Cisco Cisco Identity Services Engine 1.2 Merkblatt

第

3 页

安全访问操作指南

低影响模式

低影响模式概述

与监控模式相比，低影响模式通过在启用

TrustSec 的开放访问端口上配置入口端口 ACL，可逐步提

高网络的安全级别。利用此模式，可为访客、承包商和未经身份验证的主机提供基本连接，同时选
择性地限制访问权限，从而引入更高的安全级别。此模式通过将可下载访问控制列表

(dACL) 与启用

TrustSec 的端口结合（使用 802.1X、MAC 身份验证绕行 [MAB] 和/或 Web 身份验证），实现基于成
功身份验证和授权的访问权限区分。

在低影响模式下，我们通过如下方式为我们在监控模式下构建的框架添加安全功能：对交换机端口
应用

ACL，从而在身份验证之前只允许非常有限的网络访问。用户或设备成功通过身份验证之后，

会获得完整的网络访问权限。

图

1. 低影响模式端口行为

例如，此功能可用于使所有连接至网络的设备都能够使用

DHCP 和 DNS 连接至互联网，同时阻止其

对内部资源的访问。连接至启用此模式的交换机端口的设备在通过身份验证后，会应用允许所有流
量的可下载

ACL。

此模式持续地在交换机端口上使用开放式身份验证，同时为非身份验证设备提供可靠的安全级别。
但是，由于无论设备的身份验证状态如何，始终会有有限的流量通过，而且此模式支持进行“常
规”

IT 操作活动（如利用预启动执行环境 [PXE] 解决方案再次对工作站进行映像操作），因此成为

当今企业的理想务实之选。

我们将遵循与无线接入类似的流程，使用有效凭证进行无线网络身份验证的用户或设备会获取完整
网络访问授权，应通过其他安全功能以及基于用户或设备角色的特定访问权限限制访问权限。