Cisco Cisco Identity Services Engine 1.3 Prospecto
安全访问操作指南
封闭模式
封闭模式概述
封闭模式是
802.1X 的一种较为传统的部署模式。在准备妥当的网络中,封闭模式提供对交换机级别(第 2 层)
网络访问的全面控制。此类部署仅推荐用于具有
802.1X 部署背景并已将所有相关细节都考虑在内的环境。请
将此模式视为一种“需谨慎部署”的模式。
思科建议分阶段部署
TrustSec 和 802.1X。初始阶段首先部署监控模式,最终状态则是低影响模式或封闭模式。
本文档重点介绍封闭模式部署。
图
1 封闭模式默认 802.1X 端口行为
图
1. 封闭模式默认 802.1X 端口行为
在封闭模式下,在身份验证成功以前,交换机端口将不允许除局域网扩展认证协议
(EAPoL) 之外的任何流量
通过。此模式没有预身份验证访问的概念,这意味着在身份验证过程中将不允许任何访问,例如动态主机配
置协议
置协议
(DHCP)、HTTP 和域名系统 (DNS)。封闭模式对基于 VLAN 的实施很有用,因为客户端在其成功通过
身份验证之前,不会获得
IP 地址。
对于成功完成
802.1X 身份验证的用户和设备,这通常不会造成问题,因为这种情况下身份验证通常很快。对
于无法执行
802.1X 的设备,网络访问可能会出现严重延迟。由于交换机配置为首先尝试最安全的身份验证方
法,因此不支持
802.1X 的设备必须等待身份验证计时结束并且交换机端口回退至 MAC 身份验证绕行 (MAB)
和
/或作为辅助身份验证方法的 Web 身份验证。正如《通用交换机配置操作指南》中所建议的一样,一种方法
是将
802.1X tx 计时器从 30 秒改为 10 秒,这将缩短不支持 802.1X 的设备访问网络之前的总等待时间,使之
从
90 秒降至 30 秒。更改此计时器的一个常见原因是为了允许设备在其 DHCP 计时器到期之前接收 IP 地址。
图
4 展示的是 802.1X 超时身份验证流程。
© 2015 思科系统公司
第
3 页