Cisco Cisco Identity Services Engine 1.3 전단

安全访问操作指南

封闭模式

封闭模式概述

封闭模式是

 802.1X 的一种较为传统的部署模式。在准备妥当的网络中，封闭模式提供对交换机级别（第 2 层）

网络访问的全面控制。此类部署仅推荐用于具有

 802.1X 部署背景并已将所有相关细节都考虑在内的环境。请

将此模式视为一种“需谨慎部署”的模式。

 

思科建议分阶段部署

 TrustSec 和 802.1X。初始阶段首先部署监控模式，最终状态则是低影响模式或封闭模式。

本文档重点介绍封闭模式部署。

 

图

 1 封闭模式默认 802.1X 端口行为  

 

图

 1. 封闭模式默认 802.1X 端口行为 

在封闭模式下，在身份验证成功以前，交换机端口将不允许除局域网扩展认证协议

 (EAPoL) 之外的任何流量

通过。此模式没有预身份验证访问的概念，这意味着在身份验证过程中将不允许任何访问，例如动态主机配
置协议

 (DHCP)、HTTP 和域名系统 (DNS)。封闭模式对基于 VLAN 的实施很有用，因为客户端在其成功通过

身份验证之前，不会获得

 IP 地址。  

 
对于成功完成

 802.1X 身份验证的用户和设备，这通常不会造成问题，因为这种情况下身份验证通常很快。对

于无法执行

 802.1X 的设备，网络访问可能会出现严重延迟。由于交换机配置为首先尝试最安全的身份验证方

法，因此不支持

 802.1X 的设备必须等待身份验证计时结束并且交换机端口回退至 MAC 身份验证绕行 (MAB) 

和

/或作为辅助身份验证方法的 Web 身份验证。正如《通用交换机配置操作指南》中所建议的一样，一种方法

是将

 802.1X tx 计时器从 30 秒改为 10 秒，这将缩短不支持 802.1X 的设备访问网络之前的总等待时间，使之

从

 90 秒降至 30 秒。更改此计时器的一个常见原因是为了允许设备在其 DHCP 计时器到期之前接收 IP 地址。

图

 4 展示的是 802.1X 超时身份验证流程。 

 

 
 

© 2015 思科系统公司 

第

 3 页