使用思科身份服务引擎的网络访问设备.PDFVIP

使用思科身份服务引擎的网络访问设备 配置文件 安全访问操作指南系列 安全访问操作指南 目录 第1 章 网络访问设备配置文件3 关于网络访问设备配置文件3 自定义网络访问设备配置文件 3 第2 章 自定义配置文件创建步骤 4 概述 4 建议程序 4 收集信息 4 设备配置 4 配置文件创建和分配 4 策略配置 4 第3 章 RADIUS 字典 5 确定是否需要导入字典 5 导入RADIUS 字典 5 第4 章 定义自定义配置文件 7 创建新的配置文件条目 7 支持的协议 8 RADIUS 字典 8 流程类型条件 8 属性别名 9 主机查询 9 权限10 授权变更(CoA) 11 URL 重定向12 生成策略元素13 Summary 14 第5 章 使用网络设备配置文件15 分配NAD 配置文件15 身份验证/授权条件16 授权配置文件17 验证行为19 © 2015 思科系统公司 第2 页 安全访问操作指南 第1 章网络访问设备配置文件 关于网络访问设备配置文件 思科身份服务引擎(ISE) 引入了对某些非思科网络访问设备(NAD) 的支持。ISE 使用网络访问设备配置文件 表示NAD 的功能和要求，ISE 使用这些功能和要求来启用MAB 、访客、自带设备和终端安全评估等流程。 ISE 2.0 随附许多位于“网络资源”(Network Resources) 下的内置NAD 配置文件： 图1. 内置NAD 配置文件 自定义网络访问设备配置文件 本指南介绍在内置配置文件不足的情况下如何创建自定义NAD 配置文件。NAD 将启用的ISE 流程数取决于 NAD 的功能。 对于访客、自带设备和终端安全评估等复杂流程，设备需要支持RFC 5176 、“授权变更”(CoA) 以及能 够重定向到ISE 门户并将客户端身份（MAC 或IP 地址）作为URL 参数传入的URL 重定向机制。如果 NAD 不支持这些功能，则这些流程将不起作用。 © 2015 思科系统公司 第3 页 安全访问操作指南 第2 章自定义配置文件创建步骤 概述 需要先确定有关设备的某些信息，然后才能定义新的NAD 配置文件。通常必须为设备导入新的 RADIUS 字典， 然后才能创建NAD 配置文件。您可能必须将设备固件升级到更新的版本才能获取CoA/URL 重定向支持。通常 还必须在设备上进行配置更改，以配置或启用特定功能，尤其对于URL 重定向而言更是如此。一旦完成后， 就请在 ISE 中创建新的NAD 配置文件，并将其分配到相应的设备。最后，配置新的授权配置文件和 ISE 策略， 以利用新的配置文件。 建议程序 收集信息 步骤 1 参阅NAD 的《管理手册》 （通常具有所寻求的信息） 步骤 2 确定所需的RADIUS 字典（如果有），并将其导入到ISE 中 步骤 3