Cisco Cisco Identity Services Engine 1.3 작동 가이드

第

14 页

安全访问操作指南

注：

Web 身份验证也是身份验证顺序命令的一个选项。此处配置的 Web-Auth 是指本地 Web 身份验证。

最佳实践是使用中央

Web 身份验证。有关 Web 身份验证的详细信息，请参阅“Web 身份验证” 。

步骤

6 将端口配置为使用 Flex-Auth，如下所示：

C3750X(config-if-range)#authentication event fail action next-method

步骤

7 将端口配置为在 RADIUS 服务器关闭时使用本地 VLAN。

在“

Configure the Global RADIUS Commands”程序中，我们已将 RADIUS 服务器条目配置为使用

测试帐户，该帐户会在思科

ISE 停止响应 RADIUS 请求后主动向交换机发送警报。现在，我们将

交换机端口配置为在发现服务器处于“停机”状态后对端口进行本地授权，并在服务器再次启动时
重新初始化身份验证。

C3750X(config-if-range)#authentication event server dead action reinitialize vlan vlan-id

引入此功能的目的在于解决单个端口上存在多个身份验证主机时发生的以下问题：一部分身份验证

主机已进行身份验证，而

RADIUS 服务器可运行；而其他主机（新主机）尝试在 RADIUS 服务器

关闭时进行身份验证。

引入这一新功能之前，所有通过身份验证的主机（

RADIUS 服务器运行时）均能获取完整的网络访

问权限，而其他主机（新主机）则无法获取网络访问权限。通过这一新的命令行界面

(CLI) 功能，

当新主机尝试访问网络并且

RADIUS 服务器关闭时，该端口会立即重新初始化，并且所有主机

（在此端口中）都均会获得相同的

VLAN。

步骤

8 将端口配置为在 RADIUS 服务器关闭时允许在网络上使用电话。

电话是在身份验证成功后通过配置

RADIUS 服务器以将属性 device-traffic-class=voice 向下传递到

网络来放置在语音域上，从而无法运行。但是，当

RADIUS 服务器不可用时，电话将无法访问语

音。这项新功能称为临界语音

VLAN。通过此新功能，当端口处于临界身份验证模式下并且来自主

机的流量都带有语音

VLAN 标记时，设备（电话）会放入到端口的已配置语音 VLAN 中。电话通

过思科发现协议

(CDP)、链路层发现协议 (LLDP) 或 DHCP 获取语音 VLAN 标识。以下是用于启用

此功能的命令：

C3750X(config-if-range)#authentication event server dead action authorize voice

步骤

9 设置端口的主机模式。

启用

802.1X 的端口的默认行为是每个端口只授权一个 MAC 地址。我们还提供其他选项，最值得

注意的是多域身份验证

(MDA) 和多重身份验证 (Multi-Auth) 模式。在所有思科 TrustSec 部署的初

期，最佳实践是使用多重身份验证模式来确保部署

802.1X 的过程中不会出现拒绝服务。

注：由于

802.1X 在本地处理端口安全功能，因此在 TrustSec 部署中不推荐这一功能。