Cisco Cisco Identity Services Engine Software Guía De Operación
© 2015 思科系统公司
第
16 页
安全访问操作指南
步骤
2 在端口上启用 MAC 身份验证绕行。
C3750X(config-if-range)#mab
步骤
3 支持端口执行 IEEE 802.1X 身份验证。
C3750X(config-if-range)#dot1x pae authenticator
身份验证设置
– 定时器
很多定时器可以在部署中根据需要进行修改。除非遇到调整定时器可纠正意外行为这种特定情况,否则我们
建议将除
建议将除
802.1X 传送定时器(传送时间)以外的所有定时器都保留默认值。
传送时间定时器的默认值为
30 秒。将此值保留为 30 秒意味着默认等待 90 秒(3 x 传送时间)后,交换机端
口会开始采用下一方法进行身份验证,对非身份验证设备启用
MAB 流程。
思科最佳实践:根据多种配置,最佳实践的建议是将
tx-period 值设置为 10 秒,从而为 MAB 设备提供最佳时
间。将该值设置为
10 秒以内可能会导致端口过快采用 MAC 身份验证绕行。
步骤
1 配置传送时间定时器。
C3750X(config-if-range)#dot1x timeout tx-period 10
在端口上应用初始
ACL 并启用身份验证
此步骤将为监控模式准备端口:在端口上应用默认
ACL 而不拒绝任何流量。
步骤
1 应用初始 ACL (ACL-ALLOW)。
C3750X(config-if-range)#ip access-group
ACL-ALLOW
in
步骤
2 开启身份验证。
C3750X(config-if-range)#authentication port-control auto
注:需要此命令才能启用身份验证(
802.1X、MAB、Web-Auth)。如果没有此命令,则所有流程看似在运行,
但不会向
RADIUS 服务器发送任何身份验证。