分段

策略集

思科 ISE 是基于策略的网络访问控制解决方案,可提供网络访问策略集,允许您管理多个不同的网络访问用例,如无线、有线、访客和客户端调配。通过策略集(网络访问集和设备管理集),您可以对同一集合内的身份验证策略和授权策略进行逻辑分组。您可以基于区域具有若干策略集,例如基于位置、访问类型和类似参数的策略集。安装思科 ISE 时,始终有一个定义的策略集,即默认策略集,默认策略集包含预定义和默认的身份验证、授权和例外策略规则。

创建策略集时,可以配置这些规则(使用条件和结果进行配置),以便选择策略集级别的网络访问服务、身份验证策略级别的身份源,以及授权策略级别的网络权限。从适用于不同供应商的思科 ISE 支持的字典中,可以使用任何属性定义一个或多个条件。思科 ISE 允许您将条件创建为单个策略元素。

每个策略集用于与网络设备进行通信的网络访问服务是在该策略集的顶层定义的。网络访问服务包括:

  • 允许的协议 - 为处理初始请求和协议协商而配置的协议。

  • 代理服务 - 将请求发送至外部 RADIUS 服务器进行处理。

工作中心 > 设备管理,您还可以为策略集选择相关的 TACACS 服务器序列。使用 TACACS 服务器序列可配置要处理的 TACACS 代理服务器序列。

策略集按层次结构进行配置,其中位于策略集顶层的规则(可从 策略集 表中查看)适用于整个策略集,并先于其余策略和例外规则进行匹配。此后,按以下顺序应用集合的规则:

  1. 身份验证策略规则

  2. 本地策略例外

  3. 全局策略例外

  4. 授权策略规则

对于网络访问和设备管理策略,策略集功能是相同的。在使用 网络访问设备管理 工作中心时,可以应用本章中介绍的所有流程。本章专门讨论网络访问工作中心策略集。 在思科 ISE GUI 中,点击菜单 图标 (),然后选择 工作中心 (Work Centers) > 网络访问 (Network Access) > 策略集 (Policy Sets)

ISE 社区资源

有关从 WLC 使用 RADIUS 结果的信息,请参阅 WLC Called-Station-ID(Radius 身份验证和记账配置)

策略集配置设置

下表介绍策略集 (Policy Sets) 窗口中的字段,由此窗口可配置策略集,包括身份验证、例外和授权策略。在思科 ISE GUI 中,点击菜单 图标 (),然后选择 工作中心 (Work Centers) > 网络访问 (Network Access) > 策略集 (Policy Sets),找到网络访问策略。 在思科 ISE GUI 中,点击菜单 图标 (),然后选择 工作中心 (Work Centers) > 设备管理 (Device Administration) > 设备管理策略集 (Device Admin Policy Sets),找到设备管理策略。

表 1. 策略集配置设置

字段名称

使用指南

状态

选择此策略的状态。它可以是下列选项之一:

  • 已启用 (Enabled):此策略条件处于活动状态。

  • 已禁用 (Disabled):此策略条件处于非活动状态,不会被评估。

  • 仅监控 (Monitor Only):此策略条件不会被评估。

策略集名称

为此策略集输入一个唯一的名称。

条件

 在新策略行中,点击加号 (+) 图标,或者在现有策略行中,点击“编辑”(Edit) 图标以打开 Condition Studio。

说明

输入策略的唯一说明。

允许的协议或服务器序列

选择已创建的允许协议,或点击 (+) 号以创建新的允许协议创建新的 Radius 序列创建 TACACS 序列

条件

 在新的例外行中,点击加号 (+) 图标,或者在现有例外行中,点击“编辑”(Edit) 图标以打开 Conditions Studio。

点击数

 命中数是一种诊断工具,用于指示条件匹配的次数。将鼠标悬停在该图标上可查看上次更新时间、重置为零和查看更新频率。

操作

点击“操作”(Actions) 列中的齿轮图标 ,查看并选择不同的操作:

  • 在上方插入新行 (Insert new row above):在打开“操作”(Actions) 菜单的策略上方插入新策略。

  • 在下方插入新行 (Insert new row below):在打开“操作”(Actions) 菜单的策略下方插入新策略。

  • 在上方复制 (Duplicate above):在打开“操作”(Actions) 菜单的策略上方插入复制的策略,高于原始集。

  • 在下方复制 (Duplicate below):在打开“操作”(Actions) 菜单的策略下方插入复制的策略,低于原始集。

  • 删除 (Delete):删除策略集。

查看

点击箭头图标可打开特定策略集的集合视图,并查看其身份验证、例外和授权子策略。

身份验证策略

每个策略集可以包含多个身份验证规则,它们共同代表该策略集的身份验证策略。身份验证策略的优先级根据这些策略在策略集本身中的显示顺序来确定(从“身份验证策略”(Authentication Policy) 区域中的“集合视图”(Set view) 页面)。

思科 ISE 根据策略集级别配置的设置动态选择网络访问服务(允许的协议或服务器序列),然后从身份验证和授权策略级别检查身份源和结果。您可以定义一个或多个使用思科 ISE 字典中任何属性的条件。思科 ISE 可以让您将条件单个策略元素,它们可以存储在系统库中,然后重复用于其他基于规则的策略。

身份验证方法是身份验证策略的结果,可以是以下任意一种:

  • 拒绝访问 - 系统拒绝用户的访问并且不执行身份验证。

  • 身份数据库 - 可以是下述单个身份数据库中的一个:

    • 内部用户

    • 访客用户

    • 内部终端

    • Active Directory

    • 轻量级目录访问协议 (LDAP) 数据库

    • RADIUS 令牌服务器(RSA 或 SafeWord 服务器)

    • 证书身份验证配置文件

  • 身份源序列 - 用于身份验证的身份数据库的序列。

初始思科 ISE 安装时实施的默认策略集包括默认 ISE 身份验证和授权规则。默认策略集还包括用于身份验证和授权的其他灵活内置规则(不是默认规则)。可向这些策略添加其他规则,也可以删除和更改内置规则,但不能删除默认规则,也不能删除默认策略集。

身份验证策略流

在身份验证策略中,可以定义多个由条件和结果组成的规则。ISE 会评估您所指定的条件,然后根据评估的结果分配相应的结果。系统根据匹配条件的第一个规则选择身份数据库。

您还可以定义包括不同数据库的身份源序列。您可以定义您希望思科 ISE 查询这些数据库的顺序。思科 ISE 将依次访问这些数据库,直至身份验证成功。如果在外部数据库中同一用户有多个实例,则身份验证失败。身份源中只能有一个用户记录。

我们建议您在身份源序列中仅使用三个,或者最多四个数据库。

图 1. 身份验证策略流
思科 ISE 中的身份验证策略流

身份验证失败 - 策略结果选项

如果您选择的身份方法为拒绝访问,则会发送拒绝消息作为对请求的响应。如果选择身份数据库或身份源序列,并且身份验证成功,则会继续处理为相同策略集配置的授权策略。某些身份验证失败,这些失败情况会按照以下方式分类:

  • Authentication failed - 收到身份验证已失败的明确响应,例如错误凭证、禁用的用户等。默认操作是拒绝。

  • User not found - 在任何身份数据库中均未找到此用户。默认操作是拒绝。

  • Process failed - 无法访问身份数据库。默认操作是丢弃。

思科 ISE 允许您配置下列任意一条身份验证失败的操作:

  • Reject - 发送拒绝响应。

  • Drop - 不发送任何响应。

  • Continue - 思科 ISE 继续处理授权策略。

即使您选择继续选项,可能会存在一些实例,在这些实例中,由于正在使用的协议受到限制,思科 ISE 无法继续处理请求。对于使用 PEAP、LEAP、EAP-FAST、EAP-TLS 或 RADIUS MSCHAP 的身份验证,当身份验证失败时或未找到用户时,无法继续处理请求。

当身份验证失败时,可继续处理 PAP/ASCII 和 MAC 身份验证绕行(MAB 或主机查找)的授权策略。对于其他所有身份验证协议,当身份验证失败时将发生以下情况:

  • Authentication failed - 发送拒绝响应。

  • User or host not found - 发送拒绝响应。

  • Process failure - 不发送响应,并丢弃请求。

使用“继续”作为身份验证失败操作过程的使用案例

如果选择继续 (Continue) 选项,思科 ISE 将在以下情况下跳过身份验证并继续评估授权策略:

  • 查找 (MAB) - 即使显示“未找到用户”(User not found) 结果,思科 ISE 也会继续进行授权策略评估。

  • PAP 或 ASCII

  • CHAP

  • EAP-MD5

  • EAP-TLS - 即使用户或证书在 AD 或 LDAP 中验证失败,思科 ISE 也会继续进行授权策略评估。

  • PEAP (EAP-TLS) - 即使用户或证书在 AD 或 LDAP 中验证失败,思科 ISE 也会继续进行授权策略评估。

  • TEAP (EAP-TLS) - 即使用户或证书在 AD 或 LDAP 中验证失败,思科 ISE 也会继续进行授权策略评估。

  • EAP-FAST (EAP-TLS) - 即使用户或证书在 AD 或 LDAP 中验证失败,思科 ISE 也会继续进行授权策略评估。

  • EAP 链 TEAP(EAP-TLS、EAP-MS-CHAPv2)- 即使用户或证书在 AD 或 LDAP 中验证失败,思科 ISE 也会继续进行授权策略评估。请注意,“继续”(Continue) 选项仅适用于 EAP-TLS 内部方法。

如果以下身份验证协议中的身份验证失败,则所有选定的高级 (Advanced) 选项都将被忽略,并且思科 ISE 会发送访问拒绝 (Access-Reject) 响应。

  • MS-CHAPv1

  • MS-CHAPv2

  • LEAP

  • PEAP (EAP-MS-CHAPv2)

  • TEAP (EAP-MS-CHAPv2)

  • EAP-FAST (EAP-MS-CHAPv2)

  • EAP-TTLS (PAP\ASCII)

  • EAP-TTLS (MS-CHAPv1)

  • EAP-TTLS (MS-CHAPv2)

  • EAP-TTLS (EAP-MD5)

  • EAP-TTLS (CHAP)

  • EAP-TTLS (EAP-MS-CHAPv2)

  • EAP-FAST (EAP-GTC)

  • PEAP (EAP-GTC)

配置身份验证策略

根据需要,通过配置和维护多个身份验证规则,为每个策略集定义身份验证策略。

开始之前

要执行以下任务,您必须是超级管理员或策略管理员。

过程

步骤 1

在思科 ISE GUI 中,点击菜单 图标 (),然后选择 工作中心 (Work Centers) > 网络访问 (Network Access) > 策略集 (Policy Sets),找到网络访问策略。在思科 ISE GUI 中,点击菜单 图标 (),然后选择 工作中心 (Work Centers) > 设备管理 (Device Administration) > 设备管理策略集 (Device Admin Policy Sets) ,找到设备管理策略。

步骤 2

从要添加或更新身份验证策略的策略集对应的行中,从策略集表中的“视图”列点击 ,以便访问所有策略集详细信息并创建身份验证和授权策略以及策略例外。

步骤 3

点击页面“身份验证策略”(Authentication Policy)部分旁边的箭头图标,展开并查看表中的所有身份验证策略规则。

步骤 4

操作 (Actions) 列中,点击齿轮图标。从下拉菜单中,根据需要选择任何插入或重复选项来插入新的身份验证策略规则。

身份验证策略表中会显示一个新行。

步骤 5

状态 (Status) 列中,点击当前状态 (Status) 图标,然后从下拉列表中根据需要更新策略集的状态。有关状态的详细信息,请参阅身份验证策略配置设置

步骤 6

对于表中的任何规则,点击规则名称说明单元格,可做出任何必要的自由文本更改。

步骤 7

要添加或更改条件,请将鼠标悬停在条件 (Conditions) 列中的单元格上,然后点击 。Conditions Studio 将打开。有关详细信息,请参阅特殊网络访问条件

不是您选择的所有属性都包含“等于”、“不等于”、“位于”、“不位于”、“匹配”、“开头为”或“开头非”运算符选项。

“Matches”运算符支持并使用正则表达式 (REGEX),而不使用通配符。

 

您必须使用“equals”运算符进行直接比较。“包含”运算符可用于多值属性。“匹配”运算符应用于正则表达式比较。当使用“匹配”运算符时,将解译正则表达式中的静态值和动态值。如果是列表,“位于”运算符会检查列表中是否存在特定值。如果是单个字符串,“位于”运算符会检查字符串是否与“等于”运算符相同。

步骤 8

按照检查和匹配策略的顺序来组织表中的策略。要更改规则的顺序,请将这些行拖放到正确位置。

步骤 9

点击保存以保存和实施所做的更改。

下一步做什么

  1. 配置授权策略。

身份验证策略配置设置

下表介绍策略集 (Policy Sets) 窗口的身份验证策略 (Authentication Policy) 部分中的字段,由此窗口可将身份验证子策略配置为策略集的一部分。 在思科 ISE GUI 中,点击菜单 图标 (),然后选择 工作中心 > 网络访问 > 策略集,找到网络访问策略在思科 ISE GUI 中,点击菜单 图标 (),然后选择 工作中心 > 设备管理 > 设备管理策略集,找到设备管理策略在思科 ISE GUI 中,点击菜单 图标 (),然后选择 策略集 (Policy Sets) > 查看 (View) > 身份验证策略 (Authentication Policy)

表 2. 身份验证策略配置设置

字段名称

使用指南

状态

选择此策略的状态。它可以是下列选项之一:

  • 已启用 (Enabled):此策略条件处于活动状态。

  • 已禁用 (Disabled):此策略条件处于非活动状态,不会被评估。

  • 仅监控 (Monitor Only):将评估此策略条件,但不实施结果。您可以在 Live Log 身份验证页面查看此策略条件的结果。在此情况下,查看详细报告,了解受监控的步骤和属性。例如,您可能想要添加新策略条件,但不确定此条件是否为您提供正确的结果。在此情况下,您可以在监控模式下创建策略条件来查看结果,如果您对结果满意,可以启用此选项。

规则名称

输入此身份验证策略的名称。

条件

 在新策略行中,点击加号 (+) 图标,或者在现有策略行中,点击“编辑”图标以打开 Conditions Studio

使用

选择要用于身份验证的身份源。如果您配置了身份源序列,也可以选择身份源序列。

您可以编辑在此规则中定义的任何身份源都与请求不匹配时您想要思科 ISE 使用的默认身份源。

Options

为身份验证失败、未找到用户或进程失败事件定义进一步的操作。您可以选择下面一个选项:

  • 拒绝 (Reject):发送拒绝响应。

  • 丢弃 (Drop):未发送响应。

  • 继续 (Continue):思科 ISE 继续执行授权策略。

点击数

 命中数是一种诊断工具,用于指示条件匹配的次数。

操作

点击“操作”(Actions) 列中的齿轮图标 ,查看并选择不同的操作:

  • 在上方插入新行 (Insert new row above):在打开“操作”(Actions) 菜单的策略上方插入新的身份验证策略。

  • 在下方插入新行 (Insert new row below):在打开“操作”(Actions) 菜单的策略下方插入新的身份验证策略。

  • 在上方复制 (Duplicate above):在打开“操作”(Actions) 菜单的策略上方插入复制的身份验证策略,高于原始集。

  • 在下方复制 (Duplicate below):在打开“操作”(Actions) 菜单的策略下方插入复制的身份验证策略,低于原始集。

  • 删除 (Delete):删除策略集。

基于密码的身份验证

身份验证对用户信息进行验证,以确认用户身份。传统身份验证使用名称和固定密码。这是最普遍、最简单和最经济的身份验证方法。缺点在于此信息可能会被告知他人、被猜到或捕获。使用简单、未加密用户名和密码的方法不被视为强身份验证机制,但是对于低授权或低权限级别(例如互联网访问)可能已足够。

使用加密密码和加密技术的安全身份验证

应使用加密来降低网络中的密码捕获风险。客户端和服务器访问控制协议(例如 RADIUS)可对密码加密,以防止在网络中捕获密码。但是,RADIUS 仅在身份验证、授权和记账 (AAA) 客户端与思科 ISE 之间运行。在身份验证流程中的以下位置点之前,未经授权的人员可以获取明文密码,如以下示例所示:

  • 在通过电话线路拨号的最终用户客户端之间的通信中。

  • 在终止于网络接入服务器的 ISDN 线路上。

  • 在最终用户客户端与托管设备之间的 Telnet 会话中

安全性较高的方法会采用加密技术,例如,那些用于质询握手身份验证协议 (CHAP)、一次性密码 (OTP) 和基于 EAP 的高级协议中的加密技术。思科 ISE 支持各种身份验证方法。

身份验证方法和授权权限

身份验证与授权之间存在基本的隐式关系。向用户授予的授权权限越多,身份验证的能力就越强。思科 ISE 通过提供各种身份验证方法来支持此关系。

身份验证面板

思科 ISE 控制面板会概述网络中和设备发生的全部身份验证。它提供身份验证 (Authentications) Dashlet 中的身份验证和身份验证失败的概览信息。

RADIUS 身份验证 (RADIUS Authentications) Dashlet 提供以下有关思科 ISE 已处理身份验证的统计信息:

  • 思科 ISE 已处理 RADIUS 身份验证请求的总数,包括已通过的身份验证、已失败的身份验证以及相同用户的同时登录数。

  • 思科 ISE 已处理的 RADIUS 已失败的身份验证请求的总数。

您还可以查看 TACACS + 身份验证的摘要。TACACS + 身份验证 Dashlet 提供设备身份验证的统计信息。

有关设备管理身份验证的详细信息,请参阅。TACACS 实时日志有关 RADIUS 实时日志设置的其他信息,请参阅RADIUS 实时日志

ISE 社区资源

有关如何对失败的身份验证和授权进行故障排除的信息,请参阅如何:对 ISE 失败的身份验证和授权进行故障排除

查看身份验证结果

思科 ISE 提供多种方式查看实时身份验证摘要。

开始之前

要执行以下任务,您必须是超级管理员或系统管理员。

过程

步骤 1

在思科 ISE GUI 中,点击菜单 图标 (),然后选择 操作 (Operations) > RADIUS > 实时日志 (Live Logs) 进行网络身份验证 (RADIUS)。在思科 ISE GUI 中,点击菜单 图标 (),然后选择 操作 (Operations) > TACACS > 实时日志 (Live Logs) 以查看实时身份验证摘要。

步骤 2

您可以通过以下方式查看身份验证摘要:

  • 将鼠标悬停在“状态”(Status) 图标上,以查看身份验证的结果和简短摘要。系统将显示一个包含状态详细信息的弹出窗口。

  • 在列表顶部显示的任何一个或多个文本框中输入搜索条件,然后按 Enter 键以筛选您的结果。

  • 点击详细信息列中的放大镜图标以查看详细报告。

     

    由于身份验证摘要 (Authentication Summary) 报告或控制面板会收集和显示与失败或成功的身份验证对应的最新数据,因此报告内容会延迟几分钟后显示。

身份验证报告和故障排除工具

除身份验证详细信息外,思科 ISE 还提供各种可用于有效管理网络的报告和故障排除工具。

可以运行各种报告,了解网络中的身份验证趋势和流量。可以生成历史以及当前数据的报告。以下是身份验证报告列表:

  • AAA 诊断

  • RADIUS 记账

  • RADIUS 身份验证

  • 身份验证摘要
您必须在思科 Catalyst 4000 系列交换机上启用 IPv6 监听,否则 IPv6 地址不会映射到身份验证会话,也不会显示在 show 输出中。使用以下命令启用 IPv6 监听:
vlan config <vlan-number>
 ipv6 snooping 
 end
ipv6 nd raguard policy router
 device-role router
interface <access-interface>
  ipv6 nd raguard               
interface <uplink-interface>
  ipv6 nd raguard attach-policy router
  end

授权策略

授权策略是思科 ISE 网络授权服务的组件。此服务允许您为访问网络资源的特定用户和组定义授权策略并配置授权配置文件。

授权策略可包含条件要求,即使用复合条件组合一个或多个身份组,而该复合条件包括可返回一个或多个授权配置文件的授权检查。此外,除了使用特定的身份组外,可能存在条件要求。

在思科 ISE 中创建授权配置文件时使用授权策略。授权策略包括授权规则。授权规则具有三个元素:名称、属性以及权限。权限元素映射到授权配置文件。

思科 ISE 授权配置文件

授权策略将规则与特定用户和组身份关联以创建相应的配置文件。只要这些规则与已配置的属性匹配,策略就会返回授予权限的相应授权配置文件并且相应地授予网络访问权限。

例如,授权配置文件可以包括以下类型中包含的一系列权限:

  • 标准配置文件

  • 例外配置文件

  • 基于设备的配置文件

配置文件包括从一组资源中选择的属性,这些属性存储于任何可用供应商字典中,并且在满足特定授权策略的条件时就会返回这些属性。由于授权策略可以包括映射到单个网络服务规则的条件,这些策略还可以包括授权检查列表。

这些授权验证都必须符合要返回的授权配置文件。授权验证通常由一个或多个条件组成,包括可添加至库中的用户定义的名称,其他授权策略然后可以重复使用这些条件。

授权配置文件的权限

在开始配置授权配置文件的权限之前,请确保:

  • 了解授权策略与配置文件之间的关系。

  • 熟悉授权配置文件 (Authorization Profile) 页面。

  • 知悉在配置策略和配置文件时要遵守的基本规定。

  • 了解在授权配置文件中构成权限的内容。

在思科 ISE GUI 中,点击菜单 图标 (),然后选择 策略 (Policy ) > 策略元素 (Policy Elements) > 结果 (Results)。从左侧菜单中选择授权 (Authorization) > 授权配置文件 (Authorization Profiles)

使用结果 (Results) 导航窗格作为用于显示、创建、修改、删除、复制或搜索网络上不同类型授权配置文件的策略元素权限的过程的起点。结果 (Results) 窗格初始显示“身份验证”(Authentication)、“授权”(Authorization)、“分析”(Profiling)、“终端安全评估”(Posture)、“客户端调配”(Client Provisioning) 和 Trustsec 选项。

通过授权配置文件,您可以选择在接受 RADIUS 请求时要返回的属性。思科 ISE 提供可以通过配置常见任务设置 (Common Tasks Settings) 来支持常用属性的机制。您必须输入常见任务属性 (Common Tasks Attributes) 的值,思科 ISE 会将这些值转换为基础 RADIUS 值。

ISE 社区资源

有关如何在 802.1x 请求方(思科 AnyConnect 移动安全)和身份验证器(交换机)之间配置媒体访问控制安全 (MACsec) 加密的示例,请参阅使用思科 AnyConnect 和 ISE 配置进行 MACsec 交换机-主机加密示例

可下载 ACL

访问控制列表 (ACL) 是访问控制条目 (ACE) 的列表,可由策略实施点(例如,交换机)应用到资源。每个 ACE 可确定每个用户该对象的允许权限,如读取、写入、执行等。例如,可以为网络销售区域的两个用户配置 ACL,其中一个 ACE 允许其中一个用户拥有读取和写入权限,另一个 ACE 只允许另一个用户拥有读取权限。

借助思科 ISE,可在授权策略中配置和实施可下载 ACL (DACL),以控制不同用户和用户组访问网络的方式。还可以使用自定义用户属性和 AD 属性配置 DACL。

如果身份提供程序 (IdP) 授权策略中使用的 DACL 为空,则授权将失败。

要在思科 ISE 中将 DACL 实施到网络授权策略中,请执行以下操作:

  1. 从以下位置配置新的或现有的 DACL:策略 (Policy) > 策略元素 (Policy Elements) > 结果 (Results) > 可下载 ACL (Downloadable ACLs)。有关详细信息,请参阅为可下载 ACL 配置权限

  2. 使用您已配置的任何 DACL 从以下位置配置新的或现有授权配置文件:策略 (Policy) > 策略元素 (Policy Elements) > 结果 (Results) > 授权配置文件 (Authorization Profiles)

  3. 从以下位置实施在创建和配置新的和现有策略集时配置的授权配置文件:策略 (Policy) > 策略集 (Policy Sets)

在使用每个用户的动态访问控制列表评估授权配置文件时,如果思科 ISE 配置中不存在 DACL,则授权将失败,思科 ISE 将向该用户发送“访问拒绝”(Access-Reject) 响应。您可以在实时日志详细信息 (Live Log Details) 页面和 AAA 诊断 (AAA Diagnostics) 报告中查看此信息。从思科 ISE 版本 3.4 开始,授权失败警报还会显示在思科 ISE 控制面板的警报 Dashlet 中。

使用 RADIUS 协议时,ACL 通过过滤源和目标 IP 地址、传输协议和其他参数来进行授权。静态 ACL 位于交换机上,可直接通过交换机进行配置,并可通过 ISE GUI 应用于授权策略中。

为可下载 ACL 配置权限

借助思科 ISE,可在授权策略中配置和实施可下载 ACL (DACL),以控制不同用户和用户组访问网络的方式。默认授权 DACL 可在安装 ISE 后可用,包括以下默认配置文件:

  • DENY_ALL_IPV4_TRAFFIC

  • PERMIT_ALL_IPV4_TRAFFIC

  • DENY_ALL_IPV6_TRAFFIC

  • PERMIT_ALL_IPV6_TRAFFIC

使用 DACL 时,无法更改这些默认值,但可以复制它们以创建其他类似的 DACL。

配置所需的 DACL 后,即可将这些 DACL 应用于网络上的相关授权策略。将 DACL 应用于授权策略后,就无法再更改其类型或从 ISE 中将其删除。如果 DACL 类型已在策略中使用,要更改该类型,需创建重复的 DACL 并更新。或者,从策略中移除该 DACL,更新后根据需要重新应用。

过程

步骤 1

在思科 ISE GUI 中,点击菜单 图标 (),然后选择 策略 (Policy) > 策略元素 (Policy Elements) > 结果 (Results) > 授权 (Authorization) > 可下载的 ACL (Downloadable ACLs)

步骤 2

点击可下载 ACL 表顶部的添加,或者,选择任何现有的 DACL,然后点击表顶部的复制

步骤 3

输入或编辑所需的 DACL 值,牢记以下规则:

  • 名称字段支持的字符为:字母数字、连字符 (-)、点号 (.) 和下划线 (_)

  • 如下所述,在选择 DACL 类型时,系统会根据所选 IP 版本处理 IP 格式:

    • IPv4 仅验证 IPv4 合法 ACE。必须输入有效的 IPv4 格式。

    • IPv6 仅验证 IPv6 合法 ACE。必须输入有效的 IPv6 格式。

    • IP 版本字段中,DACL 的类型可能会显示为无关选项。输入所需的任何格式。使用无关 (Agnostic) 可为思科不支持的设备创建 DACL。当选择无关 (Agnostic) 时,不验证格式,并且您无法检查 DACL 语法。

  • 关键字 Any 必须是 DACL 中所有 ACE 的源。DACL 推送之后,源中的 Any 会被替换为连接到交换机的客户端的 IP 地址。

 

当将 DACL 映射到任何授权配置文件时,IP 版本(IP Version) 字段不可编辑。在这种情况下,请从授权配置文件 (Authorization Profiles) 中删除 DACL 引用,编辑 IP 版本并在授权配置文件 (Authorization Profiles) 中重新映射 DACL。

步骤 4

或者,当完成创建完整的 ACE 列表后,点击检查 DACL 语法 (Check DACL Syntax) 以验证列表。如果存在验证错误,系统会在自动打开的窗口中显示特定的说明,指明无效的语法。

步骤 5

点击提交

针对 Active Directory 用户授权的设备访问限制

思科 ISE 包含计算机访问限制 (MAR) 组件,提供另外一种控制 Microsoft Active Directory 身份验证用户授权的方法。此授权形式基于访问思科 ISE 网络所用的计算机的计算机身份验证。对于每个成功的计算机身份验证,思科 ISE 会将在 RADIUS Calling-Station-ID 属性(属性 31)中收到的值缓存为成功计算机身份验证的证据。

在达到 Active Directory Settings 页面的“Time to Live”参数中配置的小时数之前,思科 ISE 会保留缓存中的每个 Calling-Station-ID 属性值。参数过期之后,思科 ISE 会从参数缓存中删除该参数。

当用户从最终用户客户端进行身份验证时,思科 ISE 会在缓存中搜索在用户身份验证请求中收到的 Calling-Station-ID 值的成功计算机身份验证的 Calling-Station-ID 值。如果思科 ISE 在缓存中找到匹配的用户身份验证 Calling-Station-ID 值,这会以如下方式影响思科 ISE 为请求身份验证的用户分配权限:

  • 如果在思科 ISE 缓存中找到与 Calling-Station-ID 值相匹配的值,则会分配成功授权的授权配置文件。

  • 如果在思科 ISE 缓存中未找到与 Calling-Station-ID 值相匹配的值,则会分配成功用户身份验证(不含计算机身份验证)的授权配置文件。

配置授权策略和配置文件的指南

管理授权策略和配置文件时,请遵循以下规定:

  • 您创建的规则名称必须仅使用以下支持的字符:

    • 符号:加号 (+)、连字符 (-)、下划线 (_)、句点 (.) 和空格 ( )。

    • 字母字符:A-Z 以及 a-z。

    • 数字字符:0-9。

  • 身份组默认为“Any”(您可以将此全局默认设置应用于所有用户)。

  • 您可以通过条件设置一个或多个策略值。但是,条件是可选的,不一定要选择条件才能创建授权策略。以下是创建条件的两种方法:

    • 从供选择的相应字典选择现有条件或属性。

    • 创建允许您选择建议值或使用文本框来输入自定义值的自定义条件。

  • 您创建的条件名称必须仅使用以下支持的字符:

    • 符号︰连字符 (-)、下划线 (_) 和句点 (.)。

    • 字母字符:A-Z 以及 a-z。

    • 数字字符:0-9。

  • 创建或编辑授权配置文件时,如果选择使用除客户端调配(策略)(Client Provisioning [Policy]) 以外的任何其他选项启用 Web 重定向(CWA、MDM、NSP、CPP)(Web Redirection [CWA, MDM, NSP, CPP]),则无法将 IPv6 地址配置为该授权策略的静态 IP/主机名/FDQN。这是因为集中式 Web 身份验证 (CWA)、移动设备管理 (MDM) 重定向和本机请求方协议 (NSP) 不支持 IPv6 静态 IP/主机名/ FQDN。

  • 选择用于策略的授权配置文件时,权限非常重要。权限可以允许访问特定资源或允许您执行特定任务。例如,如果用户属于特定身份组(例如设备管理员组)并且用户符合所定义的条件(例如属于波士顿的某个站点),则此用户可以获得与该身份组关联的权限(例如访问特定网络资源或在设备上执行特定操作的权限)。

  • 在授权条件中使用 radius 属性 Tunnel-Private-Group-ID 时,必须在使用 EQUALS 运算符时在条件中同时提及标签和值,例如: 

    Tunnel-Private-Group-ID EQUALS (tag=0) 77

动态重新授权计划程序

可以通过为每个会话设置预定的到期日期和时间来限制访问时长,从而增强访问控制。此方法可确保会话仅在指定的到期日期前保持活动状态并允许已通过身份验证的操作,从而防止会话未关闭或凭证泄露时出现未授权访问。

考虑一个计划周一开始、周五下午 5 点结束的培训实验室。思科 ISE 动态重新授权计划程序允许您根据获知的到期日期和时间,在周五下午 5 点整自动断开所有连接到实验室的终端。需要注意的是,终端一旦断开连接,将无法重新连接到实验室,从而可以进行必要的维护活动,例如修改策略。

思科 ISE 会捕获身份验证发生的具体日期和时间,并 获知到期日期和时间属性。它会存储这些属性,并将其用作未来身份验证尝试的参考依据。一旦达到记录的到期日期和时间,会话将自动终止且不再有效,用户需重新进行身份验证才能启动新会话。有关详细信息,请参阅配置动态重新授权计划程序

配置动态重新授权计划程序

要配置动态重新授权计划程序,请执行以下步骤:
  1. 使用 pxGrid Direct 连接器(或其他任何身份连接器)定义到期日期属性。有关详细信息,请参阅https://www.cisco.com/c/en/us/support/docs/security/identity-services-engine-33/221004-configure-and-troubleshoot-ise-3-3-pxgri.html

    到期日期属性必须为字符串类型,且必须使用 ISO 8601 格式 (YYYY-MM-DDThh:mm:ss+timezone)。
  2. 按照以下步骤创建授权配置文件

    1. 在思科 ISE GUI 中,点击菜单 图标 (),然后选择 策略 > 结果 > 授权 > 授权配置文件

    2. 点击 +添加,并输入其他必填字段的详细信息。

    3. 选中重新身份验证复选框。

    4. 点击到期日期单选按钮,以允许对现有会话进行重新身份验证。

    5. 字典属性下拉列表中,选择到期日期属性。

    6. 点击提交

    有关详细信息,请参阅授权配置文件设置下的常见任务 > 重新身份验证

  3. 按照以下步骤在授权策略下添加两条规则:

    1. 在思科 ISE GUI 中,点击菜单 图标 (),然后选择 策略 > 策略集

    2. 点击现有授权策略集旁边的 > 图标。

    3. 添加第一条规则,拒绝到期日期已过的终端的访问权限。点击现有授权策略旁边的条件列中的单元格,然后执行以下步骤:

      1. Conditions Studio 页面中,从点击添加属性下拉列表中选择会话目录属性:Session.CurrentDateTime

      2. 等于下拉列表中,选择大于运算符。

      3. 属性值下拉列表中,选择创建的到期日期属性。

      4. 点击使用 (Use)

    4. 结果或配置文件下,从从列表选择下拉列表中,为创建的授权策略选择 DenyAccess

    5. 现在,添加第二条规则,允许访问至到期日期。点击现有授权策略旁边条件列中的单元格,然后执行以下步骤:

      1. 点击添加属性下拉列表中,选择会话目录属性:Session.CurrentDateTime

      2. 等于下拉列表中,选择小于运算符。

      3. 属性值下拉列表中,选择创建的到期日期属性。

      4. 点击使用 (Use)

    6. 结果或配置文件下,从从列表选择下拉列表中,选择创建的授权配置文件(在步骤 2 中创建)。

  4. 点击保存

配置授权策略

在从策略 (Policy) 菜单为授权策略创建属性和构建块后,从策略集 (Policy Sets) 菜单在策略集中创建授权策略。

从思科 ISE 版本 3.4 开始,您还可以使用具有阵列的 pxGrid Direct 连接器数据作为字典属性来配置授权策略。配置策略时,必须使用运算符“Contains”或“Matches”(如果是 REGEX)。当有阵列时,运算符“Equals”和“In”将不起作用。可以使用“AND”或“OR”条件嵌套多个属性。

开始之前

在开始此程序之前,您应该对用于创建授权策略(如身份组和条件)的不同构建块有基本的了解。

过程

步骤 1

在思科 ISE GUI 中,点击菜单 图标 (),然后选择 工作中心 (Work Centers) > 网络访问 (Network Access) > 策略集 (Policy Sets),找到网络访问策略。在思科 ISE GUI 中,点击菜单 图标 (),然后选择 工作中心 (Work Centers) > 设备管理 (Device Administration) > 设备管理策略集 (Device Admin Policy Sets) ,找到设备管理策略。

步骤 2

从“视图”(View) 列中,点击以访问所有策略集详细信息,并创建身份验证和授权策略以及策略例外。

步骤 3

点击页面“授权策略”(Authorization Policy) 部分旁的箭头图标以展开并查看授权策略表。

步骤 4

操作 (Actions) 列中,点击齿轮图标。从下拉菜单中,根据需要选择任何插入或重复选项来插入新的授权策略规则。

授权策略表中将显示新行。

步骤 5

要设置策略的状态,请点击当前状态 (Status) 图标,然后从下拉列表中选择状态 (Status) 列中的必要状态。有关状态的详细信息,请参阅授权策略设置

步骤 6

对于表中的任何策略,请点击规则名称单元格,进行必要的自由文本更改,并创建唯一的规则名称。

步骤 7

要添加或更改条件,请将鼠标悬停在条件 (Conditions) 列中的单元格上,然后点击 Conditions Studio 将打开。有关详细信息,请参阅策略条件

不是您选择的所有属性都包含“等于”、“不等于”、“位于”、“不位于”、“匹配”、“开头为”或“开头非”运算符选项。

“Matches”运算符支持并使用正则表达式 (REGEX),而不使用通配符。

 

您必须使用“equals”运算符进行直接比较。“包含”运算符可用于多值属性。“匹配”运算符应用于正则表达式比较。当使用“匹配”运算符时,将解译正则表达式中的静态值和动态值。如果是列表,“位于”运算符会检查列表中是否存在特定值。如果是单个字符串,“位于”运算符会检查字符串是否与“等于”运算符相同。

步骤 8

对于网络访问结果配置文件,请从结果配置文件 (Results Profiles) 下拉列表中选择相关授权配置文件,或者选择或点击,选择创建新授权配置文件 (Create a New Authorization Profile),然后在添加新标准配置文件 (Add New Standard Profile) 屏幕打开时,执行以下步骤:

  1. 根据需要输入值以配置新的授权配置文件。请注意以下事项:

    • 名称字段中支持的字符包括:空格 ! # $ % & ‘ ( ) * + , - . / ; = ? @ _ {。

    • 对于常见任务,要输入DACL,请按如下所示选择相关的 DACL 名称 (ACL Name) 选项,然后从动态下拉列表中选择必要的 DACL:

      • 要使用 IPv4 DACL,请选中 DACL 名称 (ACL Name)

      • 要输入 IPv6 DACL,请选中 IPv6 DACL 名称 (IPv6 DACL Name)

      • 要输入任何其他 DACL 语法,请选中任一选项。无关 DACL 同时显示在 IPv4 和 IPv6 下拉列表中。

         

        如果选择 DACL名称 (DACL Name),则 AVP 类型适用于 IPv4(即使 DACL 本身是无关的)。如果为 IPv6 DACL 名称 (IPv6 DACL Name) 选择 DACL,则 AVP 类型适用于 IPv6(即使 DACL 本身是无关的)。

    •  

      如果选择对策略使用 ACL,请确保设备与此功能兼容。有关详细信息,请参阅《思科身份识别服务引擎兼容性指南》。

      对于常见任务,要输入 ACL,请如下所示选择相关 ACL(过滤器 ID)(ACL (Filter-ID)) 选项,然后在字段中键入 ACL 名称:

      • 要使用 IPv4 ACL,请选中 ACL(过滤器 ID)(ACL (Filter-ID))

      • 要输入 IPv6 ACL,请选中 ACL IPv6(过滤器 ID)(ACL IPv6 (Filter-ID))

    • 要对 Airespace 设备使用 ACL,请根据需要选中 Airespace ACL 名称 (Airespace ACL Name)Airespace IPv6 ACL 名称 (Airespace IPv6 ACL Name),然后在字段中键入 ACL 名称。

    • 您可以从动态显示在屏幕底部的属性详细信息 (Attributes Details) 中仔细检查授权配置文件 RADIUS 语法。

  2. 点击保存以将所做的更改保存到思科 ISE 系统数据库,以便创建授权配置文件。

  3. 在思科 ISE GUI 中,点击菜单 图标 (),然后选择 策略 (Policy) > 策略元素 (Policy Elements) > 结果 (Results) > 授权 (Authorization) > 授权配置文件 (Authorization Profiles),用于在策略集区域之外创建、管理、编辑和删除配置文件。

步骤 9

对于网络访问结果安全组,请从结果安全组下拉列表中选择相关安全组,或者点击,选择创建新安全组,然后在“创建新安全组”屏幕打开时,执行以下步骤:

  1. 为新安全组输入名称和说明(可选)。

  2. 输入 Tag Value。标签值可以设置为手动输入或自动生成。您还可以为 SGT 保留范围。您可以从以下位置对其进行配置:在思科 ISE GUI 中,点击菜单 图标 (),然后选择 工作中心 > TrustSec > 设置 > 通用 TrustSec 设置

  3. 点击 提交

    有关详细信息,请参阅安全组配置

步骤 10

对于 TACACS+ 结果,请从结果 (Results) 下拉列表中选择相关命令集和外壳配置文件,或者点击命令集 (Command Sets)外壳配置文件 (Shell Profiles) 列中的,分别打开添加命令 (Add Commands) 屏幕或添加外壳配置文件 (Add Shell Profile)。选择创建新命令集 (Create a New Command Set)创建新外壳配置文件 (Create a New Shell Profile),然后输入字段。

步骤 11

在表中组织用来检查和匹配策略的顺序。

步骤 12

点击保存保存您对思科 ISE 系统数据库所做的更改,并创建这条新的授权策略。

授权策略设置

下表介绍策略集 (Policy Sets) 窗口的身份验证策略 (Authentication Policy) 部分中的字段,由此窗口可将身份验证子策略配置为策略集的一部分。在思科 ISE GUI 中,点击菜单 图标 (),然后选择 工作中心 (Work Centers) > 网络访问 (Network Access) > 策略集 (Policy Sets),找到网络访问策略。在思科 ISE GUI 中,点击菜单 图标 (),然后选择 工作中心 (Work Centers) > 设备管理 (Device Administration) > 设备管理策略集 (Device Admin Policy Sets) ,找到设备管理策略。

表 3. 身份验证策略配置设置

字段名称

使用指南

状态

选择此策略的状态。它可以是下列选项之一:

  • 已启用 (Enabled):此策略条件处于活动状态。

  • 已禁用 (Disabled):此策略条件处于非活动状态,不会被评估。

  • 仅监控 (Monitor Only):将评估此策略条件,但不实施结果。您可以在 Live Log 身份验证页面查看此策略条件的结果。在此情况下,查看详细报告,了解受监控的步骤和属性。例如,您可能想要添加新策略条件,但不确定此条件是否为您提供正确的结果。在此情况下,您可以在监控模式下创建策略条件来查看结果,如果您对结果满意,可以启用此选项。

规则名称

为此策略输入一个唯一的名称。

条件

 在新策略行中,点击加号 (+) 图标,或者在现有策略行中,点击“编辑”(Edit) 图标以打开 Condition Studio。

结果或配置文件

选择相关授权配置文件,该配置文件用于确定为配置的安全组提供的不同权限级别。如果尚未配置相关授权配置文件,可以内联配置。

结果或安全组

选择相关安全组,该安全组用于确定与特定规则相关的用户组。如果尚未配置相关安全组,则可以内联配置。

结果或命令集

命令集实施可由设备管理员执行的指定命令列表。当设备管理员在网络设备上发出操作命令时,查询 ISE 确定管理员是否被授权发出这些命令。这也称为命令授权。

结果或外壳配置文件

TACACS+ 外壳配置文件控制设备管理员的初始登录会话。

点击数

 命中数是一种诊断工具,用于指示条件匹配的次数。

操作

点击“操作”(Actions) 列中的齿轮图标 ,查看并选择不同的操作:

  • 在上方插入新行 (Insert new row above):在打开“操作”(Actions) 菜单的规则上方插入新的授权规则。

  • 在下方插入新行 (Insert new row below):在打开“操作”(Actions) 菜单的规则下方插入新的授权规则。

  • 在上方复制 (Duplicate above):在打开“操作”(Actions) 菜单的规则上方,插入重复授权规则,高于原集合。

  • 在下方复制 (Duplicate below):在打开“操作”(Actions) 菜单的规则下方,插入重复授权规则,低于原集合。

  • 删除 (Delete):删除规则。

使用 Endpoint-Analytics 属性创建授权策略

思科 AI 终端分析是一项 Cisco DNA Center 功能,可根据硬件制造商、硬件型号、操作系统和终端类型属性来实现对终端的细微可视性和分析。思科 AI 终端分析从多个来源接收终端属性数据,例如思科 Catalyst 9000 系列设备、CMBD 连接、遥测设备等。思科 AI 终端分析会将这些终端属性发布到思科 ISE,然后思科 ISE 管理员可以使用这些值来创建特定授权规则。请参阅“思科 AI 终端分析”。

此前,思科 ISE 通过 pxGrid 借助 IoTAsset 主题从思科 AI 终端分析接收属性信息。然后,您可以使用思科 AI 终端分析属性来创建自定义分析器策略,然后在授权策略中使用分析器策略。

思科 AI 终端分析属性可在“终端分析”字典中轻松获取,您可在授权策略中直接使用这些属性。

相关主题订用将添加到主 PAN 以及部署中的所有活动 PSN。每个 PSN 只会接收与其连接的终端的属性信息,以便帮助优化思科 ISE 的整体性能。

图 2. Endpoint-Analytics 词典属性

作为 Endpoint-Analytics 词典一部分的属性:

  • 分析属性:多因素分类属性 - 硬件制造商、硬件型号、操作系统和终端类型

  • 信任评分属性:与随机 MAC 地址、分析更改、欺骗检测和思科 AI 终端分析监控的其他行为相关的属性,可用于计算终端的综合信任评分。请参阅“信任分数”。

  • 终端信任评分

  • CMDB 属性:思科 AI 终端分析收集的 ServiceNow 属性。

图 3. 思科 AI 终端分析中的 ISE 集成设置

开始之前

  • 您的思科 ISE 必须与 Cisco DNA Center 有效集成

  • 您必须使用思科 ISE 版本 3.1 或更高版本

  • 您必须使用 Cisco DNA Center 版本 2.2.3 或更高版本

过程

步骤 1

登录到您的 Cisco DNA Center 管理门户:

  1. 从主菜单中选择策略 (Policy) > AI 终端分析 (AI Endpoint Analytics)

  2. 概述窗口中,点击配置

  3. 配置窗口中,点击 ISE 集成

  4. ISE 集成 (ISE Integration) 窗口中:

    1. 要允许属性通过 pxGrid 发布到思科 ISE,请点击发布到 ISE 的终端配置文件 (Endpoint Profile Publishing to ISE) 区域中的切换按钮。

    2. 选中增强授权集成 (Enhanced Authorization Integration) 复选框,以允许思科 AI 终端分析将终端属性发布到思科 ISE。

  5. 点击保存

步骤 2

登录您的思科 ISE 管理门户。

  1. 选择管理 > 系统 > 设置 > 分析

  2. 终端主题设置区域,选中以下一个或两个复选框以启用相应功能。

    • 向主题启用终端属性:启用此设置后,部署中的主 PAN 和 PSN 可与思科 AI 终端分析共享终端属性数据。此设置还支持从思科 ISE 转发终端属性,以提高网络可视性、增强安全性,并与 AI 终端分析和 pxGrid Cloud 等分析平台集成。

       

      禁用向主题启用终端属性会停止主题集成,并禁用向 AI 终端分析和 pxGrid Cloud 发布终端属性数据。

    • 从 AI 终端分析接收终端配置文件:启用此设置后,会在部署中的主 PAN 和 PSN 中创建新的主题订用。因此,主 PAN 和 PSN 现在可以从思科 AI 终端分析接收终端属性信息。此设置还会将 AI 终端分析配置文件数据发布到思科 ISE,用于网络访问授权和终端控制。

  3. (可选) 要在终端的 Endpoint-Analytics 属性发生变化时为终端配置 CoA 操作,请在分析器设置 (Profiler Settings) 区域的 CoA 类型 (CoA Type) 下拉列表中选择一个选项。

步骤 3

验证思科 AI 终端分析和思科 ISE 之间的 pxGrid 连接:

  1. 在思科 ISE GUI 中,选择管理 (Administration) > pxGrid > 诊断 (Diagnostics)

  2. 在显示的 WebSocket 窗口中的客户端 (Client) 选项卡中找到 PSN 和 PAN 节点的 FQDN。应该会显示以下订用:

    • 对于 PAN:/topic/com.cisco.endpointanalytics.data

    • 对于 PSN:/topic/com.cisco.ea.data.{{<FQDN>}}

下一步做什么

要接收调试日志以排除与终端分析相关的 pxGrid 问题,请执行以下操作:

  1. 在思科 ISE GUI 中,选择 操作 (Operations) > 故障排除 (Troubleshoot) > 调试向导 (Degug Wizard) > 调试日志配置 (Debug Log Configuration)

  2. 点击想要编辑的节点旁边的单选按钮,点击编辑

  3. 调试日志配置 窗口中,点击 endpoint-analytics 旁边的单选按钮。

  4. 在 endpoint-analytics 的日志级别 (Log Level) 字段中,从下拉列表中选择调试 (DEBUG)

  5. 点击保存

授权配置文件设置

在思科 ISE GUI 中,点击菜单 图标 (),然后选择 策略 (Policy) > 策略元素 (Policy Elements) > 结果 (Results) > 授权 (Authorization) > 授权配置文件 (Authorization Profiles)授权配置文件 (Authorization Profiles) 窗口定义网络访问属性。


在非思科设备中从思科 ISE 2.x 版本升级到思科 ISE 3.x 版本时,如果授权配置文件包含具有已配置 ACL 值的网络设备配置文件,则可能会出现升级失败。出现这种情况是因为网络设备配置文件中不应该配置 ACL。

要解决这一问题,可以手动删除该值或删除相应的授权配置文件本身。

授权配置文件设置

  • 名称 (Name):输入此新授权配置文件的名称。

  • 说明 (Description):输入此授权配置文件的说明。

  • 访问类型 (Access Type):选择访问类型:ACCESS_ACCEPTACCESS_REJECT

  • 服务模板 (Service Template):启用此选项以支持与有 SAnet 功能的设备的会话。思科 ISE 在授权配置文件中实施服务模板,用一个特殊标志将其标记为兼容服务模板 (Service Template)。由于服务模板也是授权配置文件,因此它充当支持 SAnet 和非 SAnet 设备的单个策略。

  • 跟踪移动 (Track Movement):启用此选项可通过思科移动服务引擎 (MSE) 跟踪用户位置。


    此选项可能会影响思科 ISE 性能,仅适用于高安全性位置。

  • 被动身份跟踪 (Passive Identity Tracking):启用此选项可将被动身份的 Easy Connect 功能来实施策略和跟踪用户。

常见任务

常见任务是适用于网络访问的特定权限和操作。

  • DACL 名称 (DACL Name):启用此选项可使用可下载的 ACL。您可以使用默认值(PERMIT_ALL_IPV4_TRAFFICPERMIT_ALL_IPV6_TRAFFICDENY_ALL_IPV4_TRAFFICDENY_ALL_IPV6_TRAFFIC)或从以下字典中选择属性:

    • 外部身份库(属性)

    • 终端

    • 内部用户

    • 内部终端

    有关添加 DACL 或编辑和管理现有 DACL 的详细信息,请参阅可下载 ACL

  • ACL (Filter-ID):启用此选项可配置 RADIUS filter-ID 属性。filter-ID 指定 NAD 上的 ACL。Filter-ID 显示在属性详细信息 (Attributes Details) 窗格中。ACL IPv6 (Filter-ID) 的工作方式与 NAD 的 IPv6 连接相同。

    您可以输入文本或从 ACL Filter-ID 的属性值下拉列表中选择所需的属性。如果输入 ACL Filter-ID 的文本,则必须为思科设备添加“.in”后缀。

  • 安全组 (Security Group):启用此选项可分配授权的安全组 (SGT) 部分。

    从思科 ISE 3.2 开始,在选择安全组时,您可以通过从下拉列表中选择或输入所需文本来指定虚拟网络。您还可以选择指定 VLAN 名称。

    一个安全组任务包括一个安全组和一个可选 VN。如果配置安全组,则无法单独配置 VLAN。终端设备只能分配给一个虚拟网络。

  • VLAN:启用此选项可指定虚拟 LAN (VLAN) ID。您可以为 VLAN ID 输入整数或字符串值。此条目的格式为 Tunnel-Private-Group-ID:VLANnumber

  • 语音域权限:启用此选项可使用可下载的 ACL。供应商专用属性 (VSA) cisco-av-pair 与值 device-traffic-class=voice 相关联。在多域和多身份验证授权模式下,如果网络交换机收到此 VSA,终端会在授权后连接到语音域。

  • Web 重定向(CWA、DRW、MDM、NSP、CPP)(Web Redirection (CWA, DRW, MDM, NSP, CPP)):启用此选项可在身份验证后启用 Web 重定向。

    • 选择重定向类型。您选择的 Web 重定向类型会显示其他选项,如下所述。

    • 输入 ACL 以支持让思科 ISE 发送到 NAD 的重定向。

      您输入的发送到 NAD 的 ACL 在属性详细信息 (Attributes Details) 窗格中显示为 cisco-av pair。例如,输入 acl119,它会在属性详细信息 (Attributes Details) 窗格中显示为:cisco-av-pair = url-redirect-acl = acl119

    • 选择所选 Web 重定向类型的其他设置。

    选择以下 Web 重定向类型之一:

    • 集中式 Web 身份验证 (Centralized Web Auth):重定向到您从值 (Value) 下拉列表中选择的门户。

    • 客户端调配(安全评估)(Client Provisioning (Posture)):重定向到您从值 (Value) 下拉列表中选择的客户端调配门户,以在客户端上启用安全评估。

    • 热点:重定向 (Hot Spot: Redirect):重定向到您从值 (Value) 下拉列表中选择的热点门户。

    • MDM 重定向 (MDM Redirect):重定向到您指定的 MDM 服务器上的 MDM 门户。

    • 本地请求方调配 (Native Supplicant Provisioning):重定向到您从值 (Value) 下拉列表中选择的 BYOD 门户。

    在选择 Web 重定向类型并输入所需参数后,配置以下选项:

    • 显示证书续约消息 (Display Certificates Renewal Message):启用此选项可显示证书续约消息。URL-redirect 属性值改变并且包含证书有效的天数。此选项仅适用于集中式 Web 身份验证重定向。

    • 静态 IP/主机名/FQDN (Static IP/Host Name/FQDN):启用此选项可将用户重定向到其他 PSN。输入目标 IP 地址、主机名或 FQDN。如果不配置此选项,用户将重定向到收到此请求的策略服务节点的 FQDN。

    • 在逻辑配置文件中抑制终端的分析器 CoA (Suppress Profiler CoA for endpoints in Logical Profile):启用此选项可取消特定类型终端设备的重定向。

  • 自动智能端口 (Auto SmartPort):启用此选项可使用自动智能端口功能。输入事件名称,它会创建一个 VSA cisco-av-pair,该值为 auto-smart-port=event_name。此值显示在属性详细信息 (Attributes Details) 窗格中。

  • 访问漏洞 (Access Vulnerabilities):启用此选项可作为授权的一部分在此终端上运行以威胁防护为中心的 NAC 漏洞评估。选择适配器以及运行扫描的时间。

  • 重新验证身份 (Reauthentication):启用此选项可在重新验证身份期间保持终端连接。通过选择使用 RADIUS-Request (1),选择在重新验证身份的过程中保持连接。默认 RADIUS-Request (0) 会断开现有会话。您还可以设置非活动计时器。

  • MACSec 策略:启用此选项可在启用 MACSec 的客户端连接到思科 ISE 时使用 MACSec 加密策略。选择以下选项之一:must-secureshould-securemust-not-secure。您的设置在属性详细信息 (Attributes Details) 窗格中显示为:cisco-av-pair = linksec-policy=must-secure

  • NEAT:启用此选项可使用网络边缘接入拓扑 (NEAT),它能在网络之间扩展身份识别。如果选中此复选框,属性详细信息 (Attributes Details) 窗格中将显示 cisco-av-pair = device-traffic-class=switch

  • Web 身份验证(本地 Web 身份验证):启用此选项可对此授权配置文件使用本地 Web 身份验证。通过由思科 ISE 发送 VSA 以及 DACL,此值使交换机能够识别用于 Web 身份验证的授权。VSA 为 cisco-av-pair = priv-lvl=15,显示在属性详细信息 (Attributes Details) 窗格中。

  • Airespace ACL名称 (Airespace ACL Name):启用此选项可向思科 Airespace 无线控制器发送 ACL 名称。Airespace VSA 使用此 ACL 向 WLC 上的连接授权本地定义的 ACL。例如,输入 rsa-1188,它会在属性详细信息 (Attributes Details)窗格中显示为 Airespace-ACL-Name = rsa-1188

  • ASA VPN:选中此选项可分配自适应安全设备 (ASA) VPN 组策略。从下拉列表中选择一个 VPN 组策略。

  • AVC 配置文件名称 (AVC Profile Name):启用此选项可在此终端上运行应用可视性。输入要使用的 AVC 配置文件。

  • UDN 查找:如果您的思科 ISE 账户是用户定义的网络 (UDN) 解决方案的一部分,请启用此选项。此选项支持在思科 ISE 和思科 WLC 之间共享 UDN 设备配置。

    当从无线控制器收到 RADIUS 身份验证请求时,思科 ISE 会检查其 UDN 数据库,以查找请求中指定的 MAC 地址。如果查找成功,思科 ISE 会将 RADIUS 响应连同供应商特定属性一起发送回无线控制器。

高级属性设置

  • 目录 (Dictionaries):点击向下箭头图标可查看目录 (Dictionaries) 窗口中的可用选项。在第一个字段中选择应配置的字典和属性。

  • 属性值 (Attribute Values):点击向下箭头图标可显示属性值 (Attribute Values) 窗口中的可用选项。选择所需的属性组和属性值。此值与第一个字段中选择的值匹配。您配置的任何高级属性 (Advanced Attributes) 设置都将显示在属性详细信息 (Attributes Details) 面板中。

  • 属性详细信息 (Attributes Details):此窗格显示您为常见任务 (Common Tasks)高级属性 (Advanced Attributes) 设置的已配置属性值。

    属性详细信息 (Attributes Details) 窗格中显示的值是只读的。


    要修改或删除属性详细信息 (Attributes Details) 窗格中显示的任何只读值,请在对应的常见任务 (Common Tasks) 字段中或在高级属性设置 (Advanced Attributes Settings) 窗格的 属性值 (Attribute Values) 字段中选择的属性中修改或删除这些值。

授权策略和例外

在每个策略集中,您可以定义常规授权策略,以及本地例外规则(从每个策略集的“集”(Set) 视图中的“授权策略本地例外”(Authorization Policy Local Exceptions) 部分定义)和全局例外规则(从每个策略集的“集”(Set) 视图中的“授权策略全局例外”(Authorization Policy Global Exceptions) 部分定义)。

使用全局授权例外策略,可以定义覆盖所有策略集中所有授权规则的规则。配置全局授权例外策略后,该策略会添加到所有策略集中。然后,可以从任何当前配置的策略集中更新全局授权例外策略。每次更新全局授权例外策略时,这些更新都会应用于所有策略集。

本地授权例外规则会覆盖全局例外规则。系统按以下顺序处理授权规则:首先处理本地例外规则,然后处理全局例外规则,最后处理授权策略常规规则。

授权例外策略规则的配置与授权策略规则相同。有关授权策略的信息,请参阅配置授权策略

为了避免安全问题,思科 ISE 不支持在授权策略中使用 % 字符。

本地和全局例外配置设置

在思科 ISE GUI 中,点击菜单 图标 (),然后选择 工作中心 (Work Centers) > 网络访问 (Network Access) > 策略集 (Policy Sets),找到网络访问策略。在思科 ISE GUI 中,点击菜单 图标 (),然后选择 工作中心 (Work Centers) > 设备管理 (Device Administration) > 设备管理策略集 (Device Admin Policy Sets) ,找到设备管理策略。在思科 ISE GUI 中,点击菜单 图标 (),然后选择 策略集 (Policy Sets) > 查看 (View) > 本地例外策略 (Local Exceptions Policy)全局例外策略 (Global Exceptions Policy)

授权例外设置与授权策略设置相同,如授权策略设置所述。

策略条件

思科 ISE 使用基于规则的策略提供网络访问。策略是一组规则和结果,其中规则由条件组成。思科 ISE 可以让您将条件创建为可在系统库中存储的单个策略元素,然后从 Conditions Studio 重复用于其他基于规则的策略。

条件可以很简单,或者,必要时可以使用运算符(等于、不等于、大于,等等)和值,或者通过包含多个属性、运算符和复杂层次结构,使之变得复杂。在运行时,思科 ISE 会评估策略条件,然后根据策略评估返回的 true 值或 false 值,应用您所定义的结果。

在创建条件并为其分配唯一名称后,可以从 Conditions Studio 库中选择该条件,多次将其重复用于各种规则和策略,例如:

Network Conditions.MyNetworkCondition EQUALS true

不能从 Condition Studio 中删除策略中使用的条件或作为其他条件组成部分的条件。

每个条件各自定义可包括在策略条件中的对象列表,从而得到与请求中的定义匹配的一组定义。

您可以使用运算符 EQUALS true 来检查网络条件是否为 true(无论请求中存在的值是否与网络条件中的至少一个条目匹配)或 EQUALS false,以测试网络条件是否为 false(不匹配网络条件中的任何条目)。

思科ISE还提供预定义的智能条件,您可以在策略中单独使用这些条件,也可以将其作为您自己的自定义条件中的构建块,并且可以根据需要进行更新和更改。

您可以创建以下唯一网络条件以限制对网络的访问:

  • 终端站网络条件 - 基于发起和终止连接的终端站。

    思科 ISE 会评估远程地址 TO 字段(根据它是 TACACS+ 还是 RADIUS 请求而获取),确定它是终端的 IP 地址、MAC 地址、主叫线路标识 (CLI) 还是被叫号码识别服务 (DNIS)。

    在 RADIUS 请求中,标识符在属性 31 (Calling-Station-Id) 中可用。

    在 TACACS+ 请求中,如果远程地址包含斜杠 (/),则斜杠前的部分作为 FROM 值,斜杠后的部分作为 TO 值。例如,如果请求具有 CLI/DNIS,则 CLI 作为 FROM 值,DNIS 作为 TO 值。如果不包含斜杠,则整个远程地址作为 FROM 值(不论是 IP 地址、MAC 地址或 CLI)。

  • 设备网络条件 - 基于处理请求的 AAA 客户端。

    可通过 IP 地址、在网络设备存储库中定义的设备名称或网络设备组确定网络设备。

    在 RADIUS 请求中,如果存在属性 4 (NAS-IP-Address),思科 ISE 会从该属性中获取 IP 地址。如果存在属性 32 (NAS-Identifier),思科 ISE 将从属性 32 获取 IP 地址。如果未找到这些属性,它将从其接收的数据包获取 IP 地址。

    设备字典(NDG 字典)包含网络设备组属性,如位置、设备类型或其他动态创建的表示 NDG 的属性。反过来,这些属性包含与当前设备相关的组。

  • 设备端口网络条件 - 基于设备的 IP 地址、名称、NDG 和端口(终端站连接到的设备物理端口)。

    在 RADIUS 请求中,如果请求中存在属性 5 (NAS-Port),则思科 ISE 会从该属性中获取值。如果请求中存在属性 87 (NAS-Port-Id),思科 ISE 将从属性 87 获取请求。

    在 TACACS+ 请求中,思科 ISE 会从(每个阶段的)起始请求的端口字段中获取此标识符。

有关这些独特条件的详细信息,请参阅特殊网络访问条件

字典和字典属性

字典是关于可用于为域定义访问策略的属性和允许值的域特定目录。单个字典是同种属性类型的集合。字典中定义的属性具有相同的属性类型并且其类型会指明特定属性的来源或上下文。

属性类型可以是以下一种类型:

  • MSG_ATTR

  • ENTITY_ATTR

  • PIP_ATTR

除了属性和允许的值之外,字典还包含关于名称与说明、数据类型和默认值等属性的信息。一个属性可以有以下一种数据类型:BOOLEAN、FLOAT、INTEGER、IPv4、IPv6、OCTET_STRING、STRING、UNIT32 和 UNIT64。

思科 ISE 在安装时会创建系统字典并且允许您创建用户字典。

属性存储在不同的系统词典中。属性用于配置条件。属性可以在多个条件中重复使用。

要在创建策略条件时重复使用某个有效的属性,请从包含支持的属性的词典中选择该属性。例如,思科 ISE 提供名为 AuthenticationIdentityStore 的属性,该属性位于 Networkaccess 目录中。该属性识别验证用户身份期间访问的最后一个身份源:

  • 在身份验证期间使用单个身份源时,该属性包括成功进行身份验证所在的身份库的名称。

  • 在身份验证期间使用某个身份源序列时,该属性包括访问的最后一个身份源的名称。

您可以将 AuthenticationStatus 属性与 AuthenticationIdentityStore 属性组合使用,以定义用来识别成功验证某个用户的身份的身份源的条件。例如,要使用授权策略中的 LDAP 目录 (LDAP13) 检查用户通过身份验证的条件,您可以定义下列可重复使用的条件: 


If NetworkAccess.AuthenticationStatus EQUALS AuthenticationPassed AND NetworkAccess.AuthenticationIdentityStore EQUALS LDAP13

AuthenticationIdentityStore 表示允许您为该条件输入数据的文本字段。确保向该字段中正确输入或复制名称。如果身份源的名称发生更改,您必须确保修改此条件,以与身份源的更改保持一致。

要定义基于之前已进行身份验证的终端身份组的条件,思科 ISE 支持在终端身份组 802.1X 身份验证状态期间定义的授权。当思科 ISE 执行 802.1X 身份验证时,它从 RADIUS 请求的“Calling-Station-ID”字段中提取 MAC 地址,并使用该值查找和填充设备终端身份组(被定义为 endpointIDgroup 属性)的会话缓存。此过程使 endpointIDgroup 属性在创建授权策略条件时可供使用,并且允许您根据使用该属性的终端身份组信息(用户信息除外)来定义授权策略。

可以在授权策略配置页面的 ID Groups 列中定义终端身份组的条件。需要在授权策略的“Other Conditions”部分中定义基于用户相关信息的条件。如果用户信息基于内部用户属性,请使用内部用户目录中的 ID 组属性。例如,您可以使用诸如“User Identity Group:Employee:US”等值,在身份组中输入完整的值路径。

支持的网络访问策略词典

思科 ISE 支持以下系统存储的词典,这些词典包含为身份验证和授权策略构建条件和规则时所需的不同属性:

  • 系统定义的字典

    • CERTIFICATE

    • DEVICE

    • RADIUS

  • RADIUS 供应商字典

    • Airespace

    • Cisco

    • Cisco-BBSM

    • Cisco-VPN3000

    • Microsoft

    • Network access

对于授权策略类型,条件中配置的验证必须符合要返回的授权配置文件。

验证通常包括一个或更多条件,条件中包含用户定义的名称,可以将这些条件添加到库中并供其他策略重复使用。

以下部分介绍可用于配置条件的受支持属性和词典。

字典支持的属性

此表列出字典支持的固定属性,这些属性可用于策略条件中。并非所有这些属性都可用于创建所有类型的条件。

例如,创建在身份验证策略中选取访问服务的条件时,您将只看到以下网络访问属性:Device IP Address、ISE Host Name、Network Device Name、Protocol 和 Use Case。

您可以将下表中列出的属性用于策略条件中。

字典

属性

允许的协议规则和代理

身份规则

设备

Device Type(预定义的网络设备组)

支持

支持

Device Location(预定义的网络设备组)

Other Custom Network Device Group

Software Version

Model Name

RADIUS

所有属性

支持

支持

网络接入

ISE Host Name

支持

支持

AuthenticationMethod

支持

AuthenticationStatus

CTSDeviceID

Device IP Address

支持

支持

EapAuthentication(设备用户身份验证期间使用的 EAP 方法)

支持

EapTunnel(用于建立隧道的 EAP 方法)

支持

Protocol

支持

支持

UseCase

支持

支持

UserName

支持

WasMachineAuthenticated

Certificate

Common Name

支持

Country

E-mail

LocationSubject

Organization

Organization Unit

Serial Number

State or Province

Subject

Subject Alternative Name

Subject Alternative Name - DNS

Subject Alternative Name - E-mail

Subject Alternative Name - Other Name

Subject Serial Number

Issuer

Issuer - Common Name

Issuer - Organization

Issuer - Organization Unit

Issuer - Location

Issuer - Country

Issuer - Email

Issuer - Serial Number

Issuer - State or Province

Issuer - Street Address

Issuer - Domain Component

Issuer - User ID

系统定义的字典和字典属性

思科 ISE 会在安装期间创建系统字典,您可以在 System Dictionaries 页面找到这些系统字典。系统定义的字典属性为只读属性。由于其性质,您只能查看现有的系统定义的字典。您不能创建、编辑或删除系统定义的值或系统字典中的任何属性。

所显示的系统定义的字典属性会带有属性的描述性名称、域识别的内部名称和允许的值。

IETF RADIUS 属性集也是系统定义的字典的一部分,由互联网工程任务组 (IETF) 定义,思科 ISE 也会为此属性集创建字典默认设置。您可以编辑除 ID 之外的所有 IETF RADIUS 自由属性字段。

显示系统字典和字典属性

您无法创建、编辑或删除系统字典中的任何系统定义的属性。您只能查看系统定义的属性。您可以执行基于字典名称和说明的快速搜索或基于您所定义的搜索规则的高级搜索。

过程

步骤 1

步骤 2

在思科 ISE GUI 中,点击菜单 图标 (),然后选择 策略 (Policy) > 策略元素 (Policy Elements) > 字典 (Dictionaries) > 系统 (System)

步骤 3

在 System Dictionaries页面上选择系统字典,然后点击 View

步骤 4

点击 Dictionary Attributes

步骤 5

从列表中选择系统字典属性,然后点击 View

步骤 6

点击 Dictionaries 链接以返回 System Dictionaries 页面。

用户定义的字典和字典属性

思科 ISE 显示您在 User Dictionaries 页面中创建的用户定义字典。在系统中创建并保存现有用户字典的 Dictionary Name 或 Dictionary Type 值后,将不能修改这些值。

您可以在 User Dictionaries 页面执行以下操作:

  • 编辑和删除用户字典。

  • 根据名称和说明搜索用户字典。

  • 添加、编辑和删除用户字典中的用户定义的字典属性。

  • 使用 NMAP 扫描操作删除 NMAP 扩展名字典中的属性。当在“NMAP 扫描操作”(NMAP Scan Actions) 页面中添加或删除自定义端口时,将在字典中添加、删除或更新对应的自定义端口属性。

  • 添加或删除允许的字典属性值

创建用户定义的字典

您可以创建、编辑或删除用户定义的字典。

过程

步骤 1

在思科 ISE GUI 中,点击菜单 图标 (),然后选择 策略 (Policy) > 策略元素 (Policy Elements) > 字典 (Dictionaries) > 用户 (User)

步骤 2

点击添加 (Add)

步骤 3

为用户字典输入名称、可选说明和用户字典版本。

步骤 4

从 Dictionary Attribute Type 下拉列表选择属性类型。

步骤 5

点击提交

创建用户定义的字典属性

您可以在用户字典中添加、编辑和删除用户定义的字典属性以及添加或删除用于字典属性的允许值。

过程

步骤 1

在思科 ISE GUI 中,点击菜单 图标 (),然后选择 策略 (Policy) > 策略元素 (Policy Elements) > 字典 (Dictionaries) > 用户 (User)

步骤 2

从 User Dictionaries 页面选择用户字典,然后点击 Edit

步骤 3

点击 Dictionary Attributes

步骤 4

点击 Add

步骤 5

为字典属性输入属性名称、可选说明和内部名称。

步骤 6

从 Data Type 下拉列表选择数据类型。

步骤 7

点击 Add 以配置名称、允许值,并在 Allowed Values 表中设置默认状态。

步骤 8

点击提交

RADIUS 供应商字典

思科 ISE 允许您定义一套 RADIUS 供应商字典并且为每个字典定义一系列属性。列表中的每个供应商定义都包含供应商名称、供应商 ID 和扼要说明。

默认情况下,思科 ISE 为您提供以下 RADIUS 供应商字典:

  • Airespace

  • Cisco

  • Cisco-BBSM

  • Cisco-VPN3000

  • Microsoft

RADIUS 协议支持这些供应商字典以及可用于授权策略和策略条件的供应商特定属性。

创建 RADIUS 供应商字典

还可以创建、编辑、删除、导出和导入 RADIUS 供应商字典。

过程

步骤 1

在思科 ISE GUI 中,点击菜单 图标 (),然后选择 策略 (Policy) > 策略元素 (Policy Elements) > 字典 (Dictionaries) > 系统 (System) > Radius > Radius 供应商 (Radius Vendors)

步骤 2

点击添加 (Add)

步骤 3

输入 RADIUS 供应商字典的名称、可选说明,以及由互连网号码分配机构 (IANA) 批准的 RADIUS 供应商的供应商 ID。供应商 ID 在全球 IANA 供应商列表中必须唯一,且不能被任何现有供应商使用。

步骤 4

从 Vendor Attribute Type Field Length 下拉列表中选择从属性值提取用于指定属性类型的字节数。有效值为 1、2 和 4。默认值为 1。

步骤 5

从 Vendor Attribute Size Field Length 下拉列表中选择从属性值提取用于指定属性长度的字节数。有效值为 0 和 1。默认值为 1。

步骤 6

点击提交

创建 RADIUS 供应商字典属性

您可以创建、编辑和删除思科 ISE 支持的 RADIUS 供应商属性。每个 RADIUS 供应商属性都有名称、数据类型、说明和方向,其指定属性是否仅与请求相关、仅与响应相关,还是与二者都相关。

过程

步骤 1

在思科 ISE GUI 中,点击菜单 图标 (),然后选择 策略 (Policy) > 策略元素 (Policy Elements) > 字典 (Dictionaries) > 系统 (System) > Radius > Radius 供应商 (Radius Vendors) 。

步骤 2

从 RADIUS 供应商字典列表选择 RADIUS 供应商字典,然后点击 Edit

步骤 3

点击 Dictionary Attributes,然后点击 Add

步骤 4

为 RADIUS 供应商属性输入属性名称和可选说明。

步骤 5

从 Data Type 下拉列表选择数据类型。

步骤 6

选中 Enable MAC option 复选框。

步骤 7

从 Direction 下拉列表选择仅应用于 RADIUS 请求、仅应用于 RADIUS 响应或同时应用于二者的方向。

步骤 8

在 ID 字段输入供应商属性 ID。

步骤 9

选中 Allow Tagging 复选框。

步骤 10

选中 Allow multiple instances of this attribute in a profile 复选框。

步骤 11

点击 Add 以在 Allowed Values 表中为供应商属性添加允许的值。

步骤 12

点击提交

HP RADIUS IETF 服务类型属性

思科 ISE 为 RADIUS IETF 服务类型属性引入两个新值。此 RADIUS IETF 服务类型属性位于策略 > 策略元素 > 词典 > 系统 > RADIUS > IETF在思科 ISE GUI 中,点击菜单 图标 (),然后选择 策略 > 策略元素 > 词典 > 系统 > RADIUS > IETF。您可在策略条件中使用这两个值。这两个值专为 HP 设备设计,用于了解用户的权限。

列举名称

列举值

HP-Oper

252

HP-User

255

RADIUS 供应商字典属性设置

本节介绍思科 ISE 中使用的 RADIUS 供应商字典。

下表介绍了 RADIUS 供应商的“字典”(Dictionary) 窗口中的字段,可以通过此窗口为 RADIUS 供应商配置字典属性。在思科 ISE GUI 中,点击菜单 图标 (),然后选择 策略 (Policy) > 策略元素 (Policy Elements) > 字典 (Dictionaries) > 系统 (System) > RADIUS > RADIUS 供应商 (RADIUS Vendors)

表 4. RADIUS 供应商字典属性设置

字段名称

使用指南

属性名称 (Attribute Name)

输入选定 RADIUS 供应商的供应商特定属性名称。

说明

输入供应商特定属性的可选说明。

内部名称 (Internal Name)

输入数据库内部所称呼的供应商特定属性的名称。

数据类型 (Data Type)

为供应商特定属性选择以下其中一种数据类型:

  • STRING

  • OCTET_STRING

  • UNIT32

  • UNIT64

  • IPV4

  • IPv6

Enable MAC option

选中此复选框可启用将 RADIUS 属性比作为 MAC 地址。默认情况下,对于 RADIUS 属性 calling-station-id,此选项标记为启用,您无法禁用此选项。对于 RADIUS 供应商字典中的其他(字符串类型)字典属性,可以启用或禁用此选项。

启用此选项之后,在设置身份验证和授权条件时,可以通过选择 Text 选项来定义对比是否是明文字符串,或通过选择 MAC address 选项来定义是否是 MAC 地址。

方向

选择一个适用于 RADIUS 消息的选项:

ID

输入供应商属性 ID。有效范围为 0 至 255。

允许标记 (Allow Tagging)

根据 RFC2868 定义,选中该复选框,将属性标记为已被允许带有标签。该标签的用途是允许对隧道用户的属性进行分组。有关详细信息,请参阅 RFC2868。

已标记的属性支持确保有关指定隧道的所有属性在各自的标签字段中包含相同值,并且,每组包含一个 Tunnel-Preference 属性实例。这符合将用于多供应商网络环境中的隧道属性,以此消除不同供应商生产的网络接入服务器 (NAS) 之间的互通性问题。

允许配置文件中存在该属性的多个实例 (Allow Multiple Instances of this Attribute in a Profile)

当希望配置文件中存在此 RADIUS 供应商特定属性的多个实例时,请选中此复选框。

浏览 Conditions Studio

使用 Conditions Studio 创建、管理和重复使用条件。条件可以包括多个规则,并且结构复杂性不限(包括仅一个级别或多个层级)。使用 Conditions Studio 创建新条件时,可以使用已存储在库中的条件块,也可以更新和更改这些存储的条件块。在稍后创建和管理条件时,可以使用快速类别过滤器等轻松查找需要的块和属性。

在思科 ISE GUI 中,点击菜单 图标 (),然后选择 工作中心 (Work Centers) > 网络访问 (Network Access) > 策略集 (Policy Sets),找到网络访问策略。在思科 ISE GUI 中,点击菜单 图标 (),然后选择 工作中心 (Work Centers) > 设备管理 (Device Administration) > 设备管理策略集 (Device Admin Policy Sets) ,找到设备管理策略。

要编辑或更改已应用于任何策略集中的特定规则的条件,请将鼠标悬停在条件 (Conditions) 列中的单元格上,然后点击,或者从策略集表中的条件 (Conditions) 列点击加号以创建新列,随后可以立即将其应用于同一策略集,也可以将其保存在库中以供将来使用。

下图显示 Conditions Studio 的主要元素。
图 4. Conditions Studio

Condition Studio 分为两个主要部分:库和编辑器。库可以存储条件块以供重复使用,而编辑器可以让您编辑这些已保存的块和创建新的块。

下表介绍了 Condition Studio 的不同部分:

字段

使用指南

显示已创建并保存在 ISE 数据库中以供重复使用的所有条件块的列表。若要在当前编辑的条件中使用这些条件块,请将其从库中拖放到编辑器中的相关级别,必要时更新运算符。

存储在库中的条件全部用库图标表示,原因是条件可以与多个类别相关联。

在库中的每个条件旁,也可以找到该图标。将鼠标悬停在此图标上可查看条件的完整说明,查看其关联的类别,还可以从库中彻底删除条件。如果条件被策略使用,则无法删除这些条件。

将任何库条件拖放到编辑器中,以便将其单独用于当前编辑的策略,或作为更复杂条件的构建块,以便在当前策略中使用或在库中另存为新条件。您还可以在编辑器中拖放条件,以便对该条件进行更改,然后在库中以相同名称或新名称保存该条件。

安装后还有预定义条件。这些条件也可以更改和删除。

搜索和过滤

按名称搜索条件或按类别过滤条件。以类似的方式,还可以从编辑器中的点击以添加属性 (Click to add an attribute) 字段搜索和过滤属性。工具栏上的图标代表不同的属性类别,如主题、地址等。点击图标可查看与特定类别相关的属性,而点击类别工具栏中的突出显示图标可取消选择该类别,从而删除过滤器。

条件列表

库中所有条件的完整列表,或库中基于搜索或过滤结果而显示的条件列表。

编辑人

创建要立即使用的新条件,以及要保存在系统库中以供将来使用的新条件,然后编辑现有条件并将这些更改保存在库中以供立即使用和将来使用。

当打开 Conditions Studio 以创建新条件时(点击任意策略集表中的加号),会显示只包含一个空行的编辑器,您可以在其中添加第一个规则。

当编辑器打开并显示空字段时,不会显示任何运算符图标

编辑器分为不同的虚拟列和行。

列表示不同的层次结构级别,每列根据其在层次结构中的位置缩进;行代表单个规则。您可以为每个级别创建单个或多个规则,并且可以包含多个级别。

上图中的示例显示了正在构建或编辑的条件,包括规则层次结构,图中的第一级和第二级均标有数字 5。顶级父级别的规则使用运算符 OR。

要在选择运算符并创建层次结构级别后更改该运算符,只需从此列中显示的下拉列表中选择相关选项。

除了运算符下拉列表之外,每个规则在此列中都有一个相关图标,指示其所属的类别。如果将鼠标悬停在图标上,工具提示会指示类别的名称。

一旦保存到库中,系统将为所有条件块分配库图标,替换编辑器中显示的类别图标。

最后,如果将规则配置为排除所有相关的匹配项目,则此列中也会显示“不是”(Is-Not) 标志。例如,如果将值为 London 的位置属性设置为“不是”(Is-Not) ,则来自伦敦的所有设备都将被拒绝访问。

此区域显示使用层次结构级别以及同一条件中的多个规则时可用的选项。

当将鼠标悬停在任何列或行上时,会显示相关操作。选择操作时,该操作会应用于该部分和所有子部分。例如,当层次结构 A 中有五个级别时,如果从第三级中的任何规则中选择“和”(AND),则会在原规则下创建新的层次结构 B,以便原规则成为层次结构 B 的父规则,嵌入在层次结构 A 中。

当首次打开 Condition Studio 以从头创建新条件时,编辑器区域仅包含一行(用于您可配置的单个规则),以及用于选择相关运算符或从库中拖放相关条件的选项。

使用和 (AND)或 (OR) 运算符选项可以向条件中添加其他级别。选择新建 (New),可在点击选项的同一级别创建新规则。只有在层次结构的顶层配置至少一个规则后,新建 (New) 选项才会显示。

配置、编辑和管理策略条件

使用 Conditions Studio 创建、管理和重复使用条件。条件可以包括多个规则,并且结构复杂性不限(包括仅一个级别或多个层级)。从 Conditions Studio 的编辑器侧管理条件层次结构,如下图所示:
图 5. 编辑器 - 条件层次结构

创建新条件时,可以使用已存储在库中的条件块,也可以更新和更改这些存储的条件块。在创建和管理条件时,可以使用快速类别过滤器等工具轻松找到所需的块和属性。

在创建和管理条件规则时,请使用属性、运算符和值。

思科 ISE 包含一些最常见用例的预定义复合条件。您可以编辑这些预定义条件来满足您的要求。为重用而保存的条件(包括即用型块)存储在 Condition Studio 的库中,如本任务中所述。

要执行以下任务,您必须是超级管理员或策略管理员。

过程

步骤 1

在思科 ISE GUI 中,点击菜单 图标 (),然后选择 策略 (Policy) > 策略集 (Policy Sets)

步骤 2

访问 Conditions Studio 以创建新条件并编辑现有条件块,以便随后将这些条件纳入您为特定策略集(及其关联策略和规则)配置的规则中,或保存到库以供将来使用:

  1. 从“策略集”(Policy Set) 主页面上的“策略集”(Policy Set) 表的“条件”(Conditions) 列中点击 ,以创建与整个策略集相关的条件(在匹配身份验证策略规则之前检查的条件)。

  2. 或者,从特定策略集行点击 ,以查看“设置”(Set) 视图,包括所有身份验证和授权规则。在“设置”(Set) 视图中,将鼠标悬停在任何规则表的条件 (Conditions) 列中的单元格上,然后点击 打开 Conditions Studio。

  3. 如果您正在编辑已应用于策略集的条件,请点击 以访问 Conditions Studio。

Conditions Studio 将打开。如果您已打开它来创建新条件,则如下图所示。若要查看字段的说明,以及打开 Conditions Studio 后如何编辑策略集已应用的条件的示例,请参阅浏览 Conditions Studio

图 6. Conditions Studio - 创建新条件

步骤 3

使用库中的现有条件块作为您正在创建或编辑的条件中的规则。

  1. 通过从类别工具栏中选择相关类别进行过滤 - 库中显示包含所选类别的属性的所有块。此外,还会显示包含多个规则但至少一个规则中使用了所选类别的属性的条件块。如果添加了其他过滤器,则显示的结果仅包括符合该特定过滤器而且与包含的其他过滤器也匹配的条件块。例如,从工具栏中选择“端口”(Ports) 类别,并在按名称搜索 (Search by Name) 字段中输入自由文本“auth”,就会显示与名称中包含“auth”的端口相关的所有块。再次点击类别工具栏中突出显示的图标,取消选择它,从而删除该过滤器。

  2. 使用自由文本搜索条件块 - 在按名称搜索 (Search by Name) 自由文本字段中,输入要搜索的块名称中出现的任何术语或部分术语。在您键入内容时,系统会实时动态搜索相关结果。如果未选择类别(未突出显示任何图标),则结果包括来自所有类别的条件块。如果已选择类别图标(显示的列表已过滤),则显示的结果仅包括该特定类别中使用特定文本的块。

  3. 找到条件块后,将其拖到编辑器中,放到要构建的块的正确级别上。如果放置的位置不正确,您可以在编辑器中再次拖放,直至放置正确。

  4. 将鼠标悬停在编辑器中的条件块上,然后点击编辑 (Edit) 更改规则,以便对处理的条件做出相关的更改,用这些更改覆盖库中的规则,或者在库中将规则另存为新块。

    放入编辑器时为只读状态的块现在可以编辑了,并且与编辑器中的所有其他自定义规则具有相同的字段、结构、列表和操作。继续执行后续步骤,了解有关编辑此规则的更多信息。

步骤 4

向当前级别添加运算符,以便随后在同一级别添加其他规则 - 选择 ANDOR Set to 'Is not'Set to 'Is not' 也可应用于单个规则。

步骤 5

使用属性词典创建和编辑规则 - 点击点击以添加属性字段。属性选择器随即打开,如下图所示:

属性选择器的各部分如下表所述:

字段

使用指南

属性类别工具栏

包含每个不同属性类别的唯一图标。选择任何属性类别图标,按类别过滤视图。

点击突出显示的图标可取消选择它,从而删除过滤器。

字典

表示存储属性的词典的名称。从下拉列表中选择特定词典,以便按供应商词典过滤属性。

属性

表示属性的名称。在可用字段中为属性名称键入自由文本来过滤属性。在您键入内容时,系统会实时动态搜索相关结果。

ID

表示唯一属性标识号。在可用字段中键入 ID 号来过滤属性。在您键入内容时,系统会实时动态搜索相关结果。

信息

将鼠标悬停在相关属性行上的信息图标上可查看有关属性的额外详细信息。

  1. 从属性选择器的搜索框中,过滤并搜索所需的属性。在属性选择器的任何部分过滤或输入自由文本时,如果未激活其他过滤器,则结果仅包括与所选过滤器相关的所有属性。如果使用多个过滤器,则显示的搜索结果与所有过滤器匹配。例如,点击工具栏中的“端口”(Port) 图标并在“属性”(Attribute) 列中键入“auth”,则仅显示端口类别中名称含“auth”的属性。选择类别时,工具栏中的图标以蓝色突出显示,并显示过滤后的列表。再次点击类别工具栏中突出显示的图标,取消选择它,从而删除过滤器。

  2. 选择相关属性,将其添加到规则中。

    属性选择器关闭,您选择的属性会添加到点击以添加属性 (Click to add an attribute) 字段。

  3. 等于 (Equals) 下拉列表中,选择相关运算符。

    不是您选择的所有属性都包含“Equals”、“Not Equals”、“Matches”、“Starts With”或“Not Starts With”运算符选项。

    “Matches”运算符支持并使用正则表达式 (REGEX),而不使用通配符。

    您必须使用“equals”运算符进行直接比较。“包含”运算符可用于多值属性。“匹配”运算符应用于正则表达式比较。当使用“匹配”运算符时,将解译正则表达式中的静态值和动态值。

  4. 属性值 (Attribute value) 字段中,执行以下操作之一:

    • 在字段中键入自由文本值

    • 从列表中选择一个动态加载的值(相关时 - 取决于上一步中选择的属性)

    • 使用其他属性作为条件规则的值 - 选择字段旁边的表图标以打开属性选择器,然后搜索、过滤并选择相关属性。属性选择器关闭,您选择的属性会添加到属性值 (Attribute value) 字段。

步骤 6

在库中将规则另存为条件块。

  1. 将鼠标悬停在要在库中另存为块的规则或规则的层次结构上。任何可另存为单个条件块的规则或规则组都将显示复制保存按钮。如果要将一组规则另存为块,请在整个层次结构的阻止区域中从整个层次结构的底部选择操作按钮。

  2. 点击保存。系统将弹出“保存条件”(Save condition) 屏幕。

  3. 选择:

    • 保存到现有库条件 - 选择此选项可使用您创建的新规则覆盖库中的现有条件块,然后在从列表中选择 (Select from list) 下拉列表中选择要覆盖的条件块。

    • 另存为新库条件 - 在块的“条件名称”(Condition Name) 字段中键入唯一名称。

  4. (可选)在说明 (Description) 字段中输入说明。当您将鼠标悬停在库中任何条件块的信息图标上时,系统会显示此说明,使您能够快速识别不同的条件块及其用途。

  5. 点击保存在库中保存条件块。

步骤 7

在新的子级别上创建新规则 - 请点击 ANDOR,在现有父层级和您创建的子层级之间应用正确的运算符。新部分与所选运算符一起添加到编辑器层次结构中,作为提供所选运算符的规则或层次结构的子项。

步骤 8

要在当前现有级别上创建新规则,请从相关级别点击新建。在您开始的同一级别中,将显示新规则的一个空行。

步骤 9

点击 X 从编辑器中删除任何条件及其所有子项。

步骤 10

点击复制 (Duplicate) 可自动复制并粘贴层次结构中的特定条件,从而在同一级别创建其他相同的子项。您可以复制有或无子项的单个规则,具体取决于您点击复制 (Duplicate) 按钮的级别。

步骤 11

点击页面底部的使用 (Use) 保存在编辑器中创建的条件,并在策略集中实施该条件。

 

当任何策略集中需要 AD 属性时,必须配置相应的 AD 条件。

特殊网络访问条件

本部分说明了在创建策略集时有用的独特条件。这些条件无法从条件 Studio 创建,因此具有其自己的唯一进程。

配置设备网络条件

过程

步骤 1

在思科 ISE GUI 中,点击菜单 图标 (),然后选择 策略 > 策略元素 > 条件 > 网络条件 > 设备网络条件

步骤 2

点击 Add

步骤 3

输入网络条件名称和说明。

步骤 4

输入下列详细信息:

  • IP 地址 - 您可以添加 IP 地址或子网列表,每行一个。IP 地址/子网可以采用 IPV4 或 IPV6 格式。

  • 设备名称 - 您可以添加设备名称列表,每行一个。必须输入在网络设备对象中配置的相同设备名称。

  • 设备组 - 可以添加元组列表(按以下顺序):根 NDG、逗号、(在根 NDG 下的)NDG。必须每行一个元组。

步骤 5

点击提交

配置设备端口网络条件

过程

步骤 1

在思科 ISE GUI 中,点击菜单 图标 (),然后选择 策略 > 策略元素 > 条件 > 网络条件 > 设备端口网络条件

步骤 2

点击 Add

步骤 3

输入网络条件名称和说明。

步骤 4

输入下列详细信息:

  • IP 地址 (IP Addresses) - 按以下顺序输入详细信息:IP 地址或子网、逗号和(设备使用的)端口。必须每行一个元组。

  • 设备 (Devices) - 按以下顺序输入详细信息:设备名称、逗号和端口。必须每行一个元组。您必须输入在网络设备对象中配置的相同设备名称。

  • 设备组 (Device Groups) - 按以下顺序输入详细信息:根 NDG、逗号、(在根下的)NDG 和端口。必须每行一个元组。

步骤 5

点击提交

配置终端站网络条件

过程

步骤 1

在思科 ISE GUI 中,点击菜单 图标 (),然后选择 策略 > 策略元素 > 条件 > 网络条件 > 终端站网络条件

步骤 2

点击 Add

步骤 3

输入网络条件名称和说明。

步骤 4

输入下列详细信息:

  • IP 地址 - 您可以添加 IP 地址或子网列表,每行一个。IP 地址/子网可以采用 IPV4 或 IPV6 格式。

  • MAC 地址 - 您可以输入终端 MAC 地址和目标 MAC 地址的列表,用逗号分隔。每个 MAC 地址必须包含 12 个十六进制数字,且必须为以下格式之一:nn:nn:nn:nn:nn:nn、nn-nn-nn-nn-nn-nn、nnnn.nnnn.nnnn 或 nnnnnnnnnnnn。

    如果不需要终端站 MAC 或目标 MAC,请使用令牌“-ANY-”代替。

  • CLI/DNIS - 您可以添加主叫方 ID (CLI) 和被叫方 ID (DNIS) 的列表,用逗号分隔。如果不需要主叫方 ID (CLI) 或被叫方 ID (DNIS),请使用令牌“-ANY-”代替。

步骤 5

点击提交

创建时间和日期条件

使用策略元素条件页面来显示、创建、修改、删除、复制和搜索时间和日期策略元素条件。在策略评估期间,会将时间和日期条件与当前系统时间和日期进行比较。策略元素是共享的对象,定义一个基于您所配置的特定时间和日期属性设置的条件。

策略元素条件包含以下两个部分:

  • 标准设置:为小时、天和日期部分(特定时间特定日期)指定的值必须全部满足,才能确保功能正常。如果当前系统日期和时间与标准设置中定义的值匹配,则条件满足。

    例如,如果标准设置指定日期为周三、周四和周五,时间为下午 6:09 至晚上 10:09,则仅当在这些特定日期以及该时间范围内进行评估时,策略条件才会满足。

  • 例外:为时间范围工作日日期范围指定的值独立生效。在策略评估期间,如果当前系统日期和时间与例外中定义的值匹配,则条件不满足。

    例如,标准设置未指定特定日期或时间,但例外列出了周一、周二、周三和周四,并指定时间为下午 6:09 至晚上 10:09。如果在周一、周二、周三、周四进行策略评估,或在任何一天的下午 6:09 至晚上 10:09 之间进行评估,则策略条件不满足。


    重要

    思科 ISE 优先处理例外,这样会覆盖标准设置

    例如,如果标准设置特定日期下指定了周二,并且周二也列在例外中,则在周二进行评估时,策略条件不满足。

使用时间和日期条件,使您可以按照您做出属性设置所指定的特定时间和日期来设置或限制访问思科 ISE 系统资源的权限。

开始之前

要执行以下任务,您必须是超级管理员或策略管理员。

过程

步骤 1

在思科 ISE GUI 中,转到策略 > 策略元素 > 条件 > 通用 > 时间和日期 > 添加

步骤 2

在字段中输入适当的值。

  • 在 Standard Settings 区域中,指定提供访问的时间和日期。

  • 在 Exceptions 区域中,指定限制访问的时间和日期。

步骤 3

点击提交

在授权策略中使用 IPv6 条件属性

思科 ISE 可以检测、管理和保护来自终端的 IPv6 流量。

当一个支持 IPv6 的终端连接至思科 ISE 网络时,它通过 IPv6 网络与 NAD 通信。NAD 通过 IPv4 网络将来自终端的计费和分析信息(包括 IPv6 值)发送至思科 ISE。您可以使用规则条件中的 IPv6 属性在思科 ISE 中配置授权配置文件和策略,以处理来自支持 IPv6 终端的这些请求,并且确保终端合规。

您可以在 IPv6 前缀和 IPv6 接口值中使用通配符。例如:2001:db8:1234::/48。

支持的 IPv6 地址格式包括:

  • 完整表示法:冒号分隔的八组四个十六进制数字。例如,2001:0db8:85a3:0000:0000:8a2e:0370:7334

  • 缩短表示法:去除组中的前导零;使用两个连续的冒号替换零值组。例如:2001:db8:85a3::8a2e:370:7334

  • 点分四组表示法(IPv4 映射和兼容 IPv4 的 Ipv6 地址):例如,::ffff:192.0.2.128

支持的 IPv6 属性包括:

  • NAS-IPv6-Address

  • Framed-Interface-Id

  • Framed-IPv6-Prefix

  • Login-IPv6-Host

  • Framed-IPv6-Route

  • Framed-IPv6-Pool

  • Delegated-IPv6-Prefix

  • Framed-IPv6-Address

  • DNS-Server-IPv6-Address

  • Route-IPv6-Information

  • Delegated-IPv6-Prefix-Pool

  • Stateful-IPv6-Address-Pool

下表列出了受支持的思科属性-值对及其等效 IETF 属性:

思科属性值对

IETF 属性

ipv6:addrv6=<ipv6 address>

Framed-ipv6-Address

ipv6:stateful-ipv6-address-pool=<name>

Stateful-IPv6-Address-Pool

ipv6:delegated-ipv6-pool=<name>

Delegated-IPv6-Prefix-Pool

ipv6:ipv6-dns-servers-addr=<ipv6 address>

DNS-Server-IPv6-Address

RADIUS 实时日志页面、RADIUS 身份验证报告、RADIUS 记账报告、当前活动会话报告、RADIUS 错误报告、错误配置的 NAS 报告、、自适应网络控制审核和错误配置的请求方客户端报告均支持 IPv6 地址。您可以从 RADIUS 实时日志页面或通过任何这些报告查看有关这些会话的详细信息。您可以根据 IPv4、IPv6 或 MAC 地址来过滤记录。


如果将一个 Android 设备连接至支持 IPv6 的 DHCPv6 网络,它从 DHCP 服务器仅接收本地链路 IPv6 地址。因此,全局 IPv6 地址不在实时日志和终端页面(在思科 ISE GUI 中,点击菜单 图标 (),然后选择 工作中心 (Work Centers) > 网络访问 (Network Access) > 身份 (Identities) > 终端 (Endpoints))中显示。

以下步骤描述了如何在授权策略中配置 IPv6 属性。

开始之前

确保在您的部署中网络接入设备 (NAD) 支持具备 IPv6 的 AAA。有关如何在 NAD 上启用 AAA IPv6 支持的信息,请参阅 AAA IPv6 支持

过程

步骤 1

在思科 ISE GUI 中,点击菜单 图标 (),然后选择 工作中心 (Work Centers) > 网络访问 (Network Access) > 策略集 (Policy Sets),找到网络访问策略。在思科 ISE GUI 中,点击菜单 图标 (),然后选择 工作中心 (Work Centers) > 设备管理 (Device Administration) > 设备管理策略集 (Device Admin Policy Sets) ,找到设备管理策略。

步骤 2

创建授权规则。

步骤 3

创建授权规则时,请从 Conditon Studio 创建条件。在 Condition Studio 中,从 RADIUS 字典中选择 RADIUS IPv6 属性、运算符和值。

步骤 4

点击保存以将授权规则保存在策略集中

策略集用于身份验证的协议设置

必须先在思科 ISE 中定义全局协议设置,然后才能使用这些协议创建、保存和实施策略集。您可以使用 Protocol Settings 页面为 Extensible Authentication Protocol-Flexible Authentication via Secure Tunneling (EAP-FAST)、Extensible Authentication Protocol-Transport Layer Security (EAP-TLS) 和 Protected Extensible Authentication Protocol (PEAP) 协议定义全局选项,这些协议可以与网络中的其他设备进行通信。

支持的网络访问策略集协议

以下是您在定义网络访问策略集策略时可以选择的协议的列表:

  • 密码身份验证协议 (PAP)

  • 受保护的可扩展身份验证协议 (PEAP)

  • Microsoft 质询握手身份验证协议版本 2 (MS-CHAPv2)

  • 可扩展身份验证协议消息摘要 5 (EAP-MD5)

  • 可扩展身份验证协议-传输层安全 (EAP-TLS)

  • 可扩展身份验证协议-通过安全隧道的灵活身份验证 (EAP-FAST)

  • 可扩展的身份验证协议-基于隧道的传输层安全 (EAP-TTLS)

  • 受保护的可扩展身份验证协议-传输层安全 (PEAP-TLS)

将 EAP-FAST 用作的指南

将 EAP-FAST 用作身份验证协议时,请遵循以下规定:

  • 在经过身份验证的调配中启用 EAP-FAST 接受客户端证书时,强烈建议启用 EAP-TLS 内部方法。经过身份验证的调配中的 EAP-FAST 接受客户端证书不是一个单独的身份验证方法,而是一种更简短的客户端证书身份验证形式,它使用相同的证书凭证类型来对用户进行身份验证,但是不需要运行内部方法。

  • 经过身份验证的调配中的接受客户端证书适用于无 PAC 完全握手和经过身份验证的 PAC 调配。它不适用于无 PAC 会话恢复、匿名 PAC 调配和基于 PAC 的身份验证。

  • EAP 属性按身份显示(所以在 EAP 链中会显示两次),即使身份验证按照不同的顺序进行,在监控工具的身份验证详细信息中仍然会按照先用户后设备的顺序显示。

  • 当使用 EAP-FAST 授权 PAC 时,实时日志中显示的 EAP 身份验证方法等于用于完全身份验证(如在 PEAP 中)而非用于查找的身份验证方法。

  • 在 EAP 链接模式中,当隧道 PAC 到期,然后 ISE 退回调配且 AC 请求用户和设备授权 PAC 时 - 无法调配设备授权 PAC。当 AC 请求时,它将在后续基于 PAC 的身份验证对话中进行调配。

  • 当为链接配置思科 ISE 并且为单一模式配置 AC 时,则 AC 使用身份类型 TLV 向 ISE 做出响应。但是,第二个身份的身份验证会失败。您可以通过此对话看到客户端适合执行链接,但当前未为单一模式执行配置。

  • 思科 ISE 支持在仅适用于 AD 的 EAP-FAST 链中检索设备和用户的属性与组。对于 LDAP 和内部数据库,ISE 仅使用最后的身份属性。


如果 EAP-FAST 身份验证协议用于 High Sierra、Mojave 或 Catalina MAC OSX 设备,可能会看到“EAP-FAST 加密绑定验证失败”(EAP-FAST cryptobinding verification failed) 消息。我们建议您配置“允许的协议”(Allowed Protocols) 页面中的“首选 EAP 协议”(Preferred EAP Protocol) 字段,以使这些 MAC OSX 设备使用 PEAP 或 EAP-TLS 而非 EAP-FAST。

配置 EAP-FAST 设置

开始之前

要执行以下任务,您必须是超级管理员或系统管理员。

过程

步骤 1

选择管理 (Administration) > 系统 (System) > 设置 (Settings) > 协议 (Protocols) > EAP-FAST > EAP Fast 设置 (EAP Fast Settings)

步骤 2

按需输入详细信息,定义 EAP-FAST 协议。

步骤 3

如果要调用以前生成的所有主密钥和 PAC,请点击撤销 (Revoke)

步骤 4

点击保存,保存 EAP-FAST 设置。

为 EAP-FAST 生成 PAC

您可以使用思科 ISE 中的 Generate PAC 选项为 EAP-FAST 协议生成隧道或计算机 PAC。

开始之前

要执行以下任务,您必须是超级管理员或系统管理员。

过程

步骤 1

选择管理 (Administration) > 系统 (System) > 设置 (Settings)

步骤 2

从左侧的 Settings 导航窗格中,点击 Protocols

步骤 3

选择 EAP-FAST > 生成 PAC (Generate PAC)

步骤 4

根据需要输入用于为 EAP-FAST 协议生成计算机 PAC 的详细信息。

步骤 5

点击 Generate PAC

EAP-FAST 设置

下表介绍“协议设置”(Protocol Settings) 窗口中的字段,您可以使用此窗口配置 EAP-FAST、EAP-TLS 和 PEAP 协议。要查看此处窗口,请点击菜单 图标 (),然后选择 管理 (Administration) > 系统 (System) > 设置 (Settings) > 协议 (Protocols) > EAP-FAST > EAP FAST 设置 (EAP FAST Settings)

表 5. 配置 EAP-FAST 设置

字段名称

使用指南

Authority Identity Info Description

输入用于说明向客户端发送凭证的思科 ISE 节点的用户友好字符串。客户端可以在类型、长度和值 (TLV) 的受保护访问凭证 (PAC) 信息中发现此字符串。默认值为 Identity Services Engine。

Master Key Generation Period

指定主键生成期(以秒、分钟、小时、天或周为单位)。值必须是范围在 1 至 2147040000 秒内的正整数。默认值为 604800 秒,相当于一周。

Revoke all master keys and PACs

点击“撤销”(Revoke) 可撤销所有主键和 PAC。

Enable PAC-less Session Resume

如果您要在没有 PAC 文件的情况下使用 EAP-FAST,请选中此复选框。

PAC-less Session Timeout

指定无 PAC 会话恢复超时的时间(以秒为单位)。默认值为 7200 秒。

PAC 设置

下表介绍“生成 PAC”(Generate PAC) 窗口上的字段,您可以使用此窗口为 EAP-FAST 身份验证配置受保护的访问凭证。要查看此处窗口,请点击菜单 图标 (),然后选择 管理 (Administration) > 系统 (System) > 设置 (Settings) > 协议 (Protocols) > EAP-FAST > 生成 (Generate PAC)
表 6. 为 EAP-FAST 设置生成 PAC
字段名称 使用指南

Tunnel PAC

点击此单选按钮生成隧道 PAC。

Machine PAC

点击此单选按钮生成设备 PAC。

Trustsec PAC

点击此单选按钮生成 Trustsec PAC。

Identity

(针对 Tunnel 和 Machine PAC)指定 EAP-FAST 协议显示为“内部用户名”的用户名或设备名称。如果身份字符串与该用户名不匹配,则身份验证失败。

这是主机定义在自适应安全设备 (ASA) 上定义的主机名。身份字符串必须与 ASA 主机名匹配,否则 ASA 无法导入生成的 PAC 文件。

如果生成的是 Trustsec PAC,则 Identity 字段指定 Trustsec 网络设备的设备 ID 并且由 EAP-FAST 协议提供发起方 ID。如果在此处输入的 Identity 字符串与该设备 ID 不匹配,则身份验证失败。

PAC Time to Live

(对于隧道和设备 PAC)请以秒为单位输入 PAC 的到期时间。默认值为 604800 秒,相当于一周。该值必须是介于 1 和 157680000 秒之间的正整数。对于 Trustsec PAC,请以天、周、月或年为单位输入一个值。默认情况下,该值为一年。最小值为一天,最大值为 10 年。

Encryption Key

输入加密密钥。密钥的长度必须介于 8 和 256 个字符之间。密钥可以包含大写或小写字母或数字,或字母数字字符的组合。

Expiration Data

(仅对于 Trustsec PAC)到期日期根据 PAC Time to Live 计算。

将 EAP-TTLS 用作身份验证协议

EAP-TTLS 是对 EAP-TLS 协议功能进行了扩展的两阶段协议。第 1 阶段建立安全隧道,并获取用于在第 2 阶段安全地在服务器与客户端之间隧道化属性的会话密钥。您可以使用在第 2 阶段隧道化的属性通过多种不同机制执行其他身份验证。

思科 ISE 能够处理各种 TTLS 请求方的身份验证包括:

  • Windows 上的 网络访问管理器 (NAM)

  • Windows 8.1 本地请求方

  • Secure W2(在 MultiOS 上也称为 JoinNow)

  • MAC OS X 本地请求方

  • IOS 本地请求方

  • 基于 Android 的本地请求方

  • Linux WPA 请求方


如果需要加密绑定,则必须使用 EAP-FAST 作为内部方法。

配置 EAP-TTLS 设置

开始之前

要执行以下任务,您必须是超级管理员或系统管理员。

过程

步骤 1

在思科 ISE GUI 中,点击菜单 图标 (),然后选择管理 > 系统 > 设置 > 协议 > EAP-TTLS

步骤 2

在“EAP-TTLS 设置”(EAP-TTLS Settings) 页面输入所需的详细信息。

步骤 3

点击保存

EAP-TTLS 设置

下表介绍“EAP-TTLS 设置”(EAP-TTLS Settings) 窗口中的字段。要查看此处窗口,请点击菜单 图标 (),然后选择管理 > 系统 > 设置 > 协议 > EAP-TTLS

表 7. EAP-TTLS 设置

字段名称

使用指南

启用 EAP-TTLS 会话恢复 (Enable EAP-TTLS Session Resume)

如果您选中此复选框,思科 ISE 将缓存在 EAP-TTLS 身份验证第一阶段创建的 TLS 会话,前提是用户在 EAP-TTLS 第二阶段成功通过身份验证。如果用户需要重新连接而且原来的 EAP-TTLS 会话尚未超时,思科 ISE 使用缓存的 TLS 会话,从而加快 EAP-TTLS 性能、降低 AAA 服务器负载。

 

当 EAP-TTLS 会话恢复时,跳过内部验证方法。

EAP-TTLS 会话超时 (EAP-TLS Session Timeout)

指定 EAP-TTLS 会话在多少秒的时间后超时。默认值为 7200 秒。

配置 EAP-TLS 设置

开始之前

要执行以下任务,您必须是超级管理员或系统管理员。

过程

步骤 1

选择管理 (Administration) > 系统 (System) > 设置 (Settings) > 协议 (Protocols) > EAP-TLS

步骤 2

根据需要输入详细信息可定义 EAP-TLS 协议。

步骤 3

点击保存保存 EAP-TLS 设置。

EAP-TLS 设置

下表介绍了“EAP-TLS 设置”(EAP-TLS Settings) 窗口上的字段,可以使用此窗口配置 EAP-TLS 协议设置。要查看此处窗口,请点击菜单 图标 (),然后选择 管理 (Administration) > 系统 (System) > 设置 (Settings) > 协议 (Protocols) > EAP-TLS
表 8. EAP-TLS 设置
字段 使用指南

Enable EAP-TLS Session Resume

选中此复选框可通过完全 EAP - TLS 身份验证用户的行为。此功能仅使用安全套接字层 (SSL) 握手(而不使用证书)对用户提供重新身份验证。只有在 EAP-TLS 会话未超时的情况下,EAP-TLS 会话才会重新运行。

EAP-TLS Session Timeout

指定 EAP-TLS 会话在多少秒的时间后超时。默认值为 7200 秒。

无状态会话恢复

Master Key Generation Period

输入主键重新生成前经过的时间。此值确定主键保持活动的持续时间。您可以输入以秒、分钟、小时、天或周为单位的值。

撤销

点击撤销 (Revoke) 以取消以前生成的所有主键和票证。此选项在辅助节点上禁用。

对于通过 EAP-TLS 协议使用 MAC 地址和 GUID 重新进行身份验证的终端,用于更新情景可视性服务的每秒事务数 (TPS) 为每秒 12 到 15 个终端。

配置 PEAP 设置

开始之前

要执行以下任务,您必须是超级管理员或系统管理员。

过程

步骤 1

选择管理 (Administration) > 系统 (System) > 设置 (Settings)

步骤 2

从左侧的 Settings 导航窗格中,点击 Protocols

步骤 3

选择 PEAP

步骤 4

根据需要,输入详细信息以定义 PEAP 协议。

步骤 5

点击保存以保存 PEAP 设置。

PEAP 设置

下表列出“PEAP 设置”(PEAP Settings) 窗口上的字段,您可以使用此窗口配置 PEAP 协议设置。要查看此处窗口,请点击菜单 图标 (),然后选择 管理 (Administration) > 系统 (System) > 设置 (Settings) > 协议 (Protocols) > PEAP
表 9. PEAP 设置
字段名称 使用指南

Enable PEAP Session Resume

选中此复选框,使思科 ISE 缓存在 PEAP 身份验证的第一阶段创建的 TLS 会话,前提是用户在 PEAP 的第二阶段成功通过身份验证。如果用户需要重新连接,原始 PEAP 会话尚未超时,思科 ISE 使用缓存的 TLS 会话,从而加快 PEAP 性能、降低的 AAA 服务器的负载。您必须指定 PEAP 会话恢复功能的 PEAP 会话超时值可以工作。

PEAP Session Timeout

指定 PEAP 会话超时的时间(单位:秒)。默认值为 7200 秒。

Enable Fast Reconnect

选中此复选框,允许在思科 ISE 中恢复 PEAP 会话,而无需在启用会话恢复功能时检查用户凭证。

配置 RADIUS 设置

您可以配置 RADIUS 设置,以检测未能通过身份验证的客户端,并禁止重复报告成功的身份验证。

过程

步骤 1

在思科 ISE GUI 中,点击菜单 图标 (),然后选择 管理 (Administration) > 系统 (System) > 设置 (Settings)

步骤 2

在 Settings 导航窗格中,点击 Protocols

步骤 3

选择 RADIUS

步骤 4

输入定义 RADIUS 设置所需的详细信息。

步骤 5

点击保存,保存设置。

RADIUS 设置

下表介绍“RADIUS 设置”(RADIUS Settings) 页面中的字段。要查看此处窗口,请点击菜单 图标 (),然后选择 管理 (Administration) > 系统 (System) > 设置 (Settings) > 协议 (Protocols) > RADIUS

如果启用抑制重复失败的客户端 (Suppress Repeated Failed Clients) 选项,系统会从审核日志中抑制身份验证重复失败的客户端,并在指定的时间段内自动拒绝来自这些客户端的请求。您还可以指定身份验证失败的次数,在此之后应拒绝来自这些客户端的请求。例如,如果此值配置为 5,当客户端身份验证失败五次时,将在配置的时间段内拒绝从该客户端收到的所有请求。


  • 如果终端身份验证失败的原因是输入了错误的密码,且用户类型为内部用户,则终端会被抑制并进入拒绝模式。但是,如果检测到 Active Directory 用户的密码有误,则终端会被抑制,但不会进入拒绝模式。

  • 只有当存在与客户端的主叫站 ID 关联的 MAC 地址时,思科 ISE 中的客户端抑制才会起作用。

拒绝重复失败客户端的 RADIUS 请求 (Reject RADIUS Requests from Clients with Repeated Failures) 设置中指定的时间结束时,终端将从拒绝模式中释放。

要在拒绝重复失败客户端的 RADIUS 请求 (Reject RADIUS Requests from Clients with Repeated Failures) 配置之前释放被拒绝的终端,请执行以下操作:


如果配置 RADIUS 失败抑制,则在配置 RADIUS 日志抑制后,仍可能会收到错误“5440 终端已放弃会话并启动了新会话”(5440 Endpoint Abandoned EAP Session and started a new one)。有关详细信息,请参阅以下思科 ISE 社区帖子:

https://community.cisco.com/t5/network-access-control/authentication-failed-quot-5440-endpoint-abandoned-eap-session/td-p/3191944
表 10. RADIUS 设置

字段名称

使用指南

抑制和报告

抑制重复失败的客户端和重复审计

抑制重复失败的客户端和重复审计

选中此复选框可抑制因相同原因导致身份验证重复失败的客户端。系统会从审核日志中抑制这些客户端,如果已启用拒绝重复失败客户端的 RADIUS 请求 (Reject RADIUS Requests from Clients with Repeated Failures) 选项,还会在指定时间段内拒绝来自这些客户端的请求。

 

即使启用此选项,也不会抑制与 CTS 相关的日志,这些日志始终包含在实时日志中。

检测两次失败的时间范围 (Detect Two Failures Within)

输入以分钟为单位的时间间隔。如果客户端在该时间段内因相同原因导致两次身份验证失败,则系统会从审核日志中将其抑制,并且,如果已启用拒绝重复失败客户端的 RADIUS 请求 (Reject RADIUS Requests from Clients with Repeated Failures) 选项,还会拒绝来自此客户端的请求。默认值为 5 分钟。有效范围为 5 至 30 分钟。

每几分钟报告一次故障 (Report Failures Once Every)

以分钟为单位输入报告失败身份验证的时间间隔。默认值为 15 分钟。有效范围为 15 至 60 分钟。

例如,如果此值设置为 15 分钟,则每 15 分钟在审核日志中仅报告一次重复身份验证失败的客户端,从而防止过度报告。

忽略重复记账更新的时间范围 (Ignore Repeated Accounting Updates Within)

在此期间内发生的重复记账更新将被忽略。默认值为 300 秒。有效范围为 1 至 86400 秒。

切记

 

  • 如果选中抑制重复失败的客户端 (Suppress Repeated Failed Clients) 复选框,并且在检测两次失败的时间范围 (Detect Two Failures Within) 指定的时间发生两次故障,则终端被视为配置错误。配置错误的终端需要管理员的干预才能确保身份验证成功。当终端首次身份验证失败时,管理员的控制面板中会显示相关信息。具有相同原因的后续身份验证失败不包含任何添加的管理员信息。因此,在报告失败次数 (Report Failures Once Every) 字段中指定的持续时间内,由于特定原因,终端的身份验证重复失败不会在审核日志中报告。

    报告失败次数间隔 (Report Failures Once Every) 字段中指定的持续时间过后,有关错误配置的终端的 TotalFailedAttemptsTotalFailedTime 信息将报告给监控节点。

  • 如果选中抑制重复失败的客户端 (Suppress Repeated Failed Clients) 复选框,并且在检测两次失败的时间范围 (Detect Two Failures Within) 中指定的时间内发生两次故障,则在审核日志中将失败的终端身份验证尝试报告为单独的实例,即使身份验证的原因是故障保持不变。

  • 思科 ISE 允许终端执行多个具有不同故障原因的连续故障,因为终端可以具有各种请求方配置文件。因此,如果终端由于不同的失败原因多次进行身份验证,则思科 ISE 会单独计算每个失败原因。

拒绝重复失败客户端的 RADIUS 请求 (Reject RADIUS Requests from Clients with Repeated Failures)

选中此复选框可自动拒绝来自身份验证重复失败的客户端的 RADIUS 请求。您可以启用此选项,以避免思科 ISE 进行不必要的处理,并防范潜在的拒绝服务攻击。

切记

 

  • 如果选中拒绝重复失败客户端的 RADIUS 请求 (Reject RADIUS Requests from Clients with Repeated Failures) 复选框,并且终端遇到的身份验证失败次数等于自动拒绝前的失败次数 (Failures Prior to Automatic Rejection) 字段中提到的次数,则终端将被视为配置错误并被拒绝。思科 ISE 将立即拒绝包含来自此终端的身份验证请求的第一个 RADIUS 消息,因此不允许终端完成身份验证。不会为终端生成审核日志。终端在持续拒绝请求的时长 (Continue Rejecting Requests for) 字段中指定的持续时间内保持拒绝状态。终端可以在继续拒绝请求 (Continue Rejecting Requests for) 中指定的持续时间后发送身份验证请求,并且如果身份验证成功,则会配置终端。

  • 您可以在情景可视性情景可视性 > 终端)页面中查看和放行被拒绝的终端。选择被拒绝的终端,然后点击释放已拒绝 (Release Rejected) 以释放被拒绝的终端。被释放终端的审计日志将被发送到监控节点。

  • 如果被错误配置的端点在六小时内没有任何活动,它将不再被视为被错误配置。

自动拒绝前的失败次数 (Failures Prior to Automatic Rejection)

输入身份验证失败次数,超过此次数后,会自动拒绝来自重复失败客户端的请求。在配置的时间段内(在持续拒绝请求的时长 (Continue Rejecting Requests for) 字段中指定),系统会自动拒绝从这些客户端收到的所有请求。在该间隔到期后, 系统会处理来自这些客户端的身份验证请求。默认值为 5。有效范围为 2 到 100。

持续拒绝请求的时长 (Continue Rejecting Requests for)

输入一个时间间隔(分钟),在此间隔内会拒绝来自重复失败客户端的请求。默认值为 5 分钟。有效范围为 5 至 180 分钟。
抑制成功报告 (Suppress Successful Reports)

Suppress Repeated Successful Authentications

选中此复选框以防重复报告前 24 小时内在身份情景、网络设备和授权方面没有变更的成功身份验证。

 

在身份验证过程中,如果以下属性保持不变,则视为重复身份验证;若启用了相应设置,该身份验证的实时日志记录会被抑制。但是,如果新身份验证过程中以下任一属性发生变化,则视为新身份验证,这会反映在实时会话详情和日志中。

  • CallingStationID

  • UserName

  • PostureStatus

  • CTSSecurityGroup

  • AuthenticationMethod

  • AuthenticationProtocol

  • NASIPAddress

  • NASIPV6Address

  • NASPortId

  • SelectedAuthorizationProfiles

身份验证详细信息 (Authentications Details)

突出显示长于该值的步骤 (Highlight Steps Longer Than)

以毫秒为单位输入时间间隔。如果单个步骤的执行超出指定阈值,则在身份验证详细信息页面中使用时钟图标来标记此步骤。默认值为 1000 毫秒。有效范围为 500 到 10,000 毫秒。

检测 RADIUS 请求的高速率 (Detect High Rate of RADIUS Requests)

检测 Radius 请求的高速率 (Detect High Rate of Radius Requests)

选中此复选框可在超过 RADIUS 请求持续时间 (Duration of RADIUS requests) 字段和 RADIUS 请求总数 (Total number of RADIUS requests) 字段中指定的限制时,发出高 RADIUS 请求负载警报。

RADIUS 请求持续时间 (Duration of RADIUS Requests)

输入将用于计算 RADIUS 速率的时间段(以秒为单位)。默认值为 60 秒。有效范围为 20 至 86400 秒。

RADIUS 请求总数 (Total Number of RADIUS Requests)

输入将用于计算 RADIUS 速率的请求限制。默认值为 72000 个请求。有效范围为 24000 到 103680000 个请求。

UDP 端口

身份验证端口

指定将用于 RADIUS UDP 身份验证流程的端口。您可以指定最多 4 个端口号(用逗号分隔)。默认情况下,使用端口 1812 和端口 1645。有效范围为 1024 到 65535。

记帐端口

指定将用于 RADIUS UDP 记帐流程的端口。您可以指定最多 4 个端口号(用逗号分隔)。默认情况下,使用端口 1813 和端口 1646。有效范围为 1024 到 65535。

 

确保其他服务不使用这些端口。

DTLS

身份验证和记账端口

指定将用于 RADIUS DTLS 身份验证和记帐流程的端口。默认情况下,使用端口 2083。有效范围为 1024 到 65535。

 

确保其他服务不使用此端口。

Idle Timeout(空闲超时)

如果没有从网络设备收到数据包,请输入希望思科 ISE 在关闭 TLS 会话之前等待的时间(以秒为单位)。默认值为 120 秒。有效范围为 60 至 600 秒。

启用 RADIUS/DTLS 客户端身份验证 (Enable RADIUS/DTLS Client Identity Verification)

如果希望思科 ISE 在 DTLS 握手期间验证 RADIUS/DTLS 客户端的身份,请选中此复选框。如果客户端身份无效,则思科 ISE 握手失败。默认网络设备会跳过身份检查(如果已配置)。身份检查按以下顺序执行:

  1. 如果客户端证书包含使用者备用名称 (SAN) 属性:

    • 如果 SAN 包含 DNS 名称,则证书中指定的 DNS 名称会与为思科 ISE 中的网络设备配置的 DNS 名称进行比较。

    • 如果 SAN 包含 IP 地址(且不包含 DNS 名称),则证书中指定的 IP 地址会与思科 ISE 中配置的所有设备 IP 地址进行比较。

  2. 如果证书不包含 SAN,则使用者 CN 会与为思科 ISE 中的网络设备配置的 DNS 名称进行比较。如果不匹配,则思科 ISE 握手失败。

配置安全设置

开始之前

执行以下程序以配置安全设置。

过程

步骤 1

在思科 ISE GUI 中,选择 管理 (Administration) > 系统 (System) > 设置 (Settings) > 安全设置 (Security Settings)

步骤 2

TLS 版本设置 (TLS Versions Settings) 部分中,选择一个或一系列连续 TLS 版本。选中要启用的 TLS 版本旁边的复选框。

 

  • 更改 TLS 设置将重新启动节点。

  • TLS 1.2 默认启用,无法禁用。如果选择多个 TLS 版本,则必须选择连续的版本。例如,如果选择 TLS 1.0,则会自动启用 TLS 1.1。

  • 当 EAP-TLS 用作 EAP-FAST、TEAP 和 PEAP 协议的内部方法时,支持的最新 TLS 版本是 TLS 1.2。

  • 允许 TLS 1.0:允许 TLS 1.0 与旧版对等体在以下工作流程中通信:

    • 思科 ISE 配置为 EAP 服务器

    • 思科 ISE 从 HTTPS 或安全 LDAP 服务器下载 CRL

    • 思科 ISE 配置为安全 TCP 系统日志客户端

    • 思科 ISE 配置为安全 LDAP 客户端

    • 思科 ISE 配置为安全 ODBC 客户端

    • 思科 ISE 配置为 ERS 服务器

    还允许 TLS 1.0 与以下思科 ISE 组件通信:

    • 所有门户

    • 证书颁发机构

    • MDM 客户端

    • pxGrid

    • PassiveID 代理

     

    我们建议客户端和服务器协商使用更高版本的 TLS,以增强安全性。

  • 允许 TLS 1.1:允许 TLS 1.1 与旧版对等体在以下工作流程中通信:

    • 思科 ISE 配置为 EAP 服务器

    • 思科 ISE 从 HTTPS 或安全 LDAP 服务器下载 CRL

    • 思科 ISE 配置为安全 TCP 系统日志客户端

    • 思科 ISE 配置为安全 LDAP 客户端

    • 思科 ISE 配置为安全 ODBC 客户端

    • 思科 ISE 配置为 ERS 服务器

    还允许 TLS 1.1 与以下思科 ISE 组件通信:

    • 所有门户

    • 证书颁发机构

    • ERS

    • MDM 客户端

    • pxGrid

     

    我们建议客户端和服务器协商使用更高版本的 TLS,以增强安全性。

  • 允许 TLS 1.2:允许 TLS 1.2 与对等体在以下工作流程中通信:

    • 思科 ISE 配置为 EAP 服务器

    • 思科 ISE 从 HTTPS 或安全 LDAP 服务器下载 CRL

    • 思科 ISE 配置为安全 TCP 系统日志客户端

    • 思科 ISE 配置为安全 LDAP 客户端

    • 思科 ISE 配置为安全 ODBC 客户端

    • 思科 ISE 配置为 ERS 服务器

    允许 TLS 1.2 与以下思科 ISE 组件通信:

    • 思科 ISE 管理员 GUI

    • 门户(自注册访客门户、发起人门户和热点门户)

    • 证书颁发机构

    • 为端口 443 启用的 API(开放式 API、ERS、MnT)

    • MDM 客户端

    • pxGrid

    启用此选项后,TLS 1.2 用于思科 Catalyst 中心集成、思科 Meraki 集成、思科 Duo 集成以及终端安全评估源服务通信。

     

    TLS 1.2 是所有使用 TLS 的思科 ISE 功能的默认值。

  • 允许 TLS 1.3:允许 TLS 1.3 与对等体在以下工作流程中通信:

    • 思科 ISE 配置为 EAP 服务器(独立模式 TLS 1.3 的 EAP-TLS、TLS 1.3 的 TEAP 和 TLS 1.3 的 PEAP)

       

      • TLS 1.3 的 EAP-TLS 不支持作为 EAP 协议的内部方法。

      • EAP-TLS、TEAP 和 PEAP 服务器不支持 TLS 1.3 会话恢复。

    • 思科 ISE 配置为安全 TCP 系统日志客户端

    允许 TLS 1.3 通过端口 443 进行管理员 HTTPS 访问:

    • 思科 ISE 管理员 GUI

    • 443 端口启用的 API(开放 API、ERS 和 MnT)

    • 门户(自注册访客门户、发起人门户和热点门户)

    • pxGrid

    启用此选项后,TLS 1.3 用于思科 Catalyst 中心集成、思科 Meraki 集成、思科 Duo 集成以及终端安全评估源服务通信。

 

默认情况下,此选项已启用。

步骤 3

密码和安全设置 (Ciphers and Security Settings) 窗口中,选择所需的选项:

  • 允许 SHA-1 密码:允许 SHA-1 密码与对等体在以下工作流程中通信:

    • 思科 ISE 配置为 EAP 服务器

    • 思科 ISE 配置为 RADIUS DTLS 服务器

    • 思科 ISE 配置为 RADIUS DTLS 客户端

    • 思科 ISE 从 HTTPS 或安全 LDAP 服务器下载 CRL

    • 思科 ISE 配置为安全 TCP 系统日志客户端

    • 思科 ISE 配置为安全 LDAP 客户端

    • 思科 ISE 配置为安全 ODBC 客户端

    还允许 SHA-1 密码与以下思科 ISE 组件通信:

    • 管理员访问 GUI

    • 所有门户

    • ERS

    • OpenAPI

    • pxGrid

    上述组件使用以下端口进行通信:

    • 管理员访问权限:443

    • 思科 ISE 门户:9002、8443、8444、8445、8449

    • ERS:9060、9061、9063

    • pxGrid:8910

     

    默认情况下,允许 SHA-1 密码 (Allow SHA-1 Ciphers) 选项处于禁用状态。

    启用或禁用 允许 SHA-1 密码 选项后,必须重新启动部署中的所有节点。如果重新启动不成功,则不会应用配置更改。在这种情况下,必须使用以下命令手动重新启动所有节点(使用管理 CLI):

    application stop iseapplication start ise

    禁用 允许 SHA-1 密码 选项后,如果仅使用 SHA-1 密码的客户端尝试连接到思科 ISE,则握手会失败,并且您将会在客户端浏览器上看到错误消息。

    选择以下选项之一,同时允许使用 SHA-1 密码以便与传统对等体通信:

    • 允许所有 SHA-1 密码 (Allow all SHA-1 Ciphers):允许所有 SHA-1 密码与传统对等体通信。

    • 仅允许 TLS_RSA_WITH_AES_128_CBC_SHA (Allow only TLS_RSA_WITH_AES_128_CBC_SHA:仅允许 TLS_RSA_WITH_AES_128_CBC_SHA 密码与传统对等体通信。

     

    我们建议使用 SHA-256 或 SHA-384 密码以增强安全性。

  • 允许 ECDHE-RSA 密码:允许 ECDHE-RSA 密码与对等体在以下工作流程中通信:

    • 思科 ISE 配置为 EAP 服务器

    • 思科 ISE 配置为 RADIUS DTLS 服务器

    • 思科 ISE 配置为 RADIUS DTLS 客户端

    • 思科 ISE 从 HTTPS 或安全 LDAP 服务器下载 CRL

    • 思科 ISE 配置为安全系统日志客户端

    • 思科 ISE 配置为安全 LDAP 客户端

  • 允许 3DES 密码:允许 3DES 密码与对等体在以下工作流程中通信:

    • 思科 ISE 配置为 EAP 服务器

    • 思科 ISE 配置为 RADIUS DTLS 服务器

    • 思科 ISE 配置为 RADIUS DTLS 客户端

    • 思科 ISE 从 HTTPS 或安全 LDAP 服务器下载 CRL

    • 思科 ISE 配置为安全系统日志客户端

    • 思科 ISE 配置为安全 LDAP 客户端

  • 接受证书且不验证用途:当思科 ISE 充当以下任一角色时:

    • EAP 服务器

    • RADIUS DTLS 服务器

    • TACACS+ TLS 服务器

    • ERS 管理员(基于证书的身份验证)

    • 开放 API 管理员(基于证书的身份验证)

    • SAML 身份库(基于证书的身份验证)

    • ISE 图形用户界面管理员登录(基于证书的身份验证)

    系统接受客户端证书,且不验证以下条件:

    • “密钥使用”(Key Usage) 扩展包含 ECDHE-ECDSA 密码的 keyAgreement 或其他密码的 keyEncipherment。

    • “扩展密钥使用”(Extended Key Usage) 属性值为 ClientAuth

    禁用此选项后,思科 ISE 将验证所有客户端证书的用途。只有满足以下条件之一,证书才会被视为有效:

    • 如果没有扩展密钥使用扩展:

      • 如果 cipherGroup 是 ECDHE-ECDSA,则密钥使用扩展必须包含 KeyAgreement 值。

      • 如果 cipherGroup 不是 ECDHE-ECDSA,则 Key Usage 扩展必须包含 keyEncipherment 和 digitalSignature 值。

    • 如果“扩展密钥使用”(Extended Key Usage) 属性值为 ClientAuth:

      • 如果 cipherGroup 是 ECDHE-ECDSA,则密钥使用扩展必须包含 KeyAgreement 值。

      • 如果 cipherGroup 不是 ECDHE-ECDSA,则 Key Usage 扩展必须包含 keyEncipherment 和 digitalSignature 值。

    • 对于基于 TLS 1.3 的协议,要成功通过用途验证过程,密钥用法扩展必须包含数字签名 digitalSignature。

    如果不满足上述条件,证书验证将失败。

  • 允许 ISE 作为客户端使用 DSS 密码:当思科 ISE 充当客户端时,允许 DSS 密码与服务器在以下工作流程中通信:

    • 思科 ISE 配置为 RADIUS DTLS 客户端

    • 思科 ISE 从 HTTPS 或安全 LDAP 服务器下载 CRL

    • 思科 ISE 配置为安全系统日志客户端

    • 思科 ISE 配置为安全 LDAP 客户端

  • 允许 ISE 作为客户端使用旧版不安全 TLS 重新协商:允许与不支持安全 TLS 重新协商的旧版 TLS 服务器在以下工作流程中通信:

    • 思科 ISE 从 HTTPS 或安全 LDAP 服务器下载 CRL

    • 思科 ISE 配置为安全系统日志客户端

    • 思科 ISE 配置为安全 LDAP 客户端

  • 披露无效用户名:默认情况下,对于因用户名不正确而导致的身份验证失败,思科 ISE 会显示 无效 消息。为了帮助进行调试,此选项会强制思科 ISE 在报告中显示用户名,而不是 无效 消息。请注意,对于并非由于用户名不正确而失败的身份验证,系统始终会显示用户名。

    此功能适用于 Active Directory、内部用户、LDAP 和 ODBC 身份源。其他身份存储源(如 RADIUS 令牌、RSA 或 SAML)不支持此功能。

  • 使用基于 FQDN 的证书与第三方供应商通信 (TC-NAC) (Use FQDN-based certificates for communication with third party vendors [TC-NAC]):基于 FQDN 的证书必须符合以下规则:

    • 证书中的 SAN 和 CN 字段必须包含 FQDN 值。不支持主机名和 IP 地址。

    • 通配符证书只能在最左侧的片段中包含通配符。

    • 证书中提供的 FQDN 必须是 DNS 可解析的。

  • 以明文显示密码 (Show Password in Plaintext):禁用此选项时,以下字段值的显示 (Show) 按钮将在编辑期间隐藏,并且无法以纯文本形式查看密码:

    • 管理 (Administration) > 网络资源 (Network Resources) > 网络设备 (Network Devices) > 网络设备列表 (Network Devices List) > 编辑 (Edit) 页面中:

      • RADIUS 共享密钥

      • RADIUS 第二个共享密钥

    • 管理 > 系统 > 设置 > 协议 > IPSec > 本地 IPSec > 编辑页面中:

      • 预共享密钥 (Pre-shared Key)

    思科 ISE 默认启用了该选项。启用 以明文显示密码 (Show Password in Plaintext) 选项后,如果点击任一页面上的显示 (Show) 按钮,则会生成审核日志并将其存储在服务器上的 opt/CSCOcpm/logs/localStore/iseLocalStore.log 文件夹中。

步骤 4

如果要手动配置密码以与以下思科 ISE 组件通信,请选中手动配置密码列表复选框:管理员 UI、ERS、 OpenAPI 、安全 ODBC、门户和 pxGrid。

系统将显示已选择允许的密码的密码列表。例如,如果启用了允许 SHA1 密码 (Allow SHA1 Ciphers) 选项,则会在此列表中启用 SHA1 密码。如果选择仅允许 TLS_RSA_WITH_AES_128_CBC_SHA (Allow Only TLS_RSA_WITH_AES_128_CBC_SHA) 选项,则此列表中仅启用此 SHA1 密码。如果允许 SHA1 密码 (Allow SHA1 Ciphers) 选项已禁用,则无法启用此列表中的任何 SHA1 密码。

 

  • TLS 1.3 密码始终启用。

  • 在编辑要禁用的密码列表时,应用服务器将在所有思科 ISE 节点上重新启动。

  • 在启用或禁用 FIPS 模式时,所有节点上的应用服务器都要重新启动,从而导致严重的系统停机。如果您使用手动配置密码列表 (Manually Configure Ciphers List) 选项禁用了任何密码,请在重新启动应用服务器后检查已禁用密码的列表。禁用密码列表可能会因 FIPS 模式转换而变化。

步骤 5

点击保存

支持的密码套件

思科 ISE 支持 TLS 版本 1.0、1.1、1.2 和 1.3

从思科 ISE 版本 3.3 开始,在使用 TLS 1.3 通过端口 443 进行管理员 HTTPS 访问时支持使用以下密码:

  • TLS_AES_128_GCM_SHA256

  • AES256-GCM-SHA384

  • TLS_CHACHA20_POLY1305_SHA256

思科 ISE 支持 RSA 和 ECDSA 服务器证书。支持以下椭圆曲线:

  • secp256r1

  • secp384r1

  • secp521r1

下表列出了支持的密码套件:

密码套件

当思科 ISE 配置为 EAP 服务器时

当思科 ISE 配置为 RADIUS DTLS 服务器时

当思科 ISE 从 HTTPS 或安全 LDAP 服务器下载 CRL 时

当思科 ISE 配置为安全系统日志客户端或安全 LDAP 客户端时

当思科 ISE 配置为 CoA 的 RADIUS DTLS 客户端时

TLS 1.0 支持

当允许 TLS 1.0 时

(DTLS 服务器仅支持 DTLS 1.2)

“允许 TLS 1.0”选项默认禁用。当禁用此选项时,基于 TLS 的 EAP 身份验证方法(EAP-TLS、EAP-FAST/TLS)和 802.1X 请求方不支持 TLS 1.0。如果要在 TLS 1.0 中使用基于 TLS 的 EAP 身份验证方法,请选中安全设置 (Security Settings)窗口中的“允许 TLS 1.0”(Allow TLS 1.0) 复选框。要查看此处窗口,请点击菜单 图标 (),然后选择管理 (Administration) > 系统 (System) > 设置 (Settings) > 协议 (Protocols) > 安全设置 (Security Settings)

当允许 TLS 1.0 时

(DTLS 客户端仅支持 DTLS 1.2)

TLS 1.1 支持

当允许 TLS 1.1 时

当允许 TLS 1.1 时

ECC DSA 密码

ECDHE-ECDSA-AES256-GCM-SHA384

支持

支持

ECDHE-ECDSA-AES128-GCM-SHA256

支持

支持

ECDHE-ECDSA-AES256-SHA384

支持

支持

ECDHE-ECDSA-AES128-SHA256

支持

支持

ECDHE-ECDSA-AES256-SHA

当允许 SHA-1 时

当允许 SHA-1 时

ECDHE-ECDSA-AES128-SHA

当允许 SHA-1 时

当允许 SHA-1 时

ECC RSA 密码

ECDHE-RSA-AES256-GCM-SHA384

当允许 ECDHE-RSA 时

当允许 ECDHE-RSA 时

ECDHE-RSA-AES128-GCM-SHA256

当允许 ECDHE-RSA 时

当允许 ECDHE-RSA 时

ECDHE-RSA-AES256-SHA384

当允许 ECDHE-RSA 时

当允许 ECDHE-RSA 时

ECDHE-RSA-AES128-SHA256

当允许 ECDHE-RSA 时

当允许 ECDHE-RSA 时

ECDHE-RSA-AES256-SHA

当允许 ECDHE-RSA/SHA-1 时

当允许 ECDHE-RSA/SHA-1 时

ECDHE-RSA-AES128-SHA

当允许 ECDHE-RSA/SHA-1 时

当允许 ECDHE-RSA/SHA-1 时

DHE RSA 密码

DHE-RSA-AES256-SHA256

支持

DHE-RSA-AES128-SHA256

支持

DHE-RSA-AES256-SHA

当允许 SHA-1 时

DHE-RSA-AES128-SHA

当允许 SHA-1 时

RSA 密码

AES256-SHA256

支持

支持

AES128-SHA256

支持

支持

AES256-SHA

当允许 SHA-1 时

当允许 SHA-1 时

AES128-SHA

当允许 SHA-1 时

当允许 SHA-1 时

3DES 密码

DES-CBC3-SHA

当允许 3DES / SHA-1 时

当启用 3DES/DSS 和 SHA-1 时

DSS 密码

DHE-DSS-AES256-SHA

当启用 3DES/DSS 和 SHA-1 时

DHE-DSS-AES128-SHA

当启用 3DES/DSS 和 SHA-1 时

EDH-DSS-DES-CBC3-SHA

当启用 3DES/DSS 和 SHA-1 时

弱 RC4 密码

RC4-SHA

当“允许的协议”(Allowed Protocols)页面中启用“允许弱密码”(Allow weak ciphers)选项且允许 SHA-1 时

RC4-MD5

当“允许的协议”(Allowed Protocols)页面中启用“允许弱密码”(Allow weak ciphers)选项时

仅 EAP-FAST 匿名调配:

ADH-AES-128-SHA

支持

对等证书限制

验证 KeyUsage

对于以下密码,客户端证书应具有 KeyUsage=密钥协议和 ExtendedKeyUsage=客户端身份验证:

  • ECDHE-ECDSA-AES128-GCM-SHA256
  • ECDHE-ECDSA-AES256-GCM-SHA384
  • ECDHE-ECDSA-AES128-SHA256
  • ECDHE-ECDSA-AES256-SHA384

验证 ExtendedKeyUsage

对于以下密码,客户端证书应具有 KeyUsage=密钥加密和 ExtendedKeyUsage=客户端加密:

  • AES256-SHA256
  • AES128-SHA256
  • AES256-SHA
  • AES128-SHA
  • DHE-RSA-AES128-SHA
  • DHE-RSA-AES256-SHA
  • DHE-RSA-AES128-SHA256
  • DHE-RSA-AES256-SHA256
  • ECDHE-RSA-AES256-GCM-SHA384
  • ECDHE-RSA-AES128-GCM-SHA256
  • ECDHE-RSA-AES256-SHA384
  • ECDHE-RSA-AES128-SHA256
  • ECDHE-RSA-AES256-SHA
  • ECDHE-RSA-AES128-SHA
  • EDH-RSA-DES-CBC3-SHA
  • DES-CBC3-SHA
  • RC4-SHA
  • RC4-MD5

服务器证书应具有 ExtendedKeyUsage=服务器身份验证

思科 ISE 中的 RADIUS 协议支持

RADIUS 是一个客户端/服务器协议,通过该协议,远程访问服务器与中央服务器发生通信,对拨入用户进行身份验证,并对拨入用户所请求的系统或服务的访问进行授权。您可以在所有远程服务器可共享的中央数据库中使用 RADIUS 维护用户配置文件。此协议提供更高的安全性,并且您可以使用它来设置策略以应用于单个管理的网络点。

RADIUS 还可以在思科 ISE 中用作 RADIUS 客户端以代理远程 RADIUS 服务器的请求,并且它还可在活动会话期间提供授权更改 (CoA)。

思科 ISE 依据 RFC 2865 对 RADIUS 协议流程提供支持,并广泛支持所有 RADIUS 常规属性(如 RFC 2865 及其扩展中所描述)。思科 ISE 支持仅解析在思科 ISE 字典中定义的供应商特定属性。

RADIUS 接口支持下述在 RFC 2865 中定义的属性数据类型:

  • 文本(Unicode 转换格式 [UTF])

  • 字符串(二进制)

  • 地址 (IP)

  • 整数

  • 时间

ISE 社区资源

有关思科 ISE 支持的网络访问属性的信息,请参阅 ISE 网络访问属性

允许的协议

下表介绍允许的协议 (Allowed Protocols) 窗口中的字段,您可以使用此窗口配置身份验证过程中要使用的协议。 策略 (Policy) > 策略元素 (Policy Elements) > 结果 (Results) > 身份验证 (Authentication) > 允许协议 (Allowed Protocols)

表 11. 允许的协议

字段名称

使用指南

允许的协议 > 身份验证旁路

流程主机查找

如果希望思科 ISE 处理主机查询请求,请选中此复选框。当 RADIUS 服务类型等于 10 (呼叫-检查)且用户名等于呼叫 - 站 - ID 时,对于 PAP/CHAP 协议,会对主机查询请求进行处理。当服务类型等于 1(框到的)且用户名等于呼叫 - 站 - ID 时,对于 EAP-MD5 协议,会对主机查询请求进行处理。如果您希望思科 ISE 忽略主机查找请求并使用系统用户名属性的原始值进行身份验证,请取消选中此复选框。当取消选中时,系统会根据协议(例如 PAP)进行消息处理。

 

禁用此选项可能会导致现有 MAB 身份验证失败。

允许的协议 > 身份验证协议

Allow PAP/ASCII

选中此复选框以启用 PAP/ASCII。从思科 ISE 版本 3.4 补丁 1 开始,对于使用 DTLS和 RADIUS 的网络设备,您可以在 FIPS 模式下启用 PAP/ASCII 协议。PAP 使用明文密码(即,未加密的密码),并且是最不安全的身份验证协议。

“允许 CHAP”(Allow CHAP)

此选项可启用 CHAP 身份验证。CHAP 使用带有密码加密的质询-响应机制。CHAP 不适用于 Microsoft Active Directory。

“允许 MS-CHAPv1”(Allow MS-CHAPv1)

选中此复选框可启用 MS-CHAPv1。

“允许 MS-CHAPv2”(Allow MS-CHAPv2)

选中此复选框可启用 MS-CHAPv2。

“允许 EAP-MD5”(Allow EAP-MD5)

选中此复选框可启用基于 EAP 的 MD5 密码散列身份验证。

“允许 EAP-TLS”(Allow EAP-TLS)

选中此复选框可启用 EAP-TLS 身份验证协议并配置 EAP-TLS 设置。您可以指定思科 ISE 将如何按照来自最终用户客户端的 EAP 身份响应中的说明对用户身份进行验证。用户身份根据最终用户客户端提供的证书中的信息进行验证。在思科 ISE 与最终用户客户端之间建立 EAP-TLS 隧道后,会发生此比较。

 

EAP-TLS 是基于证书的身份验证协议。仅在您已完成配置证书的所需步骤后,才能发生 EAP-TLS 身份验证。

  • 在授权策略中允许过期证书的身份验证以允许证书续订 (Allow authentication of expired certificates to allow certificate renewal in Authorization Policy) 复选框:如果要允许用户续订证书,请选中此复选框。如果选中此复选框,请确保配置相应的授权策略规则,以检查在进一步处理请求之前是否已更新证书。

  • 启用无状态会话恢复 (Enable Stateless Session Resume):选中此复选框可允许恢复 EAP-TLS 会话,而无需将会话状态存储在服务器上。思科 ISE 支持 RFC 5077 中所述的会话票证扩展。思科 ISE 创建一个票证并将其发送到 EAP-TLS 客户端。客户端向 ISE 提供票证以恢复会话。

  • 主动会话票证更新 (Proactive Session Ticket update):输入一个百分比值,以表示会话票证更新之前必须经过的有效时间 (TTL)。例如,如果您输入的值为 60,则在经过 TTL 的 60% 后更新会话票证。

  • 会话票证有效时间 (Session ticket Time to Live):输入会话票证过期前所经过的时间。此值可确定会话票证保持活动状态的持续时间。您可以输入以秒、分钟、小时、天或周为单位输入值。

  • 允许 EAP-TLS 使用 RSASSA-PSS:

    选中此复选框,以允许思科 ISE 中的 EAP-TLS 使用 RSASSA-PSS。

    此协议在 TLS 1.3 中始终允许使用。

“允许 LEAP”(Allow LEAP)

选中此复选框可启用轻量级可扩展身份验证协议 (LEAP) 身份验证。

“允许 PEAP”(Allow PEAP)

选中此复选框可启用 PEAP 身份验证协议和 PEAP 设置。默认内部方法为 MS-CHAPv2。

当选中“允许 PEAP”(Allow PEAP) 复选框时,您可以配置以下 PEAP 内部方法:

  • 允许 EAP-MS-CHAPv2 (Allow EAP-MS-CHAPv2):选中此复选框可使用 EAP-MS-CHAPv2 作为内部方法。

    • 允许密码更改 (Allow Password Change):选中此复选框可使思科 ISE 支持密码更改。

      思科 ISE 支持加入 Windows Server 2025 Active Directory 域,无需在域控制器上进行任何手动配置。但是,由于 Windows Server 2025 的默认安全设置,域控制器会拒绝通过 EAP-MS-CHAPv2 发起的密码更改请求。因此,思科 ISE 中的允许密码更改设置默认禁用。

    • 重试尝试数 (Retry Attempts):指定思科 ISE 在显示登录失败之前请求用户凭证的次数。有效值为 0 至 3。

  • 允许 EAP-GTC (Allow EAP-GTC):选中此复选框可使用 EAP-GTC 作为内部方法。

    • 允许密码更改 (Allow Password Change):选中此复选框可使思科 ISE 支持密码更改。

      思科 ISE 支持加入 Windows Server 2025 Active Directory 域,无需在域控制器上进行任何手动配置。但是,由于 Windows Server 2025 的默认安全设置,域控制器会拒绝通过 EAP-GTC 发起的用户密码更改请求。因此,思科 ISE 中的允许密码更改设置默认禁用。

    • 重试尝试数 (Retry Attempts):指定思科 ISE 在显示登录失败之前请求用户凭证的次数。有效范围为 0 到 3。

  • 允许 EAP-TLS (Allow EAP-TLS):选中此复选框可使用 EAP-TLS 作为内部方法。

    如果要允许用户更新证书,请选中允许过期证书的身份验证以允许身份验证策略中的证书更新 (Allow authentication of expired certificates to allow certificate renewal in Authorization Policy) 复选框。如果选中此复选框,请确保配置相应的授权策略规则,以检查在进一步处理请求之前是否已更新证书。

  • 需要加密的 TLV (Require Cryptobinding TLV):如果希望 EAP 对等体和 EAP 服务器都参与 PEAP 身份验证的内部和外部 EAP 身份验证,则选中此复选框。

  • 仅对传统客户端允许 PEAPv0 (Allow PEAPv0 Only for Legacy Clients):选中此复选框可允许 PEAP 请求方使用 PEAPv0 进行协商。某些传统客户端不符合 PEAPv1 协议标准。要确保不丢弃此类 PEAP 对话,请选中此复选框。

“允许 EAP-FAST”(Allow EAP-FAST)

选中此复选框可启用 EAP-FAST 身份验证协议和 EAP-FAST 设置。EAP-FAST 协议可以在同一服务器上支持多个内部协议。默认内部方法为 MS-CHAPv2。

当选中“允许 EAP-FAST”(Allow EAP-FAST) 复选框时,您可以将 EAP-FAST 配置为内部方法:

  • “允许 EAP-MS-CHAPv2”(Allow EAP-MS-CHAPv2)

    • 允许密码更改 (Allow Password Change):选中此复选框可使思科 ISE 支持密码更改。

      思科 ISE 支持加入 Windows Server 2025 Active Directory 域,无需在域控制器上进行任何手动配置。但是,由于 Windows Server 2025 的默认安全设置,域控制器会拒绝通过 EAP-MS-CHAPv2 发起的密码更改请求。因此,思科 ISE 中的允许密码更改设置默认禁用。

    • 重试尝试数 (Retry Attempts):指定思科 ISE 在显示登录失败之前请求用户凭证的次数。有效值为 0 至 3。

  • Allow EAP-GTC

    允许密码更改 (Allow Password Change):选中此复选框可使思科 ISE 支持密码更改。

    思科 ISE 支持加入 Windows Server 2025 Active Directory 域,无需在域控制器上进行任何手动配置。但是,由于 Windows Server 2025 的默认安全设置,域控制器会拒绝通过 EAP-GTC 发起的密码更改请求。因此,思科 ISE 中的允许密码更改设置默认禁用。

  • 重试尝试数 (Retry Attempts):指定思科 ISE 在显示登录失败之前请求用户凭证的次数。有效值为 0 至 3。

  • 使用 PAC (Use PACs):选中此选项可配置思科 ISE 以便为 EAP-FAST 客户端调配授权受保护访问凭证 (PAC)。系统显示其他 PAC 选项。

  • 不使用 PAC (Don't Use PACs):选择此选项可配置思科 ISE 以使用 EAP-FAST,而不发出或接受任何隧道或计算机 PAC。系统会忽略对 PAC 的所有请求,并且思科 ISE 会在没有 PAC 的情况下使用 Success-TLV 进行响应。

    当选择此选项时,您可以将思科 ISE 配置为执行计算机身份验证。

  • 允许 EAP-TLS (Allow EAP-TLS):选中此复选框可使用 EAP-TLS 作为内部方法。

    如果要允许用户更新证书,请选中允许过期证书的身份验证以允许身份验证策略中的证书更新 (Allow authentication of expired certificates to allow certificate renewal in Authorization Policy) 复选框。如果选中此复选框,请确保配置相应的授权策略规则,以检查在进一步处理请求之前是否已更新证书。

  • 启用 EAP 链接 (Enable EAP Chaining):选中此复选框可启用 EAP 链接。

    EAP 链接允许思科 ISE 将用户和计算机身份验证的结果相关联,并且使用 EAPChainingResult 属性应用相应的授权策略。

    EAP 链接要求请求方在客户端设备上支持 EAP 链接。选择请求方中的“用户和计算机身份验证”(User and Machine Authentication) 选项。

    当选择 EAP-FAST 协议(二者均处于基于 PAC 的模式和无 PAC 模式下)时,EAP 链接可用。

    对于基于 PAC 的身份验证,您可以使用用户授权 PAC 和/或计算机授权 PAC 跳过内部方法。

    对于基于证书的身份验证,如果您为 EAP-FAST 协议启用“接受客户端调配证书”(Accept Client Certificate for Provisioning) 选项(在允许的协议服务中),并且如果终端 (代理) 配置为在隧道内发送用户证书,则在隧道建立过程中,ISE 会使用证书对用户进行身份验证(跳过内部方法),而计算机身份验证会通过内部方法来完成。如果未配置这些选项,则 EAP-TLS 会用作用于进行用户身份验证的内部方法。

    在您启用 EAP 链接后,使用 NetworkAccess:EapChainingResult 属性更新授权策略并添加条件,然后分配相应的权限。

“允许 EAP-TTLS”(Allow EAP-TTLS)

选中此复选框可启用 EAP-TTLS 协议。

您可以配置以下内部方法:

  • 允许 PAP/ASCII (Allow PAP/ASCII):选中此复选框可使用 PAP/ASCII 作为内部方法。可以使用 EAP-TTLS PAP 进行基于令牌和基于 OTP 的身份验证。

  • 允许 CHAP (Allow CHAP):选中此复选框可使用 CHAP 作为内部方法。CHAP 使用带有密码加密的质询-响应机制。CHAP 不适用于 Microsoft Active Directory。

  • 允许 MS-CHAPv1 (Allow MS-CHAPv1):选中此复选框可使用 MS-CHAPv1 作为内部方法。

  • 允许 MS-CHAPv2 (Allow MS-CHAPv2):选中此复选框可使用 MS-CHAPv2 作为内部方法。

  • 允许 EAP-MD5 (Allow EAP-MD5):选中此复选框可使用 EAP-MD5 作为内部方法。

  • 允许 EAP-MS-CHAPv2 (Allow EAP-MS-CHAPv2):选中此复选框可使用 EAP-MS-CHAPv2 作为内部方法。

    • 允许密码更改 (Allow Password Change):选中此复选框可使思科 ISE 支持密码更改。

      思科 ISE 支持加入 Windows Server 2025 Active Directory 域,无需在域控制器上进行任何手动配置。但是,由于 Windows Server 2025 的默认安全设置,域控制器会拒绝通过 EAP-MS-CHAPv2 发起的密码更改请求。因此,思科 ISE 中的允许密码更改设置默认禁用。

    • 重试尝试数 (Retry Attempts):指定思科 ISE 在显示登录失败之前请求用户凭证的次数。有效值为 0 至 3。

允许 TEAP (Allow TEAP)

选中此复选框可启用隧道可扩展身份验证协议 (TEAP) 并配置 TEAP 设置。TEAP 是一种基于隧道的 EAP 方法,可通过使用传输层安全 (TLS) 协议建立隧道,实现对等体和服务器之间的安全通信。类型长度值 (TLV) 对象在 TEAP 隧道内用于在 EAP 对等体和 EAP 服务器之间传输与身份验证相关的数据。

您可以为 TEAP 配置以下内部方法:

  • 允许 EAP-MS-CHAPv2 (Allow EAP-MS-CHAPv2):选中此复选框可使用 EAP-MS-CHAPv2 作为内部方法。

    • 允许密码更改 (Allow Password Change):选中此复选框可使思科 ISE 支持密码更改。

      思科 ISE 支持加入 Windows Server 2025 Active Directory 域,无需在域控制器上进行任何手动配置。但是,由于 Windows Server 2025 的默认安全设置,域控制器会拒绝通过 EAP-MS-CHAPv2 发起的密码更改请求。因此,思科 ISE 中的允许密码更改设置默认禁用。

    • 重试次数 (Retries):输入思科 ISE 在显示登录失败消息之前允许用户输入凭证的次数。有效范围为 0 到 3。

  • 允许 EAP-TLS (Allow EAP-TLS):选中此复选框可使用 EAP-TLS 作为内部方法。

    • 在授权策略中允许过期证书的身份验证以允许证书续订 (Allow Authentication of Expired Certificates to Allow Certificate Renewal in Authorization Policy):如果要允许用户续订证书,请选中此复选框。如果启用此选项,请确保配置相应的授权策略规则,确认在进一步处理请求之前是否已续订证书。

  • 允许降级到 MSK (Allow Downgrade to MSK):如果内部方法支持扩展主会话密钥 (EMSK),但客户端设备仅提供主会话密钥 (MSK),请选中此复选框。请注意,虽然 EMSK 比 MSK 更安全,但某些客户端设备可能不支持 EMSK。

  • 在隧道建立期间接受客户端证书 (Accept Client Certificate during Tunnel Establishment):如果希望思科 ISE 在 TEAP 隧道建立期间请求客户端证书,请选中此复选框。如果未提供证书,则思科 ISE 使用所配置的内部方法进行身份验证。

  • 启用 EAP 链接 (Enable EAP Chaining):选中此复选框可启用 EAP 链接。EAP 链接允许思科 ISE 在同一 TEAP 隧道内同时运行用户和计算机身份验证的内部方法。这可以让思科 ISE 使用 EAPChainingResult 属性关联身份验证结果,并应用相应的授权策略。

    在启用 EAP 链接后,应使用 NetworkAccess:EapChainingResult 属性更新授权策略并添加条件,然后分配相应的权限。

     

    启用 EAP 链接时,如果要同时执行用户和计算机身份验证,请确保在请求方中复制用户和计算机证书。

 

  • 如果在思科 ISE 中启用了 EAP 链接,则必须为 Microsoft 请求方同时配置主身份验证方式和辅助身份验证方式。

  • 如果在思科 ISE 中禁用了 EAP 链接,则必须仅为 Microsoft 请求方配置主身份验证方式。

  • 如果主身份验证方式和辅助身份验证方式均配置为“无”,则 EAP 协商可能会失败,并显示以下消息:

    请求方停止响应 ISE

Preferred EAP Protocol

选中此复选框可从以下任一选项中选择首选 EAP 协议:EAP-FAST、PEAP、LEAP、EAP-TLS、EAP-TTLS 和 EAP-MD5。如果没有指定首选协议,则默认情况下使用 EAP - TLS。

“EAP-TLS L-位”(EAP-TLS L-bit)

选中此复选框可支持传统 EAP 请求方,后者默认情况下期望来自 ISE 的 TLS 更改密码规格报文和加密握手报文中具有长度包含标志(L 位标志)。

 

仅为需要此标志的 supplicant 启用此选项。Windows 本地请求者不支持使用隧道 EAP 协议的此标志;例如 PEAP、TEAP 或 EAP-FAST。如果启用了该选项,而请求者不支持它,并且使用的是隧道 EAP 协议,那么 ISE 将在建立 TLS 隧道后在应用程序数据中启用该标记,然后请求者将放弃 EAP 会话,并且不会完成隧道内部方法的 EAP 身份验证,这将导致身份验证失败,并显示“终端放弃 EAP 会话并开始了新会话”(Endpoint abandoned EAP session and started new) 失败原因。

“允许 EAP 的弱密码” (Allow Weak Ciphers for EAP)

如果启用了此选项,会允许传统客户端使用弱密码协商(例如:RSA_RC4_128_SHA, RSA_RC4_128_MD5)。我们建议仅在您的传统客户端只支持弱密码时启用此选项。

默认情况下该选项处于禁用状态。

 

思科 ISE 不支持 EDH_RSA_DES_64_CBC_SHA and EDH_DSS_DES_64_CBC_SHA。

所有 RADIUS 请求均需要消息身份验证器 (Require Message Authenticator for all RADIUS Requests)

如果启用此选项,思科 ISE 验证 RADIUS 消息中是否存在 RADIUS 消息身份验证器 (RADIUS Message Authenticator) 属性。如果消息身份验证器属性不存在,则 RADIUS 消息将被丢弃。

启用此选项可提供保护,免受欺骗性访问请求消息和篡改 RADIUS 消息的威胁。

RADIUS 消息身份验证器 (RADIUS Message Authenticator) 属性是整个 RADIUS 消息的消息摘要 5 (MD5) 散列。

 

在默认情况下,EAP 使用消息身份验证器 (Message Authenticator) 属性且无需用户启用它。

允许 5G

选中此复选框以在思科 ISE 上启用思科私人 5G。

 

在思科 ISE 中启用 5G 即服务 (5GaaS) 之前,您必须已在网络中部署思科专用 5G

显示其他 TLS 参数

从思科 ISE 版本 3.5 开始,您可以选中此复选框,在“实时日志”报告的其他属性部分显示新的 TLS 属性详细信息。此复选框默认启用。

启用后,这些额外的 TLS 字段会显示在“实时日志”报告(操作 > RADIUS > 实时日志)中:

  • TLSClientCipherSuites:列出客户端在 TLS 握手期间支持的密码套件。

  • TLSClientCertType:指定客户端提供的证书类型。

  • TLSClientHelloSigAlgs:指示客户端在 ClientHello 消息中支持的签名算法。

  • TLSClientCertSigMethod:显示客户端证书使用的签名方法。

  • TLSServerCertType:指定服务器提供的证书类型。

  • TLSServerCertSigMethod:显示服务器证书使用的签名方法。

  • TLSCertVerifySigAlgs:列出握手期间用于证书验证的签名算法。

启用后,这些额外的 TLS 字段会显示在“TACACS 实时日志”报告(操作 > TACACS > 实时日志)中:

  • 主题备用名称 - DirName:显示证书的主题备用名称扩展中存在的目录名称。

  • 主题备用名称 - IP 地址:显示证书的主题备用名称扩展中指定的 IP 地址。

PAC 选项

下表介绍了在允许协议服务列表 (Allowed Protocols Services List) 窗口中选择了“使用 PAC”(Use PACs) 后显示的字段。要查看此处窗口,请点击菜单 图标 (),然后选择 策略 (Policy) > 策略元素 (Policy Elements) > 结果 (Results) > 身份验证 (Authentication) > 允许协议 (Allowed Protocols)

表 12. PAC 选项

字段名称

使用指南

使用 PAC (Use PAC)

  • “隧道 PAC 存活时间”(Tunnel PAC Time To Live):存活时间 (TTL) 值限制 PAC 的生存期。指定生存期值和单位。默认值为 90 天。时间范围为 1 至 1825 天。

  • “当剩下 <n%> 的 PAC TTL 时主动进行 PAC 更新”(Proactive PAC Update When: <n%> of PAC TTL is Left):更新值确保客户端拥有有效的 PAC。首次成功通过身份验证后,但在 TTL 设置的到期时间前,思科 ISE 启动更新。更新值是指 TTL 中的剩余时间百分比。默认为 90%。

  • “允许匿名带内 PAC 调配”(Allow Anonymous In-band PAC Provisioning):选中此复选框,使思科 ISE 与客户端建立安全的匿名 TLS 握手,并使用 EAP-FAST 的零阶段和 EAP-MSCHAPv2,通过 PAC 调配客户端。要启用匿名 PAC 调配,必须选择这两种内部方法:EAP-MSCHAPv2 和 EAP-GTC。

  • “允许经验证的带内 PAC 调配 ”(Allow Authenticated In-band PAC Provisioning):思科 ISE 使用 SSL 服务器侧身份验证,在 EAP-FAST 的零阶段期间通过 PAC 调配客户端。此选项比匿名调配的安全性更高,但要求在思科 ISE 上安装服务器证书和受信任的根 CA。

    如果您选中此选项,可将思科 ISE 配置为在成功对 PAC 调配进行身份验证后将 Access-Accept 消息传送至客户端。

    • “服务器在对调配进行身份验证后返回 Access-Accept 消息”(Server Returns Access Accept After Authenticated Provisioning):如果希望思科 ISE 在成功对 PAC 调配进行身份验证后传送 Access-Accept 消息,请选中此复选框。

  • “允许机器身份验证”(Allow Machine Authentication):选中此复选框,使思科 ISE 使用计算机 PAC 调配最终用户客户端,并执行计算机身份验证(适用于没有计算机凭证的最终用户客户端)。可以通过请求(频内)或管理员(频外)将计算机 PAC 调配至客户端。当思科 ISE 收到最终用户客户端发送的有效计算机 PAC 时,会从 PAC 提取计算机身份详细信息,并在思科 ISE 外部身份源中进行验证。思科 ISE 只支持 Active Directory 作为计算机身份验证的外部身份源。正确验证这些详细信息后,不会再执行进一步的身份验证。

    如果您选中此选项,可以输入接受使用计算机 PAC 的时间值。当思科 ISE 收到过期的计算机 PAC 时,会自动使用新的计算机 PAC 重新调配最终用户客户端(无需等待最终用户客户端发送新的计算机 PAC 请求)。

  • “启用无状态会话恢复”(Enable Stateless Session Resume):选中此复选框后,思科 ISE 会为 EAP-FAST 客户端调配授权 PAC,并跳过 EAP-FAST 的第二阶段(默认为启用)。

    在下列情况下取消选中此复选框:

    • 如果您不希望思科 ISE 为 EAP-FAST 客户端调配授权 PAC

    • 要始终执行 EAP-FAST 的第二阶段

      如果您选中此选项,可以输入用户授权 PAC 的授权时间段。在此时间段后,PAC 过期。当思科 ISE 收到过期的授权 PAC 时,会执行执行 EAP-FAST 身份验证的第二阶段。

将思科 ISE 用作 RADIUS 代理服务器

思科 ISE 可用作 RADIUS 服务器和 RADIUS 代理服务器。用作代理服务器时,思科 ISE 从网络接入服务器 (NAS) 接受身份验证和记帐请求并将这些请求转发至外部 RADIUS 服务器。思科 ISE 接受请求的结果并将结果返回至 NAS。

思科 ISE 可以同时用作多个外部 RADIUS 服务器的代理服务器。您可以在 RADIUS 服务器序列中使用此处配置的外部 RADIUS 服务器。External RADIUS Server 页面会列出您已在思科 ISE 中定义的所有外部 RADIUS 服务器。您可以使用过滤器选项,根据名称或说明或同时根据名称和说明搜索具体 RADIUS 服务器。在简单身份验证策略和基于规则的身份验证策略中,您都可以使用 RADIUS 服务器序列来代理对 RADIUS 服务器的请求。

RADIUS 服务器序列从 RADIUS-Username 属性删除域名以进行 RADIUS 身份验证。这种域名删除操作不适用于使用 EAP-Identity 属性的 EAP 身份验证。RADIUS 代理服务器从 RADIUS-Username 属性获取用户名并从您配置 RADIUS 服务器序列时指定的字符删除用户名。对于 EAP 身份验证,RADIUS 代理服务器从 EAP-Identity 属性获取用户名。只有在 EAP-Identity 和 RADIUS-Username 值相同时,使用 RADIUS 服务器序列的 EAP 身份验证才会成功。

配置外部 RADIUS 服务器

您必须在思科 ISE 中配置外部 RADIUS 服务器,使其向外部 RADIUS 服务器转发请求。您可以定义超时时间和连接尝试的次数。

开始之前

  • 您无法单独使用您在本节中创建的外部 RADIUS 服务器,而必须创建 RADIUS 服务器序列并将其配置为使用您在本节创建的 RADIUS 服务器。然后,您就可以在身份验证策略中使用 RADIUS 服务器序列。

  • 要执行以下任务,您必须是超级管理员或系统管理员。

过程

步骤 1

在思科 ISE GUI 中,点击菜单 图标 (),然后选择 管理 (Administration) > 网络资源 (Network Resources) > 外部 RADIUS 服务器 (External RADIUS Servers)

系统将显示 RADIUS Servers 页面,其中包含已在思科 ISE 中定义的外部 RADIUS 服务器的列表。

步骤 2

点击 Add 以添加外部 RADIUS 服务器。

步骤 3

根据要求输入相应值。

步骤 4

点击 提交 以保存外部 RADIUS 服务器配置。

定义 RADIUS 服务器序列

思科 ISE 中的 RADIUS 服务器序列允许您将 NAD 发送的请求代理到外部 RADIUS 服务器,此外部 RADIUS 服务器会处理该请求并将结果返回至思科 ISE,随后思科 ISE 会将响应转发至 NAD。

RADIUS Server Sequences 页面列出您在思科 ISE 中定义的所有 RADIUS 服务器序列。在此页面上,您可以创建、编辑或复制 RADIUS 服务器序列。

开始之前

  • 在开始此程序之前,您应该基本了解代理服务,并且必须成功完成相关链接的第一个条目中的任务。

  • 要执行以下任务,您必须是超级管理员或系统管理员。

过程

步骤 1

在思科 ISE GUI 中,点击菜单 图标 (),然后选择 管理 (Administration) > 网络资源 (Network Resources) > RADIUS 服务器序列 (RADIUS Server Sequences)

步骤 2

点击 Add

步骤 3

根据要求输入相应值。

步骤 4

点击 提交 以保存要用于策略的 RADIUS 服务器序列。

思科 ISE 充当 TACACS+ 代理客户端

思科 ISE 可以充当外部 TACACS+ 服务器的代理客户端。当用作代理客户端时,思科 ISE 接收来自网络接入服务器 (NAS) 的身份验证、授权和计费请求并将这些请求转发至外部 TACACS+ 服务器。思科 ISE 接受请求的结果并将结果返回至 NAS。

“外部 TACACS+ 服务器”(TACACS+ External Servers) 页面列出了您已在思科 ISE 中定义的所有外部 TACACS+ 服务器。您可以使用过滤器选项来根据名称和/或说明搜索具体的 TACACS+ 服务器。

思科 ISE 可以同时充当多台外部 TACACS+ 服务器的代理客户端。要配置多台外部服务器,您可以使用 TACACS+ 服务器序列页面。有关更多详细信息,请参阅 TACACS+ 服务器序列设置页面。

配置外部 TACACS+ 服务器

您必须在思科 ISE 中配置外部 TACACS 服务器,使其向外部 TACACS 服务器转发请求。您可以定义超时时间和连接尝试的次数。

开始之前

  • 您不能在策略中直接使用在本节中创建的外部 TACACS 服务器。而必须创建 TACACS 服务器序列并将其配置为使用您在本节创建的 TACACS 服务器。然后,您就可以在策略集中使用 TACACS 服务器序列。

  • 要执行以下任务,您必须是超级管理员或系统管理员。

过程

步骤 1

在思科 ISE GUI 中,点击菜单 图标 (),然后选择 工作中心 (Work Centers) > 设备管理 (Device Administration) > 网络资源 (Network Resources) > TACACS 外部服务器 (TACACS External Servers)

系统将显示TACACS 外部服务器 (TACACS External Servers) 页面,其中包含已在思科 ISE 中定义的外部 TACACS 服务器的列表。

步骤 2

点击添加 (Add) 以添加外部 TACACS 服务器。

步骤 3

根据要求输入相应值。

步骤 4

点击提交以保存外部 TACACS 服务器配置。

TACACS+ 外部服务器设置

下表列出“TACACS 外部服务器”(TACACS External Servers) 页面中的字段。在思科 ISE GUI 中,点击菜单 图标 (),然后选择 工作中心 (Work Centers) > 设备管理 (Device Administration) > 网络资源 (Network Resources) > TACACS 外部服务器 (TACACS External Servers)页面。

表 13. TACACS+ 外部服务器设置

字段

使用指南

名称

输入 TACACS+ 外部服务器的名称。

说明

输入 TACACS+ 外部服务器设置的说明。

主机 IP

输入远程 TACACS+ 外部服务器的 IP 地址(IPv4 或 IPv6 地址)

连接端口

输入远程 TACACS+ 外部服务器的端口号。端口号为 49。

超时

指定思科 ISE 等待外部 TACACS+ 服务器响应的秒数。默认值为 5 秒。有效值范围为 1 至 120。

Shared Secret

文本字符串用于获得与 TACACS+ 外部服务器的连接。如果配置不正确,则连接将被 TACACS+ 外部服务器拒绝。

使用单连接

TACACS 协议支持两种将会话与连接关联的模式:单连接和非单连接。单连接模式重复使用用于客户端可能发起的多个 TACACS+ 会话的单 TCP 连接。非单连接打开一个用于客户端发起的每个 TACACS+ 会话的新 TCP 连接。TCP 连接在每个会话之后关闭。

对于高流量环境,您可以选中使用单连接 (Use Single Connect) 复选框,对于低流量环境可取消选中。

定义 TACACS+ 服务器序列

思科 ISE 中的 TACACS+ 服务器序列允许您将 NAD 发送的请求代理到外部 TACACS+ 服务器,此外部 TACACS+ 服务器会处理该请求并将结果返回至思科 ISE,随后思科 ISE 会将响应转发至 NAD。TACACS+ 服务器序列页面列出您在思科 ISE 中定义的所有 TACACS+ 服务器序列。在此页面上,您可以创建、编辑或复制 TACACS+ 服务器序列。

开始之前

  • 您应该对代理服务、思科 ISE 管理员组、访问级别、权限和限制有一个基本了解。

  • 要执行以下任务,您必须是超级管理员或系统管理员。

  • 确保您希望在 TACACS+ 服务器序列中使用的外部 TACACS+ 服务器已定义。

过程

步骤 1

在思科 ISE GUI 中,点击菜单 图标 (),然后选择 工作中心 (Work Centers) > 设备管理 (Device Administration) > 网络资源 (Network Resources) > TACACS 外部服务器序列 (TACACS External Server Sequence)

步骤 2

点击添加 (Add)

步骤 3

输入所需的值。

步骤 4

点击提交以保存用于策略的 TACACS+ 服务器序列。

TACACS+ 服务器序列设置

下表介绍“TACACS 服务器序列”页面中的字段。在思科 ISE GUI 中,点击菜单 图标 (),然后选择 工作中心 (Work Centers) > 设备管理 (Device Administration) > 设备资源 (Network Resources) > TACACS 服务器序列 (TACACS Server Sequence) 页面。

表 14. TACACS+ 服务器序列设置

字段

使用指南

名称

输入 TACACS 代理服务器序列的名称。

说明

输入 TACACS 代理服务器序列的说明。

服务器列表

从可用列表中选择所需的 TACACS 代理服务器。可用列表包含在“外部 TACACS+ 服务”(TACACS External Services) 页面配置的 TACACS 代理服务器列表中。

日志记录控制 (Logging Control)

选中此复选框以启用日志记录控制:

  • “本地计费”(Local Accounting):计费消息由处理设备请求的服务器记录。

  • “远程计费”(Remote Accounting):计费消息由处理设备请求的代理服务器记录。

“用户名剥离”(Username Stripping)

用户名前缀/后缀剥离:

  • “前缀剥离”(Prefix Strip):选中此复选框以删除用户名的前缀。例如,如果主题名称是 acme\smith,分隔符为 \,则用户名变成 smith。默认分隔符为 \。

  • “后缀剥离”(Suffix Strip):选中此复选框以删除用户名的后缀。例如,如果主题名称是 smith@acme.com,分隔符为 @,则用户名变成 smith。默认分隔符为 @。

将 Cisco Duo 与思科 ISE 集成以实现多因素身份验证

从思科 ISE 版本 3.3 补丁 1 开始,您可以直接将思科 Duo 作为多因素身份验证 (MFA) 工作流程的外部身份源进行集成。在早期版本的思科 ISE 中,支持思科 Duo 作为外部 RADIUS 代理服务器,并且继续支持此配置。

通过此集成功能,您可以直接连接到 Cisco Duo。然后,创建 MFA 身份验证策略,以定义在思科 ISE 执行主身份验证后将终端身份验证发送到思科 Duo 进行辅助身份验证的条件。

此 Cisco Duo 集成支持以下多因素身份验证用例:

  • VPN 用户身份验证:支持的协议

    • PAP

    • PEAP

    • EAP-TLS

    • EAP-TTLS

  • TACACS+ 管理员访问身份验证

目前支持以下身份验证方法:

  • Duo mobile 推送

  • 电话通话

通过此集成,Active Directory 和思科 Duo 之间可实现用户数据同步。以下数据会在 Active Directory 和 Cisco Duo 之间同步,从 Active Directory 获取的数据将保存在 Cisco Duo 中:

数据类型

思科 Duo 字段名称

Active Directory 字段名称

示例值

名字

firstname

givenName

测试

姓氏

lastname

sn

用户

显示名称

realname

displayName

测试 A. 用户

邮箱地址

电子邮件

mail

testuser@example.com

用户名

username

sAMAccountName

testuser

已知限制

  • 组名称不会在 Active Directory 和 Cisco Duo 之间同步。

  • 对于大型 TACACS+ 部署,支持的身份验证速率为每秒 20 次;对于小型部署,此速率会更低。

    有关 RADIUS 协议身份验证率的信息,请参阅《Cisco Identity Services Engine 性能和可扩展性指南》。

  • 删除 MFA 连接时,相关的身份同步不会自动移除。删除 MFA 连接时,您必须手动管理身份同步。

  • 某些 Cisco Duo 身份验证方法(如密码、OTP 和生物识别)不能用于思科 ISE VPN 身份验证。这也包括 EAP 方法(如 EAP-GTC),该方法用于基于 OTP 或密码的身份验证。

  • 思科 ISE 和 Cisco Duo VPN 集成不支持 PEAP-MSCHAPv2。

开始之前

要将 Cisco Duo 集成为 MFA 身份源,需满足以下先决条件:

  1. 您必须拥有思科 ISE Advantage 许可证。有关思科 ISE 许可证,请参阅《思科 ISE 订购指南》。

  2. 您需要 Cisco Duo Essentials、Advantage 或 Premier 计划才能进行此集成。有关 Cisco Duo 计划的详细信息,请参阅 Cisco Duo 版本和定价

  3. 将 Microsoft Active Directory 域服务与思科 ISE 集成,并导入所需的用户组。

  4. 检查您的互联网和代理服务器设置,确保您的思科 ISE 可以访问受保护的思科 Duo 应用。

  5. 启用 OpenAPI 以检索或更新身份同步状态。

在 Duo 管理面板中:

  1. 为思科 ISE 管理员 API 和思科 ISE 身份验证 API 创建受保护的应用程序。只有具有所有者角色的管理员才能在 Duo 管理面板中创建或修改思科 ISE 管理员 API 应用。

  2. 为思科 ISE 管理员 API 启用授予读取资源 (Grant read resource)授予写入资源 (Grant write resource) 权限。

  3. 对于这两个应用,请注意唯一集成密钥 (iKey) 和机密密钥 (sKey) 值,以及 API 主机名值。要在思科 ISE 集成向导中设置与 Cisco Duo 的连接,这些值是必需的。

过程

步骤 1

如果是首次在思科 ISE 中设置 Duo 集成,请执行以下步骤。要设置后续的 Duo 连接,请从步骤 2 开始。

  1. 在思科 ISE 管理门户中,选择管理 (Administration) > 身份管理 (Identity Management) > 设置 (Settings) > 外部身份源设置 (External Identity Sources Settings)

  2. 多因素身份验证 (Multi-Factor Authentication) 区域中,点击 MFA 切换按钮以在思科 ISE 中启用该功能。

步骤 2

选择管理 (Administration) > 身份管理 (Identity Management) > 外部身份源 (External Identity Sources) > MFA

步骤 3

点击添加

安装向导将启动。

步骤 4

连接器定义 (Connector Definition) 页面中,输入 Duo 连接的名称和描述。

这是在外部身份源 (External Identity Sources) > MFA 页面的 MFA 连接列表中显示的名称。 在 Duo 集成完成后,您可以随时点击连接名称来编辑连接配置。

步骤 5

帐户配置页面中输入以下详细信息:

  1. API 主机名

  2. 思科 ISE 管理员 API 的 iKey 和 sKey 值

  3. 思科 ISE 身份验证 API 的 iKey 和 sKey 值

步骤 6

点击测试连接 (Test Connection),验证是否可以与 Duo 账户建立连接。只有连接成功,您才能继续下一步。

步骤 7

点击下一步

步骤 8

身份同步 (Identity Sync) 页面中输入同步名称。

您在此处输入的同步名称显示在外部身份源 (External Identity Sources) > 身份同步 (Identity Sync) 页面中。

如果您不想立即配置 Active Directory 和 Duo 之间的用户数据同步,请点击跳过 (Skip)。您将直接进入摘要 (Summary) 页面。

在创建 Duo 连接后,您可以随时添加身份同步配置。

步骤 9

从显示的 Active Directory 名称列表中,选中要在思科 ISE 和 Duo 之间配置数据同步的目录旁边的复选框。至少要选择一个目录才能继续下一步。

完成 Duo 集成后,您可以随时在外部身份源 (External Identity Sources) > 身份同步 (Identity Sync) 页面中编辑同步选择。

步骤 10

点击下一步

步骤 11

AD 组 (AD Groups) 页面上,从显示的 Active Directory 组列表中,选中要在思科 ISE 和 Duo 之间配置数据同步的组旁边的复选框。至少要选择一个组才能继续下一步。

完成 Duo 集成后,您可以随时在外部身份源 (External Identity Sources) > 身份同步 (Identity Sync) 页面中编辑 AD 组选择。

步骤 12

点击下一步

步骤 13

摘要 (Summary) 页面上查看配置。点击编辑 (Edit) 以修改任何配置,然后点击完成 (Done) 以保存 Duo 集成。

点击完成 (Done) 时,系统会自动启动身份同步。

下一步做什么

将 Duo 账户与思科 ISE 连接后,必须创建 MFA 策略才能为终端启用多因素身份验证:

  • 对于 VPN 用户身份验证,请在策略 (Policy) > 策略集 (Policy Sets) > 默认 (Default) > MFA 策略 (MFA Policy)页面中创建 RADIUS 身份验证策略。

  • 对于 TACACS+ 管理员访问身份验证,请在 > 工作中心 (Work Centers) > 设备管理 (Device Administration) > 设备管理策略集 (Device Admin Policy Sets) > 默认 (Default) > MFA 策略 (MFA Policy) 页面中创建设备管理策略。

有关 Duo 连接的活动日志,请参阅调试文件 ise-duo.log。

为 Duo 连接添加身份同步

执行以下步骤,为 Duo 连接添加身份同步:

过程

步骤 1

在思科 ISE GUI 中,点击菜单 图标 (),然后选择 管理 > 身份管理 > 外部身份源 > 身份同步

步骤 2

点击添加 (Add)

步骤 3

点击我们开始吧 (Let’s do it)

系统将显示身份同步页面。

步骤 4

输入身份同步的名称。

步骤 5

MFA 连接 (MFA Connection) 下拉列表中,选择要为其配置身份同步的 Duo 连接。

步骤 6

点击下一步 (Next)

系统将显示 Active Directory 页面。

步骤 7

选中要在思科 ISE 和 Duo 之间配置数据同步的 Active Directory 旁边的复选框。您必须至少选择一个 Active Directory 才能继续下一步。

步骤 8

点击下一步 (Next)

系统将显示 AD 组页面。

步骤 9

选中要在思科 ISE 和 Duo 之间配置数据同步的 Active Directory 组旁边的复选框。您必须至少要选择一个组才能继续下一步。

步骤 10

点击下一步

步骤 11

摘要页面上查看配置。

点击编辑 (Edit) 以修改任何配置,然后点击完成 (Done) 以保存 Duo 集成。

点击完成 (Done) 时,系统会自动启动身份同步。

您可以在管理 > 身份管理 > 外部身份源 > MFA 页面中查看配置的身份同步。

要编辑身份同步配置,请执行以下操作:

  1. 选择管理 (Administration) > 身份管理 (Identity Management) > 外部身份源 (External Identity Sources) > 身份同步 (Identity Sync)

  2. 选择身份同步名称,然后点击编辑 (Edit)

    身份同步页面删除身份同步时,相应的 Duo 连接会自动删除。

要在思科 ISE 和 Duo 连接之间触发数据同步,请在身份同步 (Identity Sync) 页面中选择身份同步名称并点击同步 (Sync)

网络访问服务

网络访问服务包含请求的身份验证策略条件。可以为不同的使用案例创建单独的网络访问服务,例如,有线 802.1X、有线 MAB 等。要创建网络访问服务,请配置允许的协议或服务器序列。然后,从“策略集”(Policy Sets) 页面配置网络访问策略的网络访问服务。

为网络访问定义允许的协议

允许的协议定义了思科 ISE 可以用于与请求访问网络资源的设备通信的协议集。允许的协议访问服务是一个您应在配置身份验证策略前创建的独立实体。允许的协议访问服务是一个包含特定使用案例的选定协议的对象。

Allowed Protocols Services 页面列出了您创建的所有允许的协议服务。思科 ISE 中预定义了默认网络访问服务。

开始之前

在开始此程序之前,您应该具备用于身份验证的协议服务的基本知识。

  • 请查看本章节中的“思科 ISE 身份验证策略”部分,以了解身份验证类型和各种数据库支持的协议。

  • 查看“PAC 选项”,了解每种协议服务的功能和选项,以便您可以做出适合您的网络的选择。

  • 确保您已定义全局协议设置。

要执行以下任务,您必须是超级管理员或系统管理员。

过程

步骤 1

选择策略 (Policy) > 策略元素 (Policy Elements) > 结果 (Results) > 身份验证 (Authentication) > 允许的协议 (Allowed Protocols)

如果思科 ISE 设置为在 FIPS 模式下运行,则某些协议会在默认情况下处于禁用状态且无法配置。

步骤 2

点击 Add

步骤 3

输入所需信息。

步骤 4

为您的网络选择适当的身份验证协议和选项。

步骤 5

如果您选择使用 PAC,请进行适当的选择。

要启用 Anonymous PAC Provisioning,您必须同时选择以下两个内部方法:EAP-MSCHAPv2 和可扩展身份验证协议-通用令牌卡 (EAP-GTC)。另请注意,思科 ISE 只支持 Active Directory 作为计算机身份验证的外部身份源。

步骤 6

点击 提交 保存允许的协议服务。

允许的协议服务在简单和基于规则的身份验证策略页面中显示为独立对象。您可以将此对象用于不同的规则。

您现在可以创建简单或基于规则的身份验证策略。

如果禁用 EAP-MSCHAP 作为内部方法并为 PEAP 或 EAP-FAST 启用 EAP-GTC 和 EAP-TLS 内部方法,则 ISE 会在内部方法协商过程中启动 EAP-GTC 内部方法。在第一个 EAP-GTC 消息发送到客户端之前,ISE 会执行身份选择策略以从身份库获取 GTC 密码。在执行此策略的过程中,EAP 身份验证等于 EAP-GTC。如果 EAP-GTC 内部方法被客户端拒绝且 EAP-TLS 已经过协商,则系统不会再次执行身份库策略。如果身份库策略基于 EAP 身份验证属性,则它可能会出现意外结果,因为实时 EAP 身份验证基于 EAP-TLS,但设置于身份策略评估之后。

用户的网络接入

对网络接入,主机会连接至网络设备并且请求使用网络资源。网络设备识别新连接的主机,并且将 RADIUS 协议用作传输机制,向思科 ISE 请求对用户进行身份验证和授权。

思科 ISE 根据基于 RADIUS 协议传输的协议支持网络接入流程。

不使用 EAP 的基于 RADIUS 的协议

不包含 EAP 的基于 RADIUS 的协议包含以下协议:

  • 密码身份验证协议 (PAP)

  • CHAP

  • Microsoft 质询握手身份验证协议版本 1 (MS-CHAPv1)

  • MS-CHAP 版本 2 (MS-CHAPv2)

基于 RADIUS 的非 EAP 身份验证流程

本节介绍不使用 EAP 的基于 RADIUS 的身份验证。使用 PAP 身份验证的基于 RADIUS 的流程按以下程序进行:

  1. 主机连接至网络设备。

  2. 网络设备向思科 ISE 发送包含适用于所用具体协议(PAP、CHAP、MS-CHAPv1 或 MS-CHAPv2)的 RADIUS 属性的 RADIUS 请求。

  3. 思科 ISE 使用身份存储区验证用户凭证。

  4. 思科 ISE 向网络设备发送 RADIUS 响应(Access-Accept 或 Access-Reject),然后网络设备将应用此响应决策。

下图显示不使用 EAP 的基于 RADIUS 的身份验证。

图 7. 不使用 EAP 的基于 RADIUS 的身份验证
不使用 EAP 的基于 RADIUS 的身份验证
思科 ISE 支持的非 EAP 协议如下:
密码身份验证协议

PAP 使用双向握手为用户提供建立其身份的简单方法。PAP 密码使用共享密钥加密,是最简单的身份验证协议。PAP 不是强大的身份验证方法,因为其几乎无法抵御反复试错攻击。

思科 ISE 中基于 RADIUS 的 PAP 身份验证

思科 ISE 根据身份存储区检查用户名和密码对,直到其最终确认身份验证或终止连接。

您可以同时将不同安全级别应用于思科 ISE 以满足不同要求。PAP 使用二次握手过程。如果身份验证成功,思科 ISE 返回确认信息;否则,思科 ISE 将停止连接或向发起方提供第二次机会。

发起方完全控制尝试的频率和计时。因此,可以使用更强的身份验证方法的任意服务器都可以在 PAP 之前主动协商该方法。RFC 1334 定义 PAP。

思科 ISE 支持基于 RADIUS UserPassword 属性的标准 RADIUS PAP 身份验证。RADIUS PAP 身份验证与所有身份存储区都兼容。

RADIUS PAP 身份验证流程包括记录成功和失败的尝试。

质询握手身份验证协议

CHAP 使用质询响应机制,其中会对响应进行单向加密。CHAP 使思科 ISE 可以从最安全的加密机制向下协商到最不安全的加密机制,并且会保护流程中传输的密码。CHAP 密码可重复使用。如果使用思科 ISE 内部数据库进行身份验证,您可以使用 PAP 或 CHAP。CHAP 不适用于 Microsoft 用户数据库。与 RADIUS PAP 相比,CHAP 可在从最终用户客户端到 AAA 客户端的通信期间为密码加密实现更高的安全性。

思科 ISE 支持基于 RADIUS ChapPassword 属性的标准 RADIUS PAP 身份验证。思科 ISE 仅支持使用内部身份库进行 RADIUS CHAP 身份验证。

Microsoft 质询握手身份验证协议版本 1
思科 ISE 支持 RADIUS MS-CHAPv1 身份验证和更改密码功能。RADIUS MS-CHAPv1 包含两个版本的更改密码功能:Change-Password-V1 和 Change-Password-V2。思科 ISE 不支持基于 RADIUS MS-CHAP-CPW-1 属性的 Change-Password-V1,仅支持基于 MS-CHAP-CPW-2 属性的 Change-Password-V2。以下身份源支持 RADIUS MS-CHAPv1 身份验证和更改密码功能:

  • 内部身份库

  • Microsoft Active Directory 身份库

Microsoft 质询握手身份验证协议版本 2
RADIUS MS - CHAPv2 身份验证和更改密码功能受以下身份来源支持:

  • 内部身份库

  • Microsoft Active Directory 身份库

基于 RADIUS 的 EAP 协议

EAP 提供了可扩展的框架,支持各种身份验证类型。本节介绍思科 ISE 支持的 EAP 方法,包含下列主题:

简单的 EAP 方法

  • EAP 消息摘要 5

  • 轻型 EAP

使用思科 ISE 服务器证书进行身份验证的 EAP 方法

  • PEAP/EAP-MS-CHAPv2

  • PEAP/EAP-GTC

  • EAP-FAST/EAP-MS-CHAPv2

  • EAP-FAST/EAP-GTC

除了上面列出的方法,还有使用证书进行服务器和客户端身份验证的 EAP 方法。

基于 RADIUS 的 EAP 身份验证流程

只要身份验证流程中涉及 EAP,则开始此流程之前都要执行 EAP 协商以确定应该使用哪个具体的 EAP 方法(以及在适当的情况下使用内部方法)。基于 EAP 的身份验证按照以下程序进行:

  1. 主机连接至网络设备。

  2. 网络设备向主机发送 EAP 请求。

  3. 主机向网络设备回复 EAP 响应。

  4. 网络设备将其从主机接收的 EAP 响应封装入 RADIUS 访问请求(使用 EAP-Message RADIUS 属性)并将此 RADIUS 访问请求发送至思科 ISE。

  5. 思科 ISE 从此 RADIUS 数据包提取 EAP 响应,并且创建新 EAP 请求,将其封装入 RADIUS 访问质询(也是使用 EAP-Message RADIUS 属性),然年后将其发送至网络设备。

  6. 网络设备提取 EAP 请求并将其发送至主机。

这样,主机和思科 ISE 就间接地交换 EAP 消息(通过 RADIUS 传输并穿过网络设备)。以此方式交换的首批 EAP 消息会协商以后用于执行身份验证的具体 EAP 方法。

之后交换的 EAP 消息就用于传输执行实际身份验证所需的数据。如果所协商的具体 EAP 身份验证方法需要,思科 ISE 会使用身份库来验证用户凭证。

思科 ISE 确定身份验证成功还是失败之后,会向网络设备(而且最终也向主机)发送封装入 RADIUS Access-Accept 或 Access-Reject 消息的 EAP-Success 或 EAP-Failure 消息。

下图显示使用 EAP 的基于 RADIUS 的身份验证。

图 8. 使用 EAP 的基于 RADIUS 的身份验证
基于 RADIUS 的 EAP 身份验证
可扩展身份验证协议-消息摘要 5

可扩展身份验证协议-消息摘要 5 (EAP - MD5) 提供单向客户端身份验证。服务器向客户端发送随机质询。客户端在响应中通过使用 MD5 加密质询及密码证明其身份。由于人为截取可看到质询和响应,所以在开放式媒体上使用时,EAP-MD5 容易遭受字典攻击。由于不发生服务器验证,所以也很容易遭受欺骗。思科 ISE 支持思科 ISE 内部身份库的 EAP-MD5 身份验证。在使用 EAP-MD5 协议时,还支持主机查找。

轻型可扩展身份验证协议

目前,思科 ISE 仅将轻型可扩展身份验证协议 (LEAP) 用于思科 Aironet 无线网络。如果不启用此选项,配置为执行 LEAP 身份验证的思科 Aironet 最终用户客户端就无法访问网络。如果所有思科 Aironet 最终用户客户端都使用不同的身份验证协议(例如,可扩展身份验证协议-传输层安全 [EAP-TLS]),我们建议您禁用此选项。


如果用户使用 Network Devices 部分定义的 AAA 客户端作为 RADIUS(思科 Aironet)设备,则必须启用 LEAP、EAP-TLS 或同时启用这两项;否则思科 Aironet 用户将无法进行身份验证。

受保护的可扩展身份验证协议

受保护的可扩展身份验证协议 (PEAP) 提供相互身份验证,确保易受攻击的用户凭证的机密性和完整性,保护其自身抵御被动(窃听)和主动(中间人)攻击,以及安全地生成加密密钥材料。PEAP 与 IEEE 802.1X 标准和 RADIUS 协议兼容。思科 ISE 使用可扩展身份验证协议-Microsoft 质询握手身份验证协议 (EAP-MS-CHAP)、可扩展身份验证协议-通用令牌卡 (EAP-GTC) 和 EAP-TLS 内部方法支持 PEAP 版本 0 (PEAPv0) 和 PEAP 版本 1 (PEAPv1)。思科安全服务客户端 (SSC) 请求方支持思科 ISE 支持的所有 PEAPv1 内部方法。

使用 PEAP 的优势
使用 PEAP 有这些优势:PEAP 以 TLS 为基础,而 TLS 实施广泛,经过了大量安全审查;它为不派生密钥的方法建立密钥;它在隧道内发送身份;它保护内部方法交换和结果消息;它支持分段。
PEAP 协议支持的请求方
PEAP 支持这些请求方:

  • Microsoft 内置客户端 802.1X XP

  • Microsoft 内置客户端 802.1X Vista
  • 思科安全服务客户端 (SSC),4.0 版
  • Cisco SSC,5.1 版
  • Funk Odyssey 访问客户端,4.72 版
  • Intel,12.4.0.0 版
PEAP 协议流程
PEAP 会话可以分为三部分:

  1. 思科 ISE 和对等体建立 TLS 隧道。思科 ISE 提供其证书,但对等体不提供。对等体和思科 ISE 创建密钥以加密隧道内的数据。

  2. 内部方法确定隧道内的数据流:

    • EAP-MS-CHAPv2 内部方法 - EAP-MS-CHAPv2 数据包在不带报头的情况下在隧道内传输。报头的第一个字节包含类型字段。EAP-MS-CHAPv2 内部方法支持更改密码功能。可以配置用户可以尝试通过管理门户更改密码的次数。用户身份验证尝试次数受此数值限制。

    • EAP-GTC 内部方法 - PEAPv0 和 PEAPv1 均支持 EAP-GTC 内部方法。支持的请求方不支持使用 EAP-GTC 内部方法的 PEAPv0。EAP-GTC 支持更改密码功能。可以配置用户可以尝试通过管理门户更改密码的次数。用户身份验证尝试次数受此数值限制。

    • EAP-TLS 内部方法 - Windows 内置请求方不支持在建立隧道后对消息分段,这会影响 EAP-TLS 内部方法。在建立隧道后,思科 ISE 不支持外部 PEAP 消息分段。在建立隧道时,分段会按照 PEAP 文档中的规定进行工作。在 PEAPv0 中,系统将删除 EAP-TLS 数据包信头,而在 PEAPv1 中, EAP-TLS 数据包在传输时保持不变。

    • 可扩展身份验证协议类型、长度、值 (EAP-TLV) 扩展 - EAP TLV 数据包在传输时保持不变。EAP-TLV 数据包在带标头的情况下在隧道内传输。

  3. 如果会话已达到内部方法,会以一种受保护的方式确认成功和失败。

    客户端 EAP 消息始终载于 RADIUS Access-Request 消息中,而服务器 EAP 消息始终载于 RADIUS Access-Challenge 消息中。EAP-Success 消息始终载于 RADIUS Access-Accept 消息中。EAP-Failure 消息始终载于 RADIUS Access-Reject 消息中。丢弃客户端 PEAP 消息会导致丢弃 RADIUS 客户端消息。

思科 ISE 要求在 PEAPv1 通信期间确认 EAP-成功或 EAP-失败消息。对等体必须发送回带有空 TLS 数据字段的 PEAP 数据包,以确认收到成功或失败消息。

可扩展身份验证协议-通过安全隧道的灵活身份验证 (EAP-FAST)

可扩展身份验证协议-通过安全隧道的灵活身份验证 (EAP-FAST) 是提供相互身份验证和使用共享密钥建立隧道的一种身份验证协议。隧道用于保护基于密码的弱身份验证方法。共享密钥称为受保护的访问凭证 (PAC) 密钥,用于对客户端和服务器进行相互身份验证,同时保护隧道安全。

EAP-FAST 的优势
EAP-FAST 相比其他身份验证协议提供以下优势:
  • 相互身份验证 - EAP 服务器必须能够验证对等体的身份和真实性,而且对等体必须能够验证 EAP 服务器的真实性。
  • 抵抗被动字典式攻击 - 许多身份验证协议要求对等体向 EAP 服务器明确地提供纯文本或散列形式密码。
  • 抵抗中间人攻击 - 建立相互验证保护隧道时,协议必须阻止敌对者在对等体和 EAP 服务器之间的对话中成功插入信息。
  • 确保支持许多不同的密码身份验证接口的灵活性,例如 MS-CHAPv2、通用令牌卡 (GTC) 及其他 - EAP-FAST 是一个扩展框架,允许同一服务器支持多个内部协议。
  • 提高效率 - 使用无线介质时,对等体的计算资源和电力资源有限。EAP-FAST 使网络访问通信能够减少计算资源占用。
  • 最大限度减少身份验证服务器的每用户身份验证状态要求 - 对于大型部署,通常有许多服务器充当多个对等体的身份验证服务器。此外,非常理想的情况是,对等体使用同一共享秘钥保护隧道的方式,与它使用用户名和密码获得网络访问权限的方式基本相同。EAP-FAST 促进对等体使用一个强大的共享秘钥,同时使服务器最大限度减少它必须缓存和管理的每用户和设备状态。
EAP-FAST 流程
EAP-FAST 协议流程始终由以下阶段组成:
  1. 调配阶段 - 此阶段是 EAP-FAST 的初始阶段。在此阶段,系统使用思科 ISE 和对等体之间共享的叫作 PAC 的唯一强密钥调配对等体。
  2. 建立隧道阶段 - 客户端和服务器通过使用 PAC 建立全新隧道密钥相互进行身份验证。系统然后使用隧道密钥保护其余对话并实现消息机密性和可靠性。
  3. 身份验证阶段 - 身份验证在隧道内部处理,其包含生成会话密码和受保护的终止。思科 ISE 支持 EAP-FAST 版本 1 和 1a。

从非思科设备启用 MAB

按顺序配置以下设置,可从非思科设备配置 MAB。

过程

步骤 1

确保终端数据库中具有要进行身份验证的终端的 MAC 地址。可以添加这些终端或由分析器服务自动分析这些终端。

步骤 2

根据非思科设备(PAP、CHAP 或 EAP-MD5)使用的 MAC 身份验证类型创建网络设备配置文件。

  1. 依次选择管理 > 网络资源 > 网络设备配置文件

  2. 点击添加 (Add)

  3. 输入网络设备配置文件的名称和描述。

  4. 供应商 (Vendor) 下拉列表中选择供应商名称。

  5. 选中设备支持的协议的复选框。如果设备支持 RADIUS,请选择 RADIUS 字典与网络设备配合使用。

  6. 扩展身份验证/授权 (Authentication/Authorization) 部分,对设备的数据流类型、属性别名和主机查找进行默认设置。

  7. 主机查找 (MAB) (Host Lookup (MAB))部分,请执行以下操作:

    • 处理主机查找 - 选中此复选框以定义网络设备配置文件在主机查找时使用的协议。

      不同供应商的网络设备采用不同方式执行 MAB 身份验证。根据设备类型,为您使用的协议选中检查密码 (Check Password) 复选框和/或检查呼叫站 ID 等于 MAC 地址 (Check Calling-Station-Id equals MAC Address) 复选框。

    • 通过 PAP/ASCII (Via PAP/ASCII) - 选中该复选框可配置思科 ISE 将网络设备配置文件中的 PAP 请求作为一个主机查找请求进行检测

    • 通过 CHAP (Via CHAP) - 选中该复选框可配置思科 ISE 将网络设备配置文件中的此类请求作为一个主机查找请求进行检测

    • 通过 EAP MD5 (Via EAP-MD5) - 选中启用网络设备配置文件基于 EAP 的 MD5 散列身份验证。

  8. 在“权限”、“授权更改 (CoA)”和“重定向”部分输入所需的详细信息,然后点击提交

    有关如何创建自定义 NAD 配置文件的信息,请参阅支持思科身份服务引擎的网络接入设备配置文件

步骤 3

在思科 ISE GUI 中,点击菜单 图标 (),然后选择 管理 > 网络资源 > 网络设备

步骤 4

选择要启用 MAB 的设备,然后点击编辑 (Edit)

步骤 5

在“网络设备”(Network Device) 页面,在设备配置文件 (Device Profile) 下拉列表中选择在步骤 2 中创建的网络设备配置文件。

步骤 6

点击保存

对于思科 NAD,MAB 和网络/用户身份验证使用的服务类型值不同。这样在使用思科 NAD 时,ISE 可将 MAB 身份验证与网络身份验证区分开来。在某些非思科 NAD 中,MAB 身份验证与网络/用户身份验证使用相同的服务类型属性值;这可能会导致您的访问策略出现安全问题。如果您在非思科设备上使用 MAB,我们建议您配置其他的授权策略规则,以确保您的网络安全不受影响。例如,如果一台打印机使用了 MAB,您可以配置授权策略规则,以便于在 ACL 中将 MAB 限制在打印机协议端口。

从思科设备启用 MAB

按顺序配置以下设置从思科设备配置 MAB。

过程

步骤 1

确保终端数据库中具有要进行身份验证的终端的 MAC 地址。可以添加这些终端或由分析器服务自动分析这些终端。

步骤 2

根据思科设备(PAP、CHAP 或 EAP-MD5)使用的 MAC 身份验证类型创建网络设备配置文件。

  1. 在思科 ISE GUI 中,点击菜单 图标 (),然后选择 管理 > 网络资源 > 网络设备配置文件

  2. 点击添加 (Add)

  3. 输入网络设备配置文件的名称和描述。

  4. 选中设备支持的协议的复选框。如果设备支持 RADIUS,请选择 RADIUS 字典与网络设备配合使用。

  5. 扩展身份验证/授权 (Authentication/Authorization) 部分,对设备的数据流类型、属性别名和主机查找进行默认设置。

  6. 主机查找 (MAB) (Host Lookup (MAB))部分,请执行以下操作:

    • 处理主机查找 - 选中此复选框以定义网络设备配置文件在主机查找时使用的协议。

      根据设备类型,为您使用的协议选中检查密码 (Check Password) 复选框和/或检查呼叫站 ID 等于 MAC 地址 (Check Calling-Station-Id equals MAC Address) 复选框。

    • 通过 PAP/ASCII (Via PAP/ASCII) - 选中该复选框可配置思科 ISE 将网络设备配置文件中的 PAP 请求作为一个主机查找请求进行检测

    • 通过 CHAP (Via CHAP) - 选中该复选框可配置思科 ISE 将网络设备配置文件中的此类请求作为一个主机查找请求进行检测

    • 通过 EAP MD5 (Via EAP-MD5) - 选中启用网络设备配置文件基于 EAP 的 MD5 散列身份验证。

  7. 在“权限”、“授权更改 (CoA)”和“重定向”部分输入所需的详细信息,然后点击提交

    有关如何创建自定义 NAD 配置文件的信息,请参阅支持思科身份服务引擎的网络接入设备配置文件

步骤 3

在思科 ISE GUI 中,点击菜单 图标 (),然后选择 管理 > 网络资源 > 网络设备

步骤 4

选择要启用 MAB 的设备,然后点击编辑 (Edit)

步骤 5

在“网络设备”(Network Device) 页面,在设备配置文件 (Device Profile) 下拉列表中选择在步骤 2 中创建的网络设备配置文件。

步骤 6

点击保存

ISE 社区资源

有关 IP 电话身份验证功能的信息,请参阅电话身份验证功能

TrustSec 架构

思科 TrustSec 解决方案可建立受信任的网络设备云以构建安全网络。思科 TrustSec 云中的每个设备都由其相邻设备(对等体)进行身份验证。TrustSec 云中设备之间的通信由加密、消息完整性检查和数据路径重放保护机制进行保护。TrustSec 解决方案使用在身份验证期间获取的设备和用户身份信息来在数据包进入网络时给数据包进行分类或确定颜色。此数据包分类在数据包进入 TrustSec 网络时由标记数据包进行维护,从而可以正确识别数据包,以沿着数据路径应用安全性和其他策略条件。此标签也称为安全组标签 (SGT),思科 ISE 可通过此标签使终端设备在 SGT 上执行操作以过滤流量,从而实施访问控制策略。

下图显示 TrustSec 网络云的一个示例。

图 9. TrustSec 架构
TrustSec 架构

ISE 社区资源

有关如何使用思科 TrustSec 简化网络分段并提高安全性的信息,请参阅使用思科 TrustSec 简化网络分段基于策略的软件定义分段和思科 TrustSec 提高安全性白皮书

有关思科TrustSec平台支持矩阵的完整列表,请参阅思科TrustSec平台支持表。http://www.cisco.com/c/en/us/solutions/enterprise-networks/trustsec/trustsec_matrix.html

有关适用于 TrustSec 的支持文档的完整列表,请参阅思科 TrustSec

有关 TrustSec 社区资源的完整列表,请参阅 TrustSec 社区

TrustSec 组件

TrustSec 的重要组件包括:

  • 网络设备准入控制 (NDAC) - 在受信任网络中,在身份验证期间,TrustSec 云上的每个网络设备(例如以太网交换机)都由其对等体设备对其凭证和可信度进行验证。NDAC 使用基于 IEEE 802.1X 端口的身份验证并且将可扩展身份验证协议-通过安全隧道的灵活身份验证 (EAP-FAST) 用作其可扩展身份验证协议 (EAP) 方法。如果在 NDAC 流程中身份验证和授权成功,则系统将为 IEEE 802.1AE 加密执行安全关联协议协商。思科 ISE 为从 IOSXE 17.1 开始的交换平台和从 IOSXE 17.6 开始的路由平台提供 CTS 调配 (EAP-FAST) TLSv1.2。

  • 终端准入控制 (EAC) - 对连接 TrustSec 云的终端用户或设备执行的身份验证流程。EAC 通常发生于访问级别交换机上。如果在 EAP 流程中身份验证和授权成功,系统将向用户或设备分配 SGT。用于身份验证和授权的 EAC 访问方法包括:

    • 基于 802.1X 端口的身份验证

    • MAC 身份验证绕行 (MAB)

    • Web 身份验证 (WebAuth)

  • 安全组 (SG) - 共用访问控制策略的一组用户、终端设备和资源。SG 由思科 ISE 中的管理员定义。当向 SGA 域添加新用户和设备时,思科 ISE 将这些新的实体分配到相应的安全组。

  • 安全组标签 (SGT) - TrustSec 服务向每个安全组分配一个唯一 16 位安全组编号,其范围为 TrustSec 域内的全局范围。交换机内安全组的数量限制为已通过身份验证的网络实体的数量。您无需手动配置安全组数量。它们是自动生成的,但是您可以选择将一系列 SGT 保留用于 IP 到 SGT 的映射。

  • 安全组访问控制列表 (SGACL) - SGACL 允许您根据所分配的 SG 控制访问和权限。将权限归入角色可以简化安全策略的管理。当您添加设备时,只需分配一个或多个安全组,这些安全组就会立即获得相应权限。您可以修改安全组以引入新的权限或限制当前权限。

  • 安全交换协议 (SXP) - SGT 交换协议 (SXP) 是为 TrustSec 服务开发的一种协议,将整个不具有支持 SGT 的硬件的网络设备上的 IP 到 SGT 绑定表传送至支持 SGT/SGACL 的硬件。

  • 环境数据下载 - TrustSec 设备在首次联接受信任网络时从思科 ISE 获取其环境数据。您也可以在设备上手动配置某些数据。设备必须在到期之前刷新环境数据。TrustSec 设备从思科 ISE 获取以下环境数据:

    • 服务器列表 - 列出客户端可以用于以后的 RADIUS 请求的服务器列表(适用于身份验证和授权)

    • 设备 SG - 设备自身所属的设备组

    • 过期超时 - 控制 TrustSec 设备应该多久下载或更新一次其环境变量的时间间隔

  • 身份到端口的映射 - 交换机在终端所连接的端口上定义身份以及将身份用于在思科 ISE 服务器中查找特定 SGT 值所使用的方法。

TrustSec 术语

下表列出某些用于 TrustSec 解决方案的常用术语及其在 TrustSec 环境中的含义。

表 15. TrustSec 术语

术语

含义

请求方

尝试加入受信任网络的设备。

身份验证

在允许每台设备加入受信任网络之前验证设备身份的过程。

授权

根据已经过身份验证的设备身份决定请求访问受信任网络上的资源的设备的访问级别的过程。

访问控制

根据分配给每个数据包的 SGT 对每个数据包应用访问控制的过程。

安全通信

为保护流经受信任网络中的每条链路的数据包进行加密、完整性和数据路径重放保护的过程。

TrustSec 设备

支持 TrustSec 解决方案的任何思科 Catalyst 6000 系列或 Cisco Nexus 7000 系列交换机。

支持 TrustSec 的设备

支持 TrustSec 的设备将具有支持 TrustSec 的硬件和软件。例如,带 Nexus 操作系统的 Nexus 7000 系列交换机。

TrustSec 种子设备

直接对思科 ISE 服务器进行身份验证的 TrustSec 设备。此设备同时用作验证器和请求方。

入口

当数据包首次遇到支持 TrustSec 的设备时,这些数据包会被标上 SGT 标记。该设备已加入启用了 Cisco TrustSec 解决方案的网络。进入受信任网络的这个点称为入口。

出口

当数据包通过最后一台支持 TrustSec 的设备时,这些数据包会被取消标记。该设备已加入启用了 Cisco TrustSec 解决方案的网络。退出受信任网络的这个点称为出口。

TrustSec 支持的交换机和需要的组件

要设置启用思科 TrustSec 解决方案的思科 ISE 网络,您需要支持 TrustSec 解决方案的交换机和其他组件。除交换机外,您还需要其他组件用于基于身份的用户访问控制(使用 IEEE 802.1X 协议)。有关支持 Trustsec 的思科交换机平台和必要组件的完整的最新列表,请参阅启用 TrustSec 的思科基础设施

Cisco Catalyst Center 集成

Catalyst Center 可提供一种使用 ISE 创建信任通信链接的机制,并以一种安全的方式与思科 ISE 共享数据。向 Catalyst Center 注册思科 ISE 后,Catalyst Center 发现的任何设备以及相关配置和其他数据都会被推送到思科 ISE。您可以使用 Catalyst Center 发现设备,然后向其应用 Catalyst Center 和思科 ISE 功能,因为这些设备将显示在两个应用中。Catalyst Center 和思科 ISE 设备均使用它们的设备名称唯一标识。

Catalyst Center 连接到思科 ISE

有关为思科 ISE 配置 Catalyst Center 的信息,请参阅《Cisco Catalyst Center 安装指南》。

本部分提供有关适于 Catalyst Center 的思科 ISE 配置的其他信息。

  • 密码:Catalyst Center 在连接到思科 ISE 时使用思科 ISE 管理员用户名和密码。 有关系统密码的详情,请参阅思科 ISE 的管理员访问
    2.2.1.0 版本之前的 Catalyst Center 使用思科 ISE CLI 来执行初始集成步骤。因此,思科 ISE CLI 以及管理员用户名和密码必须相同。从 Catalyst Center 版本 2.2.1.0 开始,不再使用思科 ISE CLI,因此思科 ISE CLI 以及管理员用户名和密码无需相同。

  • API:必须在思科 ISE 中启用外部 RESTful 服务 (ERS) API 服务。确保在思科 ISE 中禁用使用 CSRF 检查以增强安全性 (Use CSRF Check for Enhanced Security) 选项。

  • pxGrid:思科 ISE 是 pxGrid 控制器,Catalyst Center 是用户。思科 ISE 和 Catalyst Center 均监控 TrustSec (SD-Access) 内容,其中包含 SGT 和 SGACL 信息。同步思科 ISE 与 Catalyst Center 之间的系统时钟。有关思科 ISE 中 pxGrid 的详细信息,请参阅Cisco pxGrid 节点
    思科 ISE 支持 pxGrid 2.0 和 pxGrid 1.0。虽然 pxGrid 2.0 允许思科 ISE 部署中有最多 4 个 pxGrid 节点,但是 Catalyst Center 目前不支持两个以上 pxGrid 节点。

  • 思科 ISE IP 地址:思科 ISE PAN 与 Catalyst Center 之间的连接必须是直接连接。不能通过代理、负载均衡器或虚拟 IP 地址进行连接。

    验证思科 ISE 是否未使用代理。否则,请从代理中排除 Catalyst Center IP。

  • SXP:Catalyst Center 不需要 SXP。您可能希望在将思科 ISE 连接到 Catalyst Center 托管网络时启用 SXP,以便思科 ISE 与没有 TrustSec (SD-Access) 硬件支持的网络设备进行通信。


    在将思科 ISE 部署配置为支持 TrustSec 时,或者当思科 ISE 与 Catalyst Center 集成时,请勿将策略服务节点配置为仅 SXP。SXP 是 TrustSec 与非 TrustSec 设备之间的接口。它不与启用了 TrustSec 的网络设备通信。

  • 思科 ISE 连接的证书:

    • 思科 ISE 管理员证书必须在使用者名称或 SAN 中包含思科 ISE IP 或 FQDN。

    • SSH 密钥、ISE SSH 访问或 Catalyst Center 与思科 ISE 连接证书不支持 ECDSA。

    • Catalyst Center 上的自签名证书必须具有 cA:TRUE 的基本约束扩展(RFC5280 部分 4.2.19)。


在 2.2.1.0 版本之前的 Catalyst Center 版本中需要启用 SSH。从 Catalyst Center 版本 2.2.1.0 开始,不再使用 SSH,因此无需启用 SSH。

安全服务插入

安全服务插入通过根据预定义策略将流量引导通过防火墙来增强网络安全性。这支持零信任安全解决方案。

安全服务插入支持有线和无线部署,并且与思科和第三方防火墙兼容,包括本地部署和云托管解决方案。

当思科 ISE 与 Catalyst Center 集成以启用安全服务插入时,Catalyst Center 将:

  • 执行网络自动化,将流量重定向到防火墙;

  • 配置流量引导策略,确定将流量引导至防火墙的方式;以及

  • 将流量引导策略推送到思科 ISE 和连接的设备。

通过 Catalyst Center 管理的流量引导策略,可使用思科 ISE 提供的 API 定义和更新策略。这些策略遵循与 TrustSec 类似的工作流程,但在执行方式上有所不同。TrustSec 在出口交换机上根据 SGACL 实施策略以允许或拒绝流量,而流量引导策略会将流量重定向到防火墙进行检查。

思科 ISE API 在安全服务插入中起着关键作用,它有助于创建策略,并允许网络设备根据配置的源安全组检索和实施策略。

要将思科 ISE API 用于安全服务插入,请确保在思科 ISE GUI 中完成以下预检查。

验证是否已…

如果未…

工作中心 > TrustSec > 设置 > 常规 TrustSec 设置下启用用于网络设备的 TrustSec HTTP 服务

点击用于网络设备的 TrustSec HTTP 服务以启用 HTTP 服务。

(可选)在工作中心 > TrustSec > 设置 > 常规 TrustSec 设置下启用在审核中包含整个响应负载正文

仅当您希望在审核响应中包含整个负载时,才点击在审核中包含整个响应负载正文

工作中心 > TrustSec > 设置 > 工作流程设置中启用启用多矩阵复选框。

更新对多矩阵的支持。

重要

 

“启用多矩阵”是必填项。默认情况下,思科 ISE 中禁用对多矩阵的支持。Catalyst Center 管理员必须使用思科 ISE 中的 TrustSec OpenAPI 启用对多矩阵的支持。

管理 > 网络资源 > 网络设备 > HTTPS REST API 设置下启用 HTTPS REST API 设置启用 TrustSec 验证报告复选框。

选中 HTTPS REST API 设置启用 TrustSec 验证报告复选框,以启用 REST API 和 TrustSec 验证报告,并为网络设备提供唯一的用户名和密码。

管理 > 系统 > 设置 > API 设置 > API 服务设置下启用 ERS API 设置

点击 ERS API 设置以启用 ERS API 设置。

您的 PSN 服务器已添加到工作中心 > TrustSec > 组件 > TrustSec 服务器 > HTTPS 服务器下的 TrustSec HTTPS 服务器列表中。

将您的 PSN 服务器添加到 TrustSec HTTPS 服务器列表中。

思科 ISE API 与安全服务插入

您可以使用

  • 思科 ISE 中的 TrustSec OpenAPI 来创建矩阵、修改矩阵工作流程设置,并将矩阵与网络设备组关联。

  • 思科 ISE 中的 SGACL ERS API 来创建流量引导约定。

  • 思科 ISE 中的出口矩阵单元 ERS API 来创建流量引导策略。

  • CTS APIs 来管理设备通信。

参考资料

  • 有关配置和使用安全服务插入的信息,请参阅《Cisco Catalyst Center 用户指南(版本 3.1.x)》中的“安全服务插入”。

  • 有关如何配置流量引导策略的信息,请参阅《思科 Catalyst Center用户指南(版本 3.1.x)》中的“配置流量引导策略”章节。

  • 有关在结构站点上配置安全服务插入的信息,请参阅《Cisco Catalyst Center 用户指南(版本 3.1.x)》中的“在结构站点上配置安全服务插入”。

TrustSec 控制面板

TrustSec 控制面板是 TrustSec 网络中的一个集中式监控工具。

TrustSec 控制面板包含以下面板:

  • 指标 (Metrics):“指标”(Metrics) Dashlet 显示与 TrustSec 网络行为有关的统计信息。

  • 活动 SGT 会话 (Active SGT Sessions):“活动 SGT 会话”(Active SGT Sessions) Dashlet 显示网络中当前活动的 SGT 会话。“警报”(Alarms) Dashlet 显示与 TrustSec 会话相关的警报。

  • 警报

  • NAD/SGT/ACI 快速查看 (NAD / SGT/ACI Quick View):“快速查看” (Quick View) Dashlet 显示 NAD 和 SGT 的 TrustSec 相关信息。

  • TrustSec 会话 / NAD 活动/ACI 终端活动实时日志:从实时日志 (Livelog) 下拉列表中,选择 TrustSec 会话以查看活动的 TrustSec 会话。您也可以选择 NAD 活动或 ACI 终端活动,以便查看有关 TrustSec 协议数据请求的信息,以及 NAD 发给思科 ISE 的响应的信息。

指标

本节显示有关 TrustSec 网络行为的统计信息。您可以选择时间段(例如,过去 2 小时、过去 2 天等)和图表类型(例如,条形图、折线图、样条曲线图)。

图中显示了最新的数据条值。它还显示了相对于之前数据条的变化百分比。如果数据条值增加,则它将显示为绿色并带一个加号。如果值有所下降,则它将显示为红色并带一个减号。

将光标置于图形的数据条上,可查看该值的计算时间及其确切值,格式如下:<Value:xxxx Date/Time: xxx>

您可以查看以下指标:

SGT 会话

显示在所选时间段内创建的 SGT 会话总数。

 
SGT 会话是在授权流中接收 SGT 的用户会话。

正在使用的 SGT

显示在所选时间段内使用的唯一 SGT 总数。例如,如果在一个小时内有 200 个 TrustSec 会话,但在授权响应中 ISE 仅以 6 种类型的 SGT 进行响应,则图形将针对该小时显示值 6。

警报

显示在所选时间段内发生的警报和错误总数。错误以红色显示,而警报以黄色显示。

正在使用的 NAD

显示在所选时间段内参与 TrustSec 身份验证的唯一 NAD 数。

当前网络状态

控制面板的中间部分显示有关 TrustSec 网络当前状态的信息。在加载页面时,图中显示的值会更新,且可使用“刷新控制面板”(Refresh Dashboard) 选项刷新这些值。

活动 SGT 会话

此 dashlet 显示当前在网络中处于活动状态的 SGT 会话。您可以查看使用最多或最少的前 10 个 SGT。X 轴显示 SGT 使用情况,Y 轴显示 SGT 的名称。

要查看 SGT 的 TrustSec 会话详细信息,请点击与该 SGT 对应的条形。与该 SGT 相关的 TrustSec 会话的详细信息显示在“实时日志”(Live Log) dashlet 中。

警报

此 dashlet 显示与 TrustSec 会话相关的警报。您可以查看以下详细信息:

  • 警报严重性 - 显示一个表示警报严重性级别的图标。

    • 高 - 包括指示 TrustSec 网络中出现故障的警报(例如,设备无法刷新其 PAC)。用红色图标标记。

    • 中 - 包括指示网络设备配置错误的警告(例如,设备无法接受 CoA 消息)。用黄色标记。

    • 低 - 包括有关网络行为的一般信息和更新(例如,TrustSec 中的配置更改)。用蓝色标记。

  • 警报说明

  • 自上次重置此警报计数器以来发生的警报次数。

  • 最后一次发生警报的时间

快速查看

“快速查看”(Quick View) 面板显示网络接入设备 (NAD) 的 TrustSec 相关信息。还可以查看 SGT 的 TrustSec 相关信息。

NAD 快速查看

在搜索框中输入您想要查看其详细信息的 TrustSec 网络设备的名称并按 Enter。搜索框提供自动填写功能,当用户在文本框中输入时,它可过滤设备名称并在下拉框中显示匹配的设备名称。

此 Dashlet 会显示以下信息:

  • NDG:列出此网络设备所属的网络设备组 (NDG)。

  • IP 地址 (IP Address):显示网络设备的 IP 地址点击此链接可在“实时日志”(Live Logs) Dashlet 中查看 NAD 活动详细信息。

  • 活动会话 (Active sessions):连接到此设备的活动 TrustSec 会话数。

  • PAC 有效期 (PAC expiry):显示 PAC 的到期日期。

  • 上次策略更新时间 (Last Policy Refresh):显示策略的上次下载日期。

  • 上次身份验证时间 (Last Authentication):显示此设备上次身份验证报告的时间戳。

  • 活动 SGT (Active SGTs):列出在与此网络设备相关的活动会话中使用的 SGT。方括号中显示的数字表示当前正在使用该 SGT 的会话的数量。点击 SGT 链接,在“实时日志”(Live Log) Dashlet 中查看 TrustSec 会话的详细信息。

您可以使用“显示最新日志”(Show Latest Logs) 选项查看该设备的 NAD 活动实时日志。

SGT 快速查看

在搜索框中输入您想要查看详细信息的 SGT 的名称并按 Enter

此 Dashlet 会显示以下信息:

  • 值 (Value):显示 SGT 值(十进制和十六进制)。

  • 图标 (Icon):显示分配给该 SGT 的图标。

  • 活动会话 (Active sessions):列出当前正在使用该 SGT 的活动会话的数量。

  • 唯一用户 (Unique users):列出在活动会话中持有该 SGT 的唯一用户的数量。

  • 已更新的 NAD (Updated NADs):列出已下载用于该 SGT 的策略的 NAD 数量。

ACI 快速查看

此 Dashlet 会显示以下信息:

  • SDA SGTs:列出思科 ISE 发送到思科 SD-Access 的 SGT 数量。

  • ACI EPG:列出思科 ISE 从 Cisco ACI 获知的 EPG 数量。

  • SDA 绑定 (SDA Bindings):列出思科 ISE 发送到思科 SD-Access 的绑定数量。

  • ACI 绑定:列出思科 ISE 从 Cisco ACI 获知的绑定数量。

  • SDA VN:列出思科 ISE 从思科 SD-Access 获知的虚拟网络数量。

  • ACI VN:列出思科 ISE 从 Cisco ACI 获知的虚拟网络数量。

  • SDA 扩展 VN (SDA Extended VNs):列出从思科 SD-Access 域发送到思科 ACI 域的扩展虚拟网络数量。

  • SDA 租户 (SDA Tenant):显示思科 SD-Access 与思科 ISE 共享的租户的名称。

  • ACI 租户 (ACI Tenants):列出思科 ACI 与思科 SD-Access 共享的租户的数量。

  • SDA 域 ID (SDA Domain ID):显示思科 SD-Access 的域 ID 编号。

  • ACI 域 ID (ACI Domain ID):显示思科 ACI 的域 ID 编号。

  • 对等状态 (Peering State):显示思科 SD-Access 域与思科 ACI 域之间对等关系的当前状态。

实时日志

实时日志 (Livelog) 下拉列表中,选择以下选项以查看相关信息:

  • 点击 Trustsec 会话 (TrustSec Sessions) 以查看活跃的 TrustSec 会话(响应中包含 SGT 的会话)。

  • NAD 活动 (NAD Activity) 以查看有关 TrustSec 协议数据请求和 NAD 对思科 ISE 的响应的信息。

  • 通过 ACI 终端活动查看思科 ISE 从 Cisco ACI 获知的 IP-SGT 信息。

配置 TrustSec 全局设置

为了让思科 ISE 充当 TrustSec 服务器并提供 TrustSec 服务,必须定义某些全局 TrustSec 设置。

开始之前

  • 配置全局 TrustSec 设置之前,确保已定义全局 EAP-FAST 设置(选择 Administration > System > Settings > Protocols > EAP-FAST > EAP-FAST Settings)。

    可以将 Authority Identity Info Description 更改为思科 ISE 服务器名称。此说明是用户友好字符串,描述向终端客户端发送凭证的思科 ISE 服务器。思科 TrustSec 架构中的客户端可以是运行 EAP-FAST 作为其 EAP 方法进行 IEEE 802.1X 身份验证的终端,也可以是执行网络设备访问控制 (NDAC) 的请求方网络设备。客户端可以在受保护的访问凭证 (PAC) 类型长度值 (TLV) 信息中发现此字符串。默认值为 Identity Services Engine。应该更改此值,以便可以在 NDAC 身份验证时在网络设备上唯一识别思科 ISE PAC 信息。

  • 要执行以下任务,您必须是超级管理员或系统管理员。

过程

步骤 1

在思科 ISE GUI 中,点击菜单 图标 (),然后选择 工作中心 > TrustSec > 设置 > 通用 TrustSec 设置

步骤 2

在字段中输入值。有关这些字段的信息,请参阅 通用 TrustSec 设置

步骤 3

点击保存

下一步做什么

通用 TrustSec 设置

定义全局 TrustSec 设置,以便思科 ISE 作为 TrustSec 服务器运行。要查看此处窗口,请点击菜单 图标 (),然后选择工作中心 > TrustSec > 设置 > 常规 TrustSec 设置

验证 TrustSec 部署

此选项可帮助验证所有网络设备上是否部署了最新的 TrustSec 策略。如果在思科 ISE 和网络设备上配置的策略之间存在任何差异,“警报”Dashlet 中会显示警报,该 Dashlet 位于工作中心 > TrustSec > 控制面板和主页 > 摘要 下。TrustSec 控制面板中会显示以下警报:

  • 每当验证过程开始或完成时,系统都会显示带有信息 (Info) 图标的警报。

  • 如果由于新的部署请求而取消验证过程,则会显示带有信息图标的警报。

  • 如果验证过程因错误而失败,则会显示带有警告 (Warning) 图标的警报。例如,无法打开与网络设备的 SSH 连接,或当网络设备不可用,或当思科 ISE 和网络设备上配置的策略之间存在任何差异。

验证部署 (Verify Deployment) 选项也可从以下窗口选择。在思科 ISE GUI 中,点击菜单 图标 (),然后选择

  • 工作中心 > TrustSec > 组件 > 安全组

  • 工作中心 > TrustSec > 组件 > 安全组 ACL

  • 工作中心 > TrustSec > TrustSec 策略 > 出口策略 > 矩阵

  • 工作中心 > TrustSec > TrustSec 策略 > 出口策略 > 源树

  • 工作中心 > TrustSec > TrustSec 策略 > 出口策略 > 目标树

每次部署后自动验证 (Automatic Verification After Every Deploy):如果希望思科 ISE 在每次部署后验证所有网络设备上的更新,请选中此复选框。部署过程完成后,经过您在部署过程后的时间 (Time after Deploy Process) 字段中指定的时间后,验证过程开始。

部署过程后的时间 (Time After Deploy Process):指定您希望思科 ISE 在部署过程完成后等待多长时间,然后再开始验证过程。有效范围为 10–60 分钟。

如果在等待期间收到新的部署请求或正在进行其他验证,则会取消当前验证过程。

立即验证 (Verify Now):点击此选项可立即开始验证过程。

受保护的访问凭证 (PAC)

PAC 仅支持 IPv4 地址。

  • 隧道 PAC 生存时间

    指定 PAC 的到期时间。隧道 PAC 为 EAP-FAST 协议生成隧道。您可以秒、分钟、小时、天或周为单位指定时间。默认值为 90 天。以下是有效范围:

    • 1–157680000 秒

    • 1–2628000 分钟

    • 1–43800 小时

    • 1–1825 天

    • 1–260 周

  • 进行主动 PAC 更新前所经历的时间 (Proactive PAC Update Will Occur After):当剩余的隧道 PAC TTL 百分比达到设定值时,思科 ISE 会在成功身份验证后主动向客户端提供新 PAC。如果第一次成功身份验证发生在 PAC 到期之前,则服务器会启动隧道 PAC 更新。此机制会为客户端更新有效的 PAC。默认值为 10%。

安全组标签编号

  • 系统将分配 SGT 编号 (System will Assign SGT Numbers):如果希望思科 ISE 自动生成 SGT 编号,请选择此选项。

  • 除范围内的编号外 (Except Numbers in Range):选择此选项可保留一系列 SGT 编号以进行手动配置。思科 ISE 在生成 SGT 时不会使用此范围的值。

  • 用户必须手动输入 SGT 编号 (User Must Enter SGT Numbers Manually):选择此选项可手动定义 SGT 编号。

APIC EPG 的安全组标签编号 (Security Group Tag Numbering for APIC EPGs)

APIC EPG 的安全组标签编号:选中此复选框,指定编号范围以用于根据从 APIC 获取的 EPG 创建的 SGT。

自动创建安全组

创建授权规则时自动创建安全组 (Auto Create Security Groups When Creating Authorization Rules):选中此复选框可在创建授权策略规则时自动创建 SGT。

如果选中此选项,授权策略窗口顶部会显示以下消息:开启自动安全组创建

自动创建的 SGT 根据规则属性命名。


即使删除相应的授权策略规则,自动创建的 SGT 也不会被删除。

默认情况下,此选项在全新安装或升级后会被禁用。

  • 自动命名选项:使用此选项定义自动创建的 SGT 的命名规则。

    (必填)名称将包括 (Name Will Include):选择以下选项之一:

    • 规则名称

    • SGT 号

    • 规则名称和 SGT 编号

    默认选中规则名称选项。

    或者,可以将以下信息添加到 SGT 名称:

    • 策略集名称 (Policy Set Name)(此选项仅在已启用策略集 (Policy Sets) 时可用)

    • 前缀 (Prefix)(最多 8 个字符)

    • 后缀 (Suffix)(最多 8 个字符)

    根据您的选择,思科 ISE 会在示例名称 (Example Name) 字段中显示一个 SGT 名称示例。

    如果存在名称相同的 SGT,ISE 会在 SGT 名称上附加 _x,其中 x 是从1(如果当前名称中未使用 1)开始的第一个值。如果新名称超过 32 个字符,思科 ISE 会将其截断为前 32 个字符。

IP SGT 主机名静态映射

IP SGT 主机名静态映射 (IP SGT Static Mapping of Hostnames):如果使用 FQDN 和主机名,则思科 ISE 会在部署映射和检查部署状态的同时在 PAN 和 PSN 节点中查找对应的 IP 地址。您可以使用此选项指定为 DNS 查询返回的 IP 地址创建的映射数。您可以选择以下其中一个选项:

  • 为 DNS 查询返回的所有 IP 地址创建映射 (Create mappings for all IP addresses returned by a DNS query)

  • 仅为 DNS 查询返回的第一个 IPv4 地址和第一个 IPv6 地址创建映射 (Create mappings only for the first IPv4 address and the first IPv6 address that is returned by a DNS query)

用于网络设备的 TrustSec HTTP 服务

  • 启用 HTTP 服务:使用 HTTP 通过 9063 端口将 TrustSec 数据传输到网络设备。

  • 在审核中包括整个响应负载正文 (Include entire response payload body in Audit):启用此选项可在审核日志中显示整个 TrustSec HTTP 响应负载正文。此选项可能会显着降低性能。当禁用此选项时,仅会记录 HTTP 信头、状态和身份验证信息。

配置 TrustSec 矩阵

开始之前

要执行以下任务,您必须是超级管理员或系统管理员。

过程

步骤 1

依次选择工作站 (Work Centers) > TrustSec >设置 (Settings) > TrustSec 矩阵设置 (TrustSec Matrix Settings)

步骤 2

在思科 ISE GUI 中,点击菜单 图标 (),然后选择 工作中心 > TrustSec > 设置 > TrustSec 矩阵设置

步骤 3

在“TrustSec 矩阵设置”(TrustSec Matrix Settings) 页面输入所需的详细信息。

步骤 4

点击保存

TrustSec 表格设置

下表介绍“TrustSec 矩阵设置”(TrustSec Matrix Settings) 窗口上的字段。要查看此处窗口,请点击菜单 图标 (),然后选择工作中心 (Work Centers ) > TrustSec > 设置 (Settings) > TrustSec 矩阵设置 (TrustSec Matrix Settings)

表 16. 配置 TrustSec 表格设置

字段名称

使用指南

允许多个 SGACL (Allow Multiple SGACLs)

如果要在一个单元格中允许多个 SGACL 请选中此复选框。如果未选择此选项,思科 ISE 只允许每个单元格一个 SGACL。

默认情况下,此选项在全新安装时禁用。

升级后,思科 ISE 将扫描出口单元格,因此,如果识别到至少一个被分配多个 SGACL 的单元格,将允许管理员在单元格中添加多个 SGACL。否则,它仅允许每个单元格一个 SGACL。

 
在禁用的多个 SGACL 之前,您必须编辑包含多个 SGACL 的单元格仅包含一个 SGACL。

允许监控

选中此复选框可启用对表格中所有单元格的监控。如果禁用监控,“监控全部”(Monitor All) 图标会灰显,“编辑单元格”(Edit Cell) 对话中的“监控”(Monitor) 选项被禁用。

默认情况下,监控在全新安装禁用。

 
在禁用表格级别的监控之前,必须禁用对当前接受监控的单元格的监控。

显示 SGT 数量 (Show SGT Numbers)

使用此选项可显示或隐藏表格单元格中 SGT 值(十进制和十六进制)。

默认情况下,SGT 值在单元格中显示。

外观设置 (Appearance Settings)

可提供以下选项:

  • 自定义设置 (Custom settings):最初显示默认主题(有颜色无图案)。您可以自主设置颜色和图案。

  • 默认设置 (Default settings):预定义的有颜色无图案列表(不可编辑)。

  • 辅助功能设置 (Accessibility settings):预定义的有颜色有图案列表(不可编辑)。

颜色/图案 (Color/Pattern)

要使表格更易读,可根据单元格颜色将颜色和图案应用于表格单元格。

提供以下显示类型:

  • 允许 IP/允许 IP 日志 (Permit IP/Permit IP Log):单元格内已配置

  • 拒绝 IP/拒绝 IP 日志 (Deny IP/Deny IP Log):单元格内已配置

  • SGACL:用于单元格内已配置的 SGACL

  • 允许 IP/允许 IP日志(沿用)(Permit IP/Permit IP Log (Inherited)):从(非已配置单元格)默认策略中获取

  • 拒绝 IP/拒绝 IP 日志(沿用)(Deny IP/Deny IP Log (Inherited)):从(非已配置单元格)默认策略中获取

  • SGACL(沿用)(SGACLs (Inherited)):从(非已配置单元格)默认策略中获取

配置 TrustSec 设备

为了让思科 ISE 处理来自启用 TrustSec 的设备的请求,您必须在思科 ISE 中定义这些启用 TrustSec 的设备。

过程

步骤 1

在思科 ISE GUI 中,点击菜单 图标 (),然后选择 工作中心 > TrustSec > 组件 > 网络设备

步骤 2

点击添加 (Add)

步骤 3

Network Devices 部分中输入所需信息。

步骤 4

选中 Advanced Trustsec Settings 复选框以配置支持 Trustsec 的设备。

步骤 5

点击提交

OOB TrustSec PAC

TrustSec PAC 仅支持 IPv4 地址。

所有 TrustSec 网络设备都将 TrustSec PAC 视为 EAP-FAST 协议的一部分。安全 RADIUS 协议也使用此 TrustSec PAC,其中 RADIUS 共享密钥是根据 PAC 携带的参数推导而来。这些参数中的 Initiator-ID 参数包含 TrustSec 网络设备身份,即设备 ID。

如果使用 TrustSec PAC 识别设备,并且在思科 ISE 上为该设备配置的设备 ID 和 PAC 上的 Initiator-ID 之间不匹配,则身份验证失败。

有些 TrustSec 设备(例如思科防火墙 ASA)不支持 EAP-FAST 协议。因此,思科 ISE 无法通过 EAP-FAST 使用 TrustSec PAC 调配这些设备。系统会在思科 ISE 上生成 TrustSec PAC 并且需要手动将其复制到设备上,所以这又称为带外 (OOB) TrustSec PAC 生成。

当从思科 ISE 生成 PAC 时,系统会生成使用加密密钥加密的 PAC 文件。

本节介绍以下主题:

从设置屏幕生成 TrustSec PAC

可以从设置屏幕生成 TrustSec PAC。

过程

步骤 1

在思科 ISE GUI 中,点击菜单 图标 (),然后选择 管理 (Administration) > 系统 (System) > 设置 (Settings)

步骤 2

从左侧的 Settings 导航窗格中,点击 Protocols

步骤 3

依次选择 EAP-FAST > Generate PAC

步骤 4

生成 TrustSec PAC。

从网络设备屏幕生成 TrustSec PAC

您可以从“网络设备”(Network Devices) 屏幕生成 TrustSec PAC。

过程

步骤 1

在思科 ISE GUI 中,点击菜单 图标 (),然后选择 工作中心 > TrustSec > 组件 > 网络设备

步骤 2

点击添加 (Add)。您还可以从“网络设备”(Network Devices) 导航窗格的操作图标上点击 添加新设备 (Add new device)

步骤 3

如果要添加新设备,请提供设备名称。

步骤 4

选中TrustSec 高级设置 (Advanced TrustSec Settings) 复选框以配置 TrustSec 设备。

步骤 5

带外 (OOB) TrustSec PAC (Out of Band (OOB) TrustSec PAC) 子部分下,点击生成 PAC (Generate PAC)

步骤 6

提供以下详细信息:

  • PAC Time to Live - 输入值(单位:天、周、月或年)。默认情况下,该值为一年。最小值为一天,最大值为十年。

  • Encryption Key - 输入加密密钥。密钥的长度必须介于 8 和 256 个字符之间。密钥可以包含大写或小写字母或数字,或字母数字字符的组合。

    加密密钥用于对生成的文件中的 PAC 进行加密。此密钥也用于解密该设备上的 PAC 文件。因此,建议管理员保存加密密钥以供日后使用。

    “身份”(Identity) 字段指定 TrustSec 网络设备的设备 ID,并且 EAP-FAST 协议会提供发起方 ID。如果此处输入的身份字符串与“网络设备创建”(Network Device creation) 页面中 TrustSec 部分下定义的设备 ID 不匹配,那么身份验证将会失败。

    根据 PAC 存活时间 (PAC Time to Live) 计算到期日期。

步骤 7

点击生成 PAC (Generate PAC)

从“网络设备”(Network Devices) 列表屏幕生成 TrustSec PAC

您可以从“网络设备”(Network Devices) 列表屏幕生成 TrustSec PAC。

过程

步骤 1

在思科 ISE GUI 中,点击菜单 图标 (),然后选择 工作中心 > TrustSec > 组件 > 网络设备

步骤 2

点击网络设备 (Network Devices)

步骤 3

选中要为其生成 TrustSec PAC 的设备旁边的复选框,然后点击生成 PAC (Generate PAC)

步骤 4

在字段中提供详细信息。

步骤 5

点击生成 PAC (Generate PAC)

按钮

出口策略中的 Push 选项可以启动 CoA 通知,告知 Trustsec 设备立即从思科 ISE 请求关于出口策略中的配置更改的更新。

配置思科 TrustSec AAA 服务器

TrustSec AAA 服务器仅支持 IPv4 地址。

您可以在 AAA 服务器列表中配置启用了思科 TrustSec 的思科 ISE 服务器列表,以便思科 TrustSec 设备针对其中任何服务器进行身份验证。点击“推送”(Push) 时,此列表中的新服务器将下载到 TrustSec 设备。当思科 TrustSec 设备尝试进行身份验证时,它会从此列表中选择任意思科 ISE 服务器。如果第一台服务器关闭或繁忙,思科 TrustSec 设备可以向此列表中的任何其他服务器自行进行身份验证。默认情况下,主要思科 ISE 服务器是思科 TrustSec AAA 服务器。建议您配置更多思科 ISE 服务器,以获得更可靠的思科 TrustSec 环境。

如果某个 ISE 节点配置为 TrustSec AAA 服务器,且该节点已从部署中注销,您必须执行以下操作之一:

  • 向列表中添加一个活跃的 PSN ,然后删除已注销的服务器;或

  • 使用活跃 PSN 的主机名和 IP 地址更新现有的 AAA 服务器条目。

如果思科 ISE 主 PAN 是通过 Amazon Web Services (AWS) 中的 Amazon 系统映像 (AMI) 配置的,由于已知限制,它会自动添加为具有错误主机名和 IP 地址值的思科 TrustSec AAA 服务器。在 TrustSec AAA 服务器 窗口中,通过提供正确的主机名和 IP 地址详细信息来添加思科 ISE 服务器。然后,选中服务器旁边的复选框,从 TrustSec AAA 服务器 窗口中删除自动添加的服务器,然后点击 删除。有关通过 AWS 配置的思科 ISE 服务器的更多信息,请参阅《思科 ISE 安装指南》中的“通过 AW 安装思科 ISE”章节。

此页面列出了部署中您已配置为思科 TrustSec AAA 服务器的思科 ISE 服务器。

开始之前

要执行以下任务,您必须是超级管理员或系统管理员。

过程

步骤 1

在思科 ISE GUI 中,点击菜单 图标 (),然后选择 工作中心 > TrustSec > 组件 > TrustSec AAA 服务器

步骤 2

点击添加 (Add)

步骤 3

按如下所述输入值:

  • 名称:要分配至此 AAA 服务器列表中的思科 ISE 服务器的名称。此名称可与思科 ISE 服务器的主机名不同。

  • 说明:可选说明。

  • IP:您正添加到 AAA 服务器列表的思科 ISE 服务器的 IP 地址。

     

    从思科 ISE 版本 3.5 补丁 2 开始,TrustSec AAA 服务器支持 IPv6。

  • 端口:TrustSec 设备与服务器之间进行通信所在的端口。默认值为 1812。

步骤 4

点击提交

步骤 5

在随后显示的 AAA 服务器 窗口中,点击 推送

下一步做什么

配置安全组。

TrustSec HTTPS 服务器

默认情况下,思科 ISE 使用 RADIUS 在思科 ISE 和 Trustsec NAD 之间交换 Trustsec 环境数据。您可以将思科 ISE 配置为使用 HTTPS,它比 RADIUS 更快、更可靠。思科 ISE 使用 REST API 实施 HTTP 传输。

HTTPS 传输要求:

  • 端口 9603 必须在 HTTPS 服务器和 Trustsec 网络设备之间开放。

  • 连接到 PSN 的每个网络设备上的 HTTPS 服务器凭证必须是唯一的。

  • 思科交换机运行 16.12.2、17.1.1 或更高版本。

要配置 HTTPS 传输,请执行以下操作:

  1. 在每个网络设备上,启用 HTTP 文件传输,并要求凭证。

  2. 在思科 ISE 中,在常规 Trustsec 设置 (General Trustsec Settings) 中启用网络设备的 Trustsec REST API 服务 (Trustsec REST API Service for Network Devices)

  3. 在思科 ISE 中,编辑每个 PSN 的网络设备定义,选中启用 HTTP REST API (Enable HTTP REST API) 并输入网络设备的 HTTP 服务器的凭证。

  4. 在思科 ISE 中,将该网络设备作为 Trustsec HTTPs 服务器添加到 Trustsec > 组件 (Components) 下。


如果仅为 HTTPS 配置一个节点,则未为 HTTPS 配置的 Trustsec 服务器不会显示在 Trustsec 服务器列表中。您必须在 HTTPS 部署中配置所有其他启用 Trustsec 的节点。如果未为 HTTPS 配置 PSN,则使用 RADIUS,并且所有思科 ISE 都会列出此 Trustsec 部署中的所有 PSN 节点。

配置完成后,思科 ISE 会在 Trustsec > 网络设备 (Network Devices) 下的 TrustSec 环境数据中返回已配置服务器的列表。

调试

在调试中启用 ERS。此设置记录所有 ERS 流量。请勿将此设置保持启用状态超过 30 分钟,以避免日志文件过载。

您可以通过选中 Trustsec > 设置 (Settings) > 常规 TrustSec 设置 (General Trustsec Settings)网络设备的 Trustsec REST API 服务 (Trustsec REST API Service for Network Devices) 下的包括请求负载正文 (Include request payload body),启用其他审核信息。常规 Trustsec 设置

在思科 ISE TrustSec HTTPS 服务器中添加外部服务器

您可以通过将一个或多个外部服务器添加到 HTTPS 服务器列表来实现 HTTPS TrustSec 服务的负载均衡。

外部服务器可以通过以下方式之一来充当负载均衡器:

  • SSL 终止

    在此设置中,外部服务器是由启用了 TrustSec 的网络设备启动的 SSL 连接的终止点。同时,服务器会与 PSN 节点建立自己的 SSL 会话并充当代理,在网络设备和特定 PSN 节点之间转发信息。因此,外部服务器必须持有包含其 IP 地址、FQDN 或两者的证书。该证书必须受网络设备信任。

    对于外部服务器和 PSN 节点之间的 SSL 会话,外部服务器必须信任 PSN 节点的证书。这种信任的建立是外部服务器的一个特定设备配置方面,具体取决于用于此目的的产品。

  • SSL 直通

    在这种设置中,外部服务器将充当 IP 地址转换设备,只需让网络设备与 PSN 节点之间的通信通过即可。因此,外部服务器上没有证书,需要在网络设备和 PSN 节点之间建立证书信任。

    PSN 节点为此所用的证书必须包含外部服务器的 IP 地址,因为网络设备使用外部服务器的 IP 地址建立 SSL 会话。这可以通过使用通配符证书或通用证书来实现。您可以在通用证书中添加多个 FQDN、IP 地址或两者来作为 SAN 条目。

无论选择哪种部署选项,只要外部服务器将通信从网络设备导向特定的 PSN 节点,就必须确保该连接的持久性。这意味着通信的所有部分都必须只在该网络设备和特定 PSN 节点之间进行。

开始之前

要执行以下任务,您必须是超级管理员或系统管理员。

过程

步骤 1

在思科 ISE GUI 中,点击菜单 图标 (),然后选择 工作中心 > TrustSec > 组件 > Trustsec 服务器 > HTTPS 服务器

步骤 2

点击添加外部服务器 (Add External Server)

步骤 3

输入下列详细信息:

  • 名称:要添加到思科 ISE HTTPS 服务器列表的外部服务器的名称。

  • 主机名 (FQDN):外部服务器的主机名。

     

    您可以选择提供外部服务器的主机名或 IP 地址。

  • 说明:可选说明。

  • 端口:TrustSec 设备与外部服务器之间进行通信所在的端口。

  • IP 地址:您正添加到思科 ISE HTTPS 服务器列表的外部服务器的 IP 地址。

步骤 4

点击添加证书 (Add Certificate)

需要 SSL 证书才能使外部服务器进行负载均衡操作和安全通信。从根证书开始,按信任链顺序添加证书。

步骤 5

证书名称 (Certificate name) 字段中输入名称。

步骤 6

证书 (Certificate) 字段中添加 SSL 证书。您可以通过附加文件或粘贴剪贴板中的证书来执行此操作。

步骤 7

点击保存

通知栏会显示一个对话框,其中包含以下信息:

有一些 TrustSec 配置更改尚未通知网络设备。要将这些更改通知相关网络设备,请点击按钮。

步骤 8

点击推送

相关网络设备现在会收到这些配置更改的通知。

您现在可以在思科 ISE HTTPS 服务器列表中看到外部服务器。

安全组配置

安全组 (SG) 或安全组标签 (SGT) 是在 TrustSec 策略配置中用到的元素。在可信任的网络中移动时,SGT 连接到数据包。这些数据包在进入可信任的网络(入口)时被标记,离开可信任的网络(出口)时被取消标记。

SGT 按顺序生成,但您可以选择为 IP 到 SGT 映射保留一些 SGT。生成 SGT 时,思科 ISE 跳过保留的编号。

TrustSec 服务使用这些 SGT 在出口实施 TrustSec 策略。

您可以在 Admin 门户从以下页面配置安全组:

  • 在思科 ISE GUI 中,点击菜单 图标 (),然后选择 工作中心 > TrustSec > 组件 > 安全组

  • 直接从出口策略页面,在 Configure > Create New Security Group 配置。

更新多个 SGT 后,点击 Push 按钮,发起环境 CoA 通知。此环境 CoA 通知转至全部 TrustSec 网络设备,强迫它们开始策略/数据刷新请求。


建议不要频繁使用推送 (Push)部署 (Deploy) 按钮。当矩阵或 SGACL 发生变化时,请在执行下一个部署操作之前检查通知栏是否存在任何待处理的部署请求。

在思科 ISE 中管理安全组

必备条件

要创建、编辑或删除安全组,您必须是超级管理员或系统管理员。

添加安全组

  1. 在思科 ISE GUI 中,点击菜单 图标 (),然后选择工作中心 > TrustSec > 组件> 安全组

  2. 点击 Add 以添加新安全组。

  3. 为新安全组输入名称和说明(可选)。

  4. 输入 Tag Value。标签值可以设置为手动输入或自动生成。您还可以为 SGT 保留范围。您可以从以下位置对其进行配置:“通用 TrustSec 设置”页面(工作中心 > TrustSec > 设置 > 通用 TrustSec 设置)。

  5. 点击保存

删除安全组

您无法删除源或目标仍在使用的安全组。这包括映射到思科 ISE 中的功能的默认组:

  • 自带设备

  • 访客

  • TrustSec 设备

  • Unknown

将安全组导入思科 ISE

您可以使用逗号分隔值 (CSV) 文件将安全组导入思科 ISE 节点。您必须在更新模板之后才能将安全组导入思科 ISE。您不能同时运行同一资源类型的导入。例如,您无法同时导入来自两个不同导入文件的安全组。

您可以从管理员门户下载 CSV 模板,在模板中输入您的安全组详细信息,并将该目标保存为 CSV 文件,接着您就可以将此文件导入回思科 ISE。

在导入安全组的过程中,您可以在思科 ISE 遇到第一个错误时停止导入过程。

过程

步骤 1

在思科 ISE GUI 中,点击菜单 图标 (),然后选择工作中心 > TrustSec > 组件 > 安全组

步骤 2

点击导入 (Import)

步骤 3

点击浏览从正在运行客户端浏览器的系统选择 CSV 文件。

步骤 4

选中遇到第一个错误时停止导入复选框。

步骤 5

点击导入 (Import)

从思科 ISE 导出安全组

您可以将思科 ISE 中配置的安全组导出为 CSV 文件,您可以使用此文件将这些安全组导入到其他思科 ISE 节点中。

过程

步骤 1

依次选择工作中心 > TrustSec > 组件 > 安全组 ACL

步骤 2

点击导出 (Export)

步骤 3

要导出安全组,您可以执行下述操作中的一项:

  • 选中您希望导出的组旁的复选框,并依次选择导出 (Export) > 导出选定对象 (Export Selected)

  • 选择导出 (Export) > 导出全部 (Export All) 以导出所有定义的安全组。

步骤 4

将 export.csv 文件保存到您的本地硬盘中。

添加 IP 和主机名 SGT 静态映射

您可以使用 IP 地址和主机名 SGT 静态映射,将 SGT 信息部署到 TrustSec 设备和 SGT 域。在全球部署中,不同的 DNS 服务器通常会将相同的 FQDN 解析为不同的 IP 地址。基于主机名的映射可确保思科 ISE 捕获所有解析后的 IP 地址,并将其映射到正确的 SGT。创建映射时,您可以指定用于部署的 SGT 域、目标设备和映射组。

过程

步骤 1

在思科 ISE GUI 中,点击菜单 图标 (),然后选择 工作中心 > TrustSec > 组件 > IP 和主机名 SGT 静态映射

步骤 2

点击添加映射

步骤 3

添加映射区域,选择以下两个选项之一:

  • IP 地址:

    输入所需的 IP 地址。

  • 主机名

    输入这些详细信息:

    1. 主机名:输入所需的主机名。

    2. 解析 ISE 节点:从解析 ISE 节点下拉列表中,选择一个或多个思科 ISE 节点。这些节点提供用于主机名解析的 PSN 信息。如果一个主机名解析为多个 IP 地址,思科 ISE 会使用所选 SGT 为每个解析后的 IP 地址创建静态 IP-SGT 映射。系统会汇总这些映射,并在思科 ISE GUI 中显示总数。点击该计数可查看各个 IP 地址的详细信息。

    3. 生存时间:选择自动或手动输入时间(以秒为单位)。您可以输入 300 至 604800 秒之间的值。

步骤 4

映射到 SGT 字段中,选择以下两个选项之一:

  • 映射到 SGT

    • SGT 下拉列表中,选择所需的 SGT 值。

    • 映射目标列中,选择 SGT 域使用 SSH 的设备两者

    • 目标 SGT 域下拉列表中,选择目标 SGT 域。

    • (可选)从使用 SSH 的目标设备下拉列表中,选择要通过 SSH 配置的目标设备。

  • 分配映射组

    • 映射组下拉列表中,选择所需的组。如果要使用现有映射组,请参阅添加到映射组

步骤 5

点击保存

部署 IP 和主机名 SGT 静态映射

添加映射后,使用部署选项在目标网络设备上部署映射。仅当启用 SSH 功能时,才会使用部署选项。这会指示思科 ISE 通过 SSH 登录到指定的网络设备,并通过 CLI 将映射添加到运行配置中。如果仅需将映射发送到 SGT 域,则不使用“部署”功能。即使您之前已保存映射,也必须明确部署它们。点击检查状态以验证设备的部署状态。

过程

步骤 1

在思科 ISE GUI 中,点击菜单 图标 (),然后选择 工作中心 > TrustSec > 组件> IP和主机名 SGT 静态映射

步骤 2

选中要部署的映射旁边的复选框。如果要部署所有映射,请选中顶部的复选框。

步骤 3

点击部署

所有 TrustSec 设备都列在部署 IP 和主机名 SGT 静态映射窗口中。

步骤 4

选中所选映射必须部署到的设备或设备组旁边的复选框。

  • 如果要选择所有设备,请选中顶部的复选框。

  • 使用过滤选项搜索特定的设备。

  • 如果未选择任何设备,所选映射会部署到所有 TrustSec 设备上。

  • 当您选择设备以部署新映射时,思科 ISE 会选择所有将受新映射影响的设备。

步骤 5

点击部署。部署按钮会更新受新映射影响的所有设备上的映射。

部署状态窗口显示设备更新顺序以及由于错误或设备无法访问而未更新的设备。部署完成后,窗口会显示已成功更新的设备总数和未更新的设备数量。

IP 和主机名 SGT 静态映射页面中使用检查状态选项,可检查特定设备是否存在同一 IP 地址被分配不同 SGT 的情况。您可以使用此选项查找映射冲突的设备、映射到多个 SGT 的 IP 地址以及分配到同一 IP 地址的 SGT。即使在部署中使用了设备组、FQDN、主机名或 IPv6 地址,也可以使用检查状态 (Check Status) 选项。在部署这些映射之前,必须删除冲突的映射或修改部署范围。

IPv6 地址可用于 IP 和主机名 SGT 静态映射。这些映射可以使用 SSH 或 SXP 传播到特定网络设备或网络设备组。

如果使用 FQDN 和主机名,思科 ISE 会在部署映射和检查部署状态时查找 PAN 和 PSN 节点中对应的 IP 地址。

使用常规 TrustSec 设置 (General TrustSec Settings) 窗口中的 IP SGT 主机名静态映射 (IP SGT Static Mapping of Hostnames) 选项可指定为 DNS 查询返回的 IP 地址创建的映射数。选择以下选项之一:

  • 为 DNS 查询返回的所有 IP 地址创建映射。

  • 仅为 DNS 查询返回的第一个 IPv4 地址和第一个 IPv6 地址创建映射

将 IP 和主机名 SGT 静态映射导入思科 ISE

您可以使用 CSV 文件导入 IP 和主机名 SGT 静态映射。

您还可以从管理门户下载 CSV 模板,输入您的映射详细信息,将该模板另存为 CSV 文件,然后将其导回思科 ISE。

过程

步骤 1

在思科 ISE GUI 中,点击菜单 图标 (),然后选择 工作中心 > TrustSec > 组件> IP 和主机名 SGT 静态映射

步骤 2

点击导入 (Import)

步骤 3

点击浏览从正在运行客户端浏览器的系统选择 CSV 文件。

步骤 4

点击上传 (Upload)

从思科 ISE 导出 IP 和主机名 SGT 静态映射

您可以以 CSV 文件格式导出 IP 和主机名 SGT 静态映射。您可以使用此文件将这些映射导入到另一个思科 ISE 节点。

过程

步骤 1

在思科 ISE GUI 中,点击菜单 图标 (),然后选择 工作中心 > TrustSec > 组件> IP 和主机名 SGT 静态映射

步骤 2

执行以下操作:

  • 选中要导出的映射旁的复选框,然后选择导出 (Export) > 已选择 (Selected)

  • 选择导出 (Export) > 所有 (All) 导出所有映射。

步骤 3

将 mappings.csv 文件保存到您的本地硬盘中。

添加 SGT 映射组

开始之前

要执行以下任务,您必须是超级管理员或系统管理员。

过程

步骤 1

在思科 ISE GUI 中,点击菜单 图标 (),然后选择 工作中心 > TrustSec > 组件 > IP 和主机名 SGT 静态映射 > 管理组。

步骤 2

点击 Add

步骤 3

输入映射组的名称和说明。

步骤 4

请按以下步骤操作:

  • 从“SGT”下拉列表中选择一个 SGT

  • 从下拉列表中选择映射的虚拟网络。

  • 选择映射必须在其之上部署的 SXP VPN 组。

  • 指定要部署映射的设备。您可以在所有 Trustsec 设备、选定的网络设备组或选定的网络设备上部署该映射。

步骤 5

点击保存
您可以将 IP 和主机名 SGT 映射从一个映射组移至到另一个映射组。

您还可以更新或删除映射和映射组。要更新一个映射或映射组,请选中要更新的映射或映射组旁边的复选框,然后点击编辑。要删除映射或映射组,请选中要删除的映射或映射组旁边的复选框,然后点击垃圾 (Trash) > 选定 (Selected)。当删除映射组时,该组内的 IP 和主机名 SGT 映射也会删除。

添加安全组访问控制列表

开始之前

要执行此任务,您必须是超级管理员或系统管理员。

过程

步骤 1

在思科 ISE GUI 中,点击菜单 图标 (),然后选择工作中心 > TrustSec > 组件 > 安全组 ACL

步骤 2

添加 Add 创建新安全组 ACL。

步骤 3

输入这些详细信息:

  • Name - SGACL 的名称

  • Description - SGACL 的可选说明

  • IP Version - 此 SGACL 支持的 IP 版本:

    • IPv4 - 支持 IP 版本 4 (IPv4)

    • IPv6 - 支持 IP 版本 6 (IPv6)

    • Agnostic - 同时支持 IPv4 和 IPv6

  • Security Group ACL Content - 访问控制列表 (ACL) 命令。例如:

    permit icmp

    deny ip

    安全组 ACL 内容区域中,输入 ACL 命令,然后点击验证语法以检查正确性。系统会对输入进行评估。系统会确认语法是否有效,或突出显示缺失或不正确的属性。ACL 验证结果区域会显示评估结果。如果验证成功,系统会显示“验证成功”消息。如果验证失败,会显示“ACL 无效”消息。

    保存安全组 ACL 时,语法验证也会自动运行。如果验证未成功,系统会显示通知。

     

    系统会根据预定义的一组常见 ACL 格式验证语法。支持的格式包括:

    • [permit|deny] [ip|ipv6|icmp] [log]

    • [permit|deny] [tcp|udp] [src|dst] [eq|neq|lt|gt|range] [port_number|named_port] [log]

    任何与支持格式不匹配的 ACL 均视为无效。但您可以选择忽略验证错误并保存 ACL。

    这使您能够同时适配使用思科 ISE 不识别的旧版 ACL 语法的传统网络设备,以及使用思科 ISE 尚未支持的 ACL 语法的新型设备。

    保存 SGACL 后,您可以在“策略矩阵”中引用它,并与网络设备共享以实施策略。

    默认策略可以配置为 permit IPpermit ip logdeny ipdeny ip log。TrustSec 网络设备将默认策略附加到特定信元策略的末尾。

    以下是两个 SGACL 示例,供参考。每个示例均包含一条最终的默认匹配规则。第一个示例拒绝最终的默认匹配规则,第二个示例允许相关流量。

    Permit_Web_SGACL

    permit tcp dst eq 80
permit tcp dst eq 443
deny ip

    Deny_JumpHost_Protocols

    deny tcp dst eq 23
deny tcp dst eq 23
deny tcp dst eq 3389
permit ip

    下表列出了适用于 IOS、IOS XE 和 NS-OS 操作系统的 SGACL 语法。

    SGACL CLI 和 ACE

    IOS、IOS XE 和 NX-OS 通用的语法

    config acl

    deny, exit, no, permit

    deny

    permit

    ahp, eigrp, gre, icmp, igmp, ip, nos, ospf, pcp, pim, tcp, udp

    deny tcp

    deny tcp src

    deny tcp dst

    dst, log, src

    deny tcp dst eq

    deny tcp src eq

    range 0 65535

    deny udp

    deny udp src

    deny udp dest

    Dst, log, src

    deny tcp dst eq www

    deny tcp src eq www

    range 0 65535

     

    部分思科交换机不允许使用连字符。所以 permit dst eq 32767-65535 无效。使用 permit dst eq range 32767 65535。某些思科交换机的命令语法中不需要使用 eq。因此,permit dst eq 32767-65535 在这些交换机中无效。请改为使用 permit dst 32767-65535 o或permit dst range 32767 65535

步骤 4

点击推送

“推送”(Push) 选项可启动 CoA 通知,告知 Trustsec 设备立即向思科 ISE 请求关于配置更改的更新。

思科 ISE 有以下预定义 SGACL:Permit IP、Permit IP Log、Deny IP 和 Deny IP Log。您可以使用这些 SGACL 通过 GUI 或 ERS API 配置 TrustSec 矩阵。虽然这些 SGACL 未在 GUI 的“安全组 ACL”(Security Group ACLs) 列表页面中列出,但当您使用 ERS API 列出可用的 SGACL(ERS getAll 调用)时,这些 SGACL 将列出。

出口策略

出口表列出已保留和未保留的源和目标 SGT。此页还允许您过滤出口表以查看特定策略并保存这些预设过滤器。当源 SGT 尝试到达目标 SGT时,基于出口策略中定义的 TrustSec 策略,支持 TrustSec 的设备会执行 SGACL。思科 ISE 创建并调配策略。

SGT 和 SGACL 是创建 TrustSec 策略的基础,在您创建 SGT 和 SGACL 后,通过将 SGACL 分配至源和目标 SGT,您就可以在二者之间建立起关系。

每个源 SGT 到目标 SGT 的组合即为出口策略中的一个信元。

在思科 ISE GUI 中,点击菜单 图标 (),然后选择 工作中心 > TrustSec > TrustSec 策略 > 出口策略

有三种方式查看出口策略:

  • 源树视图

  • 目标树视图

  • 矩阵视图

源树视图

源树视图以折叠状态列出源 SGT 紧凑而且组织有序的视图。您可以展开任意源 SGT 以查看列出与所选源 SGT 相关的所有信息的内部表。该视图仅显示映射至目标 SGT 的源 SGT。如果展开特定源 SGT,会在表格中列出映射到此源 SGT 的所有目标 SGT 以及对应的策略 (SGACL)。

您将看到三个点 (...) 旁边的一些字段。这表示此单元格包含更多信息。您可以将光标放在这三个点上以在快速视图弹出窗口中查看其余信息。当您将光标放在 SGT 名称或 SGACL 名称上时,系统会打开一个快速查看弹出窗口,显示该具体 SGT 或 SGACL 的内容。

目标树视图

目标树视图以折叠状态列出目标 SGT 的精简和组织视图。可以展开任意目标 SGT,以查看列出所有与该选定目标 SGT 相关的信息的内部表。此视图仅显示映射到源 SGT 的目标 SGT。如果您展开特定的目标 SGT,会在表格中列出所有映射到该目标 SGT 的源 SGT 以及相应的策略 (SGACL)。

您将看到三个点 (...) 旁边的一些字段。这表示此单元格包含更多信息。您可以将光标放在这三个点上以在快速视图弹出窗口中查看其余信息。当您将光标放在 SGT 名称或 SGACL 名称上时,系统会打开一个快速查看弹出窗口,显示该具体 SGT 或 SGACL 的内容。

矩阵视图

出口策略的矩阵视图与电子表格类似。它包含两个轴:

  • 源轴 - 此垂直轴列出所有源 SGT。

  • 目标轴 - 此水平轴列出所有目标 SGT。

源 SGT 到目标 SGT 的映射以单元格表示。如果某个单元格包含数据,则表示对应的源 SGT 和目标 SGT 之间有一个映射。此矩阵视图中有两类单元格:

  • 有映射的单元格 - 源和目标 SGT 对与一组有序的 SGACL 关联并且具有指定的状态。

  • 无映射的单元格 - 源和目标 SGT 对不与任何 SGACL 关联并且不具有指定的状态。

出口策略单元格显示源 SGT、目标 SGT 和在 SGACL 下作为单独列表的 Final Catch All Rule,以逗号隔开。如果 Final Catch All Rule 设置为 None,则不显示。矩阵中空单元格表示无映射的单元格。

在出口策略矩阵视图中,您可以滚动浏览矩阵以查看所需单元格集。浏览器不会一次性加载全部矩阵数据。浏览器会请求服务器加载属于您所滚动浏览区域的数据。这样可以防止内存溢出和性能问题。

您可使用视图 (View) 下拉列表中的以下选项更改表格视图。

  • 带 SGACL 名称压缩 - 如果选择此选项,空单元格会被隐藏,且单元格中显示 SGACL 名称。

  • 不带 SGACL 名称压缩 - 空单元格会被隐藏,且单元格中不显示 SGACL 名称。当您要查看更多表格单元格和使用颜色、图案和图标(单元格状态)区分单元格时,此视图非常有用。

  • 带 SGACL 名称全屏 - 如果选择此选项,左侧与上面的菜单会被隐藏,且单元格中显示 SGACL 名称。

  • 不带 SGACL 名称全屏 - 选中此选项时,表格以全屏模式显示,且单元格中不显示 SGACL 名称。

ISE 允许您创建、命名并保存自定义视图。要创建自定义视图,请选择显示 (Show) > 创建自定义视图 (Create Custom View)。您还可以更新视图标准或删除未使用的视图。

此表格视图的 GUI 元素与源视图及目标视图的相同。但是,它还包括以下其他元素:

矩阵维度

通过 Matrix 视图中的 Dimension 下拉列表,可以设置矩阵的维度。

创建自定义视图

开始之前

要执行以下任务,您必须是超级管理员或系统管理员。

过程

步骤 1

在矩阵视图 (Matrix View) 页面,从显示 (Show) 下拉列表中选择创建自定义视图 (Create Custom View) 选项。

步骤 2

编辑视图 (Edit View) 对话框中,输入以下详细信息:

  • “视图名称”(View Name) - 输入自定义视图的名称。

  • “源安全组”(Source Security Groups) - 将要纳入自定义视图的 SGT 移至“显示”(Show) 转发框。

  • “显示与目标相关”(Show Relevant for Destination) - 如果要覆盖您在“源安全组显示”(Source Security Group Show) 转发框中的选择,并复制“目标安全组隐藏”(Destination Security Group Hide) 转发框中的所有条目,选中此复选框。如果条目超过 200 个,将不能对数据进行复制,并且会显示警告消息。

  • “目标安全组”(Destination Security Groups) - 将要纳入自定义视图的 SGT 移至“显示”(Show) 转发框。

  • “显示与源相关”(Show Relevant for Source) - 如果要覆盖您在“目标安全组显示”(Destination Security Group Show) 转发框中的选择,并复制“源安全组隐藏”(Source Security Group Hide) 转发框中的所有条目,选中此复选框。

  • “通过…排序矩阵”(Sort Matrix By) - 您可以选择以下其中一个选项:

    • “手动顺序”(Manual Order)

    • “标签号”(Tag Number)
    • “SGT 名称”(SGT Name)

步骤 3

点击保存

矩阵操作

通过矩阵进行导航

您可以通过矩阵进行导航,方法是使用光标拖曳矩阵内容区域,或者使用水平和垂直滚动条。您可以点击并按住某个单元格,沿任何方向拖曳该单元格以及整个矩阵内容。源栏和目标栏随单元格一起移动。选中某个单元格时,矩阵视图突出显示该单元格以及相应的行(源 SGT)和列(目标 SGT)。选定单元格的坐标(源 SGT 和目标 SGT)显示在矩阵内容区域的下方。

选中矩阵中的单元格

要选中矩阵视图中的某个单元格,请点击该单元格。选定的单元格会显示不同的颜色,并且源 SGT 和目标 SGT 会突出显示。要取消选中某个单元格,只需再次点击该单元格或者选中另一个单元格即可。不允许在矩阵视图中选中多个单元格。双击单元格以编辑单元格的配置。

从出口策略配置 SGACL

您可以直接从“出口策略”(Egress Policy) 页面创建安全组 ACL。

过程

步骤 1

依次选择工作中心 > TrustSec > TrustSec 策略 > 出口策略

步骤 2

从“源或目标树视图”(Source or Destination Tree View) 页面,选择配置 (Configure) > 创建新的安全组 ACL (Create New Security Group ACL)

步骤 3

输入所需的详细信息,并点击提交

配置工作进程设置

开始之前

要执行以下任务,您必须是超级管理员。

过程

步骤 1

依次选择工作中心 > TrustSec > 设置 > 工作流程设置

步骤 2

选择以下选项之一:

  • 单个矩阵 (Single Matrix) - 如果要仅为 TrustSec 网络中的所有设备创建一个策略矩阵,请选择此选项。

  • 多个矩阵 (Multiple Matrices) - 允许您为不同场景创建多个策略矩阵。您可以使用这些矩阵将不同的策略部署到不同的网络设备。

     

    矩阵是独立的,并且每个网络设备只能分配给一个矩阵。

  • 具有批准进程的生产和暂存矩阵 (Production and Staging Matrices with Approval Process) - 如果要启用工作流模式,请选择此选项。选择分配给编辑和审批人角色的用户。您可以仅从策略管理员和超级管理员组中选择用户。用户不能同时分配给编辑和审批人角色。

    对于已分配给编辑和审批人角色的用户,确保其电子邮件地址已配置,否则有关工作流程进程的电子邮件通知不会发送给这些用户。

    启用工作流模式后,分配到编辑器角色的用户可以创建暂存矩阵,选择要在其上部署暂存策略的设备,并将暂存策略提交给批准人以供批准。指定为审批人角色的用户可以审核暂存策略,并批准或拒绝请求。暂存策略只有经审批人审核并批准后,才可以在选择的网络设备上进行部署。

步骤 3

如果要创建 DEFCON 矩阵,请选中使用 DEFCONS (Use DEFCONS) 复选框。

DEFCON 矩阵是备用策略矩阵,可以在出现网络安全漏洞时轻松部署。

您可以创建以下严重性级别的 DEFCON 矩阵:Critical、Severe、Substantial 和 Moderate。

当激活 DEFCON 矩阵时,相应的 DEFCON 策略将立即部署在所有 TrustSec 网络设备上。您可以使用禁用 (Deactivate) 选项从网络设备中删除 DEFCON 策略。

步骤 4

点击保存

矩阵列表页面

TrustSec 策略矩阵和 DEFCON 矩阵列于矩阵列表 (Matrices Listing) 页面中。在思科 ISE GUI 中,点击菜单 图标 (),然后选择 工作中心 > TrustSec > TrustSec 策略 > 出口策略 > 矩阵列表。您还可以查看分配给每个矩阵的设备数量。


当启用单个矩阵模式并禁用 DEFCON 矩阵选项时,不会显示“矩阵列表”(Matrices Listing) 页面。

您可以在矩阵列表 (Matrices Listing) 页面执行以下操作:

  • 添加新矩阵

  • 编辑现有矩阵

  • 删除矩阵

  • 复制现有矩阵

  • 将 NAD 分配到矩阵

通过使用分配 NAD (Assign NAD) 选项,可以将 NAD 分配到矩阵。为此:

  1. 在“分配网络设备”(Assign Network Devices) 窗口中,选择要分配到矩阵的网络设备。还可以使用过滤器选项选择网络设备。

  2. 从矩阵下拉列表中选择矩阵。所有现有矩阵和默认矩阵均列于此下拉列表中。

在向矩阵分配设备后,点击“推送”(Push) 向相关网络设备通知 TrustSec 配置更改。

在对矩阵列表 (Matrices Listing) 页面进行操作时,请注意以下问题:

  • 您无法编辑、删除或重命名默认矩阵。

  • 在创建新的矩阵时,您可以从空白矩阵开始,也可以从复制现有矩阵的策略开始。

  • 如果删除矩阵,分配给该矩阵的 NAD 会自动移动到默认矩阵。

  • 当您复制现有矩阵时,系统将创建矩阵副本,但不会自动将设备分配给此副本矩阵。

  • 在多矩阵模式下,所有设备将在初始阶段分配到默认矩阵。

  • 在多矩阵模式下,某些 SGACL 可能在矩阵之间共享。在这种情况下,更改 SGACL 内容将影响一个单元格中包含此 SGACL 的所有矩阵。

  • 如果正在进行暂存,则无法启用多矩阵。

  • 当您从多矩阵模式迁移到单个矩阵模式时,所有 NAD 将自动分配到默认矩阵。

  • 如果当前已激活某个 DEFCON 矩阵活动,则无法删除该矩阵。

TrustSec 表格工作流过程

通过“表格工作流”(Matrix Workflow) 功能,您可以在所有网络设备上部署策略之前,使用该表格的草稿版(称为暂存表格)在一组有限的设备上测试该新策略。您可以提交暂存策略以供批准,并在获得批准后在选择的网络设备上部署该暂存策略。此功能可帮助您在有限数量的设备上部署新策略,检查是否工作正常,并在需要的时候做出更改。您可以继续在下一组设备或所有设备上部署该策略。当在所有的网络设备上部署暂存策略时,暂存表格可设置为新的生产表格。

启用工作流模式时,指定为编辑人角色的用户可以创建暂存表格,以及编辑表格中的单元格。该暂存表格是目前在 TrustSec 网络中部署的生产表格的副本。编辑人可以选择其希望部署暂存策略的设备,并提交暂存策略给审批人进行批准。指定为审批人角色的用户可以审核暂存策略,并批准或拒绝请求。暂存策略只有经审批人审核并批准后,才可以在选择的网络设备上进行部署。

下图中描述了工作流过程。

图 10. 表格工作流过程


超级管理员用户可以在工作流过程设置 (Workflow Process Settings) 页面中选择分配到编辑器和批准者角色的用户。在思科 ISE GUI 中,点击菜单 图标 (),然后选择 工作中心 > TrustSec > 设置 > 工作流程

在所选设备上部署暂存策略后,您将无法编辑 SGT 和 SGACL,但可以编辑表格中的单元格。您可以使用“配置 Delta” (Configuration Delta) 报告来跟踪生产表格和暂存表格之间的区别。您也可以点击单元格上 Delta 图标,查看暂存过程期间对单元格所做的更改。

下表介绍了工作流的不同阶段:

阶段

说明

编辑状态 (Staging in Edit)

当编辑人开始编辑暂存表格时,该表格将移至编辑状态。编辑完暂存表格后,编辑人可以选择其希望部署新的暂存策略的设备。

等待审批状态 (Staging Awaiting Approval)

编辑完表格后,编辑人提交暂存表格给审批人进行审核和批准。

提交有待审批的暂存表格时,编辑人可以添加评论,这些评论会通过邮件一起发送给审批人。

审批人可以审核暂存策略,并批准或拒绝请求。审批人还可以查看所选网络设备和配置 Delta 报告。在批准或拒绝请求时,审批人可以添加评论,这些评论会通过邮件一起发送给编辑人。

只要暂存策略没有在任何网络设备上部署,编辑人就可以取消审批请求。

部署已批准 (Deploy Approved)

当审批人批准请求时,暂存表格将移至部署已批准状态。当审批人拒绝请求时,表格则移回编辑状态。

只有在审批人批准了暂存策略后,编辑人才能将其部署在所选的网络设备上。

部分已部署 (Partially Deployed)

当在所选设备上部署暂存表格后,表格将移至部分已部署状态。直到暂存策略部署于所有的网络设备之前,该表格将维持在部分已部署状态。

在该阶段,您无法编辑 SGT 和 SFACL,但可以编辑表格中的单元格。

在网络设备部署 (Network Device Deployment) 窗口中,未部署最新策略的设备(不同步设备)显示为橙色(斜体)。配置进程状态栏中也会显示为该状态。编辑人可以选择这些设备,并请求批准对不同部署周期中更新的设备进行同步。

已完全部署 (Fully Deployed)

直到暂存策略部署于所有的网络设备之前,系统将重复上述流程。当暂存策略部署于所有的网络设备后,审批人可以将暂存表格设置为生产表格。

由于在暂存表格替代生产表格后,您将无法回滚至先前的生产表格版本,因此我们建议您在设置暂存表格为生产表格之前,保留一个生产表格副本。

“工作流”(Workflow) 下拉列表中显示的选项会根据工作流状态和用户角色(编辑人或审批人)出现变化。下表中列出了编辑人和审批人界面显示的菜单选项:

工作流状态

编辑人视图显示的菜单

审批人视图显示的菜单

编辑状态

  • 选择网络设备

    网络设备配置窗口中提供以下选项:

    • 请求批准所选设备

    • 请求批准所有/过滤的暂存列表

    • 请求批准所有/过滤的生产列表

    • 请求批准所有/过滤的设备

  • 请求批准所有设备

  • 丢弃暂存

  • 查看 deltas

  • 查看网络设备

  • 查看 deltas

等待审批阶段 (Staging Awaiting Approval)

  • 取消审批请求

  • 查看网络设备

    网络设备配置窗口中提供以下选项:

    • 取消审批请求

  • 查看 deltas

  • 批准部署

  • 拒绝部署

  • 查看网络设备

    网络设备配置窗口中提供以下选项:

    • 批准部署

    • 拒绝部署

  • 查看 deltas

已批准 - 部署就绪

  • 部署

  • 取消审批请求

  • 查看网络设备

    网络设备配置窗口中提供以下选项:

    • 部署

    • 取消审批请求

  • 查看 deltas

  • 拒绝部署

  • 查看网络设备

    网络设备配置窗口中提供以下选项:

    • 拒绝部署

  • 查看 deltas

部分已部署 (Partially deployed)

  • 选择网络设备

    网络设备配置窗口中提供以下选项:

    • 请求批准所选设备

    • 请求批准所有/过滤的暂存列表

    • 请求批准所有/过滤的生产列表

    • 请求批准所有/过滤的设备

  • 请求批准所有设备

  • 查看 deltas

  • 查看网络设备

  • 查看 deltas

已完全部署 (Fully deployed)

  • 选择网络设备

    网络设备配置窗口中提供以下选项:

    • 请求批准所选设备

    • 请求批准所有/过滤的暂存列表

    • 请求批准所有/过滤的生产列表

    • 请求批准所有/过滤的设备

  • 请求批准所有设备

  • 查看 deltas

  • 设置为生产

  • 查看网络设备

  • 查看 deltas

源和目的树视图中也提供这些工作流选项。

您可以使用 TrustSec 策略下载报告(“工作中心”[Work Centers] > TrustSec > “报告”[Reports])查看下载了暂存/生产策略的设备。TrustSec 策略下载报告列出了网络设备发送的策略 (SGT/SGACL) 下载请求,以及 ISE 发送的详细信息。如果启用工作流模式,对于生产或暂存表,可对请求进行过滤。

出口策略表单元格配置

通过思科 ISE,可以使用工具栏中可用的各种选项配置单元格。如果所选源和目标 SGT 与映射的单元格相同,则思科 ISE 不允许进行单元格配置。

添加出口策略单元格映射

您可以从 Policy 页面添加出口策略的映射单元格。

过程

步骤 1

在思科 ISE GUI 中,点击菜单 图标 (),然后选择工作中心 > TrustSec > TrustSec 策略 > 出口策略

步骤 2

要选择矩阵单元格,请执行以下操作:

  • 在矩阵视图中,点击某个单元格将其选定。

  • 在 Source 和 Destination 树状视图中,选中内部表中某一行的对应复选框以选定该行。

步骤 3

点击 Add 以添加新映射单元格。

步骤 4

选择下列各项的相应值:

  • Source Security Group

  • Destination Security Group

  • Status, Security Group ACLs

  • Final Catch All Rule

步骤 5

点击保存

导出出口策略

过程

步骤 1

在思科 ISE GUI 中,点击菜单 图标 (),然后选择 工作中心 > TrustSec > TrustSec 策略 > 出口策略 > 矩阵 > 导出

步骤 2

如果要在导出文件中包括空信元(没有任何已配置 SGACL),请选中包括空信元 (Include Empty Cells) 复选框。

启用此选项后,整个矩阵会导出,空信元会在 SGACL 列中标有“空”关键字。

 

确保导出文件不超过 500000 行,否则导出可能会发生故障。

步骤 3

选择以下选项之一:

  • “本地磁盘”(Local Disk) - 如果要导出文件至计算机上的本地驱动器,请选择此选项。
  • “存储库”(Repository) - 如果要导出文件至远程存储库,请选择此选项。

    您必须在导出文件之前配置存储库。要配置存储库,请依次选择管理 > 维护 > 存储库。确保已授予选定存储库读取和写入权限。

    通过使用加密密钥,您可以加密导出文件。

    您可以更改文件名称。文件名不应超过 50 个字符。默认情况下,文件名包括当前时间,但是,如果远程存储库存在相同的文件名,则文件会被覆盖。

步骤 4

点击导出 (Export)

导入出口策略

您可以离线创建出口策略,然后将该策略导入思科 ISE。如果具有大量的安全组标记,那么逐个创建安全组 ACL 映射可能需要一些时间。相反,离线创建出口策略并将该策略导入思科 ISE 可节省时间。在导入过程中,思科 ISE 会将 CSV 文件中的条目附加到出口策略矩阵,并且不会覆盖数据。

如果出现以下情况,出口策略导入会失败:

  • 源或目标 SGT 不存在

  • SGACL 不存在

  • 监控状态与当前在思科 ISE 中为该信元配置的状态不同

过程

步骤 1

在思科 ISE GUI 中,点击菜单 图标 (),然后选择工作中心 > TrustSec > TrustSec 策略 > 出口策略 > 矩阵 > 导入

步骤 2

点击生成模版 (Generate a Template)

步骤 3

从“出口策略”(Egress Policy) 页面下载模板(CSV 文件),然后在 CSV 文件中输入以下信息:

  • 源 SGT
  • 目标 SGT
  • SGACL
  • 监控状态(启用、禁用或监控)

步骤 4

如果您要以正在导入的策略覆盖现有策略,请选中以新数据覆盖现有数据 (Overwrite existing data with new data) 复选框。如果导入文件中包括空信元(SGACL 列中标有“空”关键字的信元),相应矩阵信元中现有策略将被删除。

导出出口策略时,如果要包括空信元,请选中包括空信元 (Include Empty Cells) 复选框。有关详细信息,请参阅导出出口策略

步骤 5

点击验证文件 (Validate File) 验证已导入的文件。思科 ISE 会在导入文件之前验证 CSV 结构、SGT 名称、SGACL 和文件大小。

步骤 6

请选中遇到第一个错误时停止导入复选框,使思科 ISE 在遇到任何错误时取消导入。

步骤 7

点击导入 (Import)

从出口策略配置 SGT

您可以直接从“出口策略”(Egress Policy) 页面创建安全组。

过程

步骤 1

在思科 ISE GUI 中,点击菜单 图标 (),然后选择工作中心 > TrustSec > TrustSec 策略 > 出口策略

步骤 2

从“源或目标树视图”(Source or Destination Tree View) 页面,选择配置 (Configure) > 创建新的安全组 (Create New Security Group)

步骤 3

输入所需的详细信息,并点击提交

监控模式

只需点击一下,您就可以通过出口策略中的 Monitor All 选项将整个出口策略配置状态改为监控模式。在出口策略页面,选中 Monitor All 复选框,将所有单元的出口策略配置状态改为监控模式。选中 Monitor All 复选框后,配置状态中会发生以下更改:

  • 状态为 Enabled 的单元将显示受监控行为,但看起来仍然像处于启用状态一样。

  • 状态为 Disable 的单元不受影响。

  • 状态为 Monitored 的单元仍保持 Monitored 状态。

取消选中 Monitor All 复选框即可恢复原始配置状态。这不会更改数据库中单元的实际状态。如果您取消选择 Monitor All,出口策略中的每个单元将恢复原配置状态。

监控模式功能

监控模式的监控功能可帮助您:

  • 知悉已筛选但受监控模式监控的流量

  • 知悉 SGT-DGT 对是处于监控模式还是执行模式,并且观察网络中是否在发生任何异常丢包

  • 了解 SGACL 丢弃实际是由执行模式执行还是由监控模式允许

  • 根据监控类型(监控和/或执行)创建自定义报告

  • 标识在 NAD 上已应用的 SGACL 并显示差异(如有)

未知安全组

未知安全组是一个无法修改、使用标签值 0 表示 Trustsec 的预配置安全组。

当思科安全组网络设备没有来源或目标的 SGT 时,这些设备会请求引用未知 SGT 的信元。如果仅来源未知,则请求适用于 <unknown, Destination SGT> 信元。如果仅目标未知,则请求适用于 <source SGT, unknown> 信元。如果来源和目标均未知,则请求适用于 <Unknown, Unknown> 信元。

默认策略

默认策略是指 <ANY,ANY> 信元。所有源 SGT 均映射到所有目标 SGT。此处,ANY SGT 不可修改,且未在任何源或目标 SGT 中列出。ANY SGT 仅可与 ANY SGT 配对。ANY SGT 无法与其他任何 SGT 配对。TrustSec 网络设备将默认策略附加到特定信元策略的末尾。

  • 如果信元为空,则意味着该信元仅包含默认策略。

  • 如果信元包含某种策略,则生成的策略为信元特定策略与默认策略的组合。

根据思科 ISE,信元策略和默认策略为两套独立的 SGACL,由设备分别获取以响应两个独立的策略查询。

默认策略的配置与其他信元不同:

  • 状态仅可为两个值,启用或监控。

  • 安全组 ACL 是默认策略的可选字段,因此可留空。

  • 最终抓取所有规则可为以下任意项:允许 IP、拒绝 IP、允许 IP 日志或拒绝 IP 日志。显然此处 None 选项不可用,因为默认策略之外无安全网。

SGT 分配

如果您知道设备主机名或 IP 地址,思科 ISE 允许向 TrustSec 设备分配 SGT。当具有特定主机名或 IP 地址的设备加入网络时,思科 ISE 会在对其进行身份验证之前分配 SGT。

默认情况下将创建以下 SGT:

  • SGT_TrustSecDevices

  • SGT_NetworkServices

  • SGT_Employee

  • SGT_Contractor

  • SGT_Guest

  • SGT_ProductionUser

  • SGT_Developer

  • SGT_Auditor

  • SGT_PointofSale

  • SGT_ProductionServers

  • SGT_DevelopmentServers

  • SGT_TestServers

  • SGT_PCIServers

  • SGT_BYOD

  • SGT_Quarantine

有时需要手动将设备配置为将安全组标签映射至终端。您可以从 Security Group Mappings 页面创建此映射。在执行此操作前,请确保您保留了一系列 SGT。

ISE 允许创建最多 10000 个 IP 到 SGT 映射。您可以创建 IP 到 SGT 映射组,从逻辑上将这些大规模的映射进行分组。每组 IP 到 SGT 映射都包含一个 IP 地址列表,其要映射的单个安全组,以及作为这些映射的部署目标的网络设备或网络设备组。

NDAC 授权

您可以通过向设备分配 SGT 配置 TrustSec 策略。您可以根据 TrustSec 设备 ID 属性向设备分配安全组。

配置 NDAC 授权

开始之前

  • 确保创建用于策略中的安全组。

  • 要执行以下任务,您必须是超级管理员或系统管理员。

过程

步骤 1

在思科 ISE GUI 中,点击菜单 图标 (),然后选择工作中心 > TrustSec > TrustSec 策略 > 网络设备授权

步骤 2

点击 Default Rule 行右侧的 Action 图标,然后点击 Insert New Row Above

步骤 3

为此规则输入名称。

步骤 4

点击 Conditions 旁边的加号 (+) 以添加策略条件。

步骤 5

您可以点击 Create New Condition (Advance Option),然后创建新条件。

步骤 6

安全组 (Security Group) 下拉列表中,选择在此条件评估为 true 的情况下要分配的 SGT。

步骤 7

在此行中点击 Action 图标,根据设备属性在当前规则上方或下方添加更多的规则。您可以重复此过程,为 TrustSec 策略创建所需的所有规则。您可以通过点击 图标,拖放规则以为其重新排序。您还可以复制现有条件,但请确保更改策略名称。

评估为 true 的第一条规则决定评估的结果。如果没有匹配的规则,则将应用默认规则;您可以编辑默认规则以指定在没有匹配的规则的情况下必须应用的 SGT。

步骤 8

点击保存以保存您的 TrustSec 策略。

如果在您配置了网络设备策略后 SGA 设备尝试进行身份验证,设备将获取其 SGT 及其对等设备的 SGT 并且将可以下载所有相关的详细信息。


默认情况下,默认网络设备授权 (Network Device Authorization) 策略的结果设置为 TrustSec_Devices

配置最终用户授权

思科 ISE 允许您分配安全组作为授权策略评估的结果。使用此选项,您可以将安全组分配到用户和终端。

开始之前

  • 请参阅授权策略的信息。

  • 要执行以下任务,您必须是超级管理员或系统管理员。

过程

步骤 1

在思科 ISE GUI 中,点击菜单 图标 (),然后选择工作中心 > TrustSec > 授权策略

步骤 2

创建新的授权策略。

步骤 3

选择安全组的权限。

如果在此授权策略中指定的条件对用户或终端为真,则此安全组会被分配到该用户或终端,且该用户或终端所发送的所有数据包会标记为此特定的 SGT。

TrustSec 配置和策略推送

思科 ISE 支持授权更改 (CoA),通过 CoA 思科 ISE 可以通知 TrustSec 设备 TrustSec 配置和策略更改,这样设备就可以用获取相关数据的请求作为回复。

CoA 通知可以触发 TrustSec 网络设备发送环境 CoA 或策略 CoA。

您可以向本身不支持 TrustSec CoA 功能的设备推送对设备的配置更改。

支持 CoA 的网络设备

思科 ISE 可向以下网络设备发送 CoA 通知:

  • 具有单个 IP 地址的网络设备(不支持子网)

  • 配置为 TrustSec 设备的网络设备

  • 设置为支持 CoA 的网络设备

在有多个辅助设备与很多不同的设备互操作的分布式环境中部署思科 ISE 时,CoA 请求从思科 ISE 主节点发送至所有网络设备。因此,TrustSec 网络设备需要配置为将思科 ISE 主节点作为 CoA 客户端。

设备向思科 ISE 主节点返回 CoA NAK 或 ACK。但是,来自网络设备的以下 TrustSec 会话会发送至接收网络设备发送的所有其他 AAA 请求的思科 ISE 节点,而不一定会发送至主节点。

向不支持 CoA 的设备推送配置更改

某些平台不支持思科 ISE 的更改授权 (CoA)“推送”功能,例如:Nexus 网络设备的某些版本。对于这种情况,ISE 将连接到网络设备,使该设备触发对 ISE 的更新配置请求。为此,ISE 对网络设备开放 SSHv2 隧道,思科 ISE 发送触发刷新 TrustSec 策略矩阵的命令。此方法也可以在支持 CoA 推送的网络平台上实施。

过程

步骤 1

在思科 ISE GUI 中,点击菜单 图标 (),然后选择 工作中心 (Work Centers) > 设备管理 (Device Administration) > 网络资源 (Network Resources) > 网络设备 (Network Devices)

步骤 2

选中所需网络设备旁边的复选框,然后点击编辑 (Edit)

验证网络设备的名称、IP 地址、RADIUS 和 TrustSec 设置是否已正确配置。

步骤 3

向下滚动至 TrustSec 高级设置 (Advanced TrustSec Settings),在 TrustSec 通知和更新 (TrustSec Notifications and Updates) 部分,选中发送配置更改至设备 (Send configuration changes to device) 复选框,点击 CLI (SSH) 单选按钮。

步骤 4

(可选) 提供 SSH 密钥。

步骤 5

选中当部署安全组标记影射更新时包含此设备 (Include this device when deploying Security Group Tag Mapping Updates) 复选框,使此 SGA 设备使用设备接口凭据获取 IP-SGT 映射。

步骤 6

输入拥有在执行模式下编辑设备配置的权限的用户的用户名和密码。

步骤 7

(可选) 输入密码,对设备启用执行模式密码,将允许编辑设备配置。可以点击显示 (Show),显示已为此设备配置的执行模式密码。

步骤 8

点击页面底部的提交

现在,网络设备已配置为推送 Trustsec 更改。更改思科 ISE 策略后,点击推送 (Push),让新配置在网络设备上体现出来。

SSH 密钥验证

可能想要使用 SSH 密钥增强安全性。思科 ISE 利用其 SSH 密钥验证功能支持此操作。

要使用此功能,请打开从思科 ISE 到网络设备的 SSHv2 隧道,然后使用网络设备的 CLI 检索 SSH 密钥。然后,复制此密钥,并将其粘贴到思科 ISE 中进行验证。如果 SSH 密钥错误,思科 ISE 将终止连接。

限制:目前,思科 ISE 只能验证一个 IP(而不是 IP 范围,或者 IP 内的子网)

开始之前

您将需要:

  • 登录凭证

  • 检索 SSH 密钥的 CLI 命令

希望思科 ISE 与其安全通信的网络设备。

过程

步骤 1

在网络设备上:

  1. 登录想要思科 ISE 使用 SSH 密钥验证与其通信的网络设备。

  2. 使用设备的 CLI 显示 SSH 密钥。

    示例:
    对于 Catalyst 设备,命令是:sho ip ssh

  3. 复制显示的 SSH 密钥。

步骤 2

从思科 ISE 用户界面:

  1. 在思科 ISE GUI 中,点击菜单 图标 (),然后选择工作中心 (Work Centers) > 设备管理 (Device Administration) > 网络资源 (Network Resources) > 网络设备 (Network Devices),验证所需网络设备的名称、IP 地址、RADIUS 和 TrustSec 设置是否已正确配置。

  2. 向下滚动至 TrustSec 高级设置 (Advanced TrustSec Settings),在 TrustSec 通知和更新 (TrustSec Notifications and Updates) 部分,选中发送配置更改到设备 (Send configuration changes to device) 复选框,点击 CLI (SSH) 单选按钮。

  3. SSH 密钥 (SSH Key) 字段中,粘贴之前从网络设备检索的 SSH 密钥。

  4. 点击页面底部的提交

现在,网络设备可以使用 SSH 密钥验证与思科 ISE 的通信。

环境 CoA 通知流程

下图显示环境 CoA 通知流程。

图 11. 环境 CoA 通知流程
环境 CoA 通知流程

  1. 思科 ISE 会从 PAN 向 TrustSec 网络设备发送环境授权更改 (CoA) 通知。

  2. 设备返回环境数据请求。

  3. 思科 ISE 返回以下数据以响应环境数据请求:

    发送请求的设备的环境数据 - 这包括 TrustSec 设备的 SGT(根据 NDAC 策略推断)和下载环境 TTL。

    TrustSec AAA 服务器列表的名称和生成 ID。

    SGT 表(可能有多个)的名称和生成 ID - 这些表列出 SGT 名称和 SGT 值,并且这些表共同提供 SGT 的完整列表。

  4. 如果设备不包含 TrustSec AAA 服务器列表,或者生成 ID 与所接收的生成 ID 不同,设备会再发送另一个请求以获取 AAA 服务器列表内容。

  5. 如果设备不包含响应中列出的 SGT 表,或生成 ID 不同于所接收的生成 ID,则设备会发送另一个请求以获取该 SGT 表的内容。

环境 CoA 触发器

系统可以为以下因素触发环境 CoA:

  • 网络设备

  • 安全组

  • AAA 服务器

为网络设备触发环境 CoA

要为网络设备触发环境 CoA,请完成以下步骤:

过程

步骤 1

选择在思科 ISE GUI 中,点击菜单 图标 (),然后选择 工作中心 > 设备管理 > 网络资源 > 网络设备

步骤 2

添加或编辑网络设备。

步骤 3

更新 Advanced TrustSec Settings 部分下的 TrustSec Notifications 和 Updates 参数。

只有发生更改的特定 TrustSec 网络设备会收到更改环境属性的通知。

由于只有一个设备受到影响,环境 CoA 通知会在提交后立即发送。所产生的结果是对设备的环境属性进行更新。

为安全组触发环境 CoA

要为安全组触发环境 CoA,请完成以下步骤。

过程

步骤 1

工作中心 > TrustSec > 组件> 安全组

步骤 2

在 Security Group 页面中,更改 SGT 的名称,此操作将更改该 SGT 的映射值的名称。这会触发环境更改。

步骤 3

点击 Push 按钮,以在更改多个 SGT 的名称后发起环境 CoA 通知。此环境 CoA 通知会转至所有 TrustSec 网络设备并提供已更改的所有 SGT 的更新。

为 TrustSec AAA 服务器触发环境 CoA

要为 TrustSec AAA 服务触发环境 CoA,请完成以下步骤。

过程

步骤 1

在思科 ISE GUI 中,点击菜单 图标 (),然后选择工作中心 > TrustSec > 组件 > TrustSec AAA 服务器

步骤 2

在 TrustSec AAA Servers 页面可以创建、删除或更新 TrustSec AAA 服务器的配置。这会触发环境更改。

步骤 3

在配置多个 TrustSec AAA 服务器之后,点击 推送 (Push) 按钮发起环境 CoA 通知。此环境 CoA 通知将发送到所有 TrustSec 网络设备并提供已更改的所有 TrustSec AAA 服务器的更新。

为 NDAC 策略触发环境 CoA

要为 NDAC 策略触发环境 CoA,请完成以下步骤。

过程

步骤 1

依次选择工作中心 > TrustSec > 策略 > 网络设备授权

在“NDAC 策略”(NDAC policy) 页面,您可以创建、删除或更新 NDAC 策略的规则。系统会向所有网络设备通知这些环境更改。

步骤 2

在思科 ISE GUI 中,点击菜单 图标 (),然后选择工作中心 > TrustSec > TrustSec 策略 > 网络设备授权

在“NDAC 策略”(NDAC policy) 页面,您可以创建、删除或更新 NDAC 策略的规则。系统会向所有网络设备通知这些环境更改。

步骤 3

您可以点击“NDAC 策略”(NDAC policy) 页面中的 推送 (Push) 按钮,发起环境 CoA 通知。此环境 CoA 通知将发送至所有 TrustSec 网络设备并更新网络设备自身 SGT。

更新 SGACL 内容流程

下图显示更新 SGACL 内容流程。

图 12. 更新 SGACL 内容流程
更新 SGACL 内容流程

  1. 思科 ISE 将更新 RBACL 命名列表 CoA 通知发送到 TrustSec 网络设备。通知包含 SGACL 名称和生成 ID。

  2. 如果满足以下两个条件,设备可能会根据 SGT 数据请求进行重放:

    如果 SGACL 是设备所载出口信元的一部分。设备载有一个出口策略数据子集,这些数据是与相邻设备和终端的 SGT 相关的信元(选定目标 SGT 的出口策略列)。

    CoA 通知中的生成 ID 与设备为此 SGACL 保留的生成 ID 不同。

  3. 为了响应 SGACL 数据请求,思科 ISE 会返回 SGACL 的内容 (ACE)。

启动更新 SGACL 命名的列表 CoA

要触发更新 SGACL 命名的列表 CoA,请完成以下步骤:

过程

步骤 1

在思科 ISE GUI 中,点击菜单 图标 (),然后选择工作中心 > TrustSec > 组件 > 安全组 ACL

步骤 2

更改 SGACL 的内容。在您提交 SGACL 后,它会提高 SGACL 的生成 ID。

步骤 3

点击推送 (Push) 按钮以在您更改多个 SGACL 的内容之后发起更新 SGACL 命名的列表 CoA 通知。此通知将发送至所有 TrustSec 网络设备,并且在相关设备上提供该 SGACL 内容的更新。

更改 SGACL 的名称或 IP 版本不会更改其生成 ID;因此不需要发送更新 RBACL 命名的列表 CoA 通知。

但是,如果更改出口策略中当前使用的 SGACL 的名称或 IP 版本,则会相应地更改包含该 SGACL 的单元格,并且这会更改该单元格目标 SGT 的生成 ID。

策略更新 CoA 通知流程

下图显示了策略 CoA 通知流程。

图 13. 策略 CoA 通知流程
策略 CoA 通知流程

  1. 思科 ISE 向 TrustSec 网络设备发送更新策略 CoA 通知。通知可以包含多个 SGACL 名称及其生成 ID,以及多个 SGT 值及其生成 ID。

  2. 设备可能重放多个 SGACL 数据请求和/或多个 SGT 数据。

  3. 作为对 SGACL 数据请求或 SGT 数据请求的响应,思科 ISE 返回相关数据。

更新 SGT 矩阵 CoA 流程

下图显示了更新 SGT 矩阵 CoA 的流程。

图 14. 更新 SGT 矩阵 CoA 流程
更新 SGT 矩阵 CoA 流程

  1. 思科 ISE 将更新的 SGT 矩阵 CoA 通知发送到 TrustSec 网络设备。通知包含 SGT 值和生成 ID。

  2. 如果满足以下两个条件,设备可以重放 SGT 数据请求:

    如果 SGT 是毗邻设备或终端的 SGT,设备将下载并保留与毗邻设备和终端的 SGT(目标 SGT)相关的信元。

    CoA 通知中的生成 ID 不同于设备为 SGT 保留的生成 ID。

  3. 作为对 SGT 数据请求的响应,思科 ISE 返回所有出口信元的数据,例如源 SGT 和目标 SGT、信元状态以及在此信元中配置的 SGACL 名称的顺序列表。

发起从出口策略更新 SGT 矩阵 CoA

过程

步骤 1

在思科 ISE GUI 中,点击菜单 图标 (),然后选择工作中心 > TrustSec > TrustSec 策略 > 出口策略

步骤 2

在“出口策略”(Egress Policy) 页面,更改单元格的内容(状态、SGACL)。

步骤 3

在提交更改后,系统会提高该单元格目标 SGT 的生成 ID。

步骤 4

点击推送 (Push) 按钮以在您更改多个出口单元格的内容之后发起更新 SGACL 命名的列表 CoA 通知。此通知将发送至所有 TrustSec 网络设备,并且在相关设备上提供该单元格内容的更新。

TrustSec CoA 摘要

下表汇总了可能要求发起 TrustSec CoA 的各种场景、每个场景中使用的 CoA 的类型以及相关 UI 页面。

表 17. TrustSec CoA 摘要

UI 页面

触发 CoA 的操作

触发方式

CoA 类型

发送到

网络设备

更改页面的 TrustSec 部分中的环境 TTL

在成功提交 TrustSec 网络设备后

环境

特定网络设备

TrustSec AAA Server

TrustSec AAA 服务器中的任何更改(创建、更新、删除、重新排序)

可以通过点击 TrustSec AAA 服务器列表页面中的 Push 按钮推送累积更改。

环境

所有 TrustSec 网络设备

Security Group

SGT 中的任何更改(创建、重命名、删除)

可以通过点击 SGT 列表页面中的 Push 按钮推送累积更改。

环境

所有 TrustSec 网络设备

NDAC Policy

NDAC 策略中的任何更改(创建、更新、删除)

可以通过点击 NDAC 策略页面中的 Push 按钮推送累积更改。

环境

所有 TrustSec 网络设备

SGACL

更改 SGACL ACE

可以通过点击 SGACL 列表页面中的 Push 按钮推送累积更改。

更新 RBACL 命名列表

所有 TrustSec 网络设备

更改 SGACL 名称或 IP 版本

可以通过点击 SGACL 列表页面中的 Push 按钮或 Egress 表中的 Policy Push 按钮推送累积更改。

更新 SGT 矩阵

所有 TrustSec 网络设备

Egress Policy

用于更改 SGT 的生成 ID 的操作。

可以通过点击 Egress Policy 页面中的 Push 按钮推送累积更改。

更新 SGT 矩阵

所有 TrustSec 网络设备

安全组标记交换协议

安全组标记 (SGT) 交换协议 (SXP) 用于在所有不具备 TrustSec 硬件支持的网络设备中传播 SGT。SXP 可用于将终端的 SGT 和 IP 地址从一个可感知 SGT 的网络传输设备到另一个此类设备。SXP 传输的数据称为 IP-SGT 映射。属于终端的 SGT 可通过静态或动态的方式进行分配,并且 SGT 可在网络策略中用作分类器。

要在节点上启用 SXP 服务,请在“通用节点设置”(General Node Settings) 页面选中“启用 SXP 服务”(Enable SXP Service) 复选框。您还必须指定 SXP 服务使用的接口。

SXP 使用 TCP 作为传输协议,用于在两个单独的网络设备间建立 SXP 连接。每对 SXP 连接中,一个对等设备被指定为 SXP 发言者,另一个对等设备被指定为 SXP 倾听者。这两个对等设备也可在双向模式中进行配置,此类配置中两个对等设备都可作为发言者和倾听者。任一对等设备都可发起连接,但映射信息总是从发言者传播给倾听者。


始终在默认 SGT中传播会话绑定。

下表列出了在 SXP 环境中的一些常用术语:

IP-SGT 映射

通过 SXP 连接交换的 IP 地址到 SGT 的映射。

要查看 SXP 设备学习到的所有映射(包括静态映射和会话映射),请选择工作中心 > TrustSec > SXP > SGT 绑定

SXP 发言者

通过 SXP 连接发送 IP-SGT 映射的对等设备。

SXP 倾听者

通过 SXP 连接接受 IP-SGT 映射的对等设备。

要查看添加到思科 ISE 的 SXP 对等设备,请选择工作中心 > TrustSec > SXP > SXP 设备
我们建议您在独立节点上运行 SXP 服务。
使用 SXP 服务时,请注意以下几点:

  • 在升级、节点故障或节点配置更新时,您必须使用所连接的 PSN 详细信息来更新 SXP 设备配置。

  • 基于会话的映射将传播到部署中的所有 SXP 节点,并发送到相应 SGT 域的所有 SXP 侦听程序。基于 SXP 的映射不会传播到部署中的所有 SXP 节点。相反,这些映射仅与接收映射的 PSN 的 SXP 侦听程序共享。

  • 当您取消注册 SXP 节点并将其重新注册回现有部署时,连接到该节点的 SXP 设备将从部署中删除。这些设备不会显示在 SXP 设备窗口中(工作中心 > TrustSec > SXP > SXP 设备)。在将 SXP 节点重新注册到部署后,必须手动重新添加这些设备。但是,如果 SXP 节点上的 SXP 服务已被禁用,则不会删除 SXP 设备。

  • 思科 ISE 不支持具有相同 IP 地址的多个 SXP 会话绑定。

  • 如果 RADIUS 计费更新太过频繁(例如,几秒钟内有大约 6 至 8 次计费更新),计费更新数据包可能会丢失,并且 SXP 可能未收到 IP-SGT 绑定。

  • 从先前版本的 ISE 升级后,SXP 不会自动启动。在升级后,必须更改 SXP 密码并重新启动 SXP 过程。

添加 SXP 设备

开始之前

要执行以下任务,您必须是超级管理员或系统管理员。

过程

步骤 1

选择工作中心 > TrustSec > SXP > SXP 设备

步骤 2

点击添加 (Add)

步骤 3

输入设备详细信息:

  • 点击从 CSV 文件上传使用 CSV 文件添加 SXP 设备。浏览并选择 CSV 文件,然后点击上传 (Upload)

    您也可以下载 CSV 模板文件,填写要添加设备的详细信息,并上传 CSV 文件。

  • 点击添加单个设备 (Add Single Device) 为每个 SXP 设备手动添加设备的详细信息。

    输入以下对等设备的详细信息:

    • 名称

    • IP 地址

       

      从思科 ISE 版本 3.5 补丁 2 开始,SXP 设备支持 IPv6 地址。

    • SXP 角色(侦听者、发送者或两者兼具)

    • 密码类型

    • SXP 版本

    • 已连接的 PSN

    您还必须指定对等设备连接的 SGT

步骤 4

(可选)点击高级设置 (Advanced Settings),然后输入以下详细信息:

  • “最短可接受保持时间”(Minimum Acceptable Hold Timer) - 指定时间(以秒为单位),扬声器将发送保持连接存活的保持存活消息。有效范围为 1 到 65534。

  • “保持存活计时器”(Keep Alive Timer) - 在没有其他信息通过更新消息导出的间隔,扬声器用其触发保持连接消息的调度。有效范围为 0 到 64000。

步骤 5

点击保存

添加 SXP 域过滤器

可以查看 SXP 设备学习的所有映射(包括静态映射和会话映射)。要查看此处窗口,请点击菜单 图标 (),然后选择 工作中心 > TrustSec > SXP > 所有 SXP 映射

默认情况下,从网络设备学习的会话映射仅会发送到默认 VPN 组(称为 default)。您可以创建 SXP 域过滤器,以便将映射发送到不同的 SXP 域 (VPN)。

如果没有为网络设备指定虚拟网络,思科 ISE 会将该绑定分配给默认虚拟网络(称为 DEFAULT_VN)。SXP 过滤器有一条内部规则,可将“DEFAULT_VN”路由到“default”VPN。

Catalyst Center 中创建新的虚拟网络或收到虚拟网络创建 ERS 请求时,会在思科 ISE 中创建新的 VPN。例如,在 Catalyst Center 中创建 VN1 时,会在思科 ISE 中创建一个新的 VPN (SDA_VN1)。此外,思科 ISE 会在内部创建新的 SXP 过滤器规则(将 VN1 路由到 SDA_VN1)。如果要将绑定从 VN1 传播到 SDA_VN1,则必须将 SDA_VN1 分配给这些 SXP 设备。

您可以将虚拟网络分配给授权配置文件。接受身份验证请求 (Access-Request) 后,思科 ISE 会在响应 (Access-Accept) 中添加 SGT、虚拟网络和 VLAN 详细信息。NAD 必须在以后的请求中发送与思科 AV 对相同的 SGT 和虚拟网络(例如 accounting-start 或 accounting-interim),如下所示:

  • cisco-av-pair=cts:security-group-tag

  • cisco-av-pair=cts:vn

一个网络设备可以属于多个 SXP 域。

要添加 SXP 域过滤器,请执行以下操作:

开始之前

要执行以下任务,您必须是超级管理员或系统管理员。

过程

步骤 1

在思科 ISE GUI 中,点击菜单 图标 (),然后选择工作中心 > TrustSec > SXP > 所有 SXP 映射

步骤 2

点击添加 SXP 域过滤器 (Add SXP Domain Filter)

步骤 3

执行以下操作:

  • 输入子网详细信息。具有来自此子网的 IP 地址的网络设备的会话映射会发送到在 SXP 域 (SXP Domain) 字段中选择的 SXP 域 (VPN)。

  • 从 SGT 下拉列表中选择一个 SGT。与此 SGT 相关的会话映射会发送到在 SXP 域 (SXP Domain) 字段中选择的 SXP 域。

    如果已同时指定子网和 SGT,则与此过滤器匹配的会话映射会发送到在 SXP 域 (SXP Domain) 字段中选择的 SXP 域。

  • VN 字段中指定虚拟网络。与此虚拟网络相关的会话映射会发送到在 SXP 域 (SXP Domain) 字段中选择的 SXP 域。

  • 选择必须将映射发送到的 SXP 域。

步骤 4

点击保存
您还可以更新或删除 SXP 域过滤器。要更新过滤器,请点击管理 SXP 域过滤器 (Manage SXP Domain Filter),选中要更新的过滤器旁的复选框,然后点击编辑 (Edit)。要删除过滤器,请选中要删除的过滤器旁的复选框,然后点击回收站 (Trash) > 所选项 (Selected)

配置 SXP 设置

开始之前

要执行以下任务,您必须是超级管理员或系统管理员。

过程

步骤 1

在思科 ISE GUI 中,点击菜单 图标 (),然后选择工作中心 > TrustSec > 设置 > SXP 设置

步骤 2

选中以下复选框:

  • 在 pxGrid 上发布 SXP 绑定

  • 将 Radius 和 PassiveID 映射添加到 SXP IP SGT 映射表 (Add Radius and PassiveID Mappings into SXP IP SGT Mapping Table)

如果您取消选中在 pxGrid 上发布 SXP 绑定复选框,IP-SGT 映射将不会通过 pxGrid SXP 主题发布。

步骤 3

在“SXP 设置”(SXP Settings) 页面输入所需的详细信息。

步骤 4

点击保存

  • 当 SXP 设置更改时,SXP 服务重新启动。

  • 在升级、节点故障或节点配置更新时,您必须使用所连接的 PSN 详细信息来更新 SXP 设备配置。

  • 不能将 VN 引用用于静态 SXP 映射。

工作负载连接器

通用策略是一个框架,用于构建和实施一致的访问和分段策略,不受域的限制。在此框架中,工作负载连接器用于与本地数据中心和云数据中心建立安全连接、导入应用工作负载情景、将该情景规范化为 SGT,并与其他域共享该情景以构建策略。

您可以建立 SXP 设备的逻辑集群(称为 SGT 域),以根据 SGT 绑定管理流量。它可帮助您设置授权策略和工作负载分类规则。通过这些规则,您可以将 SGT 分配给 IP 地址并接收映射。此外,您可以通过管理入站 SGT 域规则,指定将接收这些映射的 SGT 域。

工作负载分类规则用于为工作负载分配主 SGT 和次 SGT。次 SGT 可与主 SGT 一起标记。入站 SGT 域规则用于将入站 SGT 绑定映射到特定 SGT 域。出站 SGT 域规则用于为特定 SGT 绑定指定目标目标。

有关 TrustSec 的信息,请参阅思科 TrustSec

添加工作负载连接

按照以下步骤添加工作负载连接。

开始之前

添加任何工作负载连接前:

  • 网络中至少有一个节点必须启用 pxGrid。

  • 网络中至少有一个节点必须启用 SXP。

  • 在 vCenter、AWS、GCP 或 Azure 环境中确定需要添加到工作负载连接器的相关属性(标记)。

过程

步骤 1

在思科 ISE GUI 中,点击菜单 图标 (),然后选择 工作中心 > TrustSec > 集成 > 工作负载连接器 > 工作负载连接

步骤 2

点击添加连接 (Add Connection)

步骤 3

点击我们开始吧 (Let’s do it)

步骤 4

选择工作负载平台页面中,点击下方链接,获取有关添加特定工作负载连接器平台的说明。

通过思科 ISE 连接思科以应用为中心的基础设施

思科 ISE 使您能够跨多个域创建和实施一致的访问策略。思科 ISE 可与 Cisco ACI 共享 SGT 和 IP-SGT 绑定,并从 Cisco ACI 接收终端组 (EPG)、端点安全组 (ESG) 和终端配置信息。

您可以将多个思科 ACI 连接添加到思科 ISE。每个连接可用于连接到不同的 ACI 交换矩阵。思科 ISE 可与独立和多 Pod Cisco ACI 交换矩阵集成。思科 ISE 支持思科 ACI 多租户和多虚拟路由与转发 (VRF) 部署。

您可以配置规则,以管理思科 ISE 中获知的情景,并优化思科 ISE 与 Cisco ACI 之间的情景流。

思科 ISE 与 Cisco ACI 集成中使用的术语

以下术语通常用于描述思科 ISE 与 Cisco ACI 的集成:

  • EPG:用于 Cisco ACI 中。EPG 是包含终端集合的逻辑实体。EPG 与单个桥接域相关联,用于定义桥接域内的安全区域。

  • ESG:用于 Cisco ACI 中。ESG 是包含物理或虚拟网络终端集合的逻辑实体。ESG 与单个 VRF 实例而不是桥接域相关联。

  • 入站 SGT 域规则:用于思科 ISE 中,将入站 SGT 绑定与特定 SGT 域映射。

  • 出站 SGT 域规则:用于思科 ISE 中,为特定 SGT 绑定指定目标。

  • 工作负载分类规则:用于思科 ISE 中,为工作负载分配主 SGT 和次 SGT。

  • 次 SGT:可与主 SGT 一起标记的 SGT。

请注意,思科 ISE 版本 3.4 中进行了以下术语更改:

思科 ISE 版本 3.3 及更早版本

思科 ISE 版本 3.4 及更高版本

SXP 映射

SGT 绑定

SXP 域

SGT 域

思科 ISE 与 Cisco ACI 之间的数据同步

思科 ISE 通过同步 EPG 和 ESG ,并在思科 ISE 中创建对应的 SGT,支持从 Cisco ACI 域到 TrustSec 域的数据包传输。这些 SGT 对思科 ACI 中配置的终端进行映射,并在思科 ISE 中创建关联的 SGT 绑定。

思科 ACI 可通过同步 SGT,并创建关联的 EEPG,支持将数据包从 TrustSec 域发送到思科 ACI 域。思科 ACI 根据来自思科 ISE 的 SGT 绑定在 EEPG 下创建子网。当在思科 ISE 中删除相应的 SGT 绑定时,这些子网会从 Cisco ACI 中删除。

在思科 ACI 中删除 EPG 或 ESG 时,思科 ISE 中会更新已同步的 EPG 列表。如果在任何入站或出站 SGT 域规则中未使用 EPG 或 ESG,则会在思科 ISE 中将其删除。当 EPG 或 ESG 被删除时,从该 EPG 或 ESG 获知的 IP-SGT 绑定也会从思科 ISE 中删除,且相应的 IP-SGT 删除事件会通过 pxGrid SXP 主题发送。

如果在入站或出站 SGT 域规则中使用 EPG 或 ESG,则不会将其删除。您必须手动删除该 EPG 或 ESG。上述两种情况都会触发警报。

当在思科 ISE 的出站 SGT 域规则中添加 SGT 时,会在 Cisco ACI 中创建 EEPG。当从出站 SGT 域规则中删除 SGT 时,会在 Cisco ACI 中删除相应的 EEPG。

从 Cisco ACI 版本 6.1(2) 开始,支持微分段 EPG 的同步。

如果与 Cisco ACI 服务器的连接丢失,工作负载连接页面中会将连接状态标记为已断开,并触发警报。重新建立连接后,连接状态会标记为已连接。重新建立连接时,思科 ISE 会重新同步数据。会对所有资源执行配置偏差检查,如发现不匹配则触发警报。每当思科 ISE 重启或 Cisco ACI 连接状态从已暂停变为已连接时,也会执行类似检查。


如果两个终端具有相同的 IP 地址,最新的终端绑定事件会覆盖从该 ACI 连接获知的现有 IP-SGT 绑定。

添加 Cisco ACI 连接

开始之前

  • 管理 > 系统 > 部署中启用 pxGrid 和 SXP 服务。

  • 更新 Cisco ACI 中的 DNS 配置,以便 Cisco ACI 能够解析思科 ISE pxGrid 节点的 FQDN。

  • 此集成需要 Advantage、Premier 或 90 天评估许可证。

过程

步骤 1

在思科 ISE GUI 中,点击菜单 图标 (),然后选择 工作中心 > TrustSec > 集成 > 工作负载连接器 > 工作负载连接

步骤 2

点击添加连接 (Add Connection)

步骤 3

点击我们开始吧 (Let’s do it)

步骤 4

选择工作负载平台页面中,点击 ACI

步骤 5

创建 ACI 连接 (Create ACI Connection) 页面中,输入以下详细信息:

  • ACI 连接名称 (ACI Connection Name):输入连接的名称。

  • FQDN 或 IP 地址 (FQDN or IP Address):输入思科 ACI 服务器的 IP 地址或 FQDN。

  • ACI 用户名 (ACI Username):输入思科 ACI 管理员用户的用户名。

  • ACI 密码 (ACI Password):输入思科 ACI 管理员用户的密码。

  • 登录域 (Login Domain)(可选):输入思科 ACI 连接的身份验证域。

  • 验证 ACI 证书 (Validate ACI Certificate):如果启用此选项,思科 ISE 将需要其受信任证书存储区中的 ACI 控制器证书。禁用此选项后,思科 ISE 将不会验证 ACI 证书。我们建议您在生产环境中启用此选项。有关如何将证书导入思科 ISE 受信任证书库的信息,请参阅将根证书导入受信任证书库

    连接到此控制器后,思科 ISE 会自动检索连接到同一思科应用策略基础设施控制器 (APIC) 站点的其他控制器的 FQDN 和 IP 地址。

    验证连接后,点击下一步 (Next)

步骤 6

命名约定 (Naming Convention) 页面中,设置将从所连接的思科 ACI 控制器接收的 EPG 和 ESG 创建的 SGT 的命名约定。

您可以使用以下类型的命名规则创建最多 64 个字符的 SGT 名称:

  • 使用 ACI 属性值 (Use ACI Attribute Values):选择其值必须组合以形成新创建的 SGT 的名称的 EPG 或 ESG 属性。这些属性将添加到新创建的 SGT 的名称后缀中。您可以选择以下任何属性:

    • 连接名称

    • 租户

    • VRF

    • 应用配置文件

    • 终端组类型

      您可以使用默认属性值或创建自定义值。

  • 附加前缀或后缀 (Append Prefix or Suffix):输入将添加到 EPG 或 ESG 的现有名称的前缀或后缀。

 

  • 如果您使用的是低于 2.3.7.7 的思科 Catalyst Center 版本,则 SGT 名称的最大字符数限制为 32。

  • 如果您的任何集成应用不支持超过 32 个字符的名称,则在思科 ISE 中配置 SGT 名称的命名规则时,必须考虑此限制。

步骤 7

点击下一步 (Next)

步骤 8

选择 EPG/ESG 页面中,选择必须从 Cisco ACI 检索并转换为 SGT 的 EPG 或 ESG。

在初始设置期间,您将能够使用全选 (Select All) 选项。配置 SGT 编号范围后,如果列出的 EPG 或 ESG 数量大于配置的编号范围,则无法选择全选 (Select All) 选项。

如果从该连接获取的安全组名称已存在于思科 ISE 数据库中,则不会为该 SGT 分配新编号。如果该安全组名称不存在于思科 ISE 数据库中,则会使用派生的名称创建新的安全组,并从可用的 SGT 范围中为其分配一个 SGT。

编辑此连接时,不能取消选择入站或出站 SGT 域规则中使用的 EPG。

步骤 9

点击下一步 (Next)

步骤 10

(可选)在设置 SGT 编号范围 (Set SGT Numbering Range) 页面中,启用为 EPG/ESG 设置 SGT 编号范围 (Set SGT Numbering Range for EPG/ESGs) 选项,以便为新创建的 SGT 手动配置编号范围。

设置编号范围时,请考虑现有和预期的 EPG 和 ESG。

禁用此选项时,思科 ISE 会从未保留或未用于其他 SGT 的编号范围中自动为 SGT 分配编号。

步骤 11

点击下一步 (Next)

步骤 12

摘要 (Summary) 页面中验证输入的的详细信息。如果需要,您可以点击相应部分中的编辑 (Edit) 以更新详细信息。

步骤 13

点击创建 (Create)

要验证是否已成功创建思科 ACI 连接,请执行以下操作:

  • 工作中心 > TrustSec > 集成 > 工作负载连接器 > 工作负载连接页面中验证连接状态。

  • 工作中心 > TrustSec > 组件> 安全组页面中,检查步骤 7 中选择的 EPG 和 ESG 是否已转换为安全组。

  • 工作中心 > TrustSec > SXP > SGT 绑定页面中,验证步骤 7 中选择的 EPG 和 ESG 的绑定是否已列出。

您可以从工作中心 > TrustSec > 集成 > 工作负载连接器 > 工作负载连接页面连接、暂停或删除连接。

如果某个连接的所有关联 SGT 都被删除,该连接将移至已暂停状态。当连接处于已暂停状态时:

  • 与该连接相关的所有 SXP 绑定和 MnT 会话数据都会被移除。

  • ACI 连接订阅会暂停。

  • 当您强制删除处于错误状态的 Cisco ACI 连接时,如果该连接中引用了出站域规则:

    • 如果该出站域规则仅在此连接中引用,则该规则会被删除。

    • 如果该规则还被其他连接引用,则仅移除对此连接的引用;其他引用保持不变。

    如果 Cisco ACI 连接中引用了工作负载分类规则或入站域规则,则必须从该连接中移除这些规则引用后,才能强制删除该连接。

  • 对名称转换规则的修改不会自动应用于已从此思科 ACI 连接获知的 EPG 或 ESG。要应用修改后的名称转换规则,必须先从已同步 EPG/ESG (Synced EPG/ESGs) 选项卡中取消选择之前获知的 EPG 或 ESG,然后保存您的更改。之后,您必须再次编辑连接以选择所需的 EPG 或 ESG,然后再次保存更改。

  • 如果 PSN 已重启,则必须暂停并重新连接 ACI 连接,以重新填充 ACI 连接详细信息。

  • 如果使用多个 ACI 连接,则必须将 SXP 节点配置为相同设置,以侦听相同的 NAD。

添加 AWS 工作负载连接器

开始之前

添加 AWS 工作负载连接器前,请确保满足以下先决条件:

  • 必须具备稳定的互联网连接。

  • 必须拥有一个授予以下权限的策略:ec2:DescribeTagsec2:DescribeVpcsec2:DescribeInstances

  • 必须确保思科 ISE 服务器时间同步正确,时间偏差不超过 5 分钟。

过程

步骤 1

在思科 ISE GUI 中,点击菜单 图标 (),然后选择 工作中心 > TrustSec > 集成 > 工作负载连接器 > 工作负载连接

步骤 2

点击添加连接 (Add Connection)

步骤 3

点击我们开始吧 (Let’s do it)

步骤 4

选择工作负载平台页面中,选择 AWS

步骤 5

添加 AWS 连接时,输入详细信息。

  • 工作负载连接名称:输入唯一的连接名称。连接名称可包含字母、数字和下划线。名称长度必须仅为 32 个字符,且不含空格。

  • 描述:输入连接的描述。

  • 同步间隔:输入 60 秒到 7 天之间的值,单位可选择秒、分钟、小时或天。默认情况下,同步间隔设置为 15 分钟。您可以根据数据需要刷新的频率调整同步间隔。但设置较短的间隔可能会潜在导致性能问题。

  • 区域:输入 AWS 工作负载配置所在的区域。

 

您可以创建多个 AWS 工作负载连接器以支持不同区域。

  • AWS 访问密钥:输入私有 AWS 访问密钥。

  • AWS 机密密钥:输入私有 AWS 密钥。

步骤 6

点击下一步 (Next)

步骤 7

管理属性页面中,选择要添加到思科 ISE 词典的现有 AWS 属性(标记),然后点击下一步

您可以在词典中的属性名称字段中重命名该属性。

 

  • 必须至少向词典添加一个属性,才能进入下一步。

  • 包含 ^、=、"、`、|、: 和 [] 等特殊字符的属性无效,无法添加到词典中。

步骤 8

摘要页面中,查看思科 ISE 工作负载连接器配置。点击编辑可修改任何配置。

步骤 9

点击创建 (Create)
新创建的 AWS 连接器会列在工作负载连接列表页面中。

添加 Azure 工作负载连接器

开始之前

添加 Azure 工作负载连接器前,请确保满足以下先决条件:

  • 必须具备稳定的互联网连接。

  • 必须拥有一个具有读取者权限的策略。

过程

步骤 1

在思科 ISE GUI 中,点击菜单 图标 (),然后选择 工作中心 > TrustSec > 集成 > 工作负载连接器 > 工作负载连接

步骤 2

点击添加连接 (Add Connection)

步骤 3

点击我们开始吧 (Let’s do it)

步骤 4

选择工作负载平台页面中,选择 Azure

步骤 5

添加 Azure 连接时,输入这些详细信息。

  • 工作负载连接名称:输入唯一的连接名称。连接名称可包含字母、数字和下划线。名称长度必须仅为 32 个字符,且不含空格。

  • 描述:提供关于工作负载连接器的额外信息(最多 2000 个字符)。

  • 同步间隔:输入 60 秒到 7 天之间的值,单位可选择秒、分钟、小时或天。默认情况下,同步间隔设置为 15 分钟。您可以根据数据需要刷新的频率调整同步间隔。但设置较短的间隔可能会潜在导致性能问题。

  • 订用 ID:输入 Azure 账户的 32 位订用 ID。您可以从主页 > 订用中找到此信息。

  • 租户 ID:输入租户 ID。您可以在 Azure 门户网站中找到此信息。登录您的账户,选择您的 Microsoft Entra ID,然后导航至概述选项卡下的基本信息部分。

  • 客户端 ID:输入客户端 ID。您可以通过登录 Azure 门户,然后在 Entra ID 下选择应用注册来找到此信息。选择您要查找其客户端 ID 的 Azure AD 应用,然后点击该应用以打开其详细信息。客户端 ID 列在 Essentials 下。

  • 客户端密钥:输入私有客户端机密密钥。

 
思科 ISE 会验证每种连接类型添加的信息,若任何详细信息不正确,会返回“测试连接失败”错误。

点击下一步 (Next)

步骤 6

管理属性页面中,选择要添加到思科 ISE 词典的现有 Azure 属性(标记),然后点击下一步

您可以在词典中的属性名称字段中重命名该属性。

 

  • 必须至少向词典添加一个属性,才能进入下一步。

  • 包含 ^、=、"、`、|、: 和 [] 等特殊字符的属性无效,无法添加到词典中。

步骤 7

摘要页面中,查看思科 ISE 工作负载连接器配置。点击编辑可修改任何配置。

步骤 8

点击创建 (Create)
新创建的 Azure 连接器会列在工作负载连接列表页面中。

添加 vCenter 工作负载连接器

开始之前

在添加 vCenter 工作负载连接器前,请确保满足以下先决条件:

  • 必须具备稳定的互联网连接。

  • 必须拥有一个具有只读权限的策略。

  • 如果需要通过代理访问互联网,且 vCenter 为本地部署,则必须绕过 vCenter 的 IP 地址。


由于 VMware ESXi 不支持属性(标记),因此仅可将 vCenter 配置为工作负载连接器。

过程

步骤 1

在思科 ISE GUI 中,点击菜单 图标 (),然后选择 工作中心 > TrustSec > 集成 > 工作负载连接器 > 工作负载连接

步骤 2

点击添加连接 (Add Connection)

步骤 3

点击我们开始吧 (Let’s do it)

步骤 4

选择工作负载平台页面中,选择 vCenter

步骤 5

添加 vCenter 连接时,输入详细信息。

  • 工作负载连接名称:输入唯一的连接名称。连接名称可包含字母、数字和下划线。名称长度必须仅为 32 个字符,且不含空格。

  • 描述:输入连接的描述。

  • 同步间隔:输入 60 秒到 7 天之间的值,单位可选择秒、分钟、小时或天。默认情况下,同步间隔设置为 15 分钟。您可以根据数据需要刷新的频率调整同步间隔。但设置较短的间隔可能会潜在导致性能问题。

  • FQDN 或 IP 地址:输入主机名或 IP 地址。此处输入的值必须与 vCenter 终端证书的使用者备用名称匹配。

  • 用户:输入您的 vCenter 账户的用户名。

  • 密码:输入您的 vCenter 账户的密码。

  • 验证 vCenter 证书:(可选)选中此复选框以验证证书,并将 vCenter 的根证书导入到 ISE 的受信任证书库。在导入证书时,必须选中信任思科服务的身份验证复选框。

 
思科 ISE 会验证每种连接类型添加的信息,若任何详细信息不正确,会返回“测试连接失败”错误。

步骤 6

点击下一步 (Next)

步骤 7

管理属性页面中,选择要添加到思科 ISE 字典的现有 vCenter 属性(标记),然后点击下一步

您可以在词典中的属性名称字段中重命名该属性。

 

  • 必须至少向词典添加一个属性,才能进入下一步。

  • 包含 ^、=、"、`、|、: 和 [] 等特殊字符的属性无效,无法添加到词典中。

步骤 8

摘要页面中,查看思科 ISE 工作负载连接器配置。点击编辑可修改任何配置。

步骤 9

点击创建 (Create)

新创建的 vCenter 连接器会列在工作负载连接列表页面中。

添加 GCP 工作负载连接器

开始之前

添加 GCP 工作负载连接器前,请确保满足以下先决条件:

  • 必须具备稳定的互联网连接。

  • 必须拥有一个具有基本 > 查看者权限的策略。

过程

步骤 1

在思科 ISE GUI 中,点击菜单 图标 (),然后选择 工作中心 > TrustSec > 集成 > 工作负载连接器 > 工作负载连接

步骤 2

点击添加连接 (Add Connection)

步骤 3

点击我们开始吧 (Let’s do it)

步骤 4

选择工作负载平台页面中,选择 GCP

步骤 5

在添加连接时输入详细信息,然后点击下一步

  • 工作负载连接名称:输入唯一的连接名称。连接名称可包含字母、数字和下划线。名称长度必须仅为 32 个字符,且不含空格。

  • 描述:输入连接的描述。

  • 同步间隔:输入 60 秒到 7 天之间的值,单位可选择秒、分钟、小时或天。默认情况下,同步间隔设置为 15 分钟。您可以根据数据需要刷新的频率调整同步间隔。但设置较短的间隔可能会潜在导致性能问题。

  • GCP 区域:输入 GCP 工作负载配置所在的区域,例如 us-east1。

     

    您可以创建多个 GCP 工作负载连接器以支持不同区域。

  • 服务账户:通过复制粘贴文件文本,或点击导入服务账户并上传文件,输入服务账户信息。

 
思科 ISE 会验证每种连接类型添加的信息,若任何详细信息不正确,会返回“测试连接失败”错误。

步骤 6

管理属性页面中,选择要添加到思科 ISE 词典的现有 GCP 属性(标记),然后点击下一步

您可以在词典中的属性名称字段中重命名该属性。

 

  • 必须至少向词典添加一个属性,才能进入下一步。

  • 包含 ^、=、"、`、|、: 和 [] 等特殊字符的属性无效,无法添加到词典中。

步骤 7

摘要页面中,查看思科 ISE 工作负载连接器配置。

步骤 8

点击编辑可修改任何配置。

步骤 9

点击创建 (Create)

新创建的 GCP 连接器会列在工作负载连接列表页面中。

属性字典

属性字典列出了与思科 ISE 集成的所有工作负载连接(ACI 除外)的属性。您可以选择并将所需属性添加到思科 ISE 字典中。

配置属性时请注意以下几点:

  • 每种连接类型会创建一个字典。例如,所有 AWS 连接器的属性会添加到单个 AWS 字典中。

  • 正在使用的属性不会从字典中排除。

  • 删除连接时,属性不会自动移除。

  • 您可以手动删除任何未在使用的属性。

  • 您可以从提供程序导入新属性。

  • 您可以添加提供程序中不存在的属性。

添加字典属性

过程

步骤 1

在思科 ISE GUI 中,点击菜单 图标 (),然后选择 工作中心 > TrustSec > 集成 > 工作负载连接器

步骤 2

点击字典属性

步骤 3

点击添加属性

步骤 4

启用包含在词典中切换按钮。

步骤 5

工作负载属性字段中输入属性名称。

步骤 6

词典中的属性名称字段中输入要在词典中显示的名称。

步骤 7

点击保存

删除字典属性

过程

步骤 1

在思科 ISE GUI 中,点击菜单 图标 (),然后选择 工作中心 > TrustSec > 集成 > 工作负载连接器

步骤 2

点击字典属性

步骤 3

选中要删除的属性旁的复选框。

步骤 4

点击删除 (Delete)

步骤 5

点击保存

添加入站 SGT 域规则

您可以创建入站 SGT 域规则,将入站 SGT 绑定与特定 SGT 域映射。如果未定义任何规则,从工作负载连接器接收的绑定会发送到默认 SGT 域。

过程

步骤 1

在思科 ISE GUI 中,点击菜单 图标 (),然后选择 工作中心 > TrustSec > SXP > 入站和出站 SGT 域规则

步骤 2

入站 SGT 域规则 (Inbound SGT Domain Rules) 选项卡中,点击添加入站规则 (Add Inbound Rule)

步骤 3

规则设置 (Rule Settings) 区域中,输入入站 SGT 域规则的名称。

步骤 4

点击 Enabled

步骤 5

目标 (Destination) 下拉列表中,选择必须将绑定发送到的 SGT 域。

使用创建 SGT 域 (Create SGT Domain) 选项,以创建新的 SGT 域并将其添加到目标列表。

步骤 6

规则配置 (Rule Configuration) 区域中,使用以下属性配置入站 SGT 域规则的条件:

  • EPG

  • “SGT 名称”(SGT Name)

  • 来源

  • 租户

  • VRF

  • IP 地址

您还可以从创建 AWS、GCP、Azure 和 vCenter 工作负载连接器时添加到字典的额外属性(标签)中进行选择。

您可以根据需要添加 AND 或 OR 条件。

步骤 7

点击添加 (Add)

步骤 8

点击保存

您可以创建出站 SGT 域规则,为特定 SGT 绑定指定目标目的地。有关如何创建出站 SGT 域规则的信息,请参阅添加出站 SGT 域规则

添加出站 SGT 域规则

您可以创建出站 SGT 域规则,为特定 SGT 绑定指定目标目的地。

过程

步骤 1

在思科 ISE GUI 中,点击菜单 图标 (),然后选择 工作中心 > TrustSec > SXP > 入站和出站 SGT 域规则

步骤 2

出站 SGT 域规则 (Outbound SGT Domain Rules) 选项卡中,点击添加出站规则 (Add Outbound Rule)

步骤 3

规则设置 (Rule Settings) 区域中,输入出站 SGT 域规则的名称。

步骤 4

点击 Enabled

步骤 5

目标 (Destination) 下拉列表中,选择必须将 SGT 发送到的思科 ACI 连接和第 3 层输出 (L3Out)。

步骤 6

规则配置 (Rule Configuration) 区域中,使用以下属性配置出站 SGT 域规则的条件:

  • SGT 域

  • “SGT 名称”(SGT Name)

  • IP 地址

您可以根据需要添加 AND 或 OR 条件。

步骤 7

(可选)在合同配置区域中,为共享安全组分配已使用已提供合同。

步骤 8

点击添加 (Add)

步骤 9

点击保存

在创建出站 SGT 域规则后,您可以在管理 > pxGrid 服务 > 诊断> WebSocket > 主题页面中验证 ACI 消费者状态。

在添加或编辑入站和出站 SGT 域规则时,您可以使用预览选项预览匹配的 IP-SGT 绑定。

您可以在工作中心 > TrustSec > SXP > 入站和出站 SGT 域规则页面中查看新创建的入站和出站 SGT 域规则。要查看特定过滤器的 SGT 绑定表,请点击其 SGT 绑定编号。


在配置出站 SGT 域规则时,必须选择一个并非源自目标 ACI 的 SGT。如果选择源自目标 ACI 的 SGT,思科 ISE 会将所选 SGT 绑定推送回源 ACI。

添加工作负载分类规则

工作负载分类规则用于对工作负载进行分类,并为工作负载分配主 SGT 和次 SGT。主 SGT 在 pxGrid 会话主题中标记为“安全组”(Security Group),用于通过 SXP 发布 IP 到 SGT 的映射。次 SGT 会以名为“次要安全组”的有序数组形式包含在 pxGrid 会话主题中。

您可以指定分类规则的执行顺序。您可以通过拖放行来更改优先级顺序。

您可以根据要为规则设置的优先级,在现有规则的上方或下方插入新规则或复制规则。

默认分类规则始终列在列表底部。默认规则默认处于禁用状态,并映射到未知主 SGT。

如果匹配了多个分类规则并分配了多个主 SGT,则只有第一个分配的 SGT 才会被视为主 SGT,其余 SGT 都会被标记为辅助 SGT。您可以创建入站 SGT 域规则来定义这些 IP 绑定的 SGT 域。

对于来自 Cisco ACI 连接的工作负载,主 SGT 始终是在连接配置期间创建的、从其 EPG 或 ESG 派生的 SGT。

按照以下步骤添加工作负载分类规则。

过程

步骤 1

在思科 ISE GUI 中,点击菜单 图标 (),然后选择 工作中心 > TrustSec > 集成 > 工作负载分类

步骤 2

点击添加分类规则

步骤 3

规则设置 (Rule Settings) 区域中,输入工作负载分类规则的名称。

步骤 4

点击 Enabled

步骤 5

授权配置 (Authorization Configuration) 区域中,从主 SGT (Primary SGT) 下拉列表中选择该规则的主 SGT。

步骤 6

(可选)从次 SGT 下拉列表中,选择要添加到该规则的次 SGT。

步骤 7

规则配置 (Rule Configuration) 区域中,使用以下属性配置工作负载分类规则的条件:

  • EPG

  • “SGT 名称”(SGT Name)

  • 来源

  • 租户

  • VRF

  • IP 地址

您也可以从创建 AWS、GCP、Azure 和 vCenter 工作负载连接器时添加到字典的额外属性(标签)中进行选择。

您可以根据需要添加 AND 或 OR 条件。

步骤 8

点击保存

在添加或编辑工作负载分类规则时,您可以使用预览选项预览 SGT 详情和匹配规则。

SGT 绑定页面显示所有已配置的 SGT 绑定,让您可以轻松查看已分配的主 SGT 和次 SGT、获知数据的来源以及已应用的工作负载分类规则。您还可以查看具有共享目标的 IP-SGT 绑定。您可以点击相应的列值,查看已定义的入站和出站 SGT 域规则的分类详情和具体内容。


每个网络设备支持的 IP-SGT 绑定最大数量取决于设备型号及其容量设计。有关 Cisco SD-Access 平台规模的信息,请参阅《思科 Catalyst Center 数据手册》。

在为不同网络设备类型配置工作负载分类规则时,请参考边界节点规模和边缘节点规模。如果绑定总数超过设备支持的最大绑定数量,超出规模限制的 IP-SGT 绑定会被丢弃,且不会发送到 SXP 设备。在此情况下,您必须根据规模限制减少 IP-SGT 绑定数量,并重新配置设置。

创建 SGT 域

您可以创建 SGT 域来管理 SGT 绑定的分发。默认情况下,所有绑定都发送到默认 SGT 域。

过程

步骤 1

在思科 ISE GUI 中,点击菜单 图标 (),然后选择 工作中心 > TrustSec > SXP > SGT 域

步骤 2

点击创建 SGT 域 (Create SGT Domain)

步骤 3

SGT 域名 (SGT Domain Name) 字段中,输入 SGT 域的名称。

步骤 4

点击保存

您可以在工作中心 > TrustSec > SXP > SGT 域页面中查看 SXP 设备和映射到每个 SGT 域的 SGT 绑定。

与 ACI 连接和 SGT 域规则相关的 OpenAPI 列在管理 > 系统 > 设置 > API 设置页面的 TrustSec 类别下。

SGT 绑定

SGT 绑定页面显示所有已配置的 SGT 绑定,让您可以轻松查看已分配的主 SGT 和次 SGT、获知数据的来源以及已应用的工作负载分类规则。您还可以查看具有共享目标的 IP-SGT 绑定。您可以点击相应的列值,查看已定义的入站和出站 SGT 域规则的分类详情和具体内容。

可以在 SGT 绑定 (SGT Bindings) 页面中查看思科 ISE 与思科 ACI 之间收发的所有绑定。获知自列显示 Cisco ACI 服务器的 IP 地址以及关联的 PSN。获知方式列显示绑定类型,如会话、本地或 SXP。

对于工作负载连接器,获知自列显示主 PAN 的 IP 地址以及思科 ISE 用于连接外部提供程序的网关 IP。源类型列显示 IP 的获知来源(AWS、GCP、Azure 或 vCenter)。

您可以创建 SGT 域过滤器,将 SGT 绑定发送到不同的 SGT 域。要添加 SGT 域过滤器:

  1. 选择工作中心 > TrustSec > SXP > SGT 绑定

  2. 点击添加 SGT 域过滤器 (Add SGT Domain Filter)

  3. 执行以下操作:

    • 输入子网详细信息,或从主 SGT 下拉列表中选择一个 SGT。

      您也可以同时指定子网和 SGT。

    • (可选)在 VN 字段中指定虚拟网络。

    • 选择必须将绑定发送到的 SGT 域。

  4. 点击保存

要更新过滤器,请点击管理 SGT 域过滤器 (Manage SGT Domain Filter)

  • pxGrid 消费者通过 pxGrid 从启用 SXP 的 PSN 获知绑定。如果 PSN 重新加载,绑定会被删除,待 PSN 重新活跃后会重新获知。PSN 重新加载后,服务通常需要约 10 分钟才能完全重启。

  • SXP 域过滤器不适用于从工作负载连接获知的数据。

  • 通过入站 SGT 域规则分配的 SGT 域会被 SGT 域过滤器覆盖。

工作负载实时会话

工作负载实时会话页面显示实时工作负载会话的详细信息。要查看此页面,请在思科 ISE GUI 中点击菜单图标,然后选择操作 > 工作负载 > 工作负载实时会话

您只能在主 PAN 中查看工作负载实时会话。

您可以在工作负载实时会话页面中执行以下操作:

  • 根据连接器类型筛选工作负载会话。

  • 将数据导出为 CSV 或 PDF 格式。

  • 根据要求显示或隐藏列。

  • 使用快速筛选器或自定义筛选器筛选数据,并保存筛选器以供后续使用。

  • 重新排列列并调整列宽。

  • 对列值排序。

Cisco ACI 集成的兼容性矩阵

新的 ACI 连接工作流程需要以下版本:

产品

版本

思科 ISE

3.4.1 及更高版本

Cisco ACI

6.1.1 或更高版本

SD-WAN

20.12.2(验证版本)

Cisco Catalyst Center

2.3.7.7 或更高版本

Cisco Firepower Management Center

7.2.5(验证版本)

工作负载连接器的调试日志

您可以在操作 > 故障排除 > 调试向导 > 调试配置文件配置中配置 ACI 的调试日志严重级别。必须在 PAN 、SXP 和 pxGrid 节点上,将工作负载连接器组件的日志级别设置为调试

以下日志文件适用于 工作负载连接器(位于 /opt/CSCOcpm/logs 下):

  • workloads.log

  • workload-conn/*.log

  • aciconn/aciconn.log

  • api-service.log

  • ise-psc.log

  • pxgriddirect-service.log

  • sxp_appserver/sxp.log

为 工作负载连接器生成的警报

系统会为 ACI 集成生成以下警报。

  • 在思科 ACI 中删除 EPG、ESG 或 L3Out 时,相应对象也会在思科 ISE 中删除。如果这些对象中的任何一个包含在入站或出站规则中,会触发警报。

  • 当在 Cisco ACI 中删除 mdpConn 对象时,思科 ISE 会获知配置更改并生成警报。

  • 当在 Cisco ACI 中删除 EEPG 时,思科 ISE 会获知配置更改并生成警报。

  • 在思科 ISE 中删除 ACI 连接时,如果删除已获知的 SGT 和 SGT 范围的过程失败,会生成警报。

  • 当监听 Cisco ACI 事件的思科 ISE 监听器与 Cisco ACI 断开连接时,会生成警报。这可能是由于 ACI 密码更改、证书到期或网络连接问题造成的。

    升级期间在 Cisco ACI 中更改服务器证书时,也可能发生此情况。在此情况下,您必须在思科 ISE 受信任证书库中更新 Cisco ACI 的服务器证书。

以下警报为 vCenter 和其他云系统生成:

  • 在恢复、升级/高可用性或升级等场景后,如果工作负载连接器创建失败,会生成工作负载连接创建/连接失败警报。

  • 如果工作负载连接器删除失败,会生成工作负载连接删除失败警报。

  • 当发生其他相关工作负载连接服务故障时,会生成工作负载连接服务错误警报。

从旧版 ACI 集成迁移到新版 ACI 连接工作流程

要从旧版 ACI 集成迁移到新版 ACI 连接工作流程,请执行以下操作:

  1. 依次选择工作中心 > TrustSec > 设置 > ACI 设置

  2. 取消选中启用 ACI 集成 (Enable ACI Integration) 复选框。

  3. 使用工作中心 > TrustSec > 集成 > ACI > ACI 连接 页面添加新的思科 ACI 连接。有关详细信息,请参阅添加 Cisco ACI 连接

  • 当您删除与思科 ISE 的现有 ACI 集成时,通过此集成获知的所有数据都将从思科 ISE 和思科 ACI 中删除。

  • 我们建议您在维护窗口期间执行此迁移,因为迁移期间策略执行可能会中断。

思科 ACI 和思科 SD-Access 与虚拟网络感知的集成

对于具有 Cisco ACI 基础设施的思科软件定义接入 (SD-Access) 交换矩阵,思科 ISE 提供增强的信息交换转换和跨域自动化。此实施机制在以下方面提供支持:

  • 交换和转换 EPG 和 SGT 信息

  • 将思科 SD-Access 虚拟网络扩展到思科 ACI 交换矩阵

  • Cisco SD-Access 和 Cisco ACI 交换矩阵数据平面自动化

  • IP-SGT 绑定交换

  • 将绑定发送到 pxGrid 和 SGT

思科 ISE 从 RADIUS 绑定或思科 ACI 绑定获知虚拟网络信息,并为特定虚拟网络提供本地静态映射。虚拟网络可用于增强 SXP 过滤器逻辑,利用该逻辑可协调与思科 ACI 的 IP-SGT 绑定共享。请注意,因为扩展到思科 ACI 的虚拟网络是与思科 ACI 共享 IP-SGT 绑定的唯一结构,所以在这个意义上 SGT 域和虚拟网络是紧密关联的。因此,特定 SGT 域(以 SD-Access- 前缀表示)映射到思科 ISE 中的等效虚拟网络(SGT 域减去 SD-Access- 前缀)。

为了让思科 SD-Access 边界节点能了解思科 ACI 绑定,思科 ACI 绑定在复制之后再通过 SXP 过滤器逻辑发送出去,仿佛它们源自所有扩展的虚拟网络。例如,思科 SD-Access 虚拟网络 1、虚拟网络 2 和虚拟网络 3 扩展到思科 ACI,则思科 ACI 与原始思科 ACI 虚拟网络的绑定会通过 SXP 过滤器发送四次。这个完全相同的绑定将通过所有四个虚拟网络的过滤器。可以根据特定部署要求修改和自定义过滤器。但是,面向所有扩展虚拟网络的复制始终会发生。

思科 ISE 尽可能从思科 ACI 获知 IP-SGT、EPG 绑定。但是,思科 ISE 无法强制思科 ACI 获知任何绑定。思科 ACI 必须明确向思科 ISE 请求绑定信息。

下表列出了思科 ISE 中 IP-SGT 或 IP-EPG 绑定可能存在的源和目标组合。

源域 目标域名 源分组 目标分组
Cisco ACI SXP 思科 ACI 虚拟网络 SGT 思科 ACI 虚拟网络可用作 SXP 过滤器中的密钥,以与一个或多个 SGT 域共享绑定。
Cisco ACI pxGrid 思科 ACI 虚拟网络 PxGrid 上的 VPN for SXP 主题 思科 ACI 虚拟网络可用作 SXP 过滤器中的密钥,以与 pxGrid 上的一个或多个 SXP VPN 共享绑定。
Cisco ACI 思科 SD-Access 边界节点 思科 SD-Access 扩展虚拟网络 SGT 思科 ACI 绑定分享给为边界节点虚拟网络信息交换而自动创建的所有 SGT 域(有“SD-Access-”前缀的域)。
思科 ISE 静态映射 SXP 思科 SD-Access 虚拟网络或现有 SGT SGT 静态绑定可以直接发送到 SGT 域(在静态映射中指定 SGT 域)或通过 SXP 过滤器发送(连同虚拟网络信息)。如果未指定虚拟网络,则 SXP 过滤器使用虚拟网络 DEFAULT_VN。
思科 ISE 静态映射 pxGrid 思科 SD-Access 虚拟网络 SGT 静态绑定可以直接发送到 SGT 域(在静态映射中指定 SGT 域)或通过 SXP 过滤器发送(连同虚拟网络信息)。如果未指定虚拟网络,则 SXP 过滤器使用虚拟网络 DEFAULT_VN。
思科 ISE 静态映射 Cisco ACI 思科 SD-Access 虚拟网络 思科 SD-Access 虚拟网络 思科 SD-Access 虚拟网络必须扩展到思科 ACI (mdpExtendvirtual networkReq),并且绑定使用 SXP 过滤器中的虚拟网络发送到思科 ACI,同时 SGT 域映射到虚拟网络。
SXP pxGrid SGT SGT SGT 域在 pxGrid 上的 SXP 主题中显示为 VPN。
SXP Cisco ACI SGT 思科 SD-Access 虚拟网络

在思科 ACI 设置下选择 SGT 域共享。

仅共享由思科 SD-Access 虚拟网络自动创建的 SGT 域(虚拟网络等效 SGT 域)。

思科 SD-Access 虚拟网络应扩展到思科 ACI,以使虚拟网络有机会共享绑定。

绑定必须包含在让思科 ACI 请求终端数据的消费者服务中。
SXP SXP SGT SGT 通过优先级排序实现的 SXP 绑定是共享的。
RADIUS 绑定 Cisco ACI 思科 SD-Access 虚拟网络 思科 SD-Access 虚拟网络 RADIUS 绑定通过 SXP 过滤器(连同虚拟网络信息)发送。如果未为绑定指定虚拟网络,则 SXP 过滤器使用虚拟网络 DEFAULT_VN。
RADIUS 绑定 pxGrid 思科 SD-Access 虚拟网络 思科 SD-Access 虚拟网络 RADIUS 绑定进入 pxGrid 上的会话目录主题,虚拟网络字段也添加到该主题。
RADIUS 绑定 SXP 思科 SD-Access 虚拟网络 SGT 思科 SD-Access 虚拟网络可用作 SXP 过滤器中的密钥,以选择要与之共享绑定的 SGT 域。

要促进跨域支持,您必须能够在两个策略域(或一个策略域内的转发域)之间交换和过滤各种网络转发域,例如 IP 地址、子网掩码、安全组标记、EPG、虚拟网络、虚拟路由和转发 (VRF)。当策略域(例如思科 SD-Access、思科 ACI、SD-WAN、CPC 和 Meraki)有多个转发域时,这一点尤其重要。

您可以识别、捕获和存储策略域的网络特定转发域以及从其他策略域获取的所有会话和绑定的域特定属性。策略管理员将使用这些属性将会话和绑定过滤到特定 SGT 域。此外,管理员还能创建策略,仅将特定绑定从一个转发域映射或过滤到另一个转发域。

思科 ISE 从 Catalyst Center 获知每个虚拟网络后,您会在 SXP 设备窗口中找到自动创建的 SXP 过滤器和 SGT 域。要查看此处窗口,请点击菜单 图标 (),然后选择 工作中心 > TrustSec > SXP > SXP 设备。这些 SGT 域将用于在与思科 ACI 共享的绑定中设置虚拟网络。

您可以在“IP-SGT 静态映射”(IP-SGT Static mapping) 窗口中向 IP-SGT 静态映射添加虚拟网络并编辑虚拟网络。要查看此处窗口,请点击菜单 图标 (),然后选择 工作中心 > TrustSec > 组件 > IP SGT 静态映射。点击添加 (Add) 添加新映射,或点击编辑 (Edit) 修改现有映射。

图 15. 在 SXP 设备过滤器中添加虚拟网络信息

配置思科 ISE 以支持思科 ACI 和思科 SD-Access 集成

此任务可帮助您配置思科 ISE 以支持思科 ACI 和思科 SD-Access 集成。

开始之前

确保思科 ISE 与 Catalyst Center 的最新版本集成,并且使用的 APIC 版本为 5.1 或更高版本。

过程

步骤 1

在思科 ISE GUI 中,点击菜单 图标 (),然后选择 选择管理 (Administration) > 系统 (System) > 部署 (Deployment)

步骤 2

从节点列表中,选中您想要启用 SXP 和 pxGrid 服务的节点旁边的复选框。

步骤 3

向下滚动到策略服务 (Policy Service) 部分并启用 pxGrid 和 SXP 服务,如下图所示。

如果您在思科 ISE 上启用了多个接口,请在启用 SXP 服务 (Enable SXP Service) 区域中指定哪个接口将保持 SXP 连接。

图 16. 启用 SXP 和 pxGrid 服务

步骤 4

点击保存

步骤 5

在思科 ISE GUI 中,点击菜单 图标 (),然后选择 管理 (Administration) > pxGrid 服务 (pxGrid Services) > 所有客户端 (All Clients)

步骤 6

验证 pxGrid 服务是否已启动并正常运行。

连接成功的通知显示在窗口的左下角,如下图所示:
图 17. 验证与 pxGrid 服务的连接

步骤 7

从 APIC 控制器浏览器下载 APIC 证书。点击浏览器地址栏中的锁定图标,查看证书并将其下载为 PEM 文件。

步骤 8

在思科 ISE GUI 中,点击菜单 图标 (),然后选择 管理 (Administration) > 系统 (System) > 证书 (Certificates) > 受信任证书 (Trusted Certificates)

步骤 9

受信任证书 (Trusted Certificates) 窗口中导入下载的 APIC 证书文件。

步骤 10

在思科 ISE GUI 中,点击菜单 图标 (),然后选择 工作中心 (Work Centres) > TrustSec > 设置 (Settings) > ACI 设置 (ACI Settings)

步骤 11

根据需要配置 ACI 设置。

验证思科 ACI 与思科 SD-Access 的集成

要获取思科 ACI 和思科 SD-Access 连接之间的详细信息,请选择操作 (Operations) > 故障排除 (Troubleshoot) > 调试向导 (Debug Wizard) > 调试日志配置 (Debug Log Configuration)。选择启用了 SXP 和 pxGrid 服务的思科 ISE 节点,然后点击“编辑”(Edit)。如下图所示,将 spbhubsxpTrustSec 组件的日志级别设置为“调试”(DEBUG)。

图 18. 启用调试日志
启用调试日志

这些日志可从下载日志 (Download Logs) 窗口下载。(要查看此处窗口,请点击菜单 图标 (),然后选择 操作 (Operations) > 故障排除 (Troubleshoot) > 下载日志 (Download Logs)。)您可以选择从支持捆绑包 (Support Bundle) 选项卡下载支持捆绑包,也可以从调试日志 (Debug Logs) 选项卡下载特定调试日志。

此外,TrustSec 控制面板 还通过从 Cisco ACI 集成中获知的信息得到增强,这对排查与 Cisco ACI 相关的问题非常有用。

Catalyst Center 发出域通告后,应同时在思科 ISE 的受信任证书 (Trusted Certificates) 窗口和系统证书 (System Certificates) 窗口中确认 APIC 证书是否是从 APIC 域管理器获取的。

图 19. 在“系统证书”窗口中验证证书
在“系统证书”窗口中验证证书
图 20. 在“受信任证书”窗口中验证证书
在“受信任证书”窗口中验证证书

按用户报告运行前 N 个 RBACL 丢包

可以按用户报告运行前 N 个 RBACL 丢包,以便按特定用户查看策略违规(基于丢包)。

过程

步骤 1

在思科 ISE GUI 中,点击菜单 图标 (),然后选择操作 > 报告 > TrustSec

步骤 2

点击 Top N RBACL Drops by User

步骤 3

Filters 下拉菜单中添加所需的监控模式。

步骤 4

相应地输入选定参数的值。可以从 Enforcement mode 下拉列表中将模式指定为 Enforce、Monitor 或 Both。

步骤 5

Time Range 下拉菜单中选择将收集报告数据的时间段。

步骤 6

点击运行 (Run) 在特定时间段内运行报告,以及选定的参数。

连接思科 Meraki 控制面板与思科 ISE

思科 ISE 和基于云的思科 Meraki 是支持 TrustSec 的系统,是 TrustSec 策略的策略管理点。如果您同时使用思科和 Meraki 网络设备,则可以将一个或多个思科 Meraki 控制面板连接到思科 ISE,以将 TrustSec 策略和元素从思科 ISE 复制到属于每个组织的思科 Meraki 网络。

思科 Meraki 的 TrustSec 集成是在主 PAN 上运行的本地服务。如果发生故障切换,集成服务将继续在新升级的主 PAN 上运行。思科 Meraki 的 TrustSec 集成服务执行以下功能:

  • 复制指定的思科 Meraki 组织中的选定思科 ISE TrustSec 策略及其组成安全组 ACL (SGACL) 和安全组标记 (SGT)。

    您只能选择符合 Meraki 自适应策略支持的格式的 TrustSec 策略。有关 SGACL 等策略元素的格式要求,请参阅 思科 Meraki 控制面板组织结构

  • 如果对现有信息进行了任何编辑,则使用新版本覆盖现有 TrustSec 策略或策略元素。仅当思科 ISE 策略完成时,才会发生覆盖。空策略或不完整策略不会同步。

    连接思科 ISE 和思科 Meraki 控制面板时,如果两个系统为同一源和目标配置了不同的 TrustSec 策略,则思科 ISE TrustSec 策略将替换思科 Meraki 中的 TrustSec 策略。

    思科 Meraki 自适应策略无法迁移到思科 ISE。

  • 如果在思科 ISE 中编辑已复制的策略,则在思科 Meraki 中也会更新该策略。例如,如果您将 SGACL 添加到已复制到思科 Meraki 的思科 ISE TrustSec 策略中,则该 SGACL 将自动显示在思科 Meraki 控制面板的相应策略中。

  • 思科 Meraki 的 TrustSec 集成不会删除思科 Meraki 中的任何策略或策略元素。在思科 ISE 中删除策略或策略元素时,也必须在思科 Meraki 中将其删除。

思科 ISE 按配置的同步间隔(5-30 分钟)将所选 TrustSec 出口策略与连接的思科 Meraki 控制面板同步。但是,如果需要,您也可以直接在思科 Meraki 中添加 TrustSec 策略,并随时触发手动同步。

仅包含至少一个自定义组的策略才会同步到思科 Meraki 控制面板。对于源和目标均为默认组(如 TrustSec_Devices、Infrastructure 或 Unknown)的出口策略,思科 ISE 不会同步。

思科 Meraki API 可使用从 Meraki 面板收到的响应来确定同步的规模限制。有关思科 Meraki 的规模限制的信息,请参阅《 思科 Meraki 自适应策略配置指南》。

选择要同步的出口策略时,思科 ISE 会确保不超过思科 Meraki 的规模限制。

当思科 ISE 用户降级时,该用户在思科 ISE 和思科 Meraki 之间同步的现有策略、控制面板和组织都将保持活动状态。但是,用户将无法添加更多策略或对控制面板和组织进行任何配置更改。

对于已配置的思科 Meraki 控制面板连接,思科 ISE 只支持每个云一个连接。相同的信息会被传输到所有思科 Meraki 组织。

注意

思科 Meraki 正在其云基础设施上更新证书。要确保思科 ISE 与思科 Meraki 集成的功能持续正常,需将新的思科 Meraki 证书添加到思科 ISE 受信任存储库。有关如何下载和导入新证书的信息,请参阅软件下载页面

开始之前

连接思科 ISE 与思科 Meraki 控制面板并共享 TrustSec 策略和策略元素的工作流程需要以下信息。

在思科 ISE:

  • 思科 ISE Advantage 许可证

  • 要同步的 TrustSec 出口策略

  • 要同步的 SGACL

  • 要同步的 SGT

有关出口策略的详细信息,请参阅 出口策略

有关 SGACL 和 SGT 的详细信息,请参阅 TrustSec 组件

在思科 Meraki:

  • 您必须拥有一个经授权的思科 Meraki 账户,才能访问要与思科 ISE 同步的所有思科 Meraki 组织。您必须从此账户生成一个 API 密钥,供思科 ISE 用于访问思科 Meraki 控制面板。

  • 在思科 Meraki 门户中,您还必须为要连接到思科 ISE 的每个组织启用 Meraki 控制面板 API 访问权限。

有关组织、API 主机名和密钥以及控制面板 API 访问等概念的信息,请参阅 思科 Meraki 控制面板组织结构

过程

步骤 1

在思科 ISE 管理门户中,选择 工作中心 > TrustSec > 集成 > Meraki > 概述

步骤 2

点击 连接 Meraki 以启动将思科 Meraki 控制面板和组织连接到思科 ISE 的工作流程。

步骤 3

欢迎 窗口中,点击 让我们开始吧

步骤 4

添加连接 窗口中,从 思科 Meraki 控制面板 API 主机名 下拉列表中选择所需选项。

步骤 5

API 密钥 字段中,输入相应的值。有关 API 密钥的更多信息,请参阅 思科 Meraki 控制面板 API

步骤 6

点击 连接 以将所选思科 Meraki 控制面板与思科 ISE 集成。

步骤 7

连接完成后, 选择 Meraki 组织 下拉列表将显示连接到所选 API 密钥的所有组织。使用此列表,您可以选择要与思科 ISE 同步的组织。

步骤 8

(可选) 点击 + 图标,将更多思科 Meraki 控制面板添加到思科 ISE。

步骤 9

点击下一步

步骤 10

设置同步间隔 窗口的 同步间隔 字段中,输入 5 到 30 之间的值。此值定义连接的思科 ISE 和思科 Meraki 系统之间的同步频率。默认同步间隔为 12 分钟。

步骤 11

点击下一步

步骤 12

选择出口策略 窗口中,选中要与思科 Meraki 同步的 TrustSec 出口策略旁边的复选框。

您将无法选择不符合 Meraki 自适应策略支持格式的任何出口策略。

步骤 13

点击下一步

步骤 14

选择其他 SGACL 窗口中,已预先选择与您在 选择出口策略 窗口中选择的出口策略关联的 SGACL。您可以通过选中相应 SGACL 旁边的复选框来选择要同步的更多 SGACL。

您将无法选择不符合 Meraki 自适应策略支持格式的 SGACL。

步骤 15

点击下一步

步骤 16

选择其他 SGT 窗口中,已预先选择与您在 选择出口策略 窗口中选择的出口策略关联的 SGT。您可以通过选中相应 SGT 旁边的复选框来选择更多要同步的 SGT。

步骤 17

点击下一步

步骤 18

摘要 窗口中,查看您在工作流程中定义的所有配置,然后点击 完成

工作流程完成后,会执行初始同步周期,初始同步结果可在同步状态页面查看。

在思科 ISE 中查看和修改思科 Meraki 连接

将思科 Meraki 连接到思科 ISE 后,您可以通过 同步状态连接同步选择 窗口监控和编辑连接配置。

同步状态

同步状态窗口显示与最新同步周期相关的信息,这些信息分组在出口策略ACLSGT 选项卡中。


用于同步 SGT 的管理证书链必须是信任存储区的一部分。必须启用 ISE 内部身份验证选项,才能使证书受信任,并确保 SGT 同步成功。

同步状态 页面的左上角显示已成功同步到所有思科 Meraki 组织的选定出口策略、SGACL 和安全组的数量。此外,还会显示有关收到全部、部分或不收到所选出口策略、SGACL 和安全组的思科 Meraki 组织数量的信息。

如果思科 ISE 无法成功同步某些项目,您可以在 同步状态 页面底部显示的三个选项卡中查看有关所选出口策略、SGACL 和安全组的信息。

点击同步状态表的 组织 列中的数字可查看每个组织的特定项目的同步状态。如果同步失败,系统将显示同步失败的原因和补救措施。

同步状态 窗格的右上角包含以下信息:

  • 同步间隔:显示当前应用的同步间隔。点击同步间隔值可从下拉列表中选择其他间隔。

  • 数据同步输入:显示下一次计划同步的倒计时计时器。

  • 立即同步:点击 立即同步 以立即启动同步。

  • 暂停同步:点击 暂停同步 以暂停同步计划。同步计划会暂停,直到您点击 恢复同步,这会取代 暂停同步 选项。

    恢复同步将立即触发同步周期,然后重新开始同步计划。


提示

  • 我们建议您在修改 ISE 策略、SGT 和 ACL 时,使用同步状态页面上的暂停同步选项。这可确保仅将完全配置并验证的策略同步到思科 Meraki 控制面板。在更新同步选择时暂停同步,还可防止出现部分或不一致的更新,确保未完成或非预期的更改不会同步到思科 Meraki 控制面板。

  • 为实现最佳性能,尤其是在 TrustSec 配置稳定的环境中,我们建议使用更长的同步间隔。仅当您预计思科 ISE 中的 TrustSec 对象会频繁更改,且需要这些更新立即在思科 Meraki 控制面板中体现时,才应使用更频繁的同步间隔。

连接

连接 窗口中,您可以查看和修改思科 Meraki 连接。您已连接到思科 ISE 的思科 Meraki 控制面板列表显示在此窗口中。

您可以添加和删除思科 Meraki 组织。如果组织被删除,思科 ISE 将不再尝试与其同步,但之前同步的任何思科 ISE 策略将保留在已删除的组织中。

同步选择

同步选择 窗口中,您可以查看和修改配置为与连接的思科 Meraki 控制面板共享的 TrustSec 策略和策略元素。如果取消选择某个项目,思科 ISE 将不再尝试同步该项目,但该项目不会从您的组织中删除。


用于将思科 ISE 中的 TrustSec 策略与思科 Meraki 控制面板同步的监控日志(meraki-connector.log 和 meraki-sync-service.log)可在 Meraki 连接器维护的调试日志中找到。