Cisco Cisco SG200-26P 26-port Gigabit PoE Smart Switch ユーザーガイド
配置安全
思科 200 系列智能型交换机管理指南
199
17
配置 802.1X
基于端口的访问控制可在交换机端口上创建两种类型的访问。其中一个访问点启用非
受控通信,而不考虑授权状态 (
受控通信,而不考虑授权状态 (
非受控端口
)。另一个访问点对主机与交换机之间的
通信进行授权。
802.1x 是一种 IEEE 标准,适用于基于端口的网络访问控制。 802.1x 框架可使设备
(请求方)请求从其连接到的远程设备 (验证方)进行端口访问。仅当请求进行端口
访问的请求方已经过验证和授权时,才允许请求方将数据发送到端口。否则,验证方
会丢弃请求方数据。
会丢弃请求方数据。
验证方通过外部的 RADIUS 服务器对请求方执行验证,并监控验证的结果。
按照 802.1x 标准,设备可以同时作为端口处的请求方和验证方,既可请求进行端口访
问也可授予端口访问权限。但是,此设备只能是验证方,并且不会充当请求方的角色。
问也可授予端口访问权限。但是,此设备只能是验证方,并且不会充当请求方的角色。
802.1X 具有以下类型:
•
单会话 802.1X:
-
单个会话/单个主机 — 在这种模式下,交换机作为验证方会支持一个 802.1x
会话,并将端口的使用权限授予经授权的请求方。而其他设备从该相同端口
接收到的所有访问请求均会遭到拒绝,除非经授权的请求方不再使用该端口
或访问对象为未经验证的 VLAN。
会话,并将端口的使用权限授予经授权的请求方。而其他设备从该相同端口
接收到的所有访问请求均会遭到拒绝,除非经授权的请求方不再使用该端口
或访问对象为未经验证的 VLAN。
-
单会话 / 多主机 - 这种模式遵循 802.1x 标准。在这种模式下,交换机作为验
证方允许任何设备使用端口,只要设备已具有权限。
证方允许任何设备使用端口,只要设备已具有权限。
•
多会话 802.1X - 交换机 (验证方)必须在不同的 802.1x 会话中对连接到端口
的每台设备 (请求方)分别进行验证和授权。
的每台设备 (请求方)分别进行验证和授权。
如标准中所述,交换机支持 802.1x 验证机制,以便对 802.1x 请求方进行验证和授权。
802.1X 参数工作流程
按照以下操作定义 802.1X 参数:
•
(可选)按
定义 802.1X 属性
一节中所述,将一个或多个静态 VLAN 定义为未
经验证的 VLAN。经过 802.1x 授权和未经其授权的设备或端口可以始终将数据
包发送到未经验证的 VLAN 或从其接收数据包。
包发送到未经验证的 VLAN 或从其接收数据包。
•
使用
编辑端口验证
页面为每个端口定义 802.1X 设置。