Cisco Cisco Identity Services Engine Software Prospecto
© 2015 思科系统公司
第
13 页
安全访问操作指南
状态
规则名称
身份组
其他条件
权限
域用户
如果
任意
并
AD1:外部组等于
Domain Users 且
设备:阶段等于
Stage#LowImpact
设备:阶段等于
Stage#LowImpact
那么
Domain_Users
访客
如果
访客
并
条件
那么
访客
默认
如果未找到匹配项,那么
网络身份验证
考虑转到多域身份验证
(MDA) 模式
正如开始的《操作指南
-10-通用交换机配置指南》中所述,我们已配置使用多重身份验证 (Multi-Auth)。多重
身份验证模式可允许每个交换机端口使用虚拟的、不限数量的
MAC 地址,并要求每个 MAC 地址进行通过身
份验证的会话。多重身份验证有助于防止用户在办公隔间使用未经授权的集线器或由于其他异常情况而导致
偶发拒绝服务。
偶发拒绝服务。
建议使用多域身份验证模式,因为它是最安全的并且从安全的角度看提供的价值最大。对于每个端口,
MDA
模式在数据域中支持一个
MAC 地址,在语音域中支持一个 MAC 地址。
注:
MACSec(端点和交换机端口间的第 2 层加密)等未来功能需要 MDA 或单一身份验证模式,在多重身份
验证模式下将不起作用。
封闭模式(以前称为高安全性模式)
封闭模式表示默认的
802.1X 行为。在封闭模式下,交换机端口在从 AAA 服务器获得授权结果之前不会允许
除局域网扩展认证协议
(EAPoL) 之外的任何流量。这通常是部署的理想最终状态,因为它提供了非常强的安
全性。像低影响模式一样,封闭模式能够使用
TrustSec 部署中的所有可用实施机制(dVLAN、dACL、SGA
等),但是封闭模式可能会对
IT 部署的运行模式产生某些影响。
删除开放式身份验证
步骤
1. 删除开放式身份验证。
C3750X(config-if-range)# no authentication open
步骤
2. 删除端口 ACL。
C3750X(config-if-range)# no ip access-group ACL-DEFAULT in
x