 配置 SAN URI 字段。如果使用同一证书对连接到 Active Directory 的终端进行身份验证,则 CN 字段中存在 GUID 可能会导致问题。

仅使用用户名和密码的基本身份验证方式将无法利用基于 GUID 的解决方案。

思科 ISE MDM API 已更新(思科 ISE MDM API 版本 3)以便于收集和管理 GUID 数据。

为连接的 MDM 服务器配置 GUID

要检查已连接到思科 ISE 的 MDM 服务器是否支持最新的思科 ISE MDM API 并可以发送 GUID 信息,请执行以下步骤:

  1. 在思科 ISE GUI 中,单击菜单 图标 (),然后选择 管理 (Administration) > 网络资源 (Network Resources) > 外部 MDM (External MDM)

  2. MDM 服务器 (MDM Servers) 窗口中,选中要更新的 MDM 服务器的复选框,然后单击编辑 (Edit)

  3. 单击测试连接 (Test Connection)

  4. 如果 MDM 服务器支持思科 ISE MDM API 版本 3,则会显示一个名为设备标识符 (Device Identifiers) 的新部分。

    选中您要启用的一个或多个以下选项的复选框:

    • Cert - SAN URI, GUID

    • Cert - CN, GUID

    • 旧版 MAC 地址

    您可以拖放选项,按偏好的顺序来排列这些选项。例如,如果先放 Cert-SAN URI, GUID 后放 Cert-CN, GUID,则思科 ISE 会首先向 MDM 服务器查询终端的 SAN URI 和 GUID 属性。如果请求的属性不可用,思科 ISE 将查询终端的 CN 和 GUID 属性。

  5. 点击保存

通过 pxGrid 共享 GUID

思科 ISE 可以通过 pxGrid 与其他思科解决方案共享此 GUID 信息。例如,您可以通过 pxGrid 主题与部署中的思科 DNA 中心共享从 MDM 服务器接收的 GUID。

使用思科 ISE 设置移动设备管理服务器

要使用思科 ISE 设置 MDM 服务器,您必须执行以下高级任务:

Procedure

Step 1

将 MDM 服务器证书导入思科 ISE,但 Intune 除外,后者需将策略管理节点 (PAN) 的证书导入 Azure
Step 2

创建移动设备管理器定义。
Step 3

在无线 LAN 控制器上配置 ACL。

Step 4

配置将非注册设备重定向到 MDM 服务器的授权配置文件。

Step 5

如果网络上有多个 MDM 服务器,请为每个供应商配置单独的授权配置文件。

Step 6

为 MDM 使用案例配置授权策略规则。

将移动设备管理服务器证书导入思科 ISE

要使思科 ISE 连接 MDM 服务器,您必须将 MDM 服务器证书导入思科 ISE 受信任证书库。如果您的 MDM 服务器有一个 CA 签名的证书,您必须将根证书导入思科 ISE 受信任证书库。


对于 Microsoft Azure,请将思科 ISE 证书导入 Azure。请参阅将 Microsoft Intune 作为移动设备管理服务器连接到思科 ISE

过程

步骤 1

从您的 MDM 服务器导出 MDM 服务器证书并将其保存至您的本地计算机上。

步骤 2

在思科 ISE GUI 中,单击菜单图标 () 并选择管理 (Administration) > 系统 (System) > 证书 (Certificates) > 受信任证书 (Trusted Certificate) > 导入 (Import)
步骤 3

将新证书导入证书库 (Import a new Certificate into the Certificate Store) 窗口中,点击选择文件 (Choose File),选择从 MDM 服务器获取的 MDM 服务器证书。

步骤 4

友好名称 (Friendly Name) 字段中,输入证书名称。

步骤 5

选中信任 ISE 中的身份验证 (Trust for authentication within ISE) 复选框。

步骤 6

点击 Submit
步骤 7

确认信任证书 (Trust Certificates) 窗口列出新添加的 MDM 服务器证书。

在思科 ISE 中定义设备管理服务器

在思科 ISE 中定义移动和桌面设备管理服务器,以便让思科 ISE 与所需的服务器通信。您可以配置用于与服务器通信的身份验证类型、思科 ISE 从设备管理服务器请求设备信息的频率等。

要定义移动管理服务器,请参阅在思科 ISE 中配置移动设备管理服务器

要定义 Microsoft System Center Configuration Manager (SCCM) 服务器,请参阅将新的桌面设备管理器服务器添加到思科 ISE

在思科 ISE 中配置移动设备管理服务器

向思科 ISE 提供终端信息的第一个 MDM 服务器显示在 情景可视性 > 终端 窗口中的终端信息中。当终端与其他 MDM 服务器连接时,MDM 服务器信息不会自动更新。您必须从 情景可视性 窗口中删除终端,然后终端必须与 MDM 服务器重新连接,以便 情景可视性 窗口显示更新的信息。

下图显示了在此任务期间必须使用的思科 ISE GUI 字段。图中的编号对应于以下任务中的步骤编号。

图 4. 在思科 ISE 中添加 MDM 服务器

过程

步骤 1

在思科 ISE GUI 中,单击菜单 图标 (),然后选择 管理 (Administration) > 网络资源 (Network Resources) > 外部 MDM (External MDM)
步骤 2

MDM 服务器 窗口中,点击 添加
步骤 3

在相应的字段中输入要添加的 MDM 服务器的名称和说明。
步骤 4

服务器类型 (Server Type) 下拉列表中,选择移动设备管理器 (Mobile Device Manager)
步骤 5

身份验证类型 (Authentication Type) 下拉列表中,选择基础 (Basic)OAuth-客户端凭证 (OAuth - Client Credentials)

如果选择基础 (Basic) 身份验证类型,则会显示以下字段:

  • 主机名/IP 地址 (Host Name/IP Address):输入 MDM 服务器主机名或 IP 地址。

  • 端口:指定连接至 MDM 服务器时要使用的端口,通常为 443。

  • 实例名称 (Instance Name):如果此 MDM 服务器有多个实例,应输入要连接到的实例。

  • 用户名 (Username):输入连接到 MDM 服务器时必须使用的用户名。

  • 密码 (Password):输入连接到 MDM 服务器所必须使用的密码。

如果您选择 OAuth-客户端凭证 (OAuth - Client Credentials) 身份验证类型,则会显示以下字段:

  • 自动发现 (Auto Discovery) 下拉列表中,选择是 (Yes)否 (No)

  • 自动发现 URL:输入 Microsoft Azure 管理门户中的 Microsoft Azure AD 图形 API 终端值。此 URL 是应用可使用图形 API 访问 Microsoft Azure AD 中的目录数据的终端。有关详细信息,请参阅 将 MDM 和 UEM 服务器与思科 ISE 集成

  • 客户端 ID (Client ID):应用的唯一标识符。如果应用访问其他应用中的数据,如 Microsoft Azure AD Graph API、Microsoft Intune API 等,则需要使用此属性。

  • 颁发令牌的 URL:输入 Oauth2.0 授权终端值。在该终端上,思科 ISE 可以使用 OAuth2.0 获得访问令牌。

  • 令牌受众 (Token Audience):令牌面向的接收资源,通常为指向 Microsoft Intune API 的公共知名 APP ID URL

合规性设备重新身份验证查询的时间间隔 (Time Interval For Compliance Device ReAuth Query):当终端通过身份验证或重新进行身份验证时,思科 ISE 使用缓存获取该终端的 MDM 变量。如果缓存值的期限高于该字段中配置的值,则思科 ISE 会向 MDM 服务器进行设备查询以获取新值。如果合规性状态已变化,则思科 ISE 会触发相应的 CoA。有效范围为 1 到 10080 分钟。默认值为 1 分钟。

轮询间隔:输入思科 ISE 轮询 MDM 服务器以获取合规性检查信息的轮询间隔(以分钟为单位)。此值应与 MDM 服务器上的轮询间隔相同。有效范围为 15 至 1440 分钟。默认值为 240 分钟。我们建议您在生产环境中将轮询间隔设置为 60 分钟以上,以最大限度地减少因大量不合规终端而可能产生的任何性能影响。

如果将轮询间隔设置为 0,则思科 ISE 会禁用与 MDM 服务器的投票。

 

如果外部 MDM 服务器收到来自超过 20000 个不合规终端的请求,则外部 MDM 服务器轮询间隔会被自动设置为 0。您还会在思科 ISE 上收到以下警报:

MDM 合规性轮询已禁用:原因是定期合规性轮询收到大量不合规设备信息。
步骤 6

状态 下拉列表中,选择 已启用
步骤 7

要验证 MDM 服务器是否已连接到思科 ISE,请点击 测试连接。请注意 测试连接 并非旨在检查所有使用案例的权限(获取基准、获取设备信息等)。这些在服务器添加到思科 ISE 时进行验证。

图 5. 在思科 ISE 中添加 MDM 服务器

如果您配置的 MDM 服务器支持思科 ISE MDM API 版本 3,并且可以与思科 ISE 共享属性 GUID,则会显示设备标识符 (Device Identifiers) 区域。有关详细信息,请参阅通过移动设备管理服务器处理随机和不断变化的 MAC 地址

选中要启用的一个或多个以下选项的复选框,然后将每个选项拖放到其位置以便按优先顺序进行排列:

  • Cert - SAN URI, GUID

  • Cert - CN, GUID

  • 旧版 MAC 地址
步骤 8

点击保存

思科 ISE 移动设备管理对 Microsoft Intune 和 Microsoft System Center Configuration Manager 的支持

  • Microsoft Intune:思科 ISE 支持 Microsoft Intune 设备管理,将其作为伙伴 MDM 服务器来管理移动设备。

    在管理移动设备的 Microsoft Intune 服务器上配置思科 ISE 作为 OAuth 2.0 客户端应用。思科 ISE 从 Azure 获取令牌,以便与思科 ISE Intune 应用建立会话。

    有关 Microsoft Intune 如何与客户端应用通信的信息,请参阅 https://msdn.microsoft.com/en-us/library/azure/dn645543.aspx

  • 桌面设备管理器 (Microsoft SCCM):思科 ISE 支持 Microsoft System Center Configuration Manager (SCCM),将其作为伙伴 MDM 服务器来管理 Windows 计算机。思科 ISE 使用 WMI 从 Microsoft SCCM 服务器检索合规性信息,并使用该信息向用户 Windows 设备授予或拒绝网络访问权限。

    有关 Microsoft SCCM 集成的性能和可扩展性信息,请参阅 配置管理器的规模和规模数字。Microsoft 使用基于组件对象模型 (COM) 的 Windows Management Instrumentation (WMI) 接口,这会导致可扩展性限制。

Microsoft SCCM 工作流程

思科 ISE 会从 Microsoft SCCM 服务器检索有关设备是否注册的信息。如果终端已注册,思科 ISE 将检查其合规性状态。下图显示了 Microsoft SCCM 管理的设备的工作流程。

图 6. SCCM 工作流程


当设备连接网络并且与 Microsoft SCCM 策略匹配时,思科 ISE 会查询相关的 SCCM 服务器,以检索合规性和最后登录(签入)时间。借助这些信息,思科 ISE 可在终端 (Endpoint) 列表中更新设备合规状态和 lastCheckinTimeStamp。

如果设备不符合或未在 Microsoft SCCM 服务器上注册,并且授权策略使用重定向配置文件,则会向用户显示一条消息,说明设备不符合要求或未向 Microsoft SCCM 注册。在用户确认该消息后,思科 ISE 会向 Microsoft SCCM 注册站点发出 CoA。可根据授权策略和配置文件授予用户访问权限。

Microsoft SCCM 服务器连接监控

您无法为 Microsoft SCCM 配置轮询间隔。

思科 ISE 运行 MDM 心跳作业以验证与 Microsoft SCCM 服务器的连接,如果思科 ISE 断开了与 Microsoft SCCM 服务器的连接,则会发出警报。无法配置心跳作业间隔。

Microsoft System Center Configuration Manager 策略集示例

以下新字典条目在策略中用于支持 Microsoft SCCM。

  • MDM.DaysSinceLastCheckin:自用户最后使用 Microsoft SCCM 签入或同步设备以来的天数。此值可以介于 1 至 365 天之间。

  • MDM.UserNotified:有效值为 YN。该值指示是否通知用户其设备未注册。然后,您可以允许用户有限地访问网络,然后将他们重定向到注册门户,或者拒绝他们访问网络。

  • MDM.ServerType:有效值为 MDM,表示 MDM 服务器,以及 DM,表示桌面设备管理。

以下是支持 Microsoft SCCM 的策略集示例。

策略名称

如果

过去

SCCM_Comp

Wireless_802.1X AND

MDM:MDMServerName EQUALS SccmServer1 AND

MDM:DeviceRegisterStatus EQUALS Registered

PermitAccess

SCCM_NonComp_Notify

Wireless_802.1X AND

MDM:MDMServerName EQUALS SccmServer1 AND

MDM:DeviceCompliantStatus EQUALS NonCompliant AND

MDM:UserNotified EQUALS 28

PermitAccess

SCCM_NonComp_Days

Wireless_802.1X AND

MDM:MDMServerName EQUALS SccmServer1 AND

MDM:MDMDeviceCompliantStatus EQUALS Registered AND

MDM:DaysSinceLastCheckin EQUALS 28

SCCM_Redirect

SCCM_NonComp

Wireless_802.1X AND

MDM:MDMServerName EQUALS SccmServer1 AND

MDM:DeviceCompliantStatus EQUALS NonCompliant AND

MDM:DeviceRegisterStatus EQUALS Registered

SCCM_Redirect

SCCM_UnReg_Notify

Wireless_802.1X AND

MDM:DeviceRegisterStatus EQUALS Registered AND

MDM:UserNotified EQUALS Yes

PermitAccess

为思科 ISE 配置 Microsoft System Center Configuration Manager Server

思科 ISE 使用 Windows 管理规范 (WMI) 与 Microsoft SCCM 服务器通信。在运行 Microsoft SCCM 的 Windows 服务器上配置 WMI。


用于思科 ISE 集成的用户账号必须符合以下条件之一:

  • 成为 SMS 管理员用户组的成员。

  • 具有与 WMI 命名空间下的 SMS 对象相同的权限: 
    root\sms\site_<sitecode>
    其中,sitecode 是 Microsoft SCCM 站点。

为域管理员组中的 Microsoft Active Directory 用户设置权限

默认情况下,对于 Windows Server 2008 R2、Windows Server 2012 和 Windows Server 2012 R2,域管理员组对 Windows 操作系统中的某些注册表项没有完全控制权限。Microsoft Active Directory 管理员必须给予 Microsoft Active Directory 用户对以下注册表项的完全控制权限:

  • HKEY_CLASSES_ROOT\CLSID\{76A64158-CB41-11D1-8B02-00600806D9B6}

  • HKLM\Software\Classes\Wow6432Node\CLSID\{76A64158-CB41-11D1-8B02-00600806D9B6}

以下 Microsoft Active Directory 版本不需要对注册表进行更改:

  • Windows 2003

  • Windows 2003R2

  • Windows 2008

要授予完全控制权限,Microsoft Active Directory 管理员必须首先获得注册表项的所有权:

过程
步骤 1

右键单击注册表项图标,然后选择所有者 (Owner) 选项卡。

步骤 2

单击 Permissions(权限)
步骤 3

单击高级 (Advanced)

不在域管理员组中的 Microsoft Active Directory 用户的权限

对于 Windows Server 2012 R2,授予 Microsoft AD 用户对以下注册表项的完全控制权限:

  • HKEY_CLASSES_ROOT\CLSID\{76A64158-CB41-11D1-8B02-00600806D9B6}

  • HKLM\Software\Classes\Wow6432Node\CLSID\{76A64158-CB41-11D1-8B02-00600806D9B6}

在 Windows PowerShell 中使用以下命令来检查是否提供了对注册表项的完整权限:

  • get-acl -path "Microsoft.PowerShell.Core\Registry::HKEY_CLASSES_ROOT\CLSID\{76A64158-CB41-11D1-8B02-00600806D9B6}" | format-list

  • get-acl -path "hklm:\Software\Classes\Wow6432Node\CLSID\{76A64158-CB41-11D1-8B02-00600806D9B6}" | format-list

当 Microsoft AD 用户不在域管理员组,但在域用户组中时,还需要以下权限:

只有以下 Active Directory 版本要求具有这些权限:

  • Windows 2003

  • Windows 2003R2

  • Windows 2008

  • Windows 2008 R2

  • Windows 2012

  • Windows 2012 R2

  • Windows 2016

添加注册表项以允许思科 ISE 连接到域控制器

必须手动将一些注册表项添加到域控制器,以允许思科 ISE 以域用户身份进行连接,并检索登录身份验证事件。域控制器或该域中的任何其他机器都不需要代理。

以下注册脚本显示了要添加的密钥。您可以将其复制并粘贴到一个文本文件,并另存为扩展名为 .reg 的文件,然后双击该文件进行注册更改。要添加注册密钥,用户必须是根秘钥的所有者。 

Windows Registry Editor Version 5.00

[HKEY_CLASSES_ROOT\CLSID\{76A64158-CB41-11D1-8B02-00600806D9B6}]
"AppID"="{76A64158-CB41-11D1-8B02-00600806D9B6}"

[HKEY_CLASSES_ROOT\AppID\{76A64158-CB41-11D1-8B02-00600806D9B6}]
"DllSurrogate"="  "

[HKEY_CLASSES_ROOT\Wow6432Node\AppID\{76A64158-CB41-11D1-8B02-00600806D9B6}]
"DllSurrogate"="  "

确保 DllSurrogate 注册表项的值包含两个空格。如果手动更新注册表,必须仅包含两个空格,不包含引号。手动更新注册表时,请确保 AppID、DllSurrogate 及其值中不包含引号。

如前一脚本所示,保留所有空行,包括文件末尾的空行。

在 Windows 命令提示符下使用以下命令,以确认注册表项是否已创建并包含正确值:

  • reg query "HKEY_CLASSES_ROOT\CLSID\{76A64158-CB41-11D1-8B02-00600806D9B6}" /f "{76A64158-CB41-11D1-8B02-00600806D9B6}" /e

  • reg query HKEY_CLASSES_ROOT\AppID\{76A64158-CB41-11D1-8B02-00600806D9B6} /f "  " /e
  • reg query HKEY_CLASSES_ROOT\Wow6432Node\AppID\{76A64158-CB41-11D1-8B02-00600806D9B6} /f "  " /e

在域控制器上使用 DCOM 的权限

用于思科 ISE 被动身份服务的 Microsoft Active Directory 用户必须具有在域控制器服务器上使用 DCOM 的权限。通过 dcomcnfg 命令行工具配置权限。

过程
步骤 1

从命令行运行 dcomcnfg 工具。

步骤 2

扩展组件服务 (Component Services)
步骤 3

扩展计算机 (Computers) > 我的计算机 (My Computer)
步骤 4

从菜单栏中选择操作 (Action),单击属性 (Properties),然后单击 COM 安全性 (COM Security)
步骤 5

思科 ISE 用于访问和启动的帐户必须具有允许权限。将 Microsoft Active Directory 用户添加至所有四个选项(访问权限 (Access Permissions)启动并激活权限 (Launch and Activation Permissions)编辑限制设置 (Edit Limits)编辑默认设置 (Edit Default))。

步骤 6

对于访问权限 (Access Permissions)启动并激活权限 (Launch and Activation Permissions),允许所有本地和远程访问。

图 7. 访问权限的本地和远程访问
图 8. 启动和激活权限的本地和远程访问

设置访问 WMI Root 和 CIMv2 命名空间的权限

默认情况下,Microsoft Active Directory 用户没有对“执行方法”(Execute Methods) 和“远程启用”(Remote Enable) 的权限。您可以使用 wmimgmt.msc MMC 控制台授予访问权限。

过程
步骤 1

选择开始 (Start) > 运行 (Run),然后输入 wmimgmt.msc
步骤 2

右键单击 WMI 控制 (WMI Control) 并单击属性 (Properties)
步骤 3

安全 (Security) 选项卡下,展开根 (Root) 并选择 CIMV2
步骤 4

单击安全 (Security)
步骤 5

添加 Active Directory 用户,并按如下所示配置所需的权限。

为 WMI 访问开放防火墙端口

Microsoft Active Directory 域控制器上的防火墙软件可能会阻止对 WMI 的访问。您可以关闭防火墙,或者允许在特定 IP 地址(思科 ISE IP 地址)访问以下端口:

  • TCP 135:通用 RPC 端口。在执行异步 RPC 呼叫时,侦听此端口的服务告知客户端处理此请求的组件使用哪个端口。

  • UDP 138:NetBIOS 数据报服务

  • TCP 139:NetBIOS 会话服务

  • TCP 445:SMB

    思科 ISE 支持 SMB 2.0。

可以动态分配更高的端口,也可以手动进行配置。我们建议您添加 %SystemRoot%\System32\dllhost.exe 作为目标。此程序可动态管理端口。

所有防火墙规则均可分配到特定 IP 地址(思科 ISE IP)。

从桌面设备管理器服务器选择用于终端合规性的配置基准策略

您可以查看添加到思科 ISE 的桌面设备管理器服务器(例如,Microsoft SCCM 服务器)中可用的基准策略,并选择特定基准策略以检查网络访问的终端合规性。可以在思科 ISE 管理门户中查看在桌面设备管理器服务器中启用和部署的配置基准策略。

检查您的桌面设备管理服务器中的用户权限,确保您拥有所需的安全权限,允许将基准策略和合规性信息发送到思科 ISE。必须在桌面设备管理器的“安全”(Security) >“管理员用户”(Administrator Users) 文件夹中添加管理员。

要在思科 ISE GUI 中查看桌面设备管理器服务器中的基准策略,请单击菜单 图标(),然后选择管理 (Administration) > 网络资源 (Network Resources) > 外部 MDM (External MDM) > MDM 服务器 (MDM Servers)

向思科 ISE 添加新的桌面设备管理器服务器,然后选择配置基准策略

  1. MDM 服务器 (MDM Servers) 窗口中,单击添加 (Add)

  2. 服务器类型 (Server Type) 下拉列表选择 桌面设备管理器 (Desktop Device Manager)

  3. 在以下字段中输入所需的详细信息:

    • 主机名/IP 地址 (Host Name/IP Address):输入 Microsoft SCCM 服务器主机名或 IP 地址。

    • 实例名称 (Instance Name):如果 Microsoft SCCM 服务器有多个实例,输入要连接到的实例。

    • 用户名 (Username):输入连接到 Microsoft SCCM 服务器时必须使用的用户名。

    • 密码 (Password):输入连接到 Microsoft SCCM 服务器时必须使用的密码。

    • 合规性设备重新身份验证查询的时间间隔 (Time Interval For Compliance Device ReAuth Query):当终端通过身份验证或重新进行身份验证时,思科 ISE 使用缓存获取该终端的 MDM 变量。如果缓存值的期限高于该字段中配置的值,则思科 ISE 会向 MDM 服务器进行设备查询以获取新值。如果合规性状态已变化,则思科 ISE 会触发相应的 CoA。

      有效范围为 1 到 10080 分钟。默认值为 1 分钟。

  4. 状态 (Status) 下拉列表中选择已启用 (Enabled)

要验证服务器是否已连接到思科 ISE,请点击测试连接 (Test Connection) 按钮。要查看此服务器中可用的配置基准策略,请点击保存并继续 (Save & Continue)。系统将显示一个新窗口,其中包含基准策略的名称和 ID 列表。

从现有桌面设备管理器服务器中选择配置基准策略

MDM 服务器 (MDM Servers) 窗口中,选中所需服务器的复选框,然后点击编辑 (Edit)。点击配置基准 (Configuration Baselines) 选项卡,获取此服务器中可用的基准策略列表。

默认情况下,系统会选择所有基准策略。取消选中名称 (Name) 旁的复选框,以取消选择所有基准策略。通过选中基准策略名称旁的复选框,选择所需的基准策略。单击保存

根据所选配置基准策略检查终端合规性。

如果桌面设备管理器服务器中的配置基准策略有任何更改,请点击配置基准 (Configuration Baselines) 选项卡中的立即更新 (Update Now) 按钮,以在思科 ISE 中更新更改。

配置 Windows 终端的设备标识符

桌面设备管理器服务器使用某些属性作为标识符来验证连接到网络的终端。终端 MAC 地址是最常用的标识符。但是,当使用加密狗、扩展坞或 MAC 地址随机化技术时,MAC 地址不是最可靠的标识符。

您现在可以选择使用主机名作为标识符。主机名派生自证书中可用的通用名称 (CN) 或 SAN-DNS 属性。对于使用主机名检查基准策略合规性来说,基于证书的终端身份验证是强制的。

要配置桌面设备管理器服务器的设备标识符,请转至其服务器配置 (Server Configuration) 选项卡。从主菜单中选择管理 (Administration) > 网络资源 (Network Resources) > 外部 MDM (External MDM) > MDM 服务器 (MDM Servers) > 编辑 (Edit)

设备标识符配置 (Device Identifier Configurations) 部分中,默认情况下按如下顺序启用以下标识符:

  1. 旧版 MAC 地址

  2. 证书 - CN、主机名

  3. 证书 - SAN-DNS、主机名

要取消选择标识符,请取消选中该标识符对应的复选框。可以拖动属性以重新排列服务器用于验证的顺序。

验证设备标识符的配置

当使用主机名进行验证时,思科 ISE 会为终端分配一个 GUID。请参阅实时日志 (Live Logs) 窗口(在思科 ISE GUI 中,单击菜单图标 () 并选择操作 (Operations) > RADIUS > 实时日志 (Live Logs)),然后查看 GUID 条目了解详细信息。

配置用于重定向未注册设备的授权配置文件

您必须在思科 ISE 中配置授权配置文件来重定向每个外部 MDM 服务器的非注册设备。

开始之前

  • 确保您已在思科 ISE 中创建 MDM 服务器定义。只有在成功将思科 ISE 与 MDM 服务器集成之后,才会填充 MDM 字典,您才可以使用 MDM 字典属性创建授权策略。

  • 在无线 LAN 控制器上配置用于重定向未注册设备的 ACL。

  • 如果使用代理进行互联网连接,并且 MDM 服务器是内部网络的一部分,则必须将 MDM 服务器名称或其 IP 地址置于代理绕行列表中。在思科 ISE GUI 中,单击菜单图标 () 并选择 管理 (Administration) > 系统 (System) > 设置 (Settings) > 代理 (Proxy) 以执行此操作。

过程

步骤 1

在思科 ISE GUI 中,单击菜单图标 () 并选择 策略 (Policy) > 策略元素 (Policy Elements) > 结果 (Results) > 授权 (Authorization) > 授权配置文件 (Authorization Profiles) > 添加 (Add)
步骤 2

创建用于重定向不合规或未注册的非注册设备的授权配置文件。
步骤 3

名称 (Name) 字段中,为授权配置文件输入与 MDM 服务器名称匹配的名称。

步骤 4

访问类型 (Access Type) 下拉列表中,选择 ACCESS_ACCEPT
步骤 5

常见任务 (Common Tasks) 部分中,选中 Web 重定向 (Web Redirection) 复选框,然后从下拉列表中选择 MDM 重定向 (MDM Redirect)
步骤 6

ACL 下拉列表中,选择输入您在无线 LAN 控制器上配置的 ACL 的名称。

步骤 7

值 (Value) 下拉列表中,选择 MDM 门户。

步骤 8

MDM 服务器 (MDM Server) 下拉列表中,选择要使用的 MDM 服务器。

步骤 9

点击提交 (Submit)

下一步做什么

配置 MDM 的授权策略规则

为移动设备管理用例配置授权策略规则

您必须在思科 ISE 中配置授权策略规则才能完成 MDM 配置。

开始之前

  • 将 MDM 服务器证书添加到思科 ISE 证书库。

  • 确保您已在思科 ISE 中创建了 MDM 服务器定义。只有在成功将思科 ISE 与 MDM 服务器集成之后,才会填充 MDM 字典,您才可以使用 MDM 字典属性创建授权策略。

  • 在无线 LAN 控制器上配置 ACL 以重定向未注册或不合规设备。

过程

步骤 1

在思科 ISE GUI 中,单击菜单图标 () 并选择 策略 (Policy) > 策略集 (Policy Sets),然后展开策略集以查看授权策略规则。

步骤 2

添加以下规则:

  • MDM_Un_Registered_Non_Compliant:适用于尚未向 MDM 服务器注册或不符合 MDM 策略的设备。请求与此规则匹配之后,系统会显示思科 ISE MDM 窗口,其中包含有关向 MDM 注册设备的信息。

     

    请勿在此策略中使用 MDM.MDMServerName 条件。使用此条件时,仅当终端注册到 MDM 服务器注册后,才与策略匹配。

  • PERMIT:如果设备已注册到思科 ISE、MDM,并符合思科 ISE 和 MDM 策略,则系统将根据思科 ISE 中配置的访问控制策略向它授予网络访问权限。

步骤 3

点击保存

在无线 LAN 控制器上配置 ACL 以实现移动设备管理互操作

必须在无线控制器上配置 ACL 以用于授权策略,从而重定向未注册的设备和证书调配。ACL 必须采用以下顺序。

过程

步骤 1

允许所有从服务器到客户端的出站流量。

步骤 2

(可选)允许从客户端到服务器的 ICMP 入站流量以进行故障排除。

步骤 3

允许未注册和不合规设备访问 MDM 服务器,以下载 MDM 代理和执行合规检查。

步骤 4

允许从客户端到服务器再到 ISE 的所有入站流量以执行 Web 门户和请求方以及证书调配流程。

步骤 5

允许从客户端到服务器的入站 DNS 流量以进行名称解析。
步骤 6

允许从客户端到服务器的入站 DHCP 流量以获取 IP 地址。
步骤 7

拒绝所有从客户端到服务器再到企业资源的入站流量,以重定向至思科 ISE(根据公司策略)。

步骤 8

(可选)允许其余流量。

示例

以下示例显示的 ACL 用于将未注册的设备重定向至 BYOD 流程。在本例中,思科 ISE IP 地址为 10.35.50.165,内部企业网络 IP 地址为 192.168.0.0 和 172.16.0.0(重定向),MDM 服务器子网为 204.8.168.0。

图 9. 用于重定向未注册设备的 ACL

擦除或锁定设备

思科 ISE 可以让您擦除已丢失的设备或打开其 pin 锁。您可以从终端 (Endpoints) 窗口配置此特性。

过程

步骤 1

在思科 ISE GUI 中,点击菜单图标 () 并选择 工作中心 (Work Centers) > 网络访问 (Network Access) > 身份 (Identities) > 终端 (Endpoints)
步骤 2

选中您想要擦除或锁定的设备旁边的复选框。

步骤 3

MDM 操作(MDM Actions) 下拉列表中,选择以下选项之一:

  • 完全擦除 (Full Wipe):此选项会删除公司应用或将设备重置为出厂设置,具体取决于 MDM 供应商。

  • 企业擦除 (Corporate Wipe):此选项会删除您在 MDM 服务器策略中配置的应用。

  • PIN 锁定:此选项会锁定设备。

步骤 4

点击 Yes 擦除或锁定设备。

查看移动设备管理报告

思科 ISE 记录 MDM 服务器定义的所有添加、更新和删除操作。可以在更改配置审核 (Change Configuration Audit) 报告中查看这些事件,该报告显示选定时段内任何系统管理员的全部配置更改。

在思科 ISE GUI 中,单击菜单图标 () 并选择 操作 (Operations) > 报告 (Reports) > 报告 (Reports) > 审核 (Audit) > 更改配置审核 (Change Configuration Audit)。检查您要查看的 MDM 服务器的对象类型 (Object Type)对象名称 (Object Name) 列中的条目,然后点击相应的事件 (Event) 值以查看配置事件的详细信息。

查看移动设备管理日志

您可以使用调试向导 (Debug Wizard) 窗口查看移动设备管理日志消息。在思科 ISE GUI 中,单击菜单图标 () 并选择 操作 (Operations) > 故障排除 (Troubleshoot) > 调试向导 (Degug Wizard) > 调试日志配置 (Debug Log Configuration)。点击思科 ISE 节点旁的单选按钮,然后点击编辑 (Edit)。在显示的新窗口中,点击组件名称 external-mdm 旁的单选按钮,然后点击编辑 (Edit)。此组件的默认日志级别为信息 (INFO)。从相应的日志级别 (Log Level) 下拉列表中,选择调试 (DEBUG)跟踪 (TRACE),然后点击保存 (Save)