安全接入

在思科 ISE 中定义网络设备

交换机或路由器等网络设备是向思科 ISE 发送 AAA 服务请求的身份验证、授权和记账 (AAA) 客户端。在思科 ISE 中定义网络设备可启用思科 ISE 与网络设备之间的交互。

可以配置用于 RADIUS 或 TACACS AAA 的网络设备,以及用于分析服务的简单网络管理协议 (SNMP),以收集思科发现协议和链路层发现协议 (LLDP) 属性进行终端分析,以及用于思科 Trustsec 设备的 Trustsec 属性。未在思科 ISE 中定义的网络设备无法收到思科 ISE 的 AAA 服务。

从 思科 ISE 主菜单中,选择Administration > Network Resources > Network Devices,然后点击添加。在显示的 新建网络设备 窗口中,输入以下详细信息以定义网络设备:

  • 选择适合网络设备的供应商配置文件。配置文件包括设备的预定义配置,如 URL 重定向设置和授权变更。

  • 配置用于 RADIUS 身份验证的 RADIUS 协议。当思科 ISE 收到网络设备的 RADIUS 请求时,它会查找相应的设备定义以检索所配置的共享密钥。如果思科 ISE 找到设备定义,它会获取在设备上配置的共享密钥并将其与请求中的共享密钥进行匹配,对访问权限进行身份验证。如果共享密钥匹配,RADIUS 服务器将进一步根据策略和配置处理该请求。如果共享密钥不匹配,系统会向网络设备发送拒绝响应。并生成一份未通过身份验证的报告,提供失败原因。

  • 配置用于进行 TACACS+ 身份验证的 TACACS+ 协议。当思科 ISE 收到网络设备的 TACACS+ 请求时,它会查找相应的设备定义以检索配置的共享密钥。如果思科 ISE 找到设备定义,它会获取在设备上配置的共享密钥并将其与请求中的共享密钥进行匹配,对访问权限进行身份验证。如果共享密钥匹配,TACACS+ 服务器将进一步根据策略和配置处理该请求。如果共享密钥不匹配,系统会将拒绝响应发送到网络设备,并生成一份未通过身份验证的报告,提供失败原因。

  • 可以在网络设备定义中配置用于分析服务的简单网络管理协议 (SNMP),以便与网络设备进行通信并对连接到网络设备的终端进行分析。

  • 必须在思科 ISE 中定义支持思科 TrustSec 的设备才能处理来自这类设备的请求,支持 TrustSec 的设备可以是思科 TrustSec 解决方案的一部分。任何支持思科 TrustSec 解决方案的交换机都是支持思科 TrustSec 的设备。

    思科 Trustsec 设备不使用 IP 地址。相反,必须定义其他设置,以便思科 Trustsec 设备可与思科 ISE 通信。

    支持思科 TrustSec 的设备使用 Trustsec 属性与思科 ISE 通信。支持思科 Trustsec 的设备(例如 Cisco Nexus 7000 系列交换机、Cisco Catalyst 6000 系列交换机、Cisco Catalyst 4000 系列交换机和 Cisco Catalyst 3000 系列交换机)使用您在添加 Cisco TrustSec 设备时定义的 Cisco TrustSec 属性进行身份验证。


在思科 ISE 上配置网络设备时,我们建议不要在共享密钥中包含反斜线 (\)。这是因为,在升级思科 ISE 时,反斜线不会出现在共享密钥中。然而,如果重新映像思科 ISE 而不是对其进行升级,则共享密钥中会显示反斜线。

在思科 ISE 中定义默认网络设备

思科 ISE 支持用于 RADIUS 和 TACACS 身份验证的默认设备定义。您可以定义思科 ISE 在找不到特定 IP 地址的设备定义时可以使用的默认网络设备。此功能允许您为新调配的设备定义一个默认的 RADIUS 或 TACACS 共享密钥和访问权限级别。

我们建议您仅为基本 RADIUS 和 TACACS 身份验证添加默认设备定义。对于高级流程,您必须为每个网络设备添加单独的设备定义。

当思科 ISE 从网络设备接收到 RADIUS 或 TACACS 请求时,思科 ISE 会查找对应的设备定义,以检索网络设备定义中配置的共享密钥。

当思科 ISE 收到 RADIUS 或 TACACS 请求时,它执行以下程序:

  1. 查找与请求中的地址匹配的具体 IP 地址。

  2. 查找范围以了解请求中的 IP 地址是否属于指定的范围。

  3. 如果步骤 1 和 2 都失败了,它会使用默认设备定义(如已定义)处理请求。

思科 ISE 会获取设备定义中为该设备配置的共享密钥并将其与 RADIUS 或 TACACS 请求中的共享密钥进行匹配以执行访问身份验证。如果找不到设备定义,思科 ISE 会从默认网络设备定义中获取共享密钥并处理 RADIUS 或 TACACS 请求。

网络设备

下列会话所描述的窗口可使您在思科 ISE 中添加和管理网络设备。

网络设备定义设置

下表介绍网络设备 (Network Devices) 窗口上的字段,您可以使用该窗口配置思科 ISE 中的网络访问设备。要查看此处窗口,请点击菜单 图标 (),然后选择 管理 > 网络资源 > 网络设备,然后点击添加

网络设备设置

下表介绍新网络设备 (New Network Devices) 窗口中的字段。

表 1. 网络设备设置

字段名称

说明

名称

输入网络设备的名称。

您可以为网络设备提供一个不同于设备主机名的描述性名称。设备名称是逻辑标识符。

 

如果需要,可以在配置后更改设备的名称。

说明

输入设备的说明。

IP 地址IP 范围

从下拉列表中选择以下选项之一,并在显示的字段中输入所需的值:

  • IP 地址:输入单个 IP 地址(IPv4 或 IPv6 地址)和子网掩码。

  • IP 范围:输入所需的 IPv4 地址范围。要在身份验证期间排除 IP 地址,请在排除 (Exclude) 字段中输入 IP 地址或 IP 地址范围。

以下是定义 IP 地址和子网掩码或 IP 地址范围时必须遵守的准则:

  • 您可以定义一个特定 IP 地址或具有子网掩码的 IP 地址范围。如果设备 A 定义了 IP 地址范围,则可以使用在设备 A 中定义的 IP 地址范围的某个地址配置另一设备 B。

  • 您可以在所有八位组中定义 IP 地址范围。您可以使用连字符 (-) 或使用星号 (*) 作为通配符来指定 IP 地址范围。例如,*.*.*.*、1-10.1-10.1-10.1-10 或 10-11.*.5.10-15。

  • 在已添加 IP 地址范围子集的场景中,可以从配置的范围中排除该子集,例如 10.197.65.*/10.197.65.1, or 10.197.65.* 排除 10.197.65.1。

  • 您可以为每个网络设备配置最多 40 个 IP 地址或 IP 范围。

  • 您不能使用相同的特定 IP 地址定义两台设备。

  • 您不能使用同一 IP 地址范围定义两台设备。IP 地址范围不得部分或全部重叠。

  • 在排除 IP 地址时,请勿使用重叠的 IP 地址范围。相反,应排除单独的 IP 范围。

设备配置文件

从下拉列表中选择网络设备的供应商。

使用下拉列表旁的工具提示可查看选定供应商的网络设备所支持的流和服务。工具提示还显示设备使用的 RADIUS 授权变更 (CoA) 端口和 URL 重定向类型。这些属性在设备类型的网络设备配置文件中进行定义。

Model Name

从下拉列表中选择设备型号。

在基于规则的策略中查找条件时,可以将型号名称用作其中一个参数。此属性存在于设备字典中。

软件版本

从下拉列表中选择在网络设备上运行的软件版本。

在基于规则的策略中查找条件时,您可以将软件版本用作其中一个参数。此属性存在于设备字典中。

网络设备组 (Network Device Group)

网络设备组 (Network Device Group) 区域中,从位置 (Location)IPsec设备类型 (Device Type) 下拉列表中选择所需的值。

如果未将设备专门分配到组,则设备将加入默认设备组(根网络设备组),位置为所有位置 (All Locations),设备类型为所有设备类型 (All Device Types)

使用过滤器从思科 ISE 部署中选择和删除网络访问设备 (NAD) 时,请清除浏览器缓存,以确保仅删除选定的 NAD。
RADIUS 身份验证设置

下表介绍 RADIUS 身份验证设置区域中的字段。

表 2. “RADIUS 身份验证设置”区域中的字段

字段名称

使用指南

RADIUS UDP 设置

协议

显示 RADIUS 作为所选协议。

共享密钥 (Shared Secret)

输入网络设备的共享密钥。

共享密钥是使用 radius-host 命令和 pac 选项在网络设备上配置的密钥。

 

共享密钥长度必须等于或大于在设备安全设置 (Device Security Settings) 窗口的 RADIUS 共享密钥最小长度 (Minimum RADIUS Shared Secret Length) 字段中配置的值( 管理 (Administration) 网络资源 (Network Resources) 网络设备 (Network Devices) 设备安全设置 (Device Security Settings) )。

对于 RADIUS 服务器,长度最好为 22 个字符。对于新安装和升级的部署,默认情况下,共享密钥长度为四个字符。您可以在设备安全设置 (Device Security Settings) 窗口中更改此值。

使用第二个共享密钥

指定网络设备和思科 ISE 要使用的第二个共享密钥。

 

虽然思科 TrustSec 设备可以利用双重共享密钥(密钥),但思科 ISE 发送的思科 TrustSec CoA 数据包将始终使用第一个共享密钥(密钥)。要启用第二个共享密钥,请选择必须从哪一个思科 ISE 节点向 TrustSec 设备发送思科 TrustSec CoA 数据包。在工作中心 (Work Centers) > 设备管理 (Device Administration) > 网络资源 (Network Resources) > 网络设备 (Network Devices) > 添加 (Add) > 高级 TrustSec 设置 (Advanced TrustSec Settings) 窗口的发送自 (Send From) 下拉列表中,配置要用于此任务的思科 ISE 节点。您可以选择主管理节点 (PAN) 或策略服务节点 (PSN)。如果所选 PSN 节点关闭,PAN 将向思科 TrustSec 设备发送思科 TrustSec CoA 数据包。

 

RADIUS 访问请求的“第二共享密钥”功能仅适用于包含消息-身份验证器 (Message-Authenticator) 字段的数据包。

CoA 端口

指定要用于 RADIUS DTLS CoA 的端口。

设备的默认 CoA 端口在为网络设备配置的网络设备配置文件中进行定义(管理 (Administration) > 网络资源 (Network Resources) > 网络设备配置文件 (Network Devices Profiles) > 网络资源 (Network Resources) > 网络设备配置文件 (Network Devices Profiles))。点击 设置为默认 按钮以使用默认 CoA 端口。

 

如果修改在 RADIUS 身份验证设置下的网络设备窗口(管理 > 网络资源 > 网络设备)中指定的 CoA 端口,请确保在网络设备配置文件窗口(管理 > 网络资源 > 网络设备配置文件)中为相应配置文件指定相同的 CoA 端口。

RADIUS DTLS 设置

需要 DTLS

如果选中需要 DTLS (DTLS Required) 复选框,则思科 ISE 仅处理来自此设备的 DTLS 请求。如果禁用此选项,则思科 ISE 会同时处理来自此设备的 UDP 和 DTLS 请求。

RADIUS DTLS 为安全套接字层 (SSL) 隧道建立和 RADIUS 通信提供了更高的安全性。

共享密钥

显示用于 RADIUS DTLS 的共享密钥。此值为固定值,用于计算消息摘要 5 (MD5) 完整性检查。

CoA 端口

指定用于 RADIUS DTLS CoA 的端口。

CoA ISE 证书 CA 颁发者

从下拉列表中选择要用于 RADIUS DTLS CoA 的证书颁发机构。

DNS 名称

输入网络设备的 DNS 名称。如果在 RADIUS 设置 窗口下启用了 启用 RADIUS/DTLS 客户端身份验证管理 > 系统 > 设置 > 协议 > RADIUS,思科 ISE 会将此 DNS 名称与客户端证书中指定的 DNS 名称进行比较,以验证网络设备的身份。

常规设置

启用 KeyWrap (Enable KeyWrap)

仅当网络设备支持 KeyWrap 算法时,选中启用 KeyWrap (Enable KeyWrap) 复选框。网络设备必须与 AES KeyWrap RFC (RFC 3394) 兼容。

此选项用于通过 AES KeyWrap 算法提高 RADIUS 安全性。

密钥加密密钥 (ey Encryption Key)

输入用于会话加密(保密)的加密密钥。

消息身份验证器代码密钥 (Message Authenticator Code Key)

输入用于 RADIUS 消息键控散列消息验证码 (HMAC) 计算的密钥。

密钥输入格式 (Key Input Format)

点击以下单选按钮之一:

  • ASCII:在 密钥加密密钥 字段中输入的值的长度必须为 16 个字符(字节),在 消息身份验证器代码密钥 字段中输入的值长度必须为 20 个字符(字节)。

  • 十六进制:在 密钥加密密钥 字段中输入的值的长度必须为 32 个字符(字节),在 消息身份验证器代码密钥 字段中输入的值长度必须为 40 个字符(字节)。

您可以指定要用于输入密钥加密密钥和消息身份验证器代码密钥的密钥输入格式,以便与网络设备上的配置相匹配。您指定的值必须是密钥的正确(完整)长度,不允许使用短于此长度的值。
TACACS 身份验证设置
表 3. TACACS 身份验证设置区域中的字段

字段名称

使用指南

Shared Secret

当启用 TACACS 协议时,会向网络设备分配文本字符串。在网络设备验证用户名和密码之前,用户必须输入文本。在用户提供共享密钥之前,连接始终被拒绝。

停用共享密钥处于启用状态 (Retired Shared Secret is Active)

当停用期处于启用状态时显示。

淘汰

停用现有的共享密钥而不是结束它。当您点击 停用 时,系统会显示一个对话框。您可以点击是 (Yes)否 (No)

剩余停用期 (Remaining Retired Period)

(只有当您在 淘汰 对话框中点击 时才可用)以下显示指定的默认值: 工作中心 (Work Centers) > 设备管理 (Device Administration) > 设置 (Settings) > 连接设置 (Connection Settings) > 默认共享密钥停用期 (Default Shared Secret Retirement Period) 您可以根据需要更改默认值。

旧共享密钥将在指定天数内保持有效。

结束

(仅当在 停用 对话框中选择 时可用)结束停用期并终止旧共享密钥。

启用单连接模式

选中启用单连接模式 (Enable Single Connect Mode) 复选框,将单一 TCP 连接用于与网络设备之间的所有 TACACS 通信。点击以下单选按钮之一:

  • 传统思科设备 (Legacy Cisco Devices)

  • TACACS 草案合规性单连接支持

     

    如果禁用单连接模式 (Single Connect Mode),思科 ISE 会对每个 TACACS 请求使用新的 TCP 连接。

基于 TLS 的 TACACS 身份验证设置
表 4. 基于 TLS 的 TACACS 身份验证区域中的字段

字段名称

使用指南

基于 TLS 的 TACACS 身份验证设置

选中此复选框以启用基于 TLS 的 TACACS 身份验证。

启用此选项前,请确保:

  • 管理 > 系统 > 部署 > 常规设置中启用了启用设备管理服务选项。或者,您可以选择工作中心 > 设备管理 > 概述 > 部署,根据需求在所有 PSN 或特定 PSN 上启用设备管理服务。

  • 管理 > 系统 > 设置 > 安全设置中启用了允许 TLS 1.3 选项。

  • 工作中心 > 设备管理 > 概述 > 部署中启用了基于 TLS 的 TACACS 端口选项。启用此选项后,端口 6049 用于基于 TLS 的 TACACS 身份验证。

  • 从系统证书库将系统证书导出到网络设备。确保为该系统证书启用了 TACACS 用途。如果网络设备具有与系统证书相关的根 CA,则无需导出系统证书。

    将根 CA 和中间 CA 证书导入到受信任证书库。导入这些设备证书时,必须在管理 > 系统 > 证书 > 证书存储区 > 受信任证书中启用信任客户端身份验证和系统日志选项。

您可以通过使用证书的 SAN 属性验证客户端身份来实施额外的安全性。思科 ISE 支持验证 IP 地址 (iPAddress)、DNS 名称 (dNSName) 和目录名称(directoryname) 属性。

证书属性的评估顺序如下:

  1. IP 地址

  2. DNS 名称

  3. 目录名称

如果此验证未成功,TACACS 身份验证将失败。

您可以在网络设备页面的 TACACS 模式列中查看网络设备是否启用了 TACACS 或基于 TLS 的 TACACS 身份验证。

IP 地址

选中此复选框,将证书的 SAN 属性中列出的地址与网络设备的 IP 地址进行匹配。支持 IPv4 和 IPv6 地址。

额外的主题备用名称 (SAN) 属性

除 IP 地址外,还支持以下 SAN 属性:

  • DNS 名称 (dNSName)

  • 目录名称 (directoryName)

只要这些属性中的任意一个匹配,验证即成功;否则,验证失败。

每个 SAN 属性都支持多个值。每个属性对必须位于新行中。例如:

dNSName: departmentA.cisco.com

dNSName: departmentB.cisco.com

directoryName: /CN=worker1/O=Cisco/C=US

directoryName: /CN=worker2/O=Cisco/C=US

指定额外 SAN 属性时请注意以下几点:

  • 在 directoryName 中,RDN 值用“/”分隔。它们之间的空格会被忽略。

    示例

    directoryName: /CN=worker1/C=US/O=Cisco

    directoryName: /CN=worker2/C=US/O=Cisco

  • 在 directoryName 中,如果 RDN 值中使用了“/”,则必须用“\”进行转义。

    示例

    directoryName: /CN=Third\/ worker/O=Cisco/C=US

  • 必须为反斜杠字符“\”添加额外的反斜杠“\”。

    示例

    directoryName: /CN=Thir\\d, worker/O=Cisco/C=US

启用单连接模式 (Enable Single Connect Mode)

选中此复选框,允许网络设备使用一个 TCP 连接处理所有 TACACS 请求。这可减少因反复建立和关闭连接而产生的开销,在高流量部署中尤为明显。
SNMP 设置

下表介绍 SNMP 设置 (SNMP Settings) 部分中的字段。

表 5. SNMP 设置区域中的字段

字段名称

使用指南

SNMP 版本 (SNMP Version)

SNMP (SNMP 版本) 下拉列表中,选择以下选项之一:

  • 1:SNMPv1 不支持通知。

  • 2c

  • 3:SNMPv3 是最安全的型号,因为它允许您在选择 安全级别 字段中 Priv 时加密数据包。

     

    如果已使用 SNMPv3 参数配置网络设备,则无法生成监控服务提供的网络设备会话状态摘要报告(操作 > 报告 > 诊断 > 网络设备会话状态)。如果网络设备使用 SNMPv1 或 SNMPv2c 参数配置,则可以成功生成此报告。

SNMP 只读社区 (SNMP RO Community)

(仅适用于 SNMP 版本 1 和 2c)输入只读社区字符串,为思科 ISE 提供特殊类型的设备访问权限。

 

不允许使用插入符号 (circumflex ^)。

SNMP 用户名 (SNMP Username)

(仅适用于 SNMP 版本 3)输入 SNMP 用户名。

安全级别 (Security Level)

(仅适用于 SNMP 版本 3)从安全级别下拉列表中选择以下选项之一:

  • 身份验证 (Auth):启用 MD5 或安全散列算法 (SHA) 数据包身份验证。

  • 无身份验证 (No Auth):无身份验证,无隐私安全级别。

  • 隐私 (Priv):启用数据加密标准 (DES) 数据包加密。

身份验证协议 (Auth Protocol)

(选择安全级别身份验证 [Auth]隐私 [Priv] 时,仅适用于 SNMP 版本 3)从身份验证协议 (Auth Protocol) 下拉列表中,选择希望网络设备使用的身份验证协议。

  • MD5

  • SHA

身份验证密码 (Auth Password)

(选择安全级别身份验证 [Auth]隐私 [Priv] 时,仅适用于 SNMP 版本 3)输入身份验证密钥。密码的长度应至少为 8 个字符。

点击显示 (Show),显示已为设备配置的身份验证密码。

 

不能使用插入符号 (circumflex ^)。

隐私协议 (Privacy Protocol)

(选择安全级别隐私 [Priv] 时,仅适用于 SNMP 版本 3)从隐私协议 (Privacy Protocol) 下拉列表中,选择以下选项之一:

  • DES

  • AES128

  • AES192

  • AES256

  • 3DES

隐私密码 (Privacy Password)

(选择安全级别隐私 [Priv] 时,仅适用于 SNMP 版本 3)输入隐私密钥。

点击显示 (Show),显示已为设备配置的隐私密码。

 

不能使用插入符号 (circumflex ^)。

轮询间隔 (Polling Interval)

输入轮询间隔(秒)。默认值为 3600。

链路陷阱查询 (Link Trap Query)

选中链路陷阱查询 (Link Trap Query) 复选框,可接收和解析通过 SNMP 陷阱接收的链路接通和链路断开通知。

MAC 陷阱查询 (Mac Trap Query)

选中链路陷阱查询 (Link Trap Query) 复选框,可接收和解析通过 SNMP 陷阱接收的 MAC 通知。

Originating Policy Services Node (原始策略服务节点)

原始策略服务节点 (Originating Policy Services Node) 下拉列表中,选择要用于轮询 SNMP 数据的思科 ISE 服务器。此字段的默认值为自动 (Auto)。从下拉列表中选择特定值以覆盖设置。

高级 Trustsec 设置 (Advanced TrustSec Settings)

下表介绍高级 Trustsec 设置 (Advanced Trustsec Settings) 部分中的字段。

表 6. 高级 TrustSec 设置区域中的字段

字段名称

使用指南

设备身份验证设置

将设备 ID 用于 Trustsec 标识 (Use Device ID for TrustSec Identification)

如果希望在设备 ID (Device ID) 字段中将设备名称作为设备标识符列出,请选中将设备 ID 用于 Trustsec 标识 (Use Device ID for TrustSec Identification) 复选框。

设备 ID

仅当未选中 将设备 ID 用于 Trustsec 标识 复选框时,才能使用此字段。

密码

输入在思科 TrustSec 设备 CLI 中配置的密码,用于对思科 TrustSec 设备进行身份验证。

点击显示 (Show) 可显示密码。

HTTP REST API 设置

启用 HTTP REST API (Enable HTTP REST API)

选中启用 HTTP REST API (Enable HTTP REST API) 复选框以使用 HTTP REST API 向网络设备提供所需的思科 TrustSec 信息。与 RADIUS 协议相比,这提高了在短时间内下载大型配置的效率和能力。它还通过使用 TCP over UDP 提高了可靠性。

用户名

输入在思科 TrustSec 设备 CLI 中配置的用户名,用于对思科 TrustSec 设备进行身份验证。用户名不能包含特殊字符,如空格 ! % ^ : ; , [ { | } ] ` " = < > ?

密码

输入在思科 TrustSec 设备 CLI 中配置的密码,用于对思科 TrustSec 设备进行身份验证。

Trustsec 设备通知和更新

设备 ID

仅当未选中 将设备 ID 用于 Trustsec 标识 复选框时,才能使用此字段。

密码

输入在思科 TrustSec 设备 CLI 中配置的密码,用于对思科 TrustSec 设备进行身份验证。

点击显示 (Show) 可显示密码。

每<...> 下载一次环境数据 (Download Environment Data Every <...>)

通过从此区域的下拉列表中选择所需的值,指定设备从思科 ISE 下载其环境数据时必须遵守的时间间隔。您可以选择秒、分钟、小时、天或周为单位的时间间隔。默认值为一天。

每 <...>下载一次对等授权策略 (Download Peer Authorization Policy Every <...>)

通过从此区域的下拉列表中选择所需的值,指定设备从思科 ISE 下载对等授权策略时必须遵守的时间间隔。您可以指定单位为秒、分钟、小时、天或周的时间间隔。默认值为一天。

每 <...>重新进行身份验证 (Reauthentication Every <...>)

通过从此区域的下拉列表中选择所需的值,指定在初始身份验证后设备对照思科 ISE 重新进行身份验证的时间间隔。您可以配置秒、分钟、小时、天或周为单位的时间间隔。例如,如果输入 1000 秒,则设备会每 1000 秒对照思科 ISE 对自身重新进行身份验证。默认值为一天。

每 <...>下载 SGACL 列表 (Download SGACL Lists Every <...>)

通过从此区域的下拉列表中选择所需的值,指定设备从思科 ISE 下载 SGACL 列表时遵守的时间间隔。您可以配置秒、分钟、小时、天或周为单位的时间间隔。默认值为一天。

其他 TrustSec 设备信任该设备(Trustsec 信任)(Other TrustSec Devices to Trust This Device [TrustSec Trusted])

选中其他 TrustSec 设备信任该设备 (Other TrustSec Devices to Trust This Device) 复选框,可允许所有对等设备信任此思科 TrustSec 设备。如果取消选中此复选框,则对等设备不信任此设备,所有从此设备到达的数据包都会相应地标注颜色或进行标记。

将配置更改发送到设备 (Send Configuration Changes to Device)

如果希望思科 ISE 使用 CoA 或 CLI (SSH) 将思科 TrustSec 配置更改发送到思科 TrustSec 设备,请选中将配置更改发送到设备 (Send Configuration Changes to Device) 复选框。根据需要,点击 CoACLI (SSH) 的单选按钮。

如果希望思科 ISE 使用 CoA 将配置更改发送到思科 TrustSec 设备,请点击 CoA 单选按钮。

如果希望思科 ISE 使用 CLI(使用 SSH 连接)将配置更改发送到思科 TrustSec 设备,请点击 CLI (SSH) 单选按钮。有关详细信息,请参阅 向不支持 CoA 的设备推送配置更改

发送自 (Send From)

从下拉列表中选择必须从哪一个思科 ISE 节点将配置更改发送到思科 TrustSec 设备。您可以选择 PAN 或 PSN。如果所选择的 PSN 节点关闭,则使用 PAN 将配置更改发送到思科 TrustSec 设备。

测试连接

您可以使用此选项测试思科 TrustSec 设备与所选思科 ISE 节点(PAN 或 PSN)之间的连接。

SSH 密钥

要使用此功能,请打开从思科 ISE 到网络设备的 SSHv2 隧道,然后使用设备的 CLI 检索 SSH 密钥。您必须复制此密钥并将其粘贴到 SSH 密钥 (SSH Key) 字段中以进行验证。有关详细信息,请参阅 SSH 密钥验证

设备配置部署设置

当部署安全组标签映射更新时纳入该设备 (Include this device when deploying Security Group Tag Mapping Updates)

如果希望思科 TrustSec 设备使用设备接口凭据获取 IP-SGT 映射,请选中 当部署安全组标记映射更新时包含此设备 复选框。

EXEC 模式用户名 (EXEC Mode Username)

输入用于登录思科 TrustSec 设备的用户名。

EXEC 模式密码 (EXEC Mode Password)

输入设备密码。

点击显示 (Show) 可查看密码。

 

我们建议您避免在密码(包括 EXEC 模式和启用模式密码)中使用 % 字符,以避免安全漏洞。

启用模式密码 (Enable Mode Password)

(可选)输入用于在特权 EXEC 模式下编辑思科 TrustSec 设备配置的启用密码。

点击显示 (Show) 可查看密码。

带外 Trustsec PAC

颁发日期 (Issue Date)

显示思科 ISE 为思科 Trustsec 设备生成的最后一个思科 Trustsec PAC 的颁发日期。

到期日期

显示思科 ISE 为思科 Trustsec 设备生成的最后一个思科 Trustsec PAC 的到期日期。

颁发者

显示思科 ISE 为思科 Trustsec 设备生成的最后一个思科 Trustsec PAC 的颁发者(思科 TrustSec 管理员)名称。

生成 PAC (Generate PAC)

点击生成 PAC (Generate PAC) 按钮,为思科 TrustSec 设备生成带外思科 TrustSec PAC。

默认网络设备定义设置

下表介绍默认网络设备窗口中的字段,该窗口用于配置思科 ISE 可用于 RADIUS 和 TACACS+ 身份验证的默认网络设备。选择以下导航路径之一:

  • 管理 (Administration) > 网络资源 (Network Resources) > 网络设备 (Network Devices) > 默认设备 (Default Device)

  • 工作中心 (Work Centers) > 设备管理 (Device Administration) > 网络资源 (Network Resources) > 默认设备 (Default Devices)

表 7. “默认网络设备”窗口中的字段

字段名称

使用指南

Default Network Device Status

默认网络设备状态 (Default Network Device Status) 下拉列表中选择启用 (Enable),以启用默认网络设备定义。

 

如果默认设备已启用,则必须通过选中窗口中的复选框启用 RADIUS 或 TACACS 身份验证设置。

设备配置文件

显示思科 (Cisco) 为默认的设备供应商。

RADIUS 身份验证设置

启用 RADIUS

选中启用 RADIUS (Enable RADIUS) 复选框,启用设备的 RADIUS 身份验证。

RADIUS UDP 设置

共享密钥

输入共享密钥。共享密钥最大长度为 127 个字符。

共享密钥是您使用 radius-host 命令和 pac 关键词在网络设备上配置的密钥。

 

共享密钥长度必须等于或大于在设备安全设置 (Device Security Settings) 窗口的 RADIUS 共享密钥最小长度 (Minimum RADIUS Shared Secret Length) 字段中配置的值(管理 (Administration) > 网络资源 (Network Resources) > 网络设备 (Network Devices) > 设备安全设置 (Device Security Settings))。默认情况下,对于新安装和升级的部署,此值为 4 个字符。对于 RADIUS 服务器,长度最好为 22 个字符。

RADIUS DTLS 设置

需要 DTLS

如果选中需要 DTLS (DTLS Required) 复选框,则思科 ISE 仅处理来自此设备的 DTLS 请求。如果禁用此选项,则思科 ISE 会同时处理来自此设备的 UDP 和 DTLS 请求。

RADIUS DTLS 为 SSL 隧道建立和 RADIUS 通信提供了更高的安全性。

共享密钥

显示用于 RADIUS DTLS 的共享密钥。此值为固定值,用于计算 MD5 完整性检查。

CoA ISE 证书 CA 颁发者

CoA ISE 证书 CA 颁发者 下拉列表中,选择要用于 RADIUS DTLS CoA 的证书颁发机构。

常规设置

启用 KeyWrap (Enable KeyWrap)

(可选)仅在网络设备支持 KeyWrap 算法时选中启用 KeyWrap (Enable KeyWrap) 复选框,这可以通过 AES KeyWrap 算法提高 RADIUS 安全性。

密钥加密密钥 (ey Encryption Key)

启用 KeyWrap 时,输入用于会话加密(保密)的加密密钥。

Message Authenticator Code Key

启用 KeyWrap 时,输入对 RADIUS 消息进行键控散列消息身份验证代码 (HMAC) 计算的密钥。

Key Input Format

通过点击相应的单选按钮选择以下格式之一,并在密钥加密密钥 (Key Encryption Key)消息身份验证器代码密钥 (Message Authenticator Code Key) 字段中输入值:

  • ASCII密钥加密密钥 (Key Encryption Key) 长度必须为 16 个字符(字节),而消息身份验证器代码密钥 (Message Authenticator Code Key) 长度必须为 20 个字符(字节)。

  • 十六进制 (Hexadecimal)密钥加密密钥 (Key Encryption Key) 长度必须为 32 个字节,而消息身份验证器代码密钥 (Message Authenticator Code Key) 长度必须为 40 个字节。

指定要用于输入密钥加密密钥和消息身份验证器代码密钥的密钥输入格式,以便与网络设备上的配置相匹配。您指定的值必须是密钥的正确(完整)长度。不允许使用较短的值。

TACACS 身份验证设置

共享密钥

当 TACACS 协议启用时,输入文本字符串以分配给网络设备。请注意,在网络设备验证用户名和密码之前,用户必须输入文本。在用户提供共享密钥之前,连接始终被拒绝。

停用共享密钥处于启用状态 (Retired Shared Secret is Active)

当停用期处于启用状态时显示。

淘汰

停用现有的共享密钥而不是结束它。当您点击 停用 时,系统会显示一个对话框。点击是 (Yes)否 (No)

剩余停用期 (Remaining Retired Period)

(可选)仅当您在 停用 对话框中点击 时可用。显示在工作中心 > 设备管理 > 设置 > 连接设置 > 默认共享密钥失效期窗口中指定的默认值。您可以更改默认值。

这允许输入新的共享密钥。旧共享密钥将在指定天数内保持有效。

结束

(可选)仅当您在 剩余停用期间 对话框中选择 时可用。结束停用期并终止旧的共享密钥。

启用单连接模式 (Enable Single Connect Mode)

选中启用单连接模式复选框,将单一 TCP 连接用于与网络设备之间的所有 TACACS 通信。点击以下单选按钮之一:

  • 传统思科设备 (Legacy Cisco Devices)

  • TACACS 草案合规性单连接支持 (TACACS Draft Compliance Single Connect Support)

 

如果禁用此字段,思科 ISE 会为每个 TACACS 请求使用新的 TCP 连接。

基于 TLS 的 TACACS 身份验证设置

基于 TLS 的 TACACS 身份验证设置

选中此复选框以启用基于 TLS 的 TACACS 身份验证。

启用此选项前,请确保:

  • 管理 > 系统 > 部署 > 常规设置中启用了启用设备管理服务选项。或者,您可以选择工作中心 > 设备管理 > 概述 > 部署,根据需求在所有 PSN 或特定 PSN 上启用设备管理服务。

  • 管理 > 系统 > 设置 > 安全设置中启用了允许 TLS 1.3 选项。

  • 工作中心 > 设备管理 > 概述 > 部署中启用了基于 TLS 的 TACACS 端口选项。启用此选项后,端口 6049 用于基于 TLS 的 TACACS 身份验证。

  • 从系统证书库将系统证书导出到网络设备。确保为该系统证书启用了 TACACS 用途。如果网络设备具有与系统证书相关的根 CA,则无需导出系统证书。

    将根 CA 和中间 CA 证书导入到受信任证书库。导入这些设备证书时,必须在管理 > 系统 > 证书 > 证书存储区 > 受信任证书中启用信任客户端身份验证和系统日志选项。

您可以通过使用证书的 SAN 属性验证客户端身份来实施额外的安全性。思科 ISE 支持验证 IP 地址 (iPAddress)、DNS 名称 (dNSName) 和目录名称(directoryname) 属性。

证书属性的评估顺序如下:

  1. IP 地址

  2. DNS 名称

  3. 目录名称

如果此验证未成功,TACACS 身份验证将失败。

您可以在网络设备页面的 TACACS 模式列中查看网络设备是否启用了 TACACS 或基于 TLS 的 TACACS 身份验证。

IP 地址

选中此复选框,将证书的 SAN 属性中列出的地址与网络设备的 IP 地址进行匹配。支持 IPv4 和 IPv6 地址。

额外的主题备用名称 (SAN) 属性

除 IP 地址外,还支持以下 SAN 属性:

  • DNS 名称 (dNSName)

  • 目录名称 (directoryName)

只要这些属性中的任意一个匹配,验证即成功;否则,验证失败。

每个 SAN 属性都支持多个值。每个属性对必须位于新行中。例如:

dNSName: departmentA.cisco.com

dNSName: departmentB.cisco.com

directoryName: /CN=worker1/O=Cisco/C=US

directoryName: /CN=worker2/O=Cisco/C=US

指定额外 SAN 属性时请注意以下几点:

  • 在 directoryName 中,RDN 值用“/”分隔。它们之间的空格会被忽略。

    示例

    directoryName: /CN=worker1/C=US/O=Cisco

    directoryName: /CN=worker2/C=US/O=Cisco

  • 在 directoryName 中,如果 RDN 值中使用了“/”,则必须用“\”进行转义。

    示例

    directoryName: /CN=Third\/ worker/O=Cisco/C=US

  • 必须为反斜杠字符“\”添加额外的反斜杠“\”。

    示例

    directoryName: /CN=Thir\\d, worker/O=Cisco/C=US

启用单连接模式 (Enable Single Connect Mode)

选中此复选框,允许网络设备使用一个 TCP 连接处理所有 TACACS 请求。这可减少因反复建立和关闭连接而产生的开销,在高流量部署中尤为明显。

网络设备导入设置

下表介绍 导入网络设备 窗口上的字段,您可以使用此页面将网络设备详细信息导入思科 ISE。要查看此处窗口,请点击菜单 图标 (),然后选择 管理 (Administration) > 网络资源 (Network Resources) > 网络设备 (Network Devices)。在 网络设备 窗口中,点击 导入

表 8. 导入网络设备设置

字段名称

使用指南

生成模板 (Generate a Template)

点击创建模板 (Generate a Template) 可创建逗号分隔值 (CSV) 模板文件。

使用 CSV 格式的网络设备信息更新模板,并将其保存在本地。然后,使用编辑的模板将网络设备导入任何思科 ISE 部署。

文件

点击选择文件,选择您最近创建或之前从思科 ISE 部署导出的 CSV 文件。

您可以使用 导入 选项将包含新的和更新后的网络设备信息的网络设备导入其他思科 ISE 部署中。

用新数据覆盖现有数据 (Overwrite Existing Data with New Data)

选中 用新数据覆盖现有数据 复选框可用您的导入文件中的设备取代现有网络设备。

如不选中此复选框,则导入文件中可用的新网络设备定义将添加到网络设备存储库。系统会忽略重复条目。

遇到第一个错误时停止导入

如果您希望思科 ISE 在导入过程中遇到错误时停止导入,请选中遇到第一个错误时停止导入复选框。思科 ISE 会导入网络设备,直至出现错误。

如果未选中此复选框且遇到错误,系统会报告该错误,并且思科 ISE 会继续导入其余设备。

在思科 ISE 中添加网络设备

您可以在思科 ISE 中添加网络设备或使用默认网络设备。

您也可以在网络设备 (Network Devices)工作中心 (Work Centers) > 设备管理 (Device Administration) > 网络资源 (Network Resources) > 网络设备 (Network Devices))窗口中添加网络设备。

开始之前

必须在要添加的网络设备上启用 AAA 功能。请参阅启用 AAA 功能的命令

过程

步骤 1

在思科 ISE GUI 中,点击菜单图标 (),然后选择 管理 > 网络资源 > 网络设备

步骤 2

点击添加 (Add)

步骤 3

名称 (Name)说明 (Description)IP 地址 (IP Address) 字段中输入相应的值。

步骤 4

设备配置文件 (Device Profile)型号名称 (Model Name)软件版本 (Software Version)网络设备组 (Network Device Group) 的下拉列表中选择所需的值。

步骤 5

(可选)选中 RADIUS 身份验证设置复选框以配置用于身份验证的 RADIUS 协议。

步骤 6

(可选)选中 TACACS 身份验证设置 (TACACS Authentication Settings) 复选框以配置用于身份验证的 TACACS 协议。

步骤 7

(可选)选中 SNMP 设置 (SNMP Settings) 复选框以为思科 ISE 分析服务配置 SNMP,以便从设备收集信息。

步骤 8

(可选)选中高级 Trustsec 设置 (Advanced Trustsec Settings) 复选框以配置启用思科 Trustsec 的设备。

步骤 9

点击提交 (Submit)

将网络设备导入思科 ISE

要使思科 ISE 能够与网络设备通信,您必须在思科 ISE 中添加网络设备的设备定义。通过网络设备 (Network Devices) 窗口将网络设备的设备定义导入思科 ISE(从主菜单中,选择管理 (Administration) > 网络资源 (Network Resources) > 网络设备 (Network Devices))。

使用逗号分隔值 (CSV) 文件,将设备定义列表导入到思科 ISE 节点中。当您在 网络设备 窗口中点击 导入 时,CSV 模板文件可用。下载此文件,输入所需的设备定义,然后通过 导入 窗口上传编辑的文件。

您不能同时执行同一资源类型的多项导入。例如,不能同时从两个不同的导入文件导入网络设备。

导入设备定义的 CSV 文件时,您可以通过点击用新数据覆盖现有数据 (Overwrite Existing Data with New Data) 选项创建新记录或更新现有记录。

每个思科 ISE 中的模板导入可能有所不同。请勿导入从其他思科 ISE 版本导出的网络设备的 CSV 文件。在您的版本的 CSV 模板文件中输入网络设备的详细信息,然后将此文件导入思科 ISE。

您可以导入 IP 地址在所有八位组的范围内的网络设备。

过程

步骤 1

在思科 ISE GUI 中,点击菜单图标 (),然后选择 管理 > 网络资源 > 网络设备

步骤 2

点击导入

步骤 3

在显示的 导入网络设备 窗口中,点击 生成模板 下载一个 CSV 文件,您可以编辑它,填好所需的详细信息后导入思科 ISE。

步骤 4

点击选择文件 (Choose File),从正在运行客户端浏览器的系统中选择该 CSV 文件。

步骤 5

(可选)根据需要,选中 用新数据覆盖现有数据在发生第一个错误时停止导入复选框。

步骤 6

点击导入

文件导入完成后,思科 ISE 会显示摘要消息。此消息包括导入状态(成功或不成功)、遇到的错误数(如果有)以及文件导入过程所需的总处理时间。

从思科 ISE 导出网络设备

用 CSV 文件的形式导出思科 ISE 节点中可用的网络设备的设备定义。然后,您可以将此 CSV 文件导入另一个思科 ISE 节点,以便设备定义可用于所需的思科 ISE 节点。

您可以导出 IP 地址在所有八位组中的网络设备。

过程

步骤 1

在思科 ISE GUI 中,点击菜单图标 (),然后选择 管理 (Administration) > 网络资源 (Network Resources) > 网络设备 (Network Devices)

步骤 2

点击导出

步骤 3

,导出添加到思科 ISE 节点的网络设备的设备定义。

  • 要仅导出所选设备,请选中要导出的设备旁的复选框,然后从导出下拉列表中选择导出所选

  • 要导出添加到思科 ISE 节点的所有网络设备,请从导出下拉列表中选择导出全部

解决网络设备配置问题

过程

步骤 1

在思科 ISE GUI 中,点击菜单图标 () 并选择 操作 > 故障排除 > 诊断工具 > 常规工具 > 评估配置验证器

步骤 2

网络设备 IP (Network Device IP) 字段中输入您想要评估网络设备的 IP 地址。

步骤 3

选中相应复选框,然后点击要与建议模板进行比较的配置选项旁边的单选按钮。

步骤 4

点击 Run

步骤 5

进度详细信息...区域中,点击点击此处输入凭证

步骤 6

凭证窗口 (Credentials Window) 对话框中,输入与网络设备建立连接所需的连接参数和凭证。

步骤 7

点击提交 (Submit)

步骤 8

(可选)要取消工作流程,请在进度详细信息... 窗口中点击点击此处取消正在运行的工作流程

步骤 9

(可选)选中想要分析的接口旁边的复选框,然后点击提交

步骤 10

(可选)点击显示结果摘要以查看配置评估的详细信息。

执行网络设备命令诊断工具

执行网络设备命令诊断工具允许您在任何网络设备上运行 show 命令。

显示的结果与您应在控制台上看到的结果相同。通过此工具,您可以发现设备配置中的任何问题。

使用此工具可验证任何网络设备的配置,也可以使用此工具了解网络设备的配置方式。

要访问执行网络设备命令诊断工具,请选择以下导航路径之一:

  1. 在思科 ISE GUI 中,点击菜单图标 () 并选择 操作 > 故障排除 > 诊断工具 > 执行网络设备命令在思科 ISE GUI 中,点击菜单图标 () 并选择 工作中心 > 解析器 > 故障排除 > 执行网络设备命令

  2. 在显示的 执行网络设备命令 窗口中,在相应字段中输入网络设备的 IP 地址和您想要运行的 显示 命令。

  3. 点击运行 (Run)

思科 ISE 中的第三方网络设备支持

思科 ISE 通过使用网络设备配置文件,支持第三方网络访问设备 (NAD)。不管供应商端实施如何,NAD 配置文件都使用简化的策略配置定义第三方设备的功能。网络设备配置文件包含以下内容:

  • 该网络设备支持的协议,例如 RADIUS、TACACS+ 和思科 TrustSec。可以将任何有关该网络设备的供应商特定的 RADIUS 字典导入到思科 ISE 中。

  • 该设备用于各种身份验证流程的属性和值,例如有线 MAB 和 802.1x。通过这些属性和值,思科 ISE 可以根据网络设备使用的属性为您的设备检测正确的身份验证流程。

  • 网络设备具有的授权更改 (CoA) 功能。虽然 RADIUS 协议 RFC 5176 定义了 CoA 请求,但 CoA 请求中使用的属性因网络设备而异。大多数带有 RFC 5176 的非思科设备都支持推送断开连接功能。对于不支持 RADIUS CoA 类型的设备,思科 ISE 还支持 SNMP CoA。

  • 网络设备针对 MAB 流程使用的属性和协议。不同供应商的网络设备采用不同方式执行 MAB 身份验证。

  • 设备使用的 VLAN 和 ACL 权限。保存配置文件后,思科 ISE 为每个配置的权限自动生成授权配置文件。

  • URL 重定向技术信息。对于高级流程(如自带设备 (BYOD)、访客访问和终端安全评估服务),URL 重定向是必需的。在网络设备上有两种类型的 URL 重定向—静态和动态。对于静态 URL 重定向,可以复制思科 ISE 门户 URL 并将其粘贴到配置中。对于动态 URL 重定向,思科 ISE 会通过 RADIUS 属性告诉网络设备应重定向至哪个地址。

    如果网络设备既不支持动态 URL 重定向,也不支持静态 URL 重定向,则思科 ISE 提供身份验证 VLAN 配置,用于模拟 URL 重定向。身份验证 VLAN 配置基于思科 ISE 中运行的 DHCP 和 DNS 服务。

在思科 ISE 中定义网络设备后,配置这些设备配置文件或使用思科 ISE 提供的预配置设备配置文件,以定义思科 ISE 用于启用基本身份验证流程以及高级流程(如分析器、访客、BYOD、MAB 和终端安全评估)的功能。

URL 重定向机制和身份验证 VLAN

在网络中使用第三方设备且该设备不支持动态或静态 URL 重定向时,思科 ISE 将模拟 URL 重定向流程。通过在思科 ISE 上运行 DHCP 或 DNS 服务来运行此类设备的 URL 重定向模拟流程。

以下是身份验证 VLAN 流程的示例:

  1. 访客终端连接到 NAD。

  2. 网络设备将 RADIUS 或 MAB 请求发送至思科 ISE。

  3. 思科 ISE 运行已配置的身份验证和授权策略,并存储用户帐户信息。

  4. 思科 ISE 发送 RADIUS 访问-接受消息,其中包含身份验证 VLAN ID。

  5. 访客终端接收网络访问。

  6. 终端广播 DHCP 请求,并从思科 ISE DHCP 服务获取客户端 IP 地址和思科 ISE DNS sink hole IP 地址。

  7. 访客终端打开浏览器,从中发送 DNS 查询并接收思科 ISE IP 地址。

  8. 终端 HTTP 和 HTTPS 请求定向到思科 ISE。

  9. 思科 ISE 使用 HTTP 301 已移动 消息进行响应并提供访客门户 URL。终端浏览器重定向到访客门户窗口。

  10. 访客终端用户登录以进行身份验证。

  11. 思科 ISE 验证终端合规性,然后响应 NAD。思科 ISE 发送 CoA,授权终端并绕过 sink hole。

  12. 访客用户基于 CoA 获得适当访问权限,终端从企业 DHCP 接收 IP 地址。访客用户现在即可使用网络。

可以使身份验证 VLAN 独立于企业网络,以防止访客终端在通过身份验证之前进行未经授权的网络访问。将身份验证 VLAN IP 助手配置为指向思科 ISE 计算机,或将一个思科 ISE 网络接口连接到身份验证 VLAN。

通过从 NAD 配置中配置 VLAN IP 助手可以将多个 VLAN 连接到一个网络接口卡。有关配置 IP 助手的详细信息,请参阅网络设备的管理指南说明。对于包含具有 IP 助手的 VLAN 的访客访问流程,请定义访客门户,并在绑定到 MAB 授权的授权配置文件中选择此门户。有关访客门户的详细信息,请参阅思科 ISE 访客服务

下图显示了定义身份验证 VLAN 时的基本网络设置(身份验证 VLAN 直接连接到思科 ISE 节点)。

图 1. 连接到思科 ISE 节点的身份验证 VLAN

下图显示了带有身份验证 VLAN 和 IP 助手的网络。

图 2. 配置有 IP 助手的身份验证 VLAN

CoA 类型

思科 ISE 同时支持 RADIUS 和 SNMP CoA 类型。必须支持 RADIUS 或 SNMP CoA 类型,NAD 才能在复杂流程中工作,而这对于基本流程不是强制性的。

定义在思科 ISE 中配置 NAD 时网络设备支持的 RADIUS 和 SNMP 设置。指示配置 NAD 配置文件时要用于特定流的 CoA 类型。有关为您的 NAD 定义协议的详细信息,请参阅网络设备定义设置。在思科 ISE 中创建设备配置文件和 NAD 配置文件之前,请与您的第三方供应商联系,以确认您的 NAD 所支持的 CoA 类型。

网络设备配置文件

思科 ISE 通过使用网络设备配置文件支持一些第三方 NAD。这些配置文件定义用于启用基本流量和高级流量(如访客、自带设备、MAB 和终端安全评估)的思科 ISE 功能。

思科 ISE 包含多个供应商网络设备的预定义配置文件。思科 ISE 已在下表所列的网络设备上测试

表 9. 已通过思科 ISE 测试的供应商设备

设备类型

供应商

CoA 类型

URL 重定向类型

支持或验证的使用案例

802.1X 和 MAB 流

无 CoA 的分析器

带 CoA 的分析器

终端安全评估

访客和 BYOD 流

无线

Aruba 7000,InstantAP

RADIUS

静态 URL

Motorola RFS 4000

RADIUS

动态 URL

HP 830

RADIUS

静态 URL

Ruckus ZD 1200

RADIUS

有线

HP A5500

RADIUS

ISE 提供的 Auth VLAN

HP 3800 和 2920 (ProCurve)

RADIUS

ISE 提供的 Auth VLAN

Alcatel 6850

SNMP

动态 URL

Brocade ICX 6610

RADIUS

ISE 提供的 Auth VLAN

Juniper EX3300-24p

RADIUS

ISE 提供的 Auth VLAN

对于其他第三方 NAD,您必须在思科 ISE 中确定设备属性和功能并创建自定义 NAD 配置文件。

需要 CoA 支持

需要 CoA 支持。

如果有线设备不支持 URL 重定向,思科 ISE 将使用 Auth VLAN。尚未使用 Auth VLAN 测试无线设备。

您必须为没有预定义配置文件的其他第三方网络设备创建自定义 NAD 配置文件。对于高级工作流程(例如访客、自带设备和终端安全评估),网络设备必须支持有关 CoA 支持这些流程。请参阅设备的管理指南,了解在思科 ISE 中创建网络设备配置文件所需的属性的相关信息。

ISE 社区资源

有关第三方 NAD 配置文件的信息,请参阅 ISE 第三方 NAD 配置文件和配置

在思科 ISE 中配置第三方网络设备

思科 ISE 通过使用网络设备配置文件支持第三方 NAD。这些配置文件对思科 ISE 用于启用流(例如,访客、BYOD、MAB 和安全状态)的功能进行定义。

开始之前

请参阅网络设备配置文件

过程

步骤 1

在思科 ISE 中配置第三方网络设备(参阅 将网络设备导入思科 ISE。如果要配置访客、BYOD 或终端安全评估工作流程,请确保已定义 CoA,并且已将 NAD 的 URL 重定向机制配置为指向相关的思科 ISE 门户。要配置 URL 重定向,请从门户的登录页面复制思科 ISE 门户 URL。有关为思科 ISE 中的 NAD 配置 CoA 类型和 URL 重定向的详细信息,请参阅 网络设备定义设置。此外,请参阅第三方设备的管理指南以了解相关说明。

步骤 2

确保在思科 ISE 中可使用设备的适当 NAD 配置文件。要查看现有的配置文件,请依次选择 管理 > 网络资源 > 网络设备配置文件如果思科 ISE 中不存在适当的配置文件,请创建自定义配置文件。有关如何创建自定义配置文件的信息,请参阅创建网络设备配置文件

步骤 3

将 NAD 配置文件分配至您想要配置的 NAD。在思科 ISE GUI 中,点击菜单图标 (),然后选择 管理 (Administration) > 网络资源 (Network Resources) > 网络设备 (Network Devices)。打开要分配配置文件的设备,然后从设备配置文件下拉列表中选择要分配的配置文件。

步骤 4

当您在配置策略规则时,在第 1 步中将授权配置文件设置为 NAD 配置文件;或者如果您使用 VLAN 或者 ACL,或者在您的网络中存在不同供应商的不同设备,则设置为 任何 (Any) 。要为授权配置文件设置 NAD 配置文件,选择“策略”(Policy) > “策略元素”(Policy Elements) > “结果”(Results) > “授权”(Authorization) > “授权配置文件”(Authorization Profiles)。打开相关的授权配置文件,从网络设备配置文件 (Network Device Profile) 下拉列表中,选择相关的 NAD 配置文件。在对访客流量使用 Auth VLAN 时,象常规的访客流量一样,您还应定义访客门户,并在绑定至 MAB 授权的授权配置文件中选择该访客门户。有关访客门户的详细信息, 请参阅 中的“思科 ISE 访客服务”部分 请参阅 思科 ISE 访客服务

创建网络设备配置文件

开始之前

  • 大多数 NAD 都具有供应商特定的 RADIUS 字典,除了提供标准的 IETF RADIUS 属性之外,该字典还提供多个供应商特定属性。如果网络设备有供应商特定的 RADIUS 字典,请将其导入到思科 ISE。有关需要哪一个 RADIUS 字典的说明,请参阅第三方设备的管理指南。在思科 ISE GUI 中,点击菜单图标 (),然后选择 策略 > 策略元素 > 词典 > 系统 > Radius > RADIUS 供应商。要导入 RADIUS 字典,请参阅创建 RADIUS 供应商字典

  • 对于访客和终端安全评估等复杂流,网络设备必须支持 RFC 5176中定义的 CoA 类型。

  • 有关创建网络设备配置文件的字段和可能值的信息,请参阅网络设备配置文件设置

过程

步骤 1

在思科 ISE GUI 中,点击菜单图标 (),然后选择 管理 (Administration) > 网络资源 (Network Resources) > 网络设备配置文件 (Network Device Profiles)

步骤 2

点击添加 (Add)

步骤 3

在显示的新网络设备配置文件 (New Network Device Profile) 窗口中,在网络设备的名称 (Name)说明 (Description) 字段中输入相应的值。

步骤 4

供应商下拉列表中,选择网络设备的供应商。

步骤 5

图标 (Icon) 区域中,点击更改图标... (Change Icon...),从您的系统上传网络设备的图标。

或者,在图标 (Icon) 区域中,点击设置为默认值以使用思科 ISE 提供的默认图标。

步骤 6

支持的协议 (Supported Protocols) 区域中,选中设备支持的协议所对应的复选框。仅选中要实际使用的协议对应的复选框。如果网络设备支持 RADIUS 协议,请从 RADIUS 字典 (RADIUS Dictionaries) 下拉列表中选择要用于设备的 RADIUS 字典。

步骤 7

模板 (Templates) 区域,输入相关详细信息:

  1. 点击身份验证/授权 (Authentication/Authorization),配置网络设备的默认流类型、属性别名和主机查找设置。在显示的新流类型条件 (Flow Type Conditions) 区域中,输入设备用于各种身份验证和授权流(如有线 MAB 或 802.1x)的属性和值。这使思科 ISE 能够根据它使用的属性为设备检测到正确的流类型。对于 MAB 没有 IETF 标准,不同的供应商对于 Service-Type 使用不同的值。请参阅设备的用户指南或使用 MAB 身份验证嗅探器跟踪以确定正确的设置。在属性别名 (Attribute Aliasing) 区域中,将设备特定的属性名称映射到通用名称以简化策略规则。目前,仅定义服务集标识符 (SSID)。如果网络设备具有无线 SSID 的概念,则将此设置为其使用的属性。在标准化 RADIUS 字典中,思科 ISE 将它映射至称为 SSID 的属性。您可以在一个规则中引用 SSID,并且即使底层属性不同,它也适用于多个设备,因此可简化策略规则配置。在主机查找 (Host Lookup) 区域中,选中处理主机查找 (Process Host Lookup) 复选框,并根据第三方提供的说明为设备选择相关 MAB 协议和属性。

  2. 点击权限 (Permissions),配置网络设备的默认 VLAN 和 ACL 设置。这些设置会根据您在思科 ISE 中创建的授权配置文件自动映射。

  3. 点击授权更改 (CoA) (Change of Authorization [CoA]) 以配置网络设备的 CoA 功能。

    如果从 CoA 发送协议 (CoA By) 下拉列表中选择 RADIUS,则在显示的配置区域中,必须仅选择静态属性。 不支持动态属性。

  4. 点击重定向 (Redirect) 以配置网络设备的 URL 重定向功能。URL 重定向对于访客、BYOD 和终端安全评估服务来说是必需的。

步骤 8

点击 提交

从思科 ISE 导出网络设备配置文件

以 XML 文件的形式导出在思科 ISE 中配置的单个或多个网络设备配置文件。然后,可以编辑 XML 文件并将其作为新的网络配置文件导入到思科 ISE 文件中。

开始之前

请参阅如何创建 ISE 网络访问设备配置文件

过程

步骤 1

在思科 ISE GUI 中,点击菜单图标 () 并选择 管理 > 网络资源 > 网络设备配置文件

步骤 2

选中您要导出的设备旁边的复选框,然后点击导出选定对象 (Export Selected)

步骤 3

将名为 DeviceProfiles.xml 的文件下载到您的本地硬盘。

将网络设备配置文件导入到思科 ISE

可以使用具有思科 ISE XML 结构的单个 XML 文件将单个或多个网络设备配置文件导入到思科 ISE。您无法同时导入来自多个导入文件的网络设备配置文件。

通常,您必须首先从思科 ISE 管理员门户导出现有配置文件以用作模板。在文件中输入设备配置文件详细信息,并将其另存为 XML 文件。然后,将编辑后的文件重新导入到思科 ISE。为了使用多个网络设备配置文件,可将多个构造在一起的配置文件导出为单个 XML 文件,编辑该文件,然后将配置文件一并导入,以便在思科 ISE 中创建多个配置文件。

在导入网络设备配置文件时,只能创建新记录。您无法覆盖现有的配置文件。要更新现有网络设备配置文件,请从思科 ISE 导出现有配置文件,从思科 ISE 删除配置文件,然后在相应编辑后导入配置文件。

开始之前

请参阅如何创建 ISE 网络访问设备配置文件

过程

步骤 1

在思科 ISE GUI 中,点击菜单图标 () 并选择 管理 > 网络资源 > 网络设备配置文件

步骤 2

点击导入

步骤 3

点击 选择文件,从正在运行客户端浏览器的系统中选择 XML 文件。

步骤 4

点击导入 (Import)

管理网络设备组

通过以下窗口,您可以配置和管理网络设备组。

网络设备组设置

下表介绍 网络设备组 窗口上的字段,您可以使用此窗口创建网络设备组。要查看此处窗口,请点击菜单 图标 (),然后选择 管理 (Administration) > 网络资源 (Network Resources) > 网络设备组 (Network Device Groups) > 全部组 (All Groups)

您还可在工作中心 (Work Centers) > 设备管理 (Device Administration) > 网络资源 (Network Resources) > 网络设备组 (Network Device Groups) > 全部组 (All Groups) 窗口。

表 10. “网络设备组”窗口中的字段

字段名称

使用指南

名称

为根网络设备组输入一个名称。对于添加到该根网络设备组的所有后续子网络设备组,请输入这个新建网络设备组的名称。

网络设备组层次结构中最多可以有六个节点,包括根节点。每个网络设备组的名称最多可以包含 32 个字符。

说明

为根网络设备组或子网络设备组输入一段说明。

网络设备数

此列中显示网络组中的网络设备数量。

网络设备组导入设置

下表列出了 网络设备组 窗口上 导入 对话框中的字段。要查看此处窗口,请点击菜单 图标 (),然后选择 管理 (Administration) > 网络资源 (Network Resources) > 网络设备组 (Network Device Groups)

表 11. “网络设备组导入”窗口中的字段

字段名称

使用指南

生成模板 (Generate a Template)

点击此链接下载 CSV 模板文件。

使用相同格式的网络设备组信息更新模板。将模板保存在本地,以便将网络设备组导入任何思科 ISE 部署中。

文件

点击 选择文件,导航至您要上传的 CSV 文件的位置。该文件可能是新文件,也可能是从另一个思科 ISE 部署中导出的文件。

可以将包含新的和更新后的网络设备组信息的网络设备组从一个思科 ISE 部署导入另一部署。

用新数据覆盖现有数据 (Overwrite Existing Data with New Data)

如果您希望思科 ISE 用您的导入文件中的设备组替换现有网络设备组,请选中此复选框。

如果未选中此复选框,则只会将导入文件中的新网络设备组添加到网络设备组存储库。系统会忽略重复条目。

遇到第一个错误时停止导入

选中此复选框,可在导入期间遇到错误的第一个实例时停止导入。

如果未选中此复选框并且遇到错误,思科 ISE 将报告错误,并继续导入剩余设备组。

网络设备组

思科 ISE 支持创建分层网路设备组。使用网络设备组根据不同的条件(例如地理位置、设备类型或其在网络中的相对位置 [例如,“接入层”或“数据中心”等])对网络设备进行逻辑分组。

要查看“网络设备组”窗口,点击菜单图标 () 并选择 管理 > 网络资源 > 网络设备组

例如,要按地理位置组织网络设备,可以按大洲、区域和国家/地区将设备进行分组:

  • 非洲 > 南部 > 纳米比亚

  • 非洲 > 南部 > 南非

  • 非洲 > 南部 > 博茨瓦纳

根据设备类型对网络设备进行分组:

  • 非洲 > 南部 > 博茨瓦纳 > 防火墙

  • 非洲 > 南部 > 博茨瓦纳 > 路由器

  • 非洲 > 南部 > 博茨瓦纳 > 交换机

将网络设备分配给一个或多个分层网络设备组。当思科 ISE 通过已配置的网络设备组的有序列表确定要分配给特定设备的适当组时,它可能会发现同一设备配置文件适用于多个设备组。在这种情况下,思科 ISE 将应用匹配的第一个设备组。

对可创建的网络设备组的最大数量没有限制。您可以为网络设备组创建最多六个层级(包括父级组)。

设备组层级以两种视图显示:树表 (Tree Table)平面表 (Flat Table)。点击网络设备组列表上方的 树表平面表 ,按相应视图组织列表。

树表 (Tree Table) 视图中,根节点显示在树顶部,下面是按层级顺序排列的子组。点击全部展开 (Expand All) 以查看每个根组中的所有设备组。点击全部折叠 (Collapse All) 以查看仅含根组的列表。

平面表 (Flat Table) 视图中,组层次结构 (Group Hierarchy) 列中显示每个设备组的层次结构。

在两个视图中,分配给每个子组的网络设备的数量显示在相应的网络设备数量 (No. of Network Devices) 列中。点击数字可启动一个对话框,其中列出了分配给该设备组的所有网络设备。显示的对话框还包含两个按钮,可将网络设备从一个组移动到另一个组。点击 将设备移动到另一个组 ,可将网络设备从当前组移动到另一个组。点击 将设备添加到组 ,可将网络设备移至所选网络设备组。

要在 网络设备组 窗口中添加网络设备组,请点击 添加。在父级组 (Parent Group) 下拉列表中,选择网络设备组必须添加到的父级组,或选择添加为根组 (Add As Root Group) 选项将新网络设备组添加为父级组。


如果已向设备组分配了任何设备,则无法删除该设备组。在删除设备组之前,您必须将所有现有设备移动到另一个设备组。

根网络设备组

思科 ISE 包含两个预定义的根网路设备组:所有设备类型 (All Device Types)所有位置 (All Locations)。无法编辑、复制或删除这些预定义的网路设备组,但可以在这些组中添加新设备组。

您可以创建根网络设备组(网络设备组),然后在 网络设备组 窗口中的根组下创建子网络设备组,如前所述。

思科 ISE 在策略评估中使用的网络设备属性

创建新网络设备组时,新网络设备属性将添加至系统词典中的设备词典(策略 > 策略元素 > 词典)。添加的设备属性随后将在策略定义中使用。

思科 ISE 允许您使用设备 (Device) 字典属性(例如设备类型、位置、型号名称或网络设备上运行的软件版本)配置身份验证和授权策略。

将网络设备组导入到思科 ISE

您可以使用逗号分隔值 (CSV) 文件将网络设备组导入到思科 ISE 节点。请注意,您不能同时从两个不同的导入文件导入网络设备组。

从思科 ISE 管理员门户下载 CSV 模板。在模板中输入网络设备组详细信息,并将模板另存为 CSV 文件,然后将编辑的文件导入到思科 ISE。

导入设备组时,您可以创建新记录或更新现有记录。导入设备组时,您还可以定义在思科 ISE 遇到第一个错误时希望思科 ISE 使用新组覆盖现有设备组还是停止导入过程。

过程

步骤 1

在思科 ISE GUI 中,点击菜单图标 () 并选择 管理 > 网络资源 > 网络设备组

步骤 2

点击导入

步骤 3

在对话框中,点击选择文件,从正在运行客户端浏览器的系统中选择 CSV 文件。

要下载用于添加网络设备组的 CSV 模板文件,请点击生成模板 (Generate a Template)

步骤 4

要覆盖现有网络设备组,请选中 用新数据覆盖现有数据 复选框。

步骤 5

选中遇到第一个错误时停止导入复选框。

步骤 6

点击导入 (Import)

从思科 ISE 导出网络设备组

您可以用 CSV 文件的形式导出在思科 ISE 中配置的网络设备组。然后,您可以将这些网络设备组导入另一个思科 ISE 节点。

过程

步骤 1

在思科 ISE GUI 中,点击菜单图标 () 并选择 管理 > 网络资源 > 网络设备组 > 所有组

步骤 2

要导出网络设备组,可以执行以下操作之一:

  • 选中您要导出的设备组旁边的复选框,然后选择导出 (Export) > 导出选定对象 (Export Selected)

  • 依次选择 导出 > 全部导出 ,导出已定义的所有网络设备组。

CSV 文件可下载到您的本地硬盘。

管理网络设备组

通过以下窗口,您可以配置和管理网络设备组。

网络设备组设置

下表介绍 网络设备组 窗口上的字段,您可以使用此窗口创建网络设备组。要查看此处窗口,请点击菜单 图标 (),然后选择 管理 (Administration) > 网络资源 (Network Resources) > 网络设备组 (Network Device Groups) > 全部组 (All Groups)

您还可在工作中心 (Work Centers) > 设备管理 (Device Administration) > 网络资源 (Network Resources) > 网络设备组 (Network Device Groups) > 全部组 (All Groups) 窗口。

表 12. “网络设备组”窗口中的字段

字段名称

使用指南

名称

为根网络设备组输入一个名称。对于添加到该根网络设备组的所有后续子网络设备组,请输入这个新建网络设备组的名称。

网络设备组层次结构中最多可以有六个节点,包括根节点。每个网络设备组的名称最多可以包含 32 个字符。

说明

为根网络设备组或子网络设备组输入一段说明。

网络设备数

此列中显示网络组中的网络设备数量。

网络设备组导入设置

下表列出了 网络设备组 窗口上 导入 对话框中的字段。要查看此处窗口,请点击菜单 图标 (),然后选择 管理 (Administration) > 网络资源 (Network Resources) > 网络设备组 (Network Device Groups)

表 13. “网络设备组导入”窗口中的字段

字段名称

使用指南

生成模板 (Generate a Template)

点击此链接下载 CSV 模板文件。

使用相同格式的网络设备组信息更新模板。将模板保存在本地,以便将网络设备组导入任何思科 ISE 部署中。

文件

点击 选择文件,导航至您要上传的 CSV 文件的位置。该文件可能是新文件,也可能是从另一个思科 ISE 部署中导出的文件。

可以将包含新的和更新后的网络设备组信息的网络设备组从一个思科 ISE 部署导入另一部署。

用新数据覆盖现有数据 (Overwrite Existing Data with New Data)

如果您希望思科 ISE 用您的导入文件中的设备组替换现有网络设备组,请选中此复选框。

如果未选中此复选框,则只会将导入文件中的新网络设备组添加到网络设备组存储库。系统会忽略重复条目。

遇到第一个错误时停止导入

选中此复选框,可在导入期间遇到错误的第一个实例时停止导入。

如果未选中此复选框并且遇到错误,思科 ISE 将报告错误,并继续导入剩余设备组。

在思科 ISE 中导入模板

思科 ISE 可以让您使用 CSV 文件导入大量网络设备和网络设备组。模板包含用于定义字段格式的标题行。除非添加下表中提到的列,否则不得编辑此标题行。

在网络设备和网络设备组的相关导入流中,可以使用生成模板 (Generate a Template) 链接将 CSV 文件下载到本地系统。

网络设备导入模板格式

下表列出了重要网络设备 CSV 模板文件标题中的字段,并进行了说明。

表 14. 网络设备的 CSV 模板字段和说明

字段

使用指南

Name:String(32)

输入网络设备的名称。名字必须是一个最多包含 32 个字符的字母数字字符串。

Description:String(256)

(可选)输入网络设备的说明,最多 256 个字符。

IP Address:Subnets(a.b.c.d/m|...)

输入网络设备的 IP 地址和子网掩码。您可以输入多个值,使用竖线 “|” 符号分隔这些值。

IPv4 和 IPv6 地址是 支持网络设备(TACACS 和 RADIUS)配置以及外部 RADIUS 服务器配置。

输入 IPv4 地址时,可以使用地址范围和子网掩码。

IPv6 不支持地址范围。

Model Name:String(32)

输入网络设备的型号名称,最多 32 个字符。

Software Version:String(32)

输入网络设备的软件版本,最多 32 个字符。

Network Device Groups:String(100)

输入现有网络设备组的名称。如果是子组,必须同时包含由空格分隔的父组和子组。字符串必须是一个最多包含 100 个字符的字符串,例如, Location#All Location#US

Authentication:Protocol:String(6)

输入要使用的身份验证协议。唯一有效的值为 RADIUS (不区分大小写)。

Authentication:Shared Secret:String(128)

(如果在 身份验证:协议:字符串(6) 字段中输入一个值,则此字段为必填字段)此字段是一个最多为 128 个字符的字符串。

PasswordEncrypted:Boolean(true|false)

此列不需要字段值。

如果要从思科 ISE 版本 3.3 补丁 1 或更早版本导入网络设备,则必须在导入之前在 Authentication:Shared Secret:String(128) 列的右侧添加一个包含此标题的新列。如果未添加此列,则会显示错误消息,并且您将无法导入文件。

如果在导入期间未提供用于解密密码的有效密钥,则具有加密密码的网络设备将被拒绝。

EnableKeyWrap:Boolean(true|false)

KeyWrap 仅在网络设备上支持此字段时才启用。输入 truefalse

EncryptionKey:String(ascii:16|hexa:32)

(如果启用 KeyWrap,则此字段为必填字段)输入用于会话加密的加密密钥。

ASCII 值: 长度为 16 个字符(字节)。

十六进制值 - 长度为 32 个字符(字节)。

AuthenticationKey:String(ascii:20|hexa:40)

(如果启用 KeyWrap,则此字段为必填字段。)输入 RADIUS 消息键控散列消息验证码 (HMAC) 计算的密钥。

ASCII 值: 长度为 20 个字符(字节)。

十六进制值 - 长度为 40 个字符(字节)。

InputFormat:String(32)

输入加密和身份验证密钥输入格式。接受 ASCII 和十六进制值。

SNMP:Version:Enumeration (|2c|3)

输入分析器服务必须使用的 SNMP 协议版本 - 1、2c 或 3。

SNMP:RO Community:String(32)

 (如果在 SNMP:Version:Enumeration (|2c|3) 字段中输入值,则为必填项)。为只读社区输入最多 32 个字符的字符串

SNMP:RW Community:String(32)

(如果在 SNMP:Version:Enumeration (|2c|3) 字段中输入值,则为必填项)。为读写社区输入最多包含 32 个字符的字符串。

SNMP:Username:String(32)

输入一个最多为 32 个字符的字符串。

(如果在 SNMP:Version:Enumeration (|2c|3) 字段中输入 SNMP 版本 3,则为必填项)输入 AuthNo AuthPriv

SNMP:Authentication Protocol:Enumeration(MD5|SHA)

(如果已输入 AuthPriv 作为 SNMP 安全级别,则此字段为必填字段。)输入 MD5SHA

SNMP:Authentication Password:String(32)

(如果已在 SNMP:Security Level:Enumeration(Auth|No Auth|Priv) 字段中输入 Auth,则为必填项。)输入一个最多为 32 个字符的字符串。

SNMP:Privacy Protocol:Enumeration(DES|AES128|AES192|AES256|3DES)

(如果您在 SNMP:Security Level:Enumeration(Auth|No Auth|Priv) 字段中输入了 Priv,则为必填项。)输入 DESAES128AES192AES2563DES

SNMP:Privacy Password:String(32)

(如果您在 SNMP:Security Level:Enumeration(Auth|No Auth|Priv) 字段中输入了 Priv,则为必填项。)输入一个最多为 32 个字符的字符串。

SNMP:Polling Interval:Integer:600-86400 seconds

输入 SNMP 轮询间隔(秒)。有效值为介于 600 和 86400 之间的整数。

SNMP:Is Link Trap Query:Boolean(true|false)

通过输入 truefalse 来启用或禁用 SNMP 链路陷阱。

SNMP:Is MAC Trap Query:Boolean(true|false)

通过输入 truefalse来启用或禁用 SNMP MAC 陷阱。

SNMP:Originating Policy Services Node:String(32)

指示必须用于轮询 SNMP 数据的思科 ISE 服务器。它默认情况下是自动的,但可以通过在此字段中分配不同的值来覆盖该设置。

Trustsec:Device Id:String(32)

输入思科 Trustsec 设备 ID,是最多为 32 个字符的字符串。

Trustsec:Device Password:String(256)

(如果已输入思科 TrustSec 设备 ID,则为必填项。)输入思科 TrustSec 设备密码,该密码是最多包含 256 个字符的字符串。

Trustsec:Environment Data Download Interval:Integer:1-2147040000 seconds

输入思科 TrustSec 环境数据下载时间间隔。有效值为介于 1 和 2147040000 之间的整数。

Trustsec:Peer Authorization Policy Download Interval:Integer:1-2147040000 seconds

输入 TrustSec 对等体授权策略下载时间间隔。有效值为介于 1 和 2147040000 之间的整数。

Trustsec:Reauthentication Interval:Integer:1-2147040000 seconds

输入 TrustSec 重新身份验证时间间隔。有效值为介于 1 和 2147040000 之间的整数。

Trustsec:SGACL List Download Interval:Integer:1-2147040000 seconds

输入思科 TrustSec 安全组 ACL 列表下载间隔。有效值为介于 1 和 2147040000 之间的整数。

Trustsec:Is Other Trustsec Devices Trusted:Boolean(true|false)

通过输入 truefalse指示思科 TrustSec 设备是否受信任。

Trustsec:Notify this device about Trustsec configuration changes:String(ENABLE_ALL|DISABLE_ALL)

通过输入 ENABLE_ALLDISABLE_ALL 通知思科 TrustSec 配置更改到思科 TrustSec 设备。

Trustsec:Include this device when deploying Security Group Tag Mapping Updates:Boolean(true|false)

通过输入 true or false指示思科 TrustSec 设备是否包含在安全组标签中。

Deployment:Execution Mode Username:String(32)

输入有权编辑设备配置的用户名。这是一个最多为 32 个字符的字符串。

Deployment:Execution Mode Password:String(32)

输入设备密码,该密码是最多包含 32 个字符的字符串。

Deployment:Enable Mode Password:String(32)

输入设备的密码,可以让您编辑设备的配置。这是一个最多为 32 个字符的字符串。

Trustsec:PAC issue date:Date

输入思科 ISE 为思科 TrustSec 设备生成的最后一个思科 Trustsec PAC 的颁发日期。

Trustsec:PAC expiration date:Date

输入思科 ISE 为思科 TrustSec 设备生成的最后一个思科 Trustsec PAC 的到期日期。

Trustsec:PAC issued by:String

输入思科 ISE 为思科 TrustSec 设备生成的最后一个思科 Trustsec PAC 的颁发者(思科 TrustSec 管理员)名称。它必须是一个字符串值。

网络设备组导入模板格式

下表列出模板标题中的字段并提供网络设备组 CSV 文件中的字段描述。

表 15. 网络设备组的 CSV 模板字段和描述

字段

说明

Name:String(100):

(必填)此字段为网络设备组的名称。它是长度最大为 100 个字符的字符串。NDG 全名的长度最大为 100 个字符。例如,如果在父组“全球”(Global) >“亚洲”(Asia) 下创建一个“印度”(India) 的子组,那么您创建的 NDG 的全称将是 Global#Asia#India。 全称的长度不能超过 100 个字符。如果 NDG 的全名超过 100 个字符,则 NDG 将无法创建。

Description:String(1024)

此字段是可选字段。它是长度不超过 1024 个字符的字符串。

Type:String(64):

(必填)此字段为网络设备组的类型。它是长度最大为 64 个字符的字符串。

Is Root:Boolean(true|false):

(必填)此字段用于确定特定的网络设备组是否为根组。有效值为 true 或 false。

确保思科 ISE 与 NAD 之间安全通信的 IPsec 安全

IPsec 是为 IP 提供安全保护的一组协议。RADIUS 和 TACACS + 协议使用 MD5 散列算法。为了提高安全性,思科 ISE 提供 IPsec 功能。IPsec 通过对发送方进行身份验证,发现数据在传输过程中的任何变化以及对发送的数据进行加密来保证安全通信。

思科 ISE 在隧道及传输模式下支持 IPSec。当在思科 ISE 接口上启用 IPsec 并配置对等体时,会在思科 ISE 和 NAD 之间创建 IPsec 隧道以保护通信。

可以定义预共享密钥或使用 X.509 证书进行 IPsec 身份验证。可以在千兆以太网 1 到千兆以太网 5 接口上启用 IPsec。每个 PSN 仅可以在一个思科 ISE 接口上配置 IPSec。


IPsec 仅在 Bond 1 和 Bond 2 接口上受支持。千兆以太网 0 和绑定 0(当千兆以太网 0 和千兆以太网 1 接口绑定时)是思科 ISE CLI 中的管理接口。千兆以太网 0 和绑定 0 不支持 IPsec。有关绑定接口的信息不会显示在思科 ISE GUI 的 IPsec 页面中。

思科 ISE 2.2 和更高版本支持 IPsec。

有关 IPsec 配置、限制和支持的更多信息,请参阅《安全配置指南,Cisco IOS XE Cupertino 17.7.x(Catalyst 9300 交换机)》。

从思科 ISE 3.4 版开始,您可以仅使用本地 IPsec 在思科 ISE PSN 节点上配置 IPsec。有关如何配置本地 IPsec 的信息,请参阅本地 IPsec 配置

有关如何从传统 IPsec (ESR) 迁移到本地 IPsec 的信息,请参阅《思科 ISE 管理员指南》中的在思科 ISE 上从传统 IPsec 迁移到本地 IPsec

在思科 ISE 上配置本地 IPsec

本地 IPsec 配置可用于使用 IKEv1 和 IKEv2 协议通过 IPsec 隧道在思科 ISE PSN 和 NAD 之间建立安全关联。


  • 确保思科 ISE 和 NAD 的 PSN 上的 IPsec 配置相同。

  • 每个 PSN 可支持 150 个 IPsec 隧道(包括 VTI)。

开始之前

要在思科 ISE 中配置本地 IPsec,您需要以下各项。

在思科 ISE:

  • 确保您拥有思科 ISE Essentials 许可证。

  • (可选)如果使用 X.509 证书选项,请为每个将建立本地 IPsec 连接的 PSN 上传 IPsec 系统证书。选中系统证书 (System Certificates) 窗口中的 IPsec:使用本地 IPsec 的证书 (IPSEC: Use certificate for Native IPsec) 复选框。您还必须将思科 ISE IPsec 系统证书和 NAD 证书的 CA 证书上传到信任存储区。在受信任证书 (Trusted Certificates) 窗口中,选中“CA IPsec 受信任证书”(CA IPsec Trusted Certificate) 中的信任 ISE 中的身份验证 (Trust for authentication within ISE) 复选框。


    重要

    从思科 ISE 版本 3.3 补丁 2 和 3.4 开始,仅当所有相关的对等体和中间 CA 证书包含权威信息访问 (AIA) OCSP URL、crlDistributionPoint URL 或同时包含两者时,才能使用 X.509 证书选项建立 IPsec 隧道。现有证书必须更新为包含 AIA OCSP URL 或 crlDistributionPoint URL 或两者,才能继续使用此选项。如果证书中不存在 AIA 或 crlDistributionPoint 信息,则只能使用预共享密钥 (Pre-shared Keys) 选项来建立 IPsec 隧道。

  • 网络设备 (Network Devices) 窗口中添加具有特定 IP 地址的 NAD。

  • 在 NAD 上配置 IPsec。思科 ISE PSN 和 NAD 上的 IPsec 配置必须相同。

过程

步骤 1

在思科 ISE GUI 中,将鼠标光标悬停在 管理 (Administration) 上,然后导航到系统 (System) > 设置 (Settings) > 协议 (Protocols) > IPsec > 本地 IPsec (Native IPsec)

步骤 2

点击添加 (Add) 以配置思科 ISE PSN 和 NAD 之间的安全关联。

步骤 3

节点特定设置 (Node-Specific Settings) 部分中,输入以下详细信息:

  1. 选择节点 (Select Node) 下拉列表中选择所需的思科 ISE PSN。

  2. NAD IP 地址 (NAD IP Address) 字段中输入相应的值。

  3. 本地 IPsec 接口 (Native IPsec Interface) 下拉列表中,选择所需的本地 IPsec 流量接口。

  4. (可选)选中配置 VTI (Configure VTI) 复选框以配置虚拟隧道接口 (VTI)。

    • 远程隧道 IP 地址 (Remote Tunnel IP address) 字段中,输入相应的值。

    • 本地隧道 IP 地址 (Local Tunnel IP address) 字段中,输入相应的值。

     

    升级到思科 ISE 版本 3.4 后,必须从思科 ISE GUI 禁用并重新启用所有 IPsec 连接,以确保所有现有 VTI 隧道都处于活动状态。

步骤 4

身份验证设置 (Authentication Settings) 部分中,点击单选按钮,为思科 ISE PSN 节点选择以下身份验证类型之一:

  1. 预共享密钥 (Pre-shared Key):如果选择此选项,必须输入预共享密钥并在网络设备上配置相同的密钥。预共享密钥需使用字母数字字符。不支持特殊字符。有关如何在网络设备上配置预共享密钥的说明,请参阅网络设备文档。

  2. X.509 证书 (X.509 Certificates):从 X.509 证书 (X.509 Certificates) 下拉列表中为 IPsec 隧道选择所需的 X.509 证书。

     

    在选择 X.509 证书 (X.509 Certificates) 选项之前,配置所需的证书(IPsec 系统证书和 CA IPsec 受信任证书)。证书必须包含 SAN(使用者备用名称)扩展名和 DNS。

    如果在关联的本地 IPsec 配置完成后添加或修改证书,则需要再次保存本地 IPsec 配置。

步骤 5

常规设置 (General Settings) 部分中,输入以下详细信息:

  1. IKE 版本 (IKE Version) 下拉列表中选择所需的 IKE 版本。

  2. 模式 (Mode) 下拉列表中选择所需的模式。

    如果要配置 VTI,则仅支持隧道模式。

  3. ESP/AH 协议 (ESP/AH Protocol)下拉列表选择所需的协议。

  4. (可选)在 IKE 重新身份验证时间 (IKE Reauth Time) 字段中输入相应的值。

    IKE 重新身份验证时间 (IKE Reauth Time) 值的范围为 0–86400。您可以通过在字段中输入值 0 来禁用 IKE 重新身份验证时间 (IKE Reauth Time) 字段。

步骤 6

第一阶段设置 (Phase One Settings) 部分中,您可以配置“IKE 安全关联配置”(IKE Security Association Configuration) 安全设置,以便对两个 IKE 后台守护程序之间的通信加以保护:

  1. 加密算法 (Encryption Algorithm) 下拉列表中,选择所需的加密算法。

  2. 散列算法 (Hash Algorithm) 下拉列表中,选择所需的散列算法。

  3. DH 组 (DH Group) 下拉列表中,选择所需的 DH 组。

  4. (可选)在 重新生成密钥时间 (Re-key Time) 字段中输入相应的值。

    重新生成密钥时间 (Re-key Time) 值的范围为 0-86400。您可以通过在字段中输入值 0 来禁用重新生成密钥时间 (Re-key Time) 字段。

步骤 7

第二阶段设置 (Phase Two Settings) 部分中,您可以配置本地 IPsec 安全关联配置安全设置,以便对两个终端之间的 IP 流量加以保护。输入下列详细信息:

  1. 加密算法 (Encryption Algorithm) 下拉列表中,选择所需的加密算法。

  2. 散列算法 (Hash Algorithm) 下拉列表中,选择所需的散列算法。

  3. (可选)在 DH 组 (DH Group) 下拉列表中,选择所需的 DH 组。

  4. (可选)在 重新生成密钥时间 (Re-key Time) 字段中输入相应的值。

    重新生成密钥时间 (Re-key Time) 值的范围为 0–2592000。您可以通过在此字段中输入值 0 来禁用重新生成密钥时间 (Re-key Time) 字段。

步骤 8

点击保存 (Save) 以激活所选思科 ISE PSN 节点上的本地 IPsec。


  • 在配置本地 IPsec 时,不应在同一 IP 子网中配置多个思科 ISE 接口。

  • 在现有 IPsec 隧道接口上更改 IP 地址时,必须重新启用现有隧道配置以体现 IP 地址的更改。

  • 如果 IPsec 隧道的现有接口关闭,则该隧道的 IPsec 状态将显示为已建立 (Established),直到下一次重新生成密钥或重新进行身份验证。

  • 要查看与本地 IPsec 相关的审核报告,请依次选择操作 (Operations) > 报告 (Reports) > 审核 (Audit) > 更改配置审核 (Change Configuration Audit)

查看和修改思科 ISE 中的本地 IPsec 配置

您可以通过本地 IPSec 配置 (NativeIPsec Configuration) 窗口中的本地 IPsec 配置添加、查看、编辑、复制、禁用和删除在思科 ISE PSN 和 NAD 之间建立的安全关联。

您可以使用快速过滤器来过滤本地 IPsec 配置。

您可以向本地 IPSec 配置 (Native IPsec Configuration) 表中添加更多列。点击本地 IPSec 配置 (Native IPsec Configuration) 表右上角的齿轮图标,然后从第一阶段加密算法、第二阶段加密算法、第一阶段散列算法等列中选择所需的列,然后点击开始 (Go) 将所选列添加到本地 IPSec 配置 (Native IPsec Configuration) 表中。

在思科 ISE 上从传统 IPsec 迁移到本地 IPsec

从思科 ISE 版本 3.3 累积补丁 2 和 3.4 开始,思科 ISE 不再支持旧版 IPsec (ESR)。思科 ISE 上的所有 IPsec 配置都将是本地 IPsec 配置。建议您在升级到思科 ISE 版本 3.3 累积补丁 2 和 3.4 前,从旧版 IPsec (ESR) 迁移到原生 IPsec,以避免隧道和隧道配置丢失。

开始之前

要在思科 ISE 中从传统 IPsec 迁移到本地 IPsec,您需要满足以下条件:

  • 传统 IPsec (ESR) 配置备份

  • 传统 IPsec (ESR) 的密钥和证书

过程

步骤 1

备份传统 IPsec (ESR) 配置:

  1. 登录到思科 ISE CLI ESR shell 并将运行配置保存到 bootflash 中的文件中。

  2. 使用 SCP 或 FTP 将运行配置文件导出到您的计算机。您可以使用此已保存的 ESR 配置文件作为 ESR 配置备份。

步骤 2

导出 IPsec 配置:

  1. 从传统 IPsec (ESR) 导出密钥和证书。有关在思科 ISE 中导出密钥和证书的详细信息,请参阅思科 ISE CA 证书和密钥的备份和恢复

  2. 在思科 ISE CLI ESR 外壳中,执行 show runnning config 命令以查看运行配置和加密设置。

  3. 将传统 IPsec (ESR) 上配置的加密设置与 1516 中提供的参考进行比较。

    1516 显示了传统 IPsec (ESR) CLI 命令与思科 ISE GUI 中本地 IPsec 配置的对应命令之间的直接比较。您可以使用传统 IPsec (ESR) 配置信息在思科 ISE 上配置本地 IPsec。

    表 16. 比较传统 IPsec 配置和本地 IPsec 配置:第一阶段设置

    传统 IPsec (ESR) 上的 show running config 命令

    思科 ISE GUI 中的本地 IPsec 配置

    • crypto isakmp policy 10

    • encr aes

    • hash sha256

    • authentication pre-share

    • group 14

    • crypto isakmp key cisco123 address 0.0.0.0

    • 身份验证设置:Pre-share

    • 预共享密钥:cisco123

    • IIKE 版本:IKEv1

    • 第一阶段设置

      • 加密算法:AES-128

      • 散列算法:SHA-256

      • DH 组:Group-14

    表 17. 比较传统 IPsec 配置和本地 IPsec 配置:第二阶段设置

    传统 IPsec (ESR) 上的 show running config 命令

    思科 ISE GUI 中的本地 IPsec 配置

    • crypto IPsec transform-set IPsec-ts esp-aes esp-sha256-hmac mode tunnel

    • crypto map IPsec-crypto-map 10 IPsec-isakmp

    • set peer 192.168.10.1

    • set transform-set IPsec-ts

    • set pfs group14

    • match address 100

    • ESP/AH 协议:ESP

    • 模式:Tunnel

    • 第二阶段设置

      • 加密算法:AES-128

      • 散列算法:SHA-256

      • DH 组:Group-14

步骤 3

禁用传统 IPsec (ESR):

  1. 在思科 ISE GUI 中,将光标悬停在 管理 (Administration) 上,然后导航到系统 (System) > 设置 (Settings) > 协议 (Protocols) > IPSec > 传统 IPsec (ESR) (Legacy IPsec [ESR])

  2. 选中此复选框以选择必须在其上禁用传统 IPsec (ESR) 的思科 ISE 节点。

  3. 为所选节点启用/禁用 IPsec (Enable/Disable IPsec for Selected Nodes) 字段中点击禁用 (Disable) 单选按钮。

    这样将在所选节点上禁用 IPsec,并重新启动思科 ISE。

  4. 在思科 ISE 管理员 CLI 中,执行 ISE/admin#show esr status 命令,以验证所选思科 ISE 节点的 ESR 状态是否已禁用。将显示以下输出:

    % ESR 5921 is disabled.

  5. (可选)在思科 ISE 管理员 CLI 中,执行 ISE/admin#esr 命令以验证 ESR 外壳是否已禁用。

  6. 在思科 ISE 管理员 CLI 中,执行 ISE/admin#show interface 命令,以验证是否已在思科 ISE 接口上恢复 IP 地址。将显示以下输出:

    GigabitEthernet 1 flags=4163<UP,BROADCAST,RUNNING,MULTICAST> mtu 1500 inet 192.168.10.11 netmask 255.255.255.0 broadcast 192.168.10.255 inet6 fe80::250:56ff:fe92:5f13 prefixlen 64 scopeid 0x20<link>.

步骤 4

启用本地 IPsec:

  1. 在思科 ISE GUI 中,将光标悬停在 管理 (Administration) 上,然后导航到网络资源 (Network Resources) > 网络设备 (Network Devices)

  2. 选择先前为传统 IPsec (ESR) 配置选择的 NAD,以进行本地 IPsec 配置。

  3. 点击编辑 (Edit) 以编辑 NAD 的 IPsec 详细信息。

  4. 网络设备组 (Network Device Group) 部分中的传统 IPsec (ESR) (Legacy IPSEC [ESR]) 下拉列表中,选择否 (No)

  5. 点击保存 (Save)

  6. 配置本地 IPsec,使用 IKEv1 和 IKEv2 协议在思科 ISE PSN 和所选 NAD 之间的 IPsec 隧道上建立安全关联。有关如何配置本地 IPsec 的信息,请参阅在思科 ISE 上配置本地 IPsec

移动设备管理器与思科 ISE 的互操作性

移动设备管理 (MDM) 服务器保护、监控、管理和支持跨移动运营商、服务提供商和企业部署的移动设备。传统上,MDM 服务器仅支持移动设备。某些 MDM 服务器现在管理网络中的所有类型的设备(移动电话、平板电脑、笔记本电脑和台式机),称为统一终端管理 (UEM) 服务器。MDM 服务器作为策略服务器运行,用于控制移动设备上的某些应用(例如,电子邮件应用)在部署环境中的使用。思科 ISE 向连接的 MDM 服务器查询可用于创建网络授权策略的各种属性的相关信息。

您可以在网络上运行多个活动 MDM 服务器,来自不同供应商的 MDM 服务器。这样,您就可以根据位置或设备类型等设备因素,将不同的终端路由到不同的 MDM 服务器。

思科 ISE 还使用思科 MDM 服务器信息 API 版本 2 和更高版本与 MDM 服务器集成,以便允许设备通过思科 AnyConnect 4.1 和思科自适应安全设备 9.3.2 或更高版本,利用 VPN 访问网络。

在此示例图中,思科 ISE 是执行点,而 MDM 策略服务器是策略信息点。思科 ISE 从 MDM 服务器获取数据,以提供完整的解决方案。

图 3. MDM 与思科 ISE 的互通性

配置思科 ISE,使其与一个或多个外部 MDM 服务器进行互操作。通过设置此类第三方连接,您可以使用 MDM 数据库中的详细信息。思科 ISE 使用 REST API 调用,从外部 MDM 服务器检索信息。思科 ISE 将相应的访问控制策略应用到交换机、接入路由器、无线接入点和其他网络接入点。策略可以让您能够更好地控制访问支持思科 ISE 的网络的远程设备。

有关思科 ISE 支持的 MDM 供应商的列表,请参阅支持的统一终端管理和移动设备管理服务器

支持的移动设备管理使用情形

思科 ISE 与外部 MDM 服务器联合执行以下功能:

  • 管理设备注册:访问网络的未注册终端会重定向到 MDM 服务器上托管的注册页面。设备注册包括用户角色、设备类型等。

  • 处理设备补救 :在补救期间向终端授予有限访问权限。

  • 增强终端数据:使用来自 MDM 服务器的信息更新终端数据库,这些信息是无法使用思科 ISE 分析服务收集的。思科 ISE 使用可在终端 (Endpoints) 页面中查看的多个设备属性。在思科 ISE GUI 中,点击菜单图标 () 并选择 工作中心 > 网络访问 > 身份 > 终端

    以下是可用设备属性的示例。

  • MDMImei: xx xxxxxx xxxxxx x

  • MDMManufacturer: Apple

  • MDMModel: iPhone

  • MDMOSVersion: iOS 6.0.0

  • MDMPhoneNumber: 5550100

  • MDMSerialNumber: DNPGQZGUDTFx

  • 每 4 小时轮询一次 MDM 服务器,获取设备合规性数据。在外部 MDM 服务器 (External MDM Servers) 页面中配置轮询间隔。(要查看此页面,点击菜单图标 () 并选择工作中心 (Work Centers) > 网络访问 (Network Access) > 网络资源 (Network Resources) > 外部 MDM 服务器 (External MDM Servers)

  • 通过 MDM 服务器发出设备指示:思科 ISE 通过 MDM 服务器发出针对用户设备的远程操作。通过终端 (Endpionts) 页面从思科 ISE 管理门户发起远程操作。要查看此页面,点击菜单图标 () 并选择情景可视性 > 终端。选中 MDM 服务器旁的复选框,然后点击 MDM 操作 (MDM Actions)。从显示的下拉列表中选择所需的操作。

供应商 MDM 属性

在思科 ISE 中配置 MDM 服务器时,思科 ISE 会查询 MDM 服务器以获取设备属性信息,并将该信息添加到 MDM 系统词典。以下属性用于注册状态,通常受 MDM 供应商支持。

思科 ISE 使用 API 向 MDM 服务器查询所需的设备属性。思科 ISE 版本 3.1 及更高版本支持 MDM API 版本 3。版本 3 API 包括允许思科 ISE 向 MDM 服务器发送查询的 API,以帮助思科 ISE 识别使用 MAC 地址随机化的终端。思科 ISE 向 MDM 服务器查询以下属性:

  • GUID:唯一的设备标识符,用于代替 MAC 地址来标识设备。

  • MAC 地址:UEM 或 MDM 服务器为特定设备记录的 MAC 地址列表。一台设备最多可共享五个 MAC 地址。

如果 MDM 服务器未提供所需属性的值,思科 ISE 将使用下表中提到的默认值填充属性字段。

表 18. MDM 属性和值

属性名称

属性词典

默认值

预期来自 UEM 或 MDM 服务器的数据

预期来自 Microsoft SCCM 服务器的数据

DaysSinceLastCheckin

从 MDM API 版本 3 开始支持

MDM

自用户上次签入设备或将设备与 UEM 或 MDM 服务器同步以来的天数。有效范围为 1 至 365 天。

自用户上次签入设备或将设备与 SCCM 服务器同步以来的天数。有效范围为 1 至 365 天。

DeviceCompliantStatus

MDM

不合规

合规不合规

合规不合规

DeviceRegisterStatus

MDM

已注销

已注册已注销

已注册已注销

DiskEncryptionStatus

MDM

熄灭

不适用

IMEI

MDM

设备的 IMEI 编号

不适用

JailBrokenStatus

MDM

不间断

已损坏未损坏

不适用

MDM 失败原因

MDM

设备故障原因

设备故障原因

MDMServerName

MDM

服务器名称

 

如果您的思科 ISE 与多个 MDM 服务器集成,则授权策略的 MDM 条件列表顶部必须包含一个带有 MDMServerName 属性的条件。否则,思科 ISE 将不会查询 MDM 服务器以检查终端状态。

服务器名称

MDMServerReachable

MDM

可访问

可访问无法访问

可访问无法访问

MEID

MDM

设备的 MEID 值

不适用

Manufacturer

MDM

设备制造商名称

不适用

型号

MDM

设备型号名称

不适用

OsVersion

MDM

设备的操作系统版本

不适用

无法

MDM

设备的电话号码

不适用

PinLockStatus

MDM

熄灭

不适用

SerialNumber

MDM

设备序列号

不适用

服务器类型

MDM

移动设备管理器服务器的 MDM

桌面设备管理器服务器的 DM

桌面设备管理器服务器的 DM

UDID

MDM

设备的 UDID 编号

不适用

UserNotified

MDM

不适用

GUID

从 MDM API 版本 3 开始支持

非字典属性

GUID 是用于标识设备的唯一设备标识符,而不是设备的 MAC 地址、UDID、MEID 或 IMEI 值。GUID 模板为 ID:MDMServer:GUID:{{DeviceId}}

GUID 值由 MDM 服务器生成和提供,而不是由思科 ISE 生成和提供。

不适用

Macaddresses

从 MDM API 版本 3 开始支持

非字典属性

UEM 或 MDM 服务器为特定设备记录的 MAC 地址列表。一台设备最多可以共享五个 MAC 地址。

Macaddresses 值由 MDM 服务器生成和提供,而不是由思科 ISE 生成和提供。

不适用

如果不支持供应商的唯一属性,可以使用 ERS API 来交换供应商特定属性。请查阅供应商的文档,了解有关支持的 ERS API 的信息。

新 MDM 字典属性可以在授权策略中使用。

支持的统一终端管理和移动设备管理服务器

支持的 MDM 服务器包括来自这些供应商的产品:

  • Absolute

  • Blackberry - BES

  • Blackberry - Good Secure EMM

  • Cisco Meraki 系统管理器

  • Citrix XenMobile 10.x (On-Prem)

  • Globo

  • IBM MaaS360

  • Ivanti(以前被称为 MobileIron UEM)、核心和云 UEM 服务

    对于在思科 ISE 中处理随机且变化的 MAC 地址的使用场景,您必须集成 MobileIron Core 11.3.0.0 Build 24 及更高版本,以接收 GUID 值。

    某些版本的 MobileIron 不适用于思科 ISE。MobileIron 已了解此问题,并已修复。联系 MobileIron 了解更多信息。

  • JAMF Casper Suite

  • Microsoft Endpoint Configuration Manager

  • Microsoft Endpoint Manager Intune

  • Mosyle

  • SAP Afaria

  • Sophos

  • SOTI MobiControl

  • Symantec

  • Tangoe

  • VMware Workspace ONE(之前称为 AirWatch)

  • 42Gears

有关为了将服务器与思科 ISE 集成而必须在终端管理服务器中执行的配置,请参阅将 UEM 和 MDM 服务器与思科 ISE 集成

ISE 社区资源

何操作方法:Meraki EMM/MDM 与 ISE 集成

移动设备管理服务器使用的端口

下表列出思科 ISE 和 MDM 服务器之间要相互通信必须打开的端口。有关必须在 MDM 代理和服务器上打开的端口的列表,请参阅 MDM 供应商的文档。

表 19. MDM 服务器使用的端口

MDM 服务器

端口

MobileIron

443

Citrix XenMobile 10.x (On-Prem)

443

Blackberry - Good Secure EMM

19005

VMware Workspace ONE(之前称为 AirWatch)

443

SAP Afaria

443

IBM MaaS360

443

Cisco Meraki

443

Microsoft Intune

80 和 443

Microsoft SCCM

80 和 443

移动设备管理集成流程

  1. 用户将设备与 SSID 关联。

  2. ISE 向 MDM 服务器发出 API 调用。

  3. 此 API 调用会返回用户的设备列表和这些设备的终端安全评估状态。


    输入参数是终端设备的 MAC 地址。对于异地 Apple iOS 设备(通过 VPN 连接到思科 ISE 的任何设备),输入参数为 UDID。

  4. 如果用户的设备不在此列表中,意味着该设备未注册。思科 ISE 向 NAD 发送授权请求以重定向至思科 ISE。系统会向用户显示 MDM 服务器页面。

  5. 思科 ISE 使用 MDM 调配设备并向用户显示相应的页面供其注册设备。

  6. 用户在 MDM 服务器中注册设备,然后 MDM 服务器通过自动重定向或手动刷新浏览器将此请求重定向至思科 ISE。

  7. 思科 ISE 重新查询 MDM 服务器获取安全评估状态。

  8. 如果用户的设备不符合 MDM 服务器上配置的终端安全评估(合规性)策略,系统会向用户告知设备不合规。用户必须采取必要的措施来确保设备合规。

  9. 用户设备合规后,MDM 服务器会在其内部表中更新设备状态。

  10. 如果用户现在刷新浏览器,思科 ISE 将恢复控制。

  11. 思科 ISE 每四小时会对 MDM 服务器进行轮询,以获取合规性信息并发出适当的授权更改 (CoA)。您可以配置轮询间隔。思科 ISE 还会每五分钟检查一次 MDM 服务器以确保其可用。

图 4. 思科 ISE 中的 MDM 流程
思科 ISE 中的 MDM 流程。

一个设备一次只能向一台 MDM 服务器注册。如果您要向其他供应商的 MDM 设备注册同一设备,用户必须删除设备上的前供应商的配置文件。MDM 服务通常提供“公司擦除”功能,仅删除设备的供应商配置(而不是整个设备)。用户还可以删除文件。例如,在 iOS 设备上,用户可以转到设置 (Settings) > 常规 (General) > 设备管理 (Device management) 窗口,然后点击移除管理 (Remove Management)。或者,用户可以转到思科 ISE 中的我的设备门户,然后点击公司擦除

通过移动设备管理服务器处理随机和不断变化的 MAC 地址

配置思科 ISE 以识别通过唯一设备标识符而不是 MAC 地址连接到 MDM 服务器的终端,以避免使用随机和不断变化的 MAC 地址导致的问题。作为一种隐私措施,移动设备越来越多地将随机且不断变化的 MAC 地址用于其连接的每个 SSID。某些桌面操作系统还为用户提供了定期对 MAC 地址进行随机化的功能。这意味着终端会向 MDM 服务器和思科 ISE 提供不同的 MAC 地址。因此,当 MDM 服务器和思科 ISE 集成并为终端发起操作时,会由于两个系统中终端身份的差异而出现问题。

要解决此问题,可以将思科 ISE 配置为使用唯一设备标识符而不是 MAC 地址。当终端向 MDM 服务器注册时,MDM 服务器就会向终端发送带有 GUID 值的证书。终端会使用此证书对思科 ISE 进行身份验证。思科 ISE 会从证书接收终端的 GUID。思科 ISE 和 MDM 服务器之间的所有通信现在都会使用 GUID 来识别终端,从而确保两个系统之间的准确性和一致性。

请注意,GUID 仅适用于基于证书的身份验证方式。您必须将 MDM 或 UEM 服务器颁发的证书配置为在 SAN URI 或 CN 字段中包含 GUID。我们建议为 GUID 配置 SAN URI 字段。如果使用同一证书对连接到 Active Directory 的终端进行身份验证,则 CN 字段中存在 GUID 可能会导致问题。

仅使用用户名和密码的基本身份验证方式将无法利用基于 GUID 的解决方案。

对于通过 EAP-TLS 协议使用 MAC 地址和 GUID 重新进行身份验证的终端,用于更新情景可视性服务的每秒事务数 (TPS) 为每秒 12–15 个终端。

思科 ISE MDM API 已更新(思科 ISE MDM API 版本 3)以便于收集和管理 GUID 数据。

为连接的 MDM 服务器配置 GUID

要检查已连接到思科 ISE 的 MDM 服务器是否支持最新的思科 ISE MDM API 并可以发送 GUID 信息,请执行以下步骤:

  1. 在思科 ISE GUI 中,点击菜单 图标 (),然后选择 管理 (Administration) > 网络资源 (Network Resources) > 外部 MDM (External MDM)

  2. MDM 服务器窗口中,选中要更新的 MDM 服务器的复选框,然后点击编辑

  3. 点击测试连接

  4. 如果 MDM 服务器支持思科 ISE MDM API 版本 3,则会显示一个名为设备标识符 (Device Identifiers) 的新部分。

    选中您要启用的一个或多个以下选项的复选框:

    • Cert - SAN URI, GUID

    • Cert - CN, GUID

    • 旧版 MAC 地址

    您可以拖放选项,按偏好的顺序来排列这些选项。例如,如果先放 Cert-SAN URI, GUID 后放 Cert-CN, GUID,则思科 ISE 会首先向 MDM 服务器查询终端的 SAN URI 和 GUID 属性。如果请求的属性不可用,思科 ISE 将查询终端的公用名和 GUID 属性。

  5. 点击保存

通过 pxGrid 共享 GUID

思科 ISE 可以通过 pxGrid 与其他思科解决方案共享此 GUID 信息。例如,您可以通过 pxGrid 主题与部署中的 Catalyst Center 共享从 MDM 服务器接收的 GUID。

使用思科 ISE 设置移动设备管理服务器

要使用思科 ISE 设置 MDM 服务器,您必须执行以下高级任务:

Procedure

Step 1

将 MDM 服务器证书导入思科 ISE,但 Intune 除外,后者需将策略管理节点 (PAN) 的证书导入 Azure

Step 2

创建移动设备管理器定义。

Step 3

在思科 WLC 上配置 ACL。

Step 4

配置将非注册设备重定向到 MDM 服务器的授权配置文件。

Step 5

如果网络上有多个 MDM 服务器,请为每个供应商配置单独的授权配置文件。

Step 6

为 MDM 使用案例配置授权策略规则。

将移动设备管理服务器证书导入思科 ISE

要使思科 ISE 连接 MDM 服务器,您必须将 MDM 服务器证书导入思科 ISE 受信任证书库。如果您的 MDM 服务器有一个 CA 签名的证书,您必须将根证书导入思科 ISE 受信任证书库。


对于 Microsoft Azure,请将思科 ISE 证书导入 Azure。请参阅将 Microsoft Intune 作为移动设备管理服务器连接到思科 ISE

过程

步骤 1

从您的 MDM 服务器导出 MDM 服务器证书并将其保存至您的本地计算机上。

步骤 2

在思科 ISE GUI 中,点击菜单图标 () 并选择管理 > 系统 > 证书 > 受信任证书 > 导入

步骤 3

将新证书导入证书库窗口中,点击选择文件,选择从 MDM 服务器获取的 MDM 服务器证书。

步骤 4

友好名称 (Friendly Name) 字段中,输入证书名称。

步骤 5

选中信任 ISE 中的身份验证 (Trust for authentication within ISE) 复选框。

步骤 6

点击 提交

步骤 7

确认信任证书 (Trust Certificates) 窗口列出新添加的 MDM 服务器证书。

在思科 ISE 中定义设备管理服务器

在思科 ISE 中定义移动和桌面设备管理服务器,以便让思科 ISE 与所需的服务器通信。您可以配置用于与服务器通信的身份验证类型、思科 ISE 从设备管理服务器请求设备信息的频率等。

要定义移动管理服务器,请参阅在思科 ISE 中配置移动设备管理服务器

要定义 Microsoft System Center Configuration Manager (SCCM) 服务器,请参阅将新的桌面设备管理器服务器添加到思科 ISE

在思科 ISE 中配置移动设备管理服务器

向思科 ISE 提供终端信息的第一个 MDM 服务器显示在 情景可视性 > 终端 窗口中的终端信息中。当终端与其他 MDM 服务器连接时,MDM 服务器信息不会自动更新。您必须从 情景可视性 窗口中删除终端,然后终端必须与 MDM 服务器重新连接,以便 情景可视性 窗口显示更新的信息。

下图显示了在此任务期间必须使用的思科 ISE GUI 字段。图中的编号对应于以下任务中的步骤编号。

图 5. 在思科 ISE 中添加 MDM 服务器
要将 MDM 服务器与思科 ISE 集成,您必须在思科 ISE 中配置各种字段。

过程

步骤 1

在思科 ISE GUI 中,点击菜单 图标 (),然后选择 管理 (Administration) > 网络资源 (Network Resources) > 外部 MDM (External MDM)

步骤 2

MDM / UEM 集成 窗口中,点击 添加

步骤 3

在相应的字段中输入要添加的 MDM 服务器的名称和说明。

步骤 4

服务器类型 (Server Type) 下拉列表中,选择移动设备管理器 (Mobile Device Manager)

步骤 5

身份验证类型 (Authentication Type) 下拉列表中,选择基础 (Basic)OAuth-客户端凭证 (OAuth - Client Credentials)

如果选择基础 (Basic) 身份验证类型,则会显示以下字段:

  • 主机名/IP 地址 (Host Name/IP Address):输入 MDM 服务器主机名或 IP 地址。

  • 端口:指定连接至 MDM 服务器时要使用的端口,通常为 443。

  • 实例名称 (Instance Name):如果此 MDM 服务器有多个实例,应输入要连接到的实例。

  • 用户名 (Username):输入连接到 MDM 服务器时必须使用的用户名。

  • 密码 (Password):输入连接到 MDM 服务器所必须使用的密码。

如果您选择 OAuth-客户端凭证 (OAuth - Client Credentials) 身份验证类型,则会显示以下字段:

  • 自动发现 (Auto Discovery) 下拉列表中,选择是 (Yes)否 (No)

  • 自动发现 URL:输入 Microsoft Azure 管理门户中的 Microsoft Azure AD 图形 API 终端值。此 URL 是应用可使用图形 API 访问 Microsoft Entra ID 中的目录数据的终端。有关详细信息,请参阅 将 MDM 和 UEM 服务器与思科 ISE 集成

  • 客户端 ID (Client ID):应用的唯一标识符。如果应用访问其他应用中的数据,如 Microsoft Azure AD 图形 API、Microsoft Intune API 等,则需要使用此属性。

  • 颁发令牌的 URL:输入 Oauth2.0 授权终端值。在该终端上,思科 ISE 可以使用 OAuth2.0 获得访问令牌。

  • 令牌受众 (Token Audience):令牌面向的接收资源,通常为指向 Microsoft Intune API 的公共知名 APP ID URL

轮询间隔:输入思科 ISE 轮询 MDM 服务器以获取合规性检查信息的轮询间隔(以分钟为单位)。此值应与 MDM 服务器上的轮询间隔相同。有效范围为 15 至 1440 分钟。默认值为 240 分钟。我们建议您在生产环境中将轮询间隔设置为 60 分钟以上,以最大限度地减少因大量不合规终端而可能产生的任何性能影响。

ISE 通过基于 MAC 地址/GUID 的非兼容 API 调用检索非兼容设备信息列表(例如:)

由于这是一个批量检索 API,因此 ISE 会使用 MDM 服务器提供的分页信息。

ISE 根据非合规 API 响应来更新端点记录合规信息。如果 ISE 在这些不合规设备上发现活动会话,则会重新授权。

ISE 将非合规性 API 调用限制为最多 200 个请求或 20,000 个终端记录,以先发生者为准。

如果将轮询间隔设置为 0,则思科 ISE 会禁用与 MDM 服务器的投票。

 

思科 ISE 将来自不合规终端的 API 调用限制为 200。如果外部 MDM 服务器收到来自超过 20000 个不合规终端的请求,则外部 MDM 服务器轮询间隔会被自动设置为 0。您还会在思科 ISE 上收到以下警报:

MDM 合规性轮询已禁用:原因是定期合规性轮询收到大量不合规设备信息。

MDM/UEM 设备合规性超时:输入思科 ISE 在查询 MDM 或 UEM 服务器后等待该 MDM 或 UEM 服务器响应的超时持续时间(以毫秒为单位)。默认值为 30000 毫秒。如果您只想查询一个 MDM 或 UEM 服务器,可以设置一个 1–30000 毫秒之间的值。如果要使用设备合规性 API 查询多个 MDM 或 UEM 服务器,则必须设置小于 300 毫秒的值,以避免影响系统性能。

步骤 6

状态 下拉列表中,选择 已启用

步骤 7

要验证 MDM 服务器是否已连接到思科 ISE,请点击 测试连接。请注意 测试连接 并非旨在检查所有使用案例的权限(获取基准、获取设备信息等)。这些在服务器添加到思科 ISE 时进行验证。

图 6. 在思科 ISE 中添加 MDM 服务器
在思科 ISE 的 MDM 窗口的“设备标识符”(Device Identifier) 部分中,您可以选择要查询 MDM 服务器的唯一设备标识符。

如果您配置的 MDM 服务器支持思科 ISE MDM API 版本 3,并且可以与思科 ISE 共享属性 GUID,则会显示设备标识符 (Device Identifiers) 区域。有关详细信息,请参阅通过移动设备管理服务器处理随机和不断变化的 MAC 地址

选中要启用的一个或多个以下选项的复选框,然后将每个选项拖放到其位置以便按优先顺序进行排列:

  • Cert - SAN URI, GUID

  • Cert - CN, GUID

  • 旧版 MAC 地址

步骤 8

点击保存

配置常规 MDM 或 UEM 设置

配置常规 MDM 或 UEM 设置,以允许思科 ISE 查询多个 MDM 或 UEM 服务器,并识别终端所连接的 MDM 或 UEM 服务器。

例如,在 Intune 中注册新终端时,需要思科 ISE 授权策略中的设备类型或用户类型等几个条件来评估终端的 Intune。

如果启用 查询多个 MDM/UEM 集成 选项,思科 ISE 将查询授权策略中列出的所有 MDM 服务器,并标识终端注册到的服务器。

图 7. 具有多个 MDM 服务器的授权策略示例
提供 MDM 服务器策略集所包含内容的示例授权策略。

过程

步骤 1

在思科 ISE GUI 中,点击菜单 图标 (),然后选择 Administration > System > Settings > General MDM / UEM Settings

步骤 2

常规 MDM/UEM 设置 窗口中,点击 查询多个 MDM/UEM 集成

 

默认情况下, 查询多个 MDM/UEM 集成 选项处于禁用状态。

步骤 3

选择以下选项之一:

  • 终端未向配置的主 MDM/UEM 服务器注册:如果您希望思科 ISE 在以下场景中从授权策略中指定的所有 MDM 或 UEM 服务器获取合规性信息,请选择此选项:

    • 终端的注册信息在主 MDM 或 UEM 服务器中不存在。

    • 终端首次访问网络。

    • 终端未保存在思科 ISE 中。

    • 您不知道终端注册到的 MDM 或 UEM 服务器。

    根据授权策略中的 MDM 服务器名称条件检查终端与 MDM 服务器的关联。

  • 主 MDM/UEM 服务器发送错误/异常响应 (Primary MDM/UEM Server Sends Error/exception Response):如果您希望思科 ISE 在主 MDM 或 UEM 服务器发送错误消息或无法访问时查询授权策略中指定的其他 MDM 或 UEM 服务器,请选择此选项。

步骤 4

点击保存

配置 MDM 或 UEM 服务器的超时

过程

步骤 1

在思科 ISE GUI 中,点击菜单 图标 (),然后选择 管理 (Administration) > 网络资源 (Network Resources) > 外部 MDM (External MDM)

步骤 2

MDM/UEM 集成 窗口中,选中要更改超时值的 MDM 或 UEM 服务器旁边的复选框。

步骤 3

点击 更改超时。这是 MDM/UEM 设备合规性超时,是思科 ISE 在查询 MDM 或 UEM 服务器后等待 MDM 或 UEM 服务器响应的持续时间。

步骤 4

连接超时(毫秒) 字段中输入超时值。

 

MDM 或 UEM 服务器的默认超时为 30000 毫秒。

步骤 5

点击更改

思科 ISE MDM 对 Microsoft Intune 和 Microsoft SCCM 的支持

  • Microsoft Intune:思科 ISE 支持 Microsoft Intune 设备管理,将其作为伙伴 MDM 服务器来管理移动设备。

    在管理移动设备的 Microsoft Intune 服务器上配置思科 ISE 作为 OAuth 2.0 客户端应用。思科 ISE 从 Azure 获取令牌,以便与思科 ISE Intune 应用建立会话。

    有关 Microsoft Intune 如何与客户端应用通信的信息,请参阅 https://msdn.microsoft.com/en-us/library/azure/dn645543.aspx

  • 桌面设备管理器 (Microsoft SCCM):思科 ISE 支持 Microsoft System Center Configuration Manager (SCCM),将其作为伙伴 MDM 服务器来管理 Windows 计算机。

    有关 Microsoft SCCM 集成的性能和可扩展性信息,请参阅 配置管理器的规模和规模数字。Microsoft 使用基于组件对象模型 (COM) 的 Windows Management Instrumentation (WMI) 接口,这会导致可扩展性限制。

Microsoft SCCM 工作流程

思科 ISE 会从 Microsoft SCCM 服务器检索有关设备是否注册的信息。如果终端已注册,思科 ISE 将检查其合规性状态。下图显示了 Microsoft SCCM 管理的设备的工作流程。

图 8. SCCM 工作流程

一个 Microsoft SCCM 工作流程。

当设备连接网络并且与 Microsoft SCCM 策略匹配时,思科 ISE 会查询相关的 SCCM 服务器,以检索合规性和最后登录(签入)时间。借助这些信息,思科 ISE 可在终端 (Endpoint) 列表中更新设备合规状态和 lastCheckinTimeStamp。

如果设备不符合或未在 Microsoft SCCM 服务器上注册,并且授权策略使用重定向配置文件,则会向用户显示一条消息,说明设备不符合要求或未向 Microsoft SCCM 注册。在用户确认该消息后,思科 ISE 会向 Microsoft SCCM 注册站点发出 CoA。可根据授权策略和配置文件授予用户访问权限。

Microsoft SCCM 服务器连接监控

您无法为 Microsoft SCCM 配置轮询间隔。

思科 ISE 运行 MDM 心跳作业以验证与 Microsoft SCCM 服务器的连接,如果思科 ISE 断开了与 Microsoft SCCM 服务器的连接,则会发出警报。无法配置心跳作业间隔。

Microsoft System Center Configuration Manager 策略集示例

以下新字典条目在策略中用于支持 Microsoft SCCM。

  • MDM.DaysSinceLastCheckin:自用户最后使用 Microsoft SCCM 签入或同步设备以来的天数。此值可以介于 1 至 365 天之间。

  • MDM.UserNotified:有效值为 YN。该值指示是否通知用户其设备未注册。然后,您可以允许用户有限地访问网络,然后将他们重定向到注册门户,或者拒绝他们访问网络。

  • MDM.ServerType:有效值为 MDM,表示 MDM 服务器,以及 DM,表示桌面设备管理。

以下是支持 Microsoft SCCM 的策略集示例。

策略名称

如果

过去

SCCM_Comp

Wireless_802.1X AND

MDM:MDMServerName EQUALS SccmServer1 AND

MDM:DeviceRegisterStatus EQUALS Registered

PermitAccess

SCCM_NonComp_Notify

Wireless_802.1X AND

MDM:MDMServerName EQUALS SccmServer1 AND

MDM:DeviceCompliantStatus EQUALS NonCompliant AND

MDM:UserNotified EQUALS 28

PermitAccess

SCCM_NonComp_Days

Wireless_802.1X AND

MDM:MDMServerName EQUALS SccmServer1 AND

MDM:MDMDeviceCompliantStatus EQUALS Registered AND

MDM:DaysSinceLastCheckin EQUALS 28

SCCM_Redirect

SCCM_NonComp

Wireless_802.1X AND

MDM:MDMServerName EQUALS SccmServer1 AND

MDM:DeviceCompliantStatus EQUALS NonCompliant AND

MDM:DeviceRegisterStatus EQUALS Registered

SCCM_Redirect

SCCM_UnReg_Notify

Wireless_802.1X AND

MDM:DeviceRegisterStatus EQUALS Registered AND

MDM:UserNotified EQUALS Yes

PermitAccess

为思科 ISE 配置 Microsoft System Center Configuration Manager Server

思科 ISE 使用 Windows 管理规范 (WMI) 与 Microsoft SCCM 服务器通信。在运行 Microsoft SCCM 的 Windows 服务器上配置 WMI。


用于思科 ISE 集成的用户账号必须符合以下条件之一:

  • 成为 SMS 管理员用户组的成员。

  • 具有与 WMI 命名空间下的 SMS 对象相同的权限: 
    root\sms\site_<sitecode>
    其中,sitecode 是 Microsoft SCCM 站点。

为域管理员组中的 Microsoft Active Directory 用户设置权限

默认情况下,对于 Windows Server 2008 R2、Windows Server 2012 和 Windows Server 2012 R2,域管理员组对 Windows 操作系统中的某些注册表项没有完全控制权限。Microsoft Active Directory 管理员必须给予 Microsoft Active Directory 用户对以下注册表项的完全控制权限:

  • HKEY_CLASSES_ROOT\CLSID\{76A64158-CB41-11D1-8B02-00600806D9B6}

  • HKLM\Software\Classes\Wow6432Node\CLSID\{76A64158-CB41-11D1-8B02-00600806D9B6}

以下 Microsoft Active Directory 版本不需要对注册表进行更改:

  • Windows 2003

  • Windows 2003R2

  • Windows 2008

要授予完全控制权限,Microsoft Active Directory 管理员必须首先获得注册表项的所有权:

过程

步骤 1

右键点击注册表项图标,然后选择所有者 (Owner) 选项卡。

步骤 2

点击 Permissions(权限)

步骤 3

点击高级 (Advanced)

不在域管理员组中的 Microsoft Active Directory 用户的权限

对于 Windows Server 2012 R2,授予 Microsoft AD 用户对以下注册表项的完全控制权限:

  • HKEY_CLASSES_ROOT\CLSID\{76A64158-CB41-11D1-8B02-00600806D9B6}

  • HKLM\Software\Classes\Wow6432Node\CLSID\{76A64158-CB41-11D1-8B02-00600806D9B6}

在 Windows PowerShell 中使用以下命令来检查是否提供了对注册表项的完整权限:

  • get-acl -path "Microsoft.PowerShell.Core\Registry::HKEY_CLASSES_ROOT\CLSID\{76A64158-CB41-11D1-8B02-00600806D9B6}" | format-list

  • get-acl -path "hklm:\Software\Classes\Wow6432Node\CLSID\{76A64158-CB41-11D1-8B02-00600806D9B6}" | format-list

当 Microsoft AD 用户不在域管理员组,但在域用户组中时,还需要以下权限:

只有以下 Active Directory 版本要求具有这些权限:

  • Windows 2003

  • Windows 2003R2

  • Windows 2008

  • Windows 2008 R2

  • Windows 2012

  • Windows 2012 R2

  • Windows 2016

添加注册表项以允许思科 ISE 连接到域控制器

必须手动将一些注册表项添加到域控制器,以允许思科 ISE 以域用户身份进行连接,并检索登录身份验证事件。域控制器或该域中的任何其他机器都不需要代理。

以下注册脚本显示了要添加的密钥。您可以将其复制并粘贴到一个文本文件,并另存为扩展名为 .reg 的文件,然后双击该文件进行注册更改。要添加注册密钥,用户必须是根秘钥的所有者。 

Windows Registry Editor Version 5.00

[HKEY_CLASSES_ROOT\CLSID\{76A64158-CB41-11D1-8B02-00600806D9B6}]
"AppID"="{76A64158-CB41-11D1-8B02-00600806D9B6}"

[HKEY_CLASSES_ROOT\AppID\{76A64158-CB41-11D1-8B02-00600806D9B6}]
"DllSurrogate"="  "

[HKEY_CLASSES_ROOT\Wow6432Node\AppID\{76A64158-CB41-11D1-8B02-00600806D9B6}]
"DllSurrogate"="  "

确保 DllSurrogate 注册表项的值包含两个空格。如果手动更新注册表,必须仅包含两个空格,不包含引号。手动更新注册表时,请确保 AppID、DllSurrogate 及其值中不包含引号。

如前一脚本所示,保留所有空行,包括文件末尾的空行。

在 Windows 命令提示符下使用以下命令,以确认注册表项是否已创建并包含正确值:

  • reg query "HKEY_CLASSES_ROOT\CLSID\{76A64158-CB41-11D1-8B02-00600806D9B6}" /f "{76A64158-CB41-11D1-8B02-00600806D9B6}" /e

  • reg query HKEY_CLASSES_ROOT\AppID\{76A64158-CB41-11D1-8B02-00600806D9B6} /f "  " /e
  • reg query HKEY_CLASSES_ROOT\Wow6432Node\AppID\{76A64158-CB41-11D1-8B02-00600806D9B6} /f "  " /e

在域控制器上使用 DCOM 的权限

用于思科 ISE 被动身份服务的 Microsoft Active Directory 用户必须具有在域控制器服务器上使用 DCOM 的权限。通过 dcomcnfg 命令行工具配置权限。

过程

步骤 1

从命令行运行 dcomcnfg 工具。

步骤 2

扩展组件服务 (Component Services)

步骤 3

扩展计算机 (Computers) > 我的计算机 (My Computer)

步骤 4

从菜单栏中选择操作,点击属性,然后点击 COM 安全性

步骤 5

思科 ISE 用于访问和启动的帐户必须具有允许权限。将 Microsoft Active Directory 用户添加至所有四个选项(访问权限 (Access Permissions)启动并激活权限 (Launch and Activation Permissions)编辑限制设置 (Edit Limits)编辑默认设置 (Edit Default))。

步骤 6

对于访问权限 (Access Permissions)启动并激活权限 (Launch and Activation Permissions),允许所有本地和远程访问。

图 9. 访问权限的本地和远程访问
图 10. 启动和激活权限的本地和远程访问

设置访问 WMI Root 和 CIMv2 命名空间的权限

默认情况下,Microsoft Active Directory 用户没有对“执行方法”(Execute Methods) 和“远程启用”(Remote Enable) 的权限。您可以使用 wmimgmt.msc MMC 控制台授予访问权限。

过程

步骤 1

选择开始 (Start) > 运行 (Run),然后输入 wmimgmt.msc

步骤 2

右键点击 WMI 控制 (WMI Control) 并点击属性 (Properties)

步骤 3

安全 (Security) 选项卡下,展开根 (Root) 并选择 CIMV2

步骤 4

点击安全 (Security)

步骤 5

添加 Active Directory 用户,并按如下所示配置所需的权限。

为 WMI 访问开放防火墙端口

Microsoft Active Directory 域控制器上的防火墙软件可能会阻止对 WMI 的访问。您可以关闭防火墙,或者允许在特定 IP 地址(思科 ISE IP 地址)访问以下端口:

  • TCP 135:通用 RPC 端口。在执行异步 RPC 呼叫时,侦听此端口的服务告知客户端处理此请求的组件使用哪个端口。

  • UDP 138:NetBIOS 数据报服务

  • TCP 139:NetBIOS 会话服务

  • TCP 445:服务器消息块 (SMB)

    思科 ISE 支持 SMB 2.0。

可以动态分配更高的端口,也可以手动进行配置。我们建议您添加 %SystemRoot%\System32\dllhost.exe 作为目标。此程序可动态管理端口。

所有防火墙规则均可分配到特定 IP 地址(思科 ISE IP)。

从桌面设备管理器服务器选择用于终端合规性的配置基准策略

您可以查看添加到思科 ISE 的桌面设备管理器服务器(例如,Microsoft SCCM 服务器)中可用的基准策略,并选择特定基准策略以检查网络访问的终端合规性。可以在思科 ISE 管理门户中查看在桌面设备管理器服务器中启用和部署的配置基准策略。

检查您的桌面设备管理服务器中的用户权限,确保您拥有所需的安全权限,允许将基准策略和合规性信息发送到思科 ISE。必须在桌面设备管理器的“安全”(Security) >“管理员用户”(Administrator Users) 文件夹中添加管理员。

要在思科 ISE GUI 中查看桌面设备管理器服务器中的基准策略,请点击菜单 图标(),然后选择管理 > 网络资源 > 外部 MDM > MDM 服务器

向思科 ISE 添加新的桌面设备管理器服务器,然后选择配置基准策略

  1. MDM 服务器窗口中,点击添加

  2. 服务器类型 (Server Type) 下拉列表选择 桌面设备管理器 (Desktop Device Manager)

  3. 在以下字段中输入所需的详细信息:

    • 主机名/IP 地址 (Host Name/IP Address):输入 Microsoft SCCM 服务器主机名或 IP 地址。

    • 实例名称 (Instance Name):如果 Microsoft SCCM 服务器有多个实例,输入要连接到的实例。

    • 用户名 (Username):输入连接到 Microsoft SCCM 服务器时必须使用的用户名。

    • 密码 (Password):输入连接到 Microsoft SCCM 服务器时必须使用的密码。

    • 合规性设备重新身份验证查询的时间间隔 (Time Interval For Compliance Device ReAuth Query):当终端通过身份验证或重新进行身份验证时,思科 ISE 使用缓存获取该终端的 MDM 变量。如果缓存值的期限高于该字段中配置的值,则思科 ISE 会向 MDM 服务器进行设备查询以获取新值。如果合规性状态已变化,则思科 ISE 会触发相应的 CoA。

      有效范围为 1 到 10080 分钟。默认值为 1 分钟。

  4. 状态 (Status) 下拉列表中选择已启用 (Enabled)

要验证服务器是否已连接到思科 ISE,请点击测试连接 (Test Connection) 按钮。要查看此服务器中可用的配置基准策略,请点击保存并继续 (Save & Continue)。系统将显示一个新窗口,其中包含基准策略的名称和 ID 列表。

从现有桌面设备管理器服务器中选择配置基准策略

MDM 服务器 (MDM Servers) 窗口中,选中所需服务器的复选框,然后点击编辑 (Edit)。点击配置基准 (Configuration Baselines) 选项卡,获取此服务器中可用的基准策略列表。

默认情况下,系统会选择所有基准策略。取消选中名称 (Name) 旁的复选框,以取消选择所有基准策略。通过选中基准策略名称旁的复选框,选择所需的基准策略。点击保存

根据所选配置基准策略检查终端合规性。

如果桌面设备管理器服务器中的配置基准策略有任何更改,请点击配置基准 (Configuration Baselines) 选项卡中的立即更新 (Update Now) 按钮,以在思科 ISE 中更新更改。

配置 Windows 终端的设备标识符

桌面设备管理器服务器使用某些属性作为标识符来验证连接到网络的终端。终端 MAC 地址是最常用的标识符。但是,当使用加密狗、扩展坞或 MAC 地址随机化技术时,MAC 地址不是最可靠的标识符。

您现在可以选择使用主机名作为标识符。主机名派生自证书中可用的通用名称 (CN) 或 SAN-DNS 属性。对于使用主机名检查基准策略合规性来说,基于证书的终端身份验证是强制的。

要配置桌面设备管理器服务器的设备标识符,请转至其服务器配置 (Server Configuration) 选项卡。从主菜单中选择管理 (Administration) > 网络资源 (Network Resources) > 外部 MDM (External MDM) > MDM 服务器 (MDM Servers) > 编辑 (Edit)

设备标识符配置 (Device Identifier Configurations) 部分中,默认情况下按如下顺序启用以下标识符:

  1. 旧版 MAC 地址

  2. 证书 - CN、主机名

  3. 证书 - SAN-DNS、主机名

要取消选择标识符,请取消选中该标识符对应的复选框。您可以拖动属性,重新排列服务器必须使用这些属性进行验证的顺序。

验证设备标识符的配置

当使用主机名进行验证时,思科 ISE 会为终端分配一个 GUID。请参阅实时日志 窗口(在思科 ISE GUI 中,点击菜单图标 () 并选择操作 > RADIUS > 实时日志),然后查看 GUID 条目了解详细信息。

配置用于重定向未注册设备的授权配置文件

您必须在思科 ISE 中配置授权配置文件来重定向每个外部 MDM 服务器的非注册设备。

开始之前

  • 确保您已在思科 ISE 中创建 MDM 服务器定义。只有在成功将思科 ISE 与 MDM 服务器集成后才会填充 MDM 词典。然后,您可以使用 MDM 词典属性来创建授权策略。

  • 在思科 WLC 上配置 ACL 以重定向未注册的设备。

  • 如果使用代理进行互联网连接,并且 MDM 服务器是内部网络的一部分,则必须将 MDM 服务器名称或其 IP 地址置于代理绕行列表中。在思科 ISE GUI 中,点击菜单图标 () 并选择 管理 > 系统 > 设置 > 代理 以执行此操作。

过程

步骤 1

在思科 ISE GUI 中,点击菜单图标 () 并选择 策略 > 策略元素 > 结果 > 授权 > 授权配置文件 > 添加

步骤 2

创建用于重定向不合规或未注册的非注册设备的授权配置文件。

步骤 3

名称 (Name) 字段中,为授权配置文件输入与 MDM 服务器名称匹配的名称。

步骤 4

访问类型 (Access Type) 下拉列表中,选择 ACCESS_ACCEPT

步骤 5

常见任务 (Common Tasks) 部分中,选中 Web 重定向 (Web Redirection) 复选框,然后从下拉列表中选择 MDM 重定向 (MDM Redirect)

步骤 6

ACL 下拉列表中,选择输入您在无线 LAN 控制器上配置的 ACL 的名称。

步骤 7

值 (Value) 下拉列表中,选择 MDM 门户。

步骤 8

MDM 服务器 (MDM Server) 下拉列表中,选择要使用的 MDM 服务器。

步骤 9

点击提交 (Submit)

下一步做什么

配置 MDM 的授权策略规则

为 MDM 使用案例配置授权策略规则

在思科 ISE 中配置授权策略规则以完成 MDM 配置。

开始之前

  • 将 MDM 服务器证书添加到思科 ISE 证书库。

  • 确保您已在思科 ISE 中创建了 MDM 服务器定义。只有在成功将思科 ISE 与 MDM 服务器集成之后,才会填充 MDM 字典,您才可以使用 MDM 字典属性创建授权策略。

  • 在思科 WLC 上配置 ACL 以重定向未注册或不合规设备。

过程

步骤 1

在思科 ISE GUI 中,点击菜单图标 () 并选择 策略 > 策略集,然后展开策略集以查看授权策略规则。

步骤 2

添加以下规则:

  • MDM_Un_Registered_Non_Compliant:适用于尚未向 MDM 服务器注册或不符合 MDM 策略的设备。当请求与此规则匹配之后,系统会显示思科 ISE MDM 窗口,其中包含有关向 MDM 注册设备的信息。

     

    请勿在此策略中使用 MDM.MDMServerName 条件。使用此条件时,仅当终端注册到 MDM 服务器注册后,才与策略匹配。

  • PERMIT:如果设备已注册到思科 ISE、MDM,并符合思科 ISE 和 MDM 策略,则系统将根据思科 ISE 中配置的访问控制策略向它授予网络访问权限。

步骤 3

点击保存

在无线控制器上配置 ACL 以实现 MDM 互操作性

在无线控制器上配置 ACL 以用于授权策略,从而重定向未注册的设备和证书调配。ACL 必须采用以下顺序。

过程

步骤 1

允许所有从服务器到客户端的出站流量。

步骤 2

(可选)允许从客户端到服务器的 ICMP 入站流量以进行故障排除。

步骤 3

允许未注册和不合规设备访问 MDM 服务器,以下载 MDM 代理和执行合规检查。

步骤 4

允许从客户端到服务器再到 ISE 的所有入站流量以执行 Web 门户和请求方以及证书调配流程。

步骤 5

允许从客户端到服务器的入站域名系统 (DNS) 流量以进行名称解析。

步骤 6

允许从客户端到服务器的入站 DHCP 流量以获取 IP 地址。

步骤 7

拒绝所有从客户端到服务器再到企业资源的入站流量,以重定向至思科 ISE(根据公司策略)。

步骤 8

(可选)允许其余流量。

示例

以下示例显示的 ACL 用于将未注册的设备重定向至 BYOD 流程。在本例中,思科 ISE IP 地址为 10.35.50.165,内部企业网络 IP 地址为 192.168.0.0 和 172.16.0.0(重定向),MDM 服务器子网为 204.8.168.0。

图 11. 用于重定向未注册设备的 ACL
此图显示了一个 ACL 示例,可用于将未注册设备重定向到 BYOD 工作流。

擦除或锁定设备

思科 ISE 可以让您擦除已丢失的设备或启用其 pin 锁。您可以从终端 (Endpoints) 窗口配置此特性。

过程

步骤 1

在思科 ISE GUI 中,点击菜单图标 () 并选择 工作中心 (Work Centers) > 网络访问 (Network Access) > 身份 (Identities) > 终端 (Endpoints)

步骤 2

选中您想要擦除或锁定的设备旁边的复选框。

步骤 3

MDM 操作(MDM Actions) 下拉列表中,选择以下选项之一:

  • 完全擦除 (Full Wipe):此选项会删除公司应用或将设备重置为出厂设置,具体取决于 MDM 供应商。

  • 企业擦除 (Corporate Wipe):此选项会删除您在 MDM 服务器策略中配置的应用。

  • PIN 锁定:此选项会锁定设备。

步骤 4

点击擦除或锁定设备。

查看移动设备管理报告

思科 ISE 记录 MDM 服务器定义的所有添加、更新和删除操作。可以在更改配置审核 (Change Configuration Audit) 报告中查看这些事件,该报告显示选定时段内任何系统管理员的全部配置更改。

在思科 ISE GUI 中,点击菜单图标 () 并选择 操作 > 报告 > 报告 > 审核 > 更改配置审核。检查您要查看的 MDM 服务器的对象类型 (Object Type)对象名称 (Object Name) 列中的条目,然后点击相应的事件 (Event) 值以查看配置事件的详细信息。

查看移动设备管理日志

您可以使用调试向导 (Debug Wizard) 窗口查看移动设备管理日志消息。在思科 ISE GUI 中,点击菜单图标 () 并选择 操作 > 故障排除 > 调试向导 > 调试日志配置。点击思科 ISE 节点旁的单选按钮,然后点击编辑 (Edit)。在显示的新窗口中,点击组件名称 external-mdm 旁的单选按钮,然后点击编辑 (Edit)。此组件的默认日志级别为信息 (INFO)。从相应的日志级别 (Log Level) 下拉列表中,选择调试 (DEBUG)跟踪 (TRACE),然后点击保存 (Save)

配置思科专用 5G 即服务

从思科 ISE 版本 3.2 开始,思科 ISE 支持思科专用 5G 和会话管理功能 (SMF) 软件。思科 ISE 为 5G 授权提供策略配置,通过 RADIUS 仅授权和审计流实施。与 SMF 的通信借助 RADIUS 协议进行。思科 ISE 和思科专用 5G 之间的通信借助 OpenAPI 和 ERS API 进行。

开始之前

您必须在网络中部署思科专用 5G,然后才能在思科 ISE 中将其作为一项服务启用。

过程

步骤 1

将思科 ISE 配置为思科专用 5G 本地部署思科 ISE 代理上的 RADIUS 服务器。

步骤 2

启用 ERS 和开放式 API (ERS and Open APIs)。

在启用 ERS 和开放式 API 后,可使用 API 或从思科 ISE GUI 执行后续步骤。

步骤 3

在思科 ISE 中启用 5G:

  1. 在思科 ISE GUI 中,点击菜单图标 () 并选择策略 (Policy) > 策略元素 (Policy Elements) > 结果 (Results) > A身份验证 (uthentication) > 允许的协议 (Allowed Protocols)

  2. 添加新的允许的协议 (Allowed Protocols) 服务或修改现有的服务。

     

    并非必须创建新服务。您也可以将现有的默认网络访问服务用于 5G 终端。

  3. 根据网络要求修改设置。

  4. 选中 5G 复选框。

  5. 点击保存

例如,您可以创建下图所示的允许的协议服务,以匹配 5G 流量:
图 12. 允许的 5G 协议服务
您可以在网络中为 5G 流量创建的允许协议服务。

步骤 4

在 ISE 中将 SMF 配置为网络设备

步骤 5

创建新的身份组或使用现有身份组。5G 用户将作为用户存储在思科 ISE 内部数据库中。

步骤 6

在思科 ISE 中创建用户身份组或从任何默认用户身份组中进行选择。

步骤 7

创建新的策略集或使用现有策略。

Conditions Studio 中的 Network Access.UseCase 属性会被填充新的值 FiveG。现在,您还可以根据 UseCase 属性来构建策略。

图 13. 条件库中的 UseCase 属性位置

Conditions Studio中还提供了新的内置条件 5G。此条件使用可用于匹配 5G 终端的 Cisco·Cisco-5g-serving-network-name 属性。

图 14. 5G 条件

您可以为该策略推送之前创建的允许协议服务配置文件。

图 15. 5G 的策略集

步骤 8

思科专用 5G 使用 5GaaS APIs 在思科 ISE 中添加用户(蜂窝网络用户)和用户设备(移动设备)。

例如,终端身份组显示添加的用户,如下图所示:
图 16. 5G 用户的终端身份组
您可以检查实时日志 (Live Logs)实时会话 (Live Sessions),以查看 5G 会话日志并在必要时进行故障排除。 实时会话 (Live Sessions) 包含一个新列:Usecase(默认情况下已禁用),您可以在其中使用过滤器 5G 来过滤 5G 终端。您还可以在终端 (Endpoints) 列中使用前缀 IMEI: 来过滤 5G 终端。
图 17. 5G 实时日志
图 18. 5G 实时会话

配置思科专用 5G 即服务

从思科 ISE 版本 3.2 开始,思科 ISE 支持思科专用 5G 和会话管理功能 (SMF) 软件。思科 ISE 为 5G 授权提供策略配置,通过 RADIUS 仅授权和审计流实施。与 SMF 的通信借助 RADIUS 协议进行。思科 ISE 和思科专用 5G 之间的通信借助 OpenAPI 和 ERS API 进行。

开始之前

您必须在网络中部署思科专用 5G,然后才能在思科 ISE 中将其作为一项服务启用。

过程

步骤 1

将思科 ISE 配置为思科专用 5G 本地部署思科 ISE 代理上的 RADIUS 服务器。

步骤 2

启用 ERS 和开放式 API (ERS and Open APIs)。

在启用 ERS 和开放式 API 后,可使用 API 或从思科 ISE GUI 执行后续步骤。

步骤 3

在思科 ISE 中启用 5G:

  1. 在思科 ISE GUI 中,点击菜单图标 () 并选择策略 (Policy) > 策略元素 (Policy Elements) > 结果 (Results) > A身份验证 (uthentication) > 允许的协议 (Allowed Protocols)

  2. 添加新的允许的协议 (Allowed Protocols) 服务或修改现有的服务。

     

    并非必须创建新服务。您也可以将现有的默认网络访问服务用于 5G 终端。

  3. 根据网络要求修改设置。

  4. 选中 5G 复选框。

  5. 点击保存

例如,您可以创建下图所示的允许的协议服务,以匹配 5G 流量:
图 19. 允许的 5G 协议服务
您可以在网络中为 5G 流量创建的允许协议服务。

步骤 4

在 ISE 中将 SMF 配置为网络设备

步骤 5

创建新的身份组或使用现有身份组。5G 用户将作为用户存储在思科 ISE 内部数据库中。

步骤 6

在思科 ISE 中创建用户身份组或从任何默认用户身份组中进行选择。

步骤 7

创建新的策略集或使用现有策略。

Conditions Studio 中的 Network Access.UseCase 属性会被填充新的值 FiveG。现在,您还可以根据 UseCase 属性来构建策略。

图 20. 条件库中的 UseCase 属性位置

Conditions Studio中还提供了新的内置条件 5G。此条件使用可用于匹配 5G 终端的 Cisco·Cisco-5g-serving-network-name 属性。

图 21. 5G 条件

您可以为该策略推送之前创建的允许协议服务配置文件。

图 22. 5G 的策略集

步骤 8

思科专用 5G 使用 5GaaS APIs 在思科 ISE 中添加用户(蜂窝网络用户)和用户设备(移动设备)。

例如,终端身份组显示添加的用户,如下图所示:
图 23. 5G 用户的终端身份组
您可以检查实时日志 (Live Logs)实时会话 (Live Sessions),以查看 5G 会话日志并在必要时进行故障排除。 实时会话 (Live Sessions) 包含一个新列:Usecase(默认情况下已禁用),您可以在其中使用过滤器 5G 来过滤 5G 终端。您还可以在终端 (Endpoints) 列中使用前缀 IMEI: 来过滤 5G 终端。
图 24. 5G 实时日志
图 25. 5G 实时会话