Cisco Cisco SG500-52PP 52-port Gigabit Max PoE+ Stackable Managed Switch 用户指南
安全:802.1x 验证
验证方概述
思科 500 系列可堆叠管理型交换机管理指南
377
23
在基于 802.1x 的验证中,验证方从 802.1x 消息 (EAPOL 帧)中提取 EAP 消息,并将其传递到验证服务器,
在此过程中会使用 RADIUS 协议。
在此过程中会使用 RADIUS 协议。
在基于 MAC 或基于 Web 的验证中,验证方本身执行软件的 EAP 客户端部分。
验证服务器
验证服务器执行实际的客户端验证。设备的验证服务器是带有 EAP 扩展的 RADIUS 验证服务器。
开放式访问
开放式 (监控)访问功能可在 802.1x 环境中为由于误配置和/或缺少资源引起的故障而导致的真正的单纯验证
失败提供帮助。
失败提供帮助。
开放式访问可帮助系统管理员了解连接到网络的主机的问题、监控不良状况并使这些问题得以修复。
在接口上启用开放式访问时,交换机会将从 RADIUS 服务器接收的所有失败视为成功,无论验证结果如何,都
允许访问连接到接口的工作站网络。
允许访问连接到接口的工作站网络。
开放式访问可在启用验证的端口上更改阻止流量的正常行为,直到验证和授权成功执行。验证的默认行为仍然是
阻止所有流量,但局域网的可扩展鉴权协议 (EAPoL) 除外。但是,开放式访问让管理员可以为所有流量提供不受
限制的访问,即便是在启用了验证 (基于 802.1X、 MAC 和/或 WEB 的验证)的情况下。
阻止所有流量,但局域网的可扩展鉴权协议 (EAPoL) 除外。但是,开放式访问让管理员可以为所有流量提供不受
限制的访问,即便是在启用了验证 (基于 802.1X、 MAC 和/或 WEB 的验证)的情况下。
当启用 RADIUS 记帐时,您可以记录验证尝试以及通过审计跟踪了解有哪些人员和设备连接到您的网络。
完成所有这一切操作都不会影响最终用户或与网络连接的主机。开放式访问可以在
页面中激活。
验证方概述
端口管理验证状态
端口管理状态可确定客户端是否已被授予访问网络的权限。
端口管理状态可在“安全 > 802.1X/MAC/Web 验证 > 端口验证”页面配置。
可用值如下:
•
强制授权
端口验证禁用,并且端口会根据其静态配置传输所有流量,无需请求任何验证。交换机在收到 802.1x
EAPOL-start
EAPOL-start
消息时,会发送带有 EAP success 消息的 802.1x EAP 数据包。
此为默认状态。