在此视频中,我将在实验室中介绍我的交换机的交换机配置,并确保ISE从该交换机获取信息。
最终交换机配置:
版本15.2
没有服务垫
服务时间戳记调试日期时间毫秒
服务时间戳记日志日期时间毫秒
服务密码加密
服务压缩配置
!
主机名Sw02
!
引导开始标记
引导结束标记
!
!
vrf定义Mgmt-vrf
!
address-family ipv4
exit-address-family
!
address-family ipv6
exit-address-family
!
日志监视器信息
启用秘密ISEc0ld
!
用户名管理员权限15个秘密ISEc0ld
aaa新模型
!
!
!
aaa组服务器半径ise-group
server name ise
!
aaa认证dot1x缺省组ise-group
aaa授权执行程序vty本地
aaa授权网络默认组ise-group
aaa授权网络auth-list组ise-group
aaa授权auth-proxy默认组ise-group
aaa会计更新定期2440
aaa计费auth-proxy默认启动-停止组ise-group
aaa accounting dot1x默认的起止组ise-group
aaa计费系统默认启停组ise-group
!
!
!
!
!
aaa服务器半径动态作者
客户端10.1.100.21服务器密钥ISEc0ld
server-key 伊势 c0ld
auth-type any
!
aaa session-id common
开关1设置WS-C3650-24TS
设备传感器计费
设备传感器通知所有更改
!
!
!
!
!
IP路由
没有ip cef优化邻居解析
!
ip域名securitydemo.net
ip名称服务器10.1.100.40
ip dhcp监听
ip dhcp监听vlam 100
没有ip dhcp监听信息选项
!
!
ip设备跟踪探针自动覆盖源
ip设备跟踪探测延迟10
qos queue-softmax-multiplier 100
vtp域安全演示
vtp模式透明
认证移动许可
epm记录
!
圈养门户旁路
!
密码pki trustpoint TP-self-signed-2003983477
招生自签名
主题名称cn = IOS-Self-Signed-Certificate-2003983477
吊销检查无
rsakeypair TP自签名2003983477
!
!
dot1x系统身份验证控制
诊断启动级别最低
!
后备配置文件Webauth
ip访问组中的Webauth
ip admission Webauth
!
生成树模式pvst
生成树扩展系统ID
硬件开关1登录板载消息级别3
!
冗余
mode sso
!
!
!
VLAN 100
name DATA
lldp运行
cdp运行
!
ip ftp源接口Vlan100
ip tftp源接口Vlan100
!
类映射匹配任何非客户端nrt类
!
策略映射port_child_policy
类non-client-nrt-class
带宽剩余率10
!
!
!
!
!
!
!
!
!
!
!
!
!
!
接口GigabitEthernet0 / 0
vrf转发Mgmt-vrf
no ip address
negotiation auto
!
接口GigabitEthernet1 / 0/1
!
接口GigabitEthernet1 / 0/2
!
接口GigabitEthernet1 / 0/3
description TO-SW01
交换端口模式中继
!
接口GigabitEthernet1 / 0/4
description TO-SW01
交换端口模式中继
!
接口GigabitEthernet1 / 0/5
!
接口GigabitEthernet1 / 0/6
!
接口GigabitEthernet1 / 0/7
!
接口GigabitEthernet1 / 0/8
!
接口GigabitEthernet1 / 0/9
!
接口GigabitEthernet1 / 0/10
!
接口GigabitEthernet1 / 0/11
!
接口GigabitEthernet1 / 0/12
!
接口GigabitEthernet1 / 0/13
交换端口访问VLAN 100
切换端口模式访问
生成树portfast
!
接口GigabitEthernet1 / 0/14
交换端口访问VLAN 100
切换端口模式访问
生成树portfast
!
接口GigabitEthernet1 / 0/15
交换端口访问VLAN 100
切换端口模式访问
ip访问组ACL-DEFAULT中
身份验证事件失败操作下一个方法
身份验证事件服务器无效操作重新初始化VLAN 100
身份验证事件服务器无效操作授权语音
身份验证事件服务器有效操作重新初始化
身份验证主机模式多身份验证
authentication open
认证顺序dot1x 单抗
认证优先级dot1x 单抗
身份验证端口控制自动
定期认证
验证计时器重新验证服务器
身份验证计时器不活动服务器
认证违规限制
mab
添加了snmp trap mac-notification更改
删除了snmp trap mac-notification更改
dot1x pae验证器
dot1x超时tx周期10
生成树portfast
生成树bpduguard启用
!
接口GigabitEthernet1 / 0/16
交换端口访问VLAN 100
切换端口模式访问
ip访问组ACL-DEFAULT中
身份验证事件失败操作下一个方法
身份验证事件服务器无效操作重新初始化VLAN 100
身份验证事件服务器无效操作授权语音
身份验证事件服务器有效操作重新初始化
身份验证主机模式多身份验证
authentication open
认证顺序dot1x 单抗
认证优先级dot1x 单抗
身份验证端口控制自动
定期认证
验证计时器重新验证服务器
身份验证计时器不活动服务器
认证违规限制
mab
添加了snmp trap mac-notification更改
删除了snmp trap mac-notification更改
dot1x pae验证器
dot1x超时tx周期10
生成树portfast
生成树bpduguard启用
!
接口GigabitEthernet1 / 0/17
交换端口访问VLAN 100
切换端口模式访问
ip访问组ACL-DEFAULT中
身份验证事件失败操作下一个方法
身份验证事件服务器无效操作重新初始化VLAN 100
身份验证事件服务器无效操作授权语音
身份验证事件服务器有效操作重新初始化
身份验证主机模式多身份验证
authentication open
认证顺序dot1x 单抗
认证优先级dot1x 单抗
身份验证端口控制自动
定期认证
验证计时器重新验证服务器
身份验证计时器不活动服务器
认证违规限制
mab
添加了snmp trap mac-notification更改
删除了snmp trap mac-notification更改
dot1x pae验证器
dot1x超时tx周期10
生成树portfast
生成树bpduguard启用
!
接口GigabitEthernet1 / 0/18
交换端口访问VLAN 100
切换端口模式访问
ip访问组ACL-DEFAULT中
身份验证事件失败操作下一个方法
身份验证事件服务器无效操作重新初始化VLAN 100
身份验证事件服务器无效操作授权语音
身份验证事件服务器有效操作重新初始化
身份验证主机模式多身份验证
authentication open
认证顺序dot1x 单抗
认证优先级dot1x 单抗
身份验证端口控制自动
定期认证
验证计时器重新验证服务器
身份验证计时器不活动服务器
认证违规限制
mab
添加了snmp trap mac-notification更改
删除了snmp trap mac-notification更改
dot1x pae验证器
dot1x超时tx周期10
生成树portfast
生成树bpduguard启用
!
接口GigabitEthernet1 / 0/19
交换端口访问VLAN 100
切换端口模式访问
ip访问组ACL-DEFAULT中
身份验证事件失败操作下一个方法
身份验证事件服务器无效操作重新初始化VLAN 100
身份验证事件服务器无效操作授权语音
身份验证事件服务器有效操作重新初始化
身份验证主机模式多身份验证
authentication open
认证顺序dot1x 单抗
认证优先级dot1x 单抗
身份验证端口控制自动
定期认证
验证计时器重新验证服务器
身份验证计时器不活动服务器
认证违规限制
mab
添加了snmp trap mac-notification更改
删除了snmp trap mac-notification更改
dot1x pae验证器
dot1x超时tx周期10
生成树portfast
生成树bpduguard启用
!
接口GigabitEthernet1 / 0/20
交换端口访问VLAN 100
切换端口模式访问
ip访问组ACL-DEFAULT中
身份验证事件失败操作下一个方法
身份验证事件服务器无效操作重新初始化VLAN 100
身份验证事件服务器无效操作授权语音
身份验证事件服务器有效操作重新初始化
身份验证主机模式多身份验证
authentication open
认证顺序dot1x 单抗
认证优先级dot1x 单抗
身份验证端口控制自动
定期认证
验证计时器重新验证服务器
身份验证计时器不活动服务器
认证违规限制
mab
添加了snmp trap mac-notification更改
删除了snmp trap mac-notification更改
dot1x pae验证器
dot1x超时tx周期10
生成树portfast
生成树bpduguard启用
!
接口GigabitEthernet1 / 0/21
交换端口访问VLAN 100
切换端口模式访问
ip访问组ACL-DEFAULT中
身份验证事件失败操作下一个方法
身份验证事件服务器无效操作重新初始化VLAN 100
身份验证事件服务器无效操作授权语音
身份验证事件服务器有效操作重新初始化
身份验证主机模式多身份验证
authentication open
认证顺序dot1x 单抗
认证优先级dot1x 单抗
身份验证端口控制自动
定期认证
验证计时器重新验证服务器
身份验证计时器不活动服务器
认证违规限制
mab
添加了snmp trap mac-notification更改
删除了snmp trap mac-notification更改
dot1x pae验证器
dot1x超时tx周期10
生成树portfast
生成树bpduguard启用
!
接口GigabitEthernet1 / 0/22
交换端口访问VLAN 100
切换端口模式访问
ip访问组ACL-DEFAULT中
身份验证事件失败操作下一个方法
身份验证事件服务器无效操作重新初始化VLAN 100
身份验证事件服务器无效操作授权语音
身份验证事件服务器有效操作重新初始化
身份验证主机模式多身份验证
authentication open
认证顺序dot1x 单抗
认证优先级dot1x 单抗
身份验证端口控制自动
定期认证
验证计时器重新验证服务器
身份验证计时器不活动服务器
认证违规限制
mab
添加了snmp trap mac-notification更改
删除了snmp trap mac-notification更改
dot1x pae验证器
dot1x超时tx周期10
生成树portfast
生成树bpduguard启用
!
接口GigabitEthernet1 / 0/23
交换端口访问VLAN 100
切换端口模式访问
ip访问组ACL-DEFAULT中
身份验证事件失败操作下一个方法
身份验证事件服务器无效操作重新初始化VLAN 100
身份验证事件服务器无效操作授权语音
身份验证事件服务器有效操作重新初始化
身份验证主机模式多身份验证
authentication open
认证顺序dot1x 单抗
认证优先级dot1x 单抗
身份验证端口控制自动
定期认证
验证计时器重新验证服务器
身份验证计时器不活动服务器
认证违规限制
mab
添加了snmp trap mac-notification更改
删除了snmp trap mac-notification更改
dot1x pae验证器
dot1x超时tx周期10
生成树portfast
生成树bpduguard启用
!
接口GigabitEthernet1 / 0/24
交换端口访问VLAN 100
切换端口模式访问
ip访问组ACL-DEFAULT中
身份验证事件失败操作下一个方法
身份验证事件服务器无效操作重新初始化VLAN 100
身份验证事件服务器无效操作授权语音
身份验证事件服务器有效操作重新初始化
身份验证主机模式多身份验证
authentication open
认证顺序dot1x 单抗
认证优先级dot1x 单抗
身份验证端口控制自动
定期认证
验证计时器重新验证服务器
身份验证计时器不活动服务器
认证违规限制
mab
添加了snmp trap mac-notification更改
删除了snmp trap mac-notification更改
dot1x pae验证器
dot1x超时tx周期10
生成树portfast
生成树bpduguard启用
!
接口GigabitEthernet1 / 1/1
!
接口GigabitEthernet1 / 1/2
!
接口GigabitEthernet1 / 1/3
!
接口GigabitEthernet1 / 1/4
!
接口Vlan1
no ip address
shutdown
!
接口Vlan100
IP地址10.1.100.76 255.255.255.0
ip helper-address 10.1.100.21
!
ip default-gateway 10.1.100.254
ip转发协议
ip http服务器
ip http本地认证
ip http安全服务器
ip http secure-active-session-modules无
ip http active-session-modules无
ip路由0.0.0.0 0.0.0.0 10.1.100.254
ip ssh认证重试2
ip ssh版本2
!
ip访问列表扩展ACL-DEFAULT
允许udp any eq bootpc any eq bootps
允许udp任何任何eq域
permit icmp any any
允许udp任何任何eq tftp
允许ip任何主机10.1.100.40
允许ip任何主机10.1.100.21
deny ip any any
ip访问列表扩展GUEST-REDIRECT
deny udp任何任何eq域
deny icmp any any
deny udp any eq bootpc任何eq bootps
deny tcp any any eq 8443
deny tcp any any eq 8905
deny ip any any
!
ip radius source-interface Vlan100
ip sla启用反应警报
日志陷阱调试
记录origin-id ip
日志记录源接口Vlan100
日志监视器信息
日志记录主机10.1.100.21传输udp端口20514
!
SNMP服务器社区ISEc0ld RO
snmp-server trap-source Vlan100
snmp-server source-interface通知Vlan100
snmp-server enable陷阱snmp身份验证linkdown linkup coldstart warmstart
SNMP服务器启用陷阱Mac通知更改移动阈值
SNMP服务器主机10.1.100.21 伊势 c0ld
radius-server属性6用于登录验证
radius-server属性6支持多个
半径服务器属性8 include-in-access-req
radius-server属性25访问请求包括
radius-server属性31 mac格式ietf大写
radius-server属性31发送nas-port-detail
半径服务器失效标准时间5次尝试3次
半径服务器死区时间30
!
半径服务器ISE
地址ipv4 10.1.100.21 auth-port 1812 acct-port 1813
key 伊势 c0ld
!
设备传感器过滤列表dhcp列表TLV-DHCP
选项名称主机名
选项名称请求地址
选项名称参数请求列表
选项名称类标识符
选项名称客户端标识符
设备传感器过滤器规范dhcp包括列表TLV-DHCP
!
设备传感器过滤器列表cdp列表TLV-CDP
电视名称设备名称
tlv名称地址类型
tlv名称功能类型
tlv名称平台类型
设备传感器过滤器规范cdp包括列表TLV-CDP
!
设备传感器过滤器列表lldp列表TLV-LLDP
电视名称系统名称
电视名称系统说明
设备传感器过滤器规范lldp包括列表TLV-LLDP
!
!
ip设备跟踪探针自动覆盖源
ip设备跟踪探测延迟10
设备传感器计费
设备传感器通知所有更改
ip设备跟踪探测延迟10
ip设备跟踪
!
epm访问控制已打开
!
mac地址表通知更改间隔1
没有宏自动监控
访问会话模板监视器
!
!
!
!
线骗子0
stopbits 1
辅助线0
vty 5 15行
!
ntp源Vlan100
ntp服务器10.1.100.40
wsma代理执行
profile httplistener
个人资料httpslistener
!
wsma代理配置
profile httplistener
个人资料httpslistener
!
wsma代理filesys
profile httplistener
个人资料httpslistener
!
wsma代理通知
profile httplistener
个人资料httpslistener
!
!
wsma配置文件侦听器httplistener
transport http
!
wsma配置文件侦听器httpslistener
transport https
mac地址表通知更改
mac地址表通知mac-move
!
ap group default-group
结束