Cisco Cisco AnyConnect Secure Mobility Client v3.x Administrator's Guide
如果您已启用 MACsec,请确保选择支持 MSK 密钥派生的 EAP 方法,例如 PEAP、EAP-TLS 或
EAP-FAST。 此外,即使没有启用 MACsec,使用网络访问管理器也可将 MTU 从 1500 降低至
EAP-FAST。 此外,即使没有启用 MACsec,使用网络访问管理器也可将 MTU 从 1500 降低至
1468 以支持 MACsec。
注释
EAP 概述
EAP 是一种 IETF RFC,可满足身份验证协议与承载它的传输协议进行分离的要求。 此分离允许传
输协议(如 IEEE 802.1X、UDP 或 RADIUS)承载 EAP 协议,而无需更改身份验证协议。
输协议(如 IEEE 802.1X、UDP 或 RADIUS)承载 EAP 协议,而无需更改身份验证协议。
基本 EAP 协议包括四种数据包类型:
• EAP 请求 - 身份验证器向请求方发送请求数据包。 每个请求都有一个类型字段,用于指示请求
内容,如请求方身份和要使用的 EAP 类型。 顺序号允许身份验证器和对等项将 EAP 响应与各
个 EAP 请求进行匹配。
个 EAP 请求进行匹配。
• EAP 响应 - 请求方向身份验证器发送响应数据包并使用顺序号与启动的 EAP 请求进行匹配。
EAP 响应的类型通常匹配 EAP 请求,除非响应为负 (NAK)。
• EAP 成功 - 身份验证成功后,身份验证器向请求方发送成功数据包。
• EAP 失败 - 如果身份验证失败,身份验证器向请求方发送失败数据包。
在 IEEE 802.11X 系统中使用 EAP 时,接入点在 EAP 穿透模式下工作。 在此模式下,接入点检查代
码、标识符和长度字段,然后将从请求方收到的 EAP 数据包转发至 AAA 服务器。 从 AAA 服务器
身份验证器接收的数据包将转发到请求方。
码、标识符和长度字段,然后将从请求方收到的 EAP 数据包转发至 AAA 服务器。 从 AAA 服务器
身份验证器接收的数据包将转发到请求方。
EAP-GTC
EAP-GTC 是基于简单用户名和密码身份验证的 EAP 身份验证方法。 不使用质询响应方法,用户名
和密码均以明文传递。 建议在隧道 EAP 方法内部(请参阅下面的隧道 EAP 方法)或针对一次性密
码 (OTP) 使用此方法。
和密码均以明文传递。 建议在隧道 EAP 方法内部(请参阅下面的隧道 EAP 方法)或针对一次性密
码 (OTP) 使用此方法。
EAP-GTC 不提供相互身份验证。 它只对客户端进行身份验证,因此欺诈服务器可能会获取用户的
凭证。 如果需要相互身份验证,则在隧道 EAP 方法内部使用 EAP-GTC,这样可提供服务器身份验
证。
凭证。 如果需要相互身份验证,则在隧道 EAP 方法内部使用 EAP-GTC,这样可提供服务器身份验
证。
EAP-GTC 未提供密钥材料;因此,不能对 MACsec 使用此方法。 如果进一步的流量加密需要密钥
材料,则在隧道 EAP 方法内使用 EAP-GTC,这样可提供密钥材料(如有必要,还提供内部和外部
EAP 方法加密绑定)。
材料,则在隧道 EAP 方法内使用 EAP-GTC,这样可提供密钥材料(如有必要,还提供内部和外部
EAP 方法加密绑定)。
有两个密码源选项:
• 使用密码进行身份验证 - 只适用于有良好保护的有线环境
• 使用令牌进行身份验证 - 更安全,因为令牌代码或 OTP 的生命期较短(通常约为 10 秒)
Cisco AnyConnect 安全移动客户端管理员指南,4.1 版
150
配置网络访问管理器
Networks,User or Machine Authentication 页面