Cisco Cisco AnyConnect Secure Mobility Client v3.x Administrator's Guide
• authPeriod(秒)- 身份验证开始时,此设置将确定在身份验证消息超时之前请求方等待的时长,
该时间过后需要验证方重新发起身份验证。
• heldPeriod(秒)- 身份验证失败时,此设置定义请求方等待多长时间后才能发出另一次身份验
证尝试。
• startPeriod(秒)- 没有从验证方收到对 EAPOL-Start 消息的任何响应时,再次传输 EAPOL-Start
消息之间的时间间隔(秒)。
• maxStart - 请求方通过发送 IEEE 801.X 协议数据包、EAPOL 密钥数据或 EAPoL-Start,向验证
方发起身份验证的次数,达到此次数后,请求方会假定没有验证方。 此时,请求方允许数据流
量。
量。
您可以仔细设置 startPeriod 和 maxStart,使发起身份验证所花的总时间小于网络连接计时器时间
(startPeriod x maxStart < 网络连接计时器时间),配置单一身份验证有线连接以同时支持开放网
络和身份验证网络。
(startPeriod x maxStart < 网络连接计时器时间),配置单一身份验证有线连接以同时支持开放网
络和身份验证网络。
请注意,在这种情况下,您应将网络连接计时器时间增加 (startPeriod x maxStart) 秒,让客户端有
足够的时间获取 DHCP 地址和完成网络连接。
足够的时间获取 DHCP 地址和完成网络连接。
相反,若要仅在身份验证成功后才允许数据流量,您应该设置 startPeriod 和 maxStart,确保发起
身份验证所花的总时间大于网络连接计时器时间(startPeriod x maxStart > 网络连接计时器时间)。
身份验证所花的总时间大于网络连接计时器时间(startPeriod x maxStart > 网络连接计时器时间)。
提示
Security 窗格
仅为有线网络显示。
在 Security 窗格中,选择以下参数的值:
• Key Management - 确定哪个密钥管理协议用于启用 MACsec 的有线网络。
None - 没有使用密钥管理协议,并且不执行有线加密。
MKA - 请求方尝试协商 MACsec 密钥管理协议策略和加密密钥。 MACsec 是 MAC 层安
全,在有线网络上提供 MAC 层加密。 MACsec 协议采用加密手段来保护 MAC 层帧,依
靠 MACsec 密钥协议 (MKA) 实体进行协商并分发加密密钥。
全,在有线网络上提供 MAC 层加密。 MACsec 协议采用加密手段来保护 MAC 层帧,依
靠 MACsec 密钥协议 (MKA) 实体进行协商并分发加密密钥。
• 加密
None - 对数据流量执行完整性检查,但不加密。
MACsec: AES-GCM-128 - 仅当选择 MKA 进行密钥管理时,此选项才可用。 它会使用
AES-GCM-128 对数据流量进行加密。
有关详细信息,请参阅
。
Cisco AnyConnect 安全移动客户端管理员指南,4.1 版
146
配置网络访问管理器
Networks 窗口的 Security Level 页面