Cisco Cisco AnyConnect Secure Mobility Client v2.x Administrator's Guide
当用户未登录时,选择此选项,将始终通过机器连接将 PC 连接到网络;当用户已登录时,选
择此选项,将始终通过用户连接将 PC 连接到网络。
择此选项,将始终通过用户连接将 PC 连接到网络。
在 EAP-FAST 配置为 EAP 方法(在下一个窗格中)时,支持 EAP 链接。 这意味着网络访问管
理器会确认机器和用户为已知实体并且由公司管理。
理器会确认机器和用户为已知实体并且由公司管理。
当您选择网络连接类型时,Networks(网络)对话框中会显示其他选项卡。使用这些选项卡,
可为所选网络连接类型设置 EAP 方法和凭证。
可为所选网络连接类型设置 EAP 方法和凭证。
Networks(网络)窗口的 User or Machine Authentication(用户或机器身
份验证)页面
份验证)页面
在选择网络连接类型后,选择这些连接类型的身份验证方法。 在选择身份验证方法后,显示屏幕会
更新为选择的方法,并要求您提供其他信息。
更新为选择的方法,并要求您提供其他信息。
如果您已启用 MACsec,请确保选择支持 MSK 密钥派生的 EAP 方法,例如 PEAP、EAP-TLS 或
EAP-FAST。 此外,即使没有启用 MACsec,使用网络访问管理器也可将 MTU 从 1500 降低至
EAP-FAST。 此外,即使没有启用 MACsec,使用网络访问管理器也可将 MTU 从 1500 降低至
1468 以支持 MACsec。
注释
EAP 概述
EAP 是一种 IETF RFC,可满足身份验证协议与承载它的传输协议进行分离的要求。 此分离允许传
输协议(如 IEEE 802.1X、UDP 或 RADIUS)承载 EAP 协议,而无需更改身份验证协议。
输协议(如 IEEE 802.1X、UDP 或 RADIUS)承载 EAP 协议,而无需更改身份验证协议。
基本 EAP 协议包括四种数据包类型:
• EAP 请求 - 身份验证器向请求方发送请求数据包。 每个请求都有一个类型字段,用于指示请求
内容,如请求方身份和要使用的 EAP 类型。 顺序号允许身份验证器和对等项将 EAP 响应与各
个 EAP 请求进行匹配。
个 EAP 请求进行匹配。
• EAP 响应 - 请求方向身份验证器发送响应数据包并使用顺序号与启动的 EAP 请求进行匹配。
EAP 响应的类型通常匹配 EAP 请求,除非响应为负 (NAK)。
• EAP 成功 - 身份验证成功后,身份验证器向请求方发送成功数据包。
• EAP 失败 - 如果身份验证失败,身份验证器向请求方发送失败数据包。
在 IEEE 802.11X 系统中使用 EAP 时,接入点在 EAP 穿透模式下工作。 在此模式下,接入点检查代
码、标识符和长度字段,然后将从请求方收到的 EAP 数据包转发至 AAA 服务器。 从 AAA 服务器
身份验证器接收的数据包将转发到请求方。
码、标识符和长度字段,然后将从请求方收到的 EAP 数据包转发至 AAA 服务器。 从 AAA 服务器
身份验证器接收的数据包将转发到请求方。
Cisco AnyConnect 安全移动客户端管理员指南,4.0 版
150
配置网络访问管理器
Networks(网络)窗口的 User or Machine Authentication(用户或机器身份验证)页面