Cisco Cisco Identity Services Engine 1.3 Guia De Utilização
© 2015 思科系统公司
第
12 页
安全访问操作指南
交换机:通用交换机端口配置
在上一节中,我们定义了接入层交换机全局配置设置的通用命令,包括
RADIUS、SNMP、分析和 AAA 方法。
本节重点介绍如何构建一个端点配置,从而无论使用哪种交换机类型或部署模式,均可以在整个思科
TrustSec 部署中使用该端点配置。
注:如果您使用的是诸如
Cisco Prime LAN 管理解决方案 (LMS) 4.1 等批量配置工具,则可能需要确保在以下
任何命令之前运行此命令。
设置基本交换机端口配置
在配置交换机端口上的任何身份验证设置之前,必须确保将交换机端口配置为第
2 层端口,而不是第 3 层端
口。要实现此配置,我们要运行一个只有一个单词的简单命令,此后,我们运行的其他命令均会生效。
步骤
1 输入交换机端口范围的接口配置模式:
C3750X(config)#interface range first_interface - last_interface
步骤
2 确保端口是第 2 层交换机端口。
C3750X(config-if-range)#switchport
步骤
3 使用主机宏为第 2 层边缘配置端口。
主机宏会自动为您运行三条命令。它会将端口配置为接入端口(非中继)、禁用隧道组,以及将生
成树配置为处于快速端口模式
成树配置为处于快速端口模式
。
C3750X(config-if-range)#switchport host
! – Switch Output:
switchport mode will be set to access
spanning-tree portfast will be enabled
channel group will be disabled
身份验证设置
– 灵活身份验证和高畅通性
802.1X 的默认行为是如果身份验证失败则拒绝访问网络。许多客户部署均不希望采用这种行为,因为它既不
允许访客访问,也不允许员工修复其计算机系统和获取完整网络访问权限。处理
允许访客访问,也不允许员工修复其计算机系统和获取完整网络访问权限。处理
802.1X 身份验证失败的下一
个阶段是提供“
Auth-Fail VLAN”,使身份验证失败的设备/用户能够获得授权,可访问提供有限资源的
VLAN。
此步骤是正确定向中的一步,但仍缺乏所需的可行性,在必须对所有打印机和其他非身份验证设备使用
MAC
身份验证绕行的环境中尤其如此。如果使用
802.1X 的默认行为,对于没有请求方的打印机和其他设备,管理
员所采用的端口配置方式必须与计划进行身份验证的端口的配置方式不同。