Cisco Cisco Identity Services Engine Software Prospecto
安全访问操作指南
配置交换机
封闭模式表示默认的
802.1X 行为。在此模式下,交换机端口在从身份验证、授权和记帐 (AAA) 服务器获得
授权结果之前不会允许除局域网扩展认证协议
(EAPoL) 之外的任何流量。这通常是部署的理想最终状态,因
为它提供了非常强的安全性。像低影响模式一样,封闭模式还可以使用
TrustSec 部署中的所有可用实施机制
(包括
dVLAN、可下载的 ACL [dACL]、安全组访问 [SGA] 等),但是封闭模式可能会对 IT 部署的运行模
式产生某些影响。
步骤
1
请验证在接入交换机上是按名称定义所有可分配的
VLAN,并且每个 VLAN 均有预期的连接性。
如有必要,使用用户分配功能来映射现有
VLAN 名称。
步骤
2
请验证已将交换机配置为接受来自
Cisco ISE 的授权说明
步骤
3
从交换机删除所有入口端口
ACL,如下所示:
C3750X(config-if-range)# no ip access-group ACL-DEFAULT in
注:此部署情景不需要
ACL。
步骤
4
在所有端口上禁用开放式身份验证功能。
C3750X(config-if-range)# no authentication open
注:如果需要,请将身份验证顺序配置为在
802.1X 之前执行 MAB,并修改身份验证优先级,从而使 802.1X
可以抢先进行成功的
MAB 身份验证。
步骤
5
除非您出于具体情况,需要在单个端口上支持多个数据设备,(对于非
IP 电话服务部署)请为单
主机模式配置所有访问端口,或(对于
IP 电话服务部署)请为多域主机模式配置所有访问端口。
© 2015 思科系统公司
第
6 页