Tweet
Classic IOS
Chúng tôi định cấu hình một phương thức chủ động để kiểm tra tính khả dụng của máy chủ RADIUS. Với thực tiễn này, công tắc sẽ gửi tin nhắn xác thực kiểm tra định kỳ đến máy chủ RADIUS (Cisco ISE). Nó đang tìm kiếm một phản hồi RADIUS từ máy chủ. Một thông điệp thành công là không cần thiết, một xác thực thất bại sẽ đủ, bởi vì nó cho thấy rằng máy chủ vẫn còn sống.
Step 1. Within global configuration mode, add a username and password for the RADIUS keepalive.
Tên người dùng chúng tôi đang tạo ở đây sẽ được thêm vào cơ sở dữ liệu người dùng cục bộ trong Cisco ISE ở bước sau. Tài khoản này sẽ được sử dụng ở bước sau, nơi chúng tôi xác định máy chủ RADIUS.
Step 2. Add the Cisco ISE servers to the RADIUS group.
Trong bước này, chúng tôi sẽ thêm từng Cisco ISE PSN vào cấu hình chuyển đổi, sử dụng tài khoản thử nghiệm mà chúng tôi đã tạo trước đây. Máy chủ sẽ chủ động được kiểm tra phản hồi một lần mỗi giờ, ngoài bất kỳ xác thực hoặc ủy quyền nào xảy ra thông qua các quy trình thông thường. Lặp lại cho mỗi PSN.
Step 3. Set the dead criteria
Công tắc đã được cấu hình để chủ động kiểm tra máy chủ Cisco ISE để biết các phản hồi RADIUS. Bây giờ cấu hình các bộ đếm trên công tắc để xác định xem máy chủ còn sống hay đã chết. Cài đặt của chúng tôi sẽ đợi 5 giây để nhận phản hồi từ máy chủ RADIUS và thử kiểm tra ba lần trước khi đánh dấu máy chủ chết. Nếu máy chủ Cisco ISE không có phản hồi hợp lệ trong vòng 15 giây, nó sẽ bị đánh dấu là đã chết. Chúng tôi cũng đặt giá trị thời gian máy chủ sẽ được đánh dấu là đã chết, chúng tôi sẽ đặt thành 15 phút.
Step 4. Enable Change of Authorization.
Trước đây chúng tôi đã xác định địa chỉ IP của máy chủ RADIUS mà công tắc sẽ gửi tin nhắn RADIUS; tuy nhiên, chúng tôi xác định các máy chủ được phép thực hiện các hoạt động Thay đổi ủy quyền (RFC 5176) trong một danh sách khác, cũng trong chế độ cấu hình toàn cầu.
Step 5. Configure the switch to use the Cisco vendor-specific attributes (VSAs).
Ở đây, chúng tôi định cấu hình công tắc để gửi bất kỳ VSA đã xác định nào tới các ISN PSN của Cisco trong các yêu cầu xác thực và cập nhật kế toán.
Step 6. Enable the VSAs:
Step 7. Đảm bảo công tắc luôn gửi lưu lượng từ giao diện chính xác.
Newer IOS
Cũng giống như với nhóm Cổ điển IOS, chúng tôi định cấu hình một phương thức chủ động để kiểm tra tính khả dụng của máy chủ RADIUS trong nhóm Nhóm iOS mới hơn. Với thực tiễn này, công tắc sẽ gửi tin nhắn xác thực kiểm tra định kỳ đến máy chủ RADIUS (Cisco ISE). Nó đang tìm kiếm một phản hồi RADIUS từ máy chủ. Một thông điệp thành công là không cần thiết, một xác thực thất bại sẽ đủ, bởi vì nó cho thấy rằng máy chủ vẫn còn sống.
Step 1. Within global configuration mode, add a username and password for the RADIUS keepalive.
Tên người dùng chúng tôi đang tạo ở đây sẽ được thêm vào cơ sở dữ liệu người dùng cục bộ trong Cisco ISE ở bước sau. Tài khoản này sẽ được sử dụng ở bước sau, nơi chúng tôi xác định máy chủ RADIUS.
Step 2. Add the Cisco ISE PSNs as RADIUS servers.
Đây là nơi mọi thứ khác biệt khá nhiều so với cấu hình Classic iOS. Chúng tôi thực sự sẽ tạo một đối tượng cho máy chủ RADIUS và sau đó áp dụng cấu hình cho đối tượng đó.
Step 3. Set the dead criteria.
Công tắc đã được cấu hình để chủ động kiểm tra máy chủ Cisco ISE để biết các phản hồi RADIUS. Bây giờ cấu hình các bộ đếm trên công tắc để xác định xem máy chủ còn sống hay đã chết. Cài đặt của chúng tôi sẽ đợi 5 giây để nhận phản hồi từ máy chủ RADIUS và thử kiểm tra ba lần trước khi đánh dấu máy chủ chết. Nếu máy chủ Cisco ISE không có phản hồi hợp lệ trong vòng 15 giây, nó sẽ bị đánh dấu là đã chết. Chúng tôi cũng đặt giá trị thời gian máy chủ sẽ được đánh dấu là đã chết, chúng tôi sẽ đặt thành 15 phút.
Step 4. Enable Change of Authorization
Trước đây chúng tôi đã xác định địa chỉ IP của máy chủ RADIUS mà công tắc sẽ gửi tin nhắn RADIUS; tuy nhiên, chúng tôi xác định các máy chủ được phép thực hiện các hoạt động Thay đổi ủy quyền (RFC 3576) trong một danh sách khác, cũng trong chế độ cấu hình toàn cầu.
Step 5. Configure the switch to use the Cisco VSAs.
Ở đây, chúng tôi định cấu hình công tắc để gửi bất kỳ VSA đã xác định nào tới PDP của Cisco trong các yêu cầu xác thực và cập nhật kế toán.
Step 6. Enable the VSAs:
Step 7. Ensure the switch always sends traffic from the correct interface.
Các bộ chuyển mạch thường có nhiều địa chỉ IP liên quan đến chúng; do đó, nó là một thực hành tốt nhất để luôn buộc bất kỳ thông tin liên lạc quản lý nào xảy ra thông qua một giao diện cụ thể. Địa chỉ IP giao diện này phải khớp với địa chỉ IP được xác định trong đối tượng Thiết bị mạng Cisco ISE.
Chúng tôi định cấu hình một phương thức chủ động để kiểm tra tính khả dụng của máy chủ RADIUS. Với thực tiễn này, công tắc sẽ gửi tin nhắn xác thực kiểm tra định kỳ đến máy chủ RADIUS (Cisco ISE). Nó đang tìm kiếm một phản hồi RADIUS từ máy chủ. Một thông điệp thành công là không cần thiết, một xác thực thất bại sẽ đủ, bởi vì nó cho thấy rằng máy chủ vẫn còn sống.
Step 1. Within global configuration mode, add a username and password for the RADIUS keepalive.
Tên người dùng chúng tôi đang tạo ở đây sẽ được thêm vào cơ sở dữ liệu người dùng cục bộ trong Cisco ISE ở bước sau. Tài khoản này sẽ được sử dụng ở bước sau, nơi chúng tôi xác định máy chủ RADIUS.
Code:
C3560X(config)#username radius-test password password
Trong bước này, chúng tôi sẽ thêm từng Cisco ISE PSN vào cấu hình chuyển đổi, sử dụng tài khoản thử nghiệm mà chúng tôi đã tạo trước đây. Máy chủ sẽ chủ động được kiểm tra phản hồi một lần mỗi giờ, ngoài bất kỳ xác thực hoặc ủy quyền nào xảy ra thông qua các quy trình thông thường. Lặp lại cho mỗi PSN.
Code:
C3560X(config)#radius-server host ise_ip_address auth-port 1812 acct-port 1813
Công tắc đã được cấu hình để chủ động kiểm tra máy chủ Cisco ISE để biết các phản hồi RADIUS. Bây giờ cấu hình các bộ đếm trên công tắc để xác định xem máy chủ còn sống hay đã chết. Cài đặt của chúng tôi sẽ đợi 5 giây để nhận phản hồi từ máy chủ RADIUS và thử kiểm tra ba lần trước khi đánh dấu máy chủ chết. Nếu máy chủ Cisco ISE không có phản hồi hợp lệ trong vòng 15 giây, nó sẽ bị đánh dấu là đã chết. Chúng tôi cũng đặt giá trị thời gian máy chủ sẽ được đánh dấu là đã chết, chúng tôi sẽ đặt thành 15 phút.
Code:
C3560X(config)#radius-server dead-criteria time 5 tries 3 C3560X(config)#radius-server deadtime 1
Trước đây chúng tôi đã xác định địa chỉ IP của máy chủ RADIUS mà công tắc sẽ gửi tin nhắn RADIUS; tuy nhiên, chúng tôi xác định các máy chủ được phép thực hiện các hoạt động Thay đổi ủy quyền (RFC 5176) trong một danh sách khác, cũng trong chế độ cấu hình toàn cầu.
Code:
C3560X(config)#aaa server radius dynamic-author C3560X(config-locsvr-da-radius)#client ise_ip_address server-key shared_secret
Ở đây, chúng tôi định cấu hình công tắc để gửi bất kỳ VSA đã xác định nào tới các ISN PSN của Cisco trong các yêu cầu xác thực và cập nhật kế toán.
Code:
C3560X(config)#radius-server vsa send authentication C3560X(config)#radius-server vsa send accounting [B][/B]
Code:
C3560X(config)#radius-server attribute 6 on-for-login-auth C3560X(config)#radius-server attribute 8 include-in-access-req C3560X(config)#radius-server attribute 25 access-request include
Code:
C3560X(config)#ip radius source-interface interface_name C3560X(config)#snmp-server trap-source interface_name C3560X(config)#snmp-server source-interface informs interface_name
Cũng giống như với nhóm Cổ điển IOS, chúng tôi định cấu hình một phương thức chủ động để kiểm tra tính khả dụng của máy chủ RADIUS trong nhóm Nhóm iOS mới hơn. Với thực tiễn này, công tắc sẽ gửi tin nhắn xác thực kiểm tra định kỳ đến máy chủ RADIUS (Cisco ISE). Nó đang tìm kiếm một phản hồi RADIUS từ máy chủ. Một thông điệp thành công là không cần thiết, một xác thực thất bại sẽ đủ, bởi vì nó cho thấy rằng máy chủ vẫn còn sống.
Step 1. Within global configuration mode, add a username and password for the RADIUS keepalive.
Tên người dùng chúng tôi đang tạo ở đây sẽ được thêm vào cơ sở dữ liệu người dùng cục bộ trong Cisco ISE ở bước sau. Tài khoản này sẽ được sử dụng ở bước sau, nơi chúng tôi xác định máy chủ RADIUS.
Code:
Cat4503(config)#username radius-test password password
Đây là nơi mọi thứ khác biệt khá nhiều so với cấu hình Classic iOS. Chúng tôi thực sự sẽ tạo một đối tượng cho máy chủ RADIUS và sau đó áp dụng cấu hình cho đối tượng đó.
Code:
Cat4503onfig) #radius server server-name Cat4503(config-radius-server) #address ipv4 address auth-port 1812 acct-port 1813 Cat4503(config-radius-server) #key Shared-Secret Cat4503(config-radius-server) #automate-tester username radius-test probe-on
Công tắc đã được cấu hình để chủ động kiểm tra máy chủ Cisco ISE để biết các phản hồi RADIUS. Bây giờ cấu hình các bộ đếm trên công tắc để xác định xem máy chủ còn sống hay đã chết. Cài đặt của chúng tôi sẽ đợi 5 giây để nhận phản hồi từ máy chủ RADIUS và thử kiểm tra ba lần trước khi đánh dấu máy chủ chết. Nếu máy chủ Cisco ISE không có phản hồi hợp lệ trong vòng 15 giây, nó sẽ bị đánh dấu là đã chết. Chúng tôi cũng đặt giá trị thời gian máy chủ sẽ được đánh dấu là đã chết, chúng tôi sẽ đặt thành 15 phút.
Code:
Cat4503(config)#radius-server dead-criteria time 5 tries 3 Cat4503(config)#radius-server deadtime 1
Trước đây chúng tôi đã xác định địa chỉ IP của máy chủ RADIUS mà công tắc sẽ gửi tin nhắn RADIUS; tuy nhiên, chúng tôi xác định các máy chủ được phép thực hiện các hoạt động Thay đổi ủy quyền (RFC 3576) trong một danh sách khác, cũng trong chế độ cấu hình toàn cầu.
Code:
Cat4503(config)#aaa server radius dynamic-author Cat4503(config-locsvr-da-radius)#client ise_ip_address server-key shared_secret
Ở đây, chúng tôi định cấu hình công tắc để gửi bất kỳ VSA đã xác định nào tới PDP của Cisco trong các yêu cầu xác thực và cập nhật kế toán.
Code:
Cat4503(config)#radius-server vsa send authentication Cat4503(config)#radius-server vsa send accounting
Code:
Cat4503(config)#radius-server attribute 6 on-for-login-auth Cat4503(config)#radius-server attribute 8 include-in-access-req Cat4503(config)#radius-server attribute 25 access-request include
Các bộ chuyển mạch thường có nhiều địa chỉ IP liên quan đến chúng; do đó, nó là một thực hành tốt nhất để luôn buộc bất kỳ thông tin liên lạc quản lý nào xảy ra thông qua một giao diện cụ thể. Địa chỉ IP giao diện này phải khớp với địa chỉ IP được xác định trong đối tượng Thiết bị mạng Cisco ISE.
Code:
Cat4503(config)#ip radius source-interface interface_name Cat4503(config)#snmp-server trap-source interface_name Cat4503(config)#snmp-server source-interface informs interface_name