ISE是否支持我的网络访问设备？

简介

本文档介绍如何检查思科身份服务引擎(ISE)与网络访问设备(NAD)的兼容性。

ISE支持RADIUS和TACACS协议

如果您的网络设备可以使用标准RADIUS和TACACS协议发出访问控制请求，则ISE可以支持它！

ISE支持RADIUS以使用网络设备硬件和软件支持的任何实施机制执行访问控制。

给定网络设备使用IEEE 802.1X标准执行基于端口的访问控制的功能是软件，而且通常取决于硬件！仅支持RADIUS并不意味着网络设备支持许多有用的实施功能，如MAC身份验证绕行(MAB)、RADIUS授权更改(CoA)[RFC-5176]、第3/4层访问控制列表(ACL)、基于域的ACLURL重定向或软件定义的分段，使用Cisco TrustSec。您无法始终告诉您任何给定网络设备的功能，您可能需要与供应商或产品团队一起研究。

当人们问；ISE是否支持我的网络设备？他们的意思是，ISE能否为我提供所有这些现代访问控制功能，即使使用这款旧的、便宜的交换机？

对于这些较旧且较便宜的交换机，ISE提供SNMP CoA和身份验证VLAN等功能，以提供处理访客、BYOD和状态流所需的一些类似功能。

ISE兼容性指南

请始终检查ISE兼容性指南，查看我们的质量保证(QA)团队对每个ISE版本的验证内容。

ISE的网络设备功能

这些是提供ISE功能通常需要的现代网络设备功能：

那么，如果您的网络设备没有ISE功能的所有功能，您该怎么办？

创建网络接入设备(NAD)配置文件。

您如何了解网络设备的功能？

我们的ISE兼容性指南中便于记录经过验证的硬件和软件组合的功能。对于所有其他供应商，您需要在供应商的网站、产品文档、论坛等上进行研究。有时，您可能只需在实验室中播放，了解哪些功能有效，哪些功能不有效，并为不同的功能组合创建网络设备配置文件。

无法在ISE兼容性指南中查看您的硬件或软件

仅仅因为硬件型号或软件版本未明确列出，并不意味着它不会工作 — 而是您尚未通过ISE验证！ISE兼容性指南的Supported Network Access Devices部分指出，无论供应商或型号如何，ISE都支持RADIUS:

思科ISE支持与任何实施通用RADIUS行为（类似于思科IOS 12.x）的基于标准的身份验证的思科或非思科RADIUS客户端网络访问设备(NAD)的互操作性。

ISE支持协议标准，如RADIUS、其关联的RFC标准和TACACS+。如果您的网络设备支持RADIUS和/或TACACS+，则ISE可以支持它！

思科和非思科设备可能未列出的原因有很多：

• 我们的QA团队负担不起使用每个ISE版本测试每个硬件和软件组合的成本。
• 必须购买并测试新的硬件平台，这通常在硬件发布后6-9个月内发生。
• 硬件系列的每个型号都未经过验证 — 选择一个型号，然后用其表示硬件系列。
• 每个软件版本都未验证 — 平台团队建议的一个已发布平台软件版本在QA验证计划的实际ISE版本之前几个月被选中。
• 较旧的ISE版本未使用较新的网络设备软件进行测试，但仍应按照标准进行测试。

然后，您对ISE的具体操作取决于网络设备的硬件和软件功能。始终建议您在将ISE部署到生产环境之前，先在实验室中使用ISE尝试网络设备硬件和软件，这样您就确信其行为符合预期。

ISE网络访问设备(NAD)配置文件

如果您有：

• 非思科硬件
• 低端网络设备硬件价格低
• 较旧的网络设备硬件
• 较旧的网络设备软件

然后，您可以使用我们的ISE第三方NAD配置文件和配置或创建您自己的自定义NAD配置文件。使用NAD配置文件，您可以完全自定义ISE与网络设备的通信方式，无论它位于RADIUS CoA的自定义端口上，还是需要使用身份验证VLAN而非URL重定向。

身份验证VLAN支持

如果您有一些旧旧式交换机，它们不能支持802.1X，则ISE能够使用身份验证VLAN控制终端。这是一种非常粗糙的控制方法，它使用DNS和DHCP将HTTP流量重定向到用户可以进行身份验证的Web门户。有关详细信息，请参阅《ISE管理员指南》中的“思科ISE中的第三方网络设备支持”。

使用身份验证VLAN时的问题

• 您无法控制每个端口的多台设备。
• L2 VLAN的流量过滤非常粗糙 — 除VACL或VRF外，无L3/4 IP/协议/端口控制。
• VLAN中的East/West分段不意味着恶意软件很容易传播到VLAN中的其他终端（不受信任或受信任）。