cisco ISE LAB1

### cisco ISE LAB1配置详解 #### 一、引言 Cisco Identity Services Engine (ISE) 是一款功能强大的网络接入控制系统，它可以帮助企业管理和保护其网络资源。本篇文档将详细介绍如何利用Cisco ISE实现对不同类型的终端设备的网络访问控制，特别是针对有线终端设备的802.1x、MAB、Webauth认证配置步骤，以及通过VLAN和DACL进行网络访问控制的方法。 #### 二、实验概述 本实验旨在通过一系列具体的配置案例来展示Cisco ISE的功能，重点在于不同的网络访问控制策略。实验共分为五个部分： 1. **基于MAB的有线终端设备认证** 2. **基于802.1X的有线终端设备认证** 3. **通过Guest VLAN实现802.1X认证** 4. **通过Critical VLAN实现802.1X认证** 5. **基于WebAuth的有线终端设备认证** 接下来，我们将详细探讨这些实验的具体配置步骤和技术要点。 #### 三、网络拓扑和基本配置 实验中使用的网络拓扑如下图所示： - **3560交换机**: 运行IOS12.2，IP地址为10.10.10.1，管理员账号admin/cisco123，enable密码为cisco。 - **VMWare ESXi服务器**: 版本5.0，IP地址为10.10.10.60，管理员账号root/Cisco123。 - **ISE(VMWare虚拟机)**: 版本1.1.1.268，IP地址为10.10.10.70，GUI登录admin/default1A，CLI登录admin/default1A。 - **Windows证书服务器**: Windows Server 2008 R2 Enterprise版，IP地址为10.10.10.80/10.10.10.81，管理员账号administrator/default1A。 - **WLC2504**: 版本7.2.110.0，IP地址为10.10.10.90，管理员账号admin/Cisco123。 - **ASA5505**: 运行ASA8.4(2)，ASDM6.4(5)，IP地址为10.10.10.85，enable密码为cisco。 - **APDHCP**: 连接到3560交换机的Gi0/4端口，用户名cisco/Cisco，enable密码为cisco。 - **CVR328W**: 可选设备，连接到3560交换机的Gi0/6端口。 - **Apple iPad2**: 运行iOS5.1或以上版本。 - **Windows PC**: 安装Windows XP/7操作系统。 #### 四、实验细节 ##### 实验1：基于MAB的有线终端设备认证 **目的**: - 了解交换机MAB和802.1X的认证过程及其在交换机和ISE上的配置方法。 - 通过配置MAB，使不支持802.1X的设备也能进行认证和授权。 **配置步骤**: 1. **在3560交换机上配置MAB和802.1X认证**: - 启用Radius认证，并设置默认认证组为radius。 ```cisco aaa new-model aaa authentication dot1x default group radius aaa authorization network default group radius aaa accounting dot1x default start-stop group radius ``` 2. **启用MAB**: - 在接口上启用MAB。 ```cisco interface GigabitEthernet0/1 mac-authentication-bypass ``` 3. **配置ISE**: - 在ISE中创建相应的认证规则和策略。 - 配置与交换机的Radius通信参数。 4. **测试**: - 使用不支持802.1X的设备连接到配置了MAB的端口。 - 验证是否能够成功进行认证并获得网络访问权限。 ##### 实验2：基于802.1X的有线终端设备认证 **目的**: - 了解802.1X认证的工作原理及其在交换机和ISE上的配置方法。 - 通过配置802.1X，实现对支持该协议的设备的认证和授权。 **配置步骤**: 1. **在3560交换机上配置802.1X认证**: - 设置端口模式为802.1X认证。 ```cisco interface GigabitEthernet0/1 authentication open authentication event fail action next-method authentication open authentication method dot1x ``` 2. **配置ISE**: - 创建802.1X认证策略。 - 设置与交换机的Radius通信参数。 3. **测试**: - 使用支持802.1X的设备连接到配置了802.1X认证的端口。 - 验证是否能够成功进行认证并获得网络访问权限。 #### 五、总结 通过本实验的学习，我们不仅了解了Cisco ISE的基本配置和工作原理，还掌握了如何通过MAB、802.1X等技术实现对不同类型终端设备的有效管理。这对于确保企业网络安全和提高网络性能具有重要意义。此外，通过实际操作，还可以加深对各种网络协议的理解和应用能力。 以上就是关于Cisco ISE LAB1配置的相关知识点介绍，希望对你有所帮助。