Cisco Cisco Identity Services Engine 1.3 전단

安全访问操作指南

图

2. 超时身份验证流程

为了添加更精细的访问控制，封闭模式使用动态

VLAN 分配来将不同类用户隔离至不同的广播域。通过将来

自不同类用户的流量隔离至单独的

VLAN，封闭模式为虚拟化网络服务奠定了基础。无法进行身份验证或身

份验证失败的设备仍保留身份验证之前的相同访问级别：即没有网络访问权限，因为拒绝访问不及提供有限
访问权限或访客访问权限那么可取。部署建议为配置辅助身份验证机制，例如采用思科身份服务引擎

(ISE) 的

集中

Web 身份验证 (CWA)。

注：默认情况下，无线连接遵循与封闭模式相同的逻辑；但是建议在进行身份验证后添加对无线连接使用无
线访问控制列表

(wACL) 或动态 VLAN (dVLAN) 的身份验证和实施模式逻辑，而不是允许所有流量。

封闭模式使用案例

采用有线和无线网络的封闭模式部署在身份验证成功之后为用户提供完整的网络访问权限，并将

VLAN 分配

给已经过身份验证的用户。对于无线连接，身份验证失败会导致无法访问网络（这就是无线网络本质上的运
行方式），但是，在有线连接中身份验证失败则会导致使用下一个身份验证方法。因此，有线环境中的非

802.1X 身份验证会尝试对交互用户使用 MAB 和 WebAuth (CWA)。以下是封闭模式的更多使用案例。

•

通过身份验证之前禁止访问

•

对不支持 802.1X 的公司资产提供快速访问

•

在接入边缘对流量进行逻辑隔离

部署注意事项

采用

VLAN 分配部署封闭模式可能会对网络架构产生重大影响。了解这些潜在影响对于成功部署此模式来说

至关重要。因此，部署封闭模式必须进行战略规划并注意各种事项。以下流程概述的是一些帮助您在部署之
前进行规划的做法。

第

4 页