Cisco Cisco Identity Services Engine 1.3 작동 가이드

  

 

 

 

 
 

© 2015 思科系统公司 

第

 13 页  

安全访问操作指南 

因此，思科创建了灵活身份验证

 (Flex-Auth)。Flex-Auth 允许网络管理员在交换机端口上设置身份验证顺序和

优先级，从而使端口能够依次尝试使用

 802.1X、MAC 身份验证绕行和 Web 身份验证。提供所有这些功能的

同时，还能够在所有接入端口上保持完全相同的配置，因此能够为客户提供比传统

 802.1X 部署更简单的运行

模式。

 

如前所述，在交换机端口上执行身份验证有多种方法：

802.1X (dot1x)、MAC 身份验证绕行 (MAB) 和基于 

Web 的身份验证 (Web-Auth)。如果采用 802.1X 身份验证，则交换机会在链路状态变更为“up”之后定期发送
身份请求

 (EAP-Identity-Request)（请参阅“身份验证设置 - 定时器”一节，了解建议的定时器更改方式）。此

外，终端请求方还应该定期将基于

 LAN 的 EAP 启动（EAPoL 启动）消息发送至交换机端口，从而加快身份

验证速度。如果设备无法进行身份验证，则只需等待

 dot1x 超时，随后系统将执行 MAC 身份验证绕行 (MAB)。

假如设备

 MAC 地址位于正确的数据库中，则会获得网络访问授权（图 3）。 

 

图

 1.  灵活身份验证 

以下步骤引导您完成

 Flex-Auth 的配置，执行身份验证高可用性的可配置操作。 

步骤

  4  在交换机端口上配置身份验证方法的优先级。 

最佳实践是始终首选较强的身份验证方法

 (dot1x)。dot1x 方法也是所有思科交换机的默认设置。 

C3750X(config-if-range)#authentication priority dot1x mab 

步骤

  5  配置交换机端口上身份验证方法的顺序。 

在某些部署方法中，

MAC 身份验证绕行 (MAB) 应发生在 802.1X 身份验证之前。对于这些极端情

况，思科交换机确实允许网络管理员设置用户可定义的身份验证顺序。但是，最佳实践是保持先

 

dot1x 后 MAB 的顺序。 

C3750X(config-if-range)#authentication order dot1x mab