配置在ISE2的最大并发用户会话-Cisco.PDF

配置在ISE 2.2的最大并发用户会话 Contents Introduction Prerequisites Requirements Components Used 背景信息 Network Diagram 方案 最大会话每个用户 配置 示例 组的最大会话 Configure 示例 稀有案例 用户的最大会话组的 Configure 示例 组和最大数量会话的最大会话该组的用户的 Configure 示例 计数器时间限制 Configure 示例 最大会话功能和访客访问 中央Web认证 本地Web认证 Troubleshoot Radius实际日志 ISE调试 Introduction 本文描述如何配置在身份服务引擎介绍的最大会话功能(ISE) 2.2里。最大会话以提供为特色方式控 制，并且强制执行生活会话每个用户或每个身份请组队。本文是为RADIUS会话，但是可能使用 TACACS会话。 Prerequisites Requirements Cisco 建议您了解以下主题： RADIUS协议 在无线局域网控制器(WLC)的802.1x配置 ISE和其人(角色) Components Used 本文档中的信息基于以下软件和硬件版本： Cisco身份服务引擎版本2.2 无线局域网控制器8.0.100.0 Cisco Catalyst交换机3750 15.2(3)E2 Windows 7机器 运行6.0.1的机器人电话 运行5.0的机器人电话 Apple iPad iOS 9.1 The information in this document was created from the devices in a specific lab environment.All of the devices used in this document started with a cleared (default) configuration.If your network is live, make sure that you understand the potential impact of any command. 背景信息 ISE版本2.2能发现和建立根据并发会话的实施策略： 用户身份-请限制会话的编号每个特定用户 身份组-请限制会话的编号每个特定组 组的用户-请限制会话的编号每个用户，那属于特定组 并发会话的实施和计数是唯一和管理由每策略服务节点(PSN)。没有在PSN之间的同步根据会话计 数。并发会话功能在运行时进程中实现，并且数据在内存仅存储。在PSN重新启动的情况下， MaxSessions重置计数器。 (只要您使用同一个PSN节点)，用户会话计数是案件使用的不区分关于用户名和对立于网络接入设 备。 Network Diagram 方案 最大会话每个用户 配置 如镜像所显示，连接对管理System 设置最大会话 ， ： 对enable (event)功能，不选定无约束的会话每个用户复选框，默认情况下被检查。在最大数量每个 用户会话字段请配置特定用户在每个PSN能有会话的编号。在本例中，它设置到2。 从外部身份来源(例如激活目录)的用户是受此配置的影响的。 示例 鲍伯是一个帐户的用户名从被连接并且被加入对ISE服务器的激活目录域的。用户最大会话配置有 值2，因此意味着同样用户的任何会话在此编号之外没有允许(每个PSN)。 如镜像所显示，用户鲍伯连接有同样证件的机器人电话和Windows机器： 因为最大会话限制没有超过，两次会话允许。根据详细的Radius实际日志，显示在镜像： 22081次最大会话策略通过了步骤最大并发会话检查是成功的提供信息。 一旦首次与另一个设备和同样证件的第三连接，鲍伯接受PermitAccess，但是访问拒绝被发送到证 明人： 会话没有允许，即使在Radius实际日志您能看到击中正确的授权配置文件。为了检查生活会话，请 连接对操作 Radius生活会话 ： 在这种情况下，两个会话有开始的状态 ，指示记帐开始在会话的ISE到达了。接受最大会话的 Radius记帐能适当地工作是必要的，验证的状态(会话允许的，但是没有记帐)在会话计数期间，没 有被考虑到： 组的最大会话 Configure 连接对Administration SystemSettings 最大会话组 ： 此配置强制执行2次会话作为内部身份组的GroupT