Cisco Cisco Identity Services Engine 1.2 产品宣传页
© 2015 思科系统公司
第
5 页
安全访问操作指南
当用户或设备成功通过身份验证后,他们通过一个允许所有流量的可下载
ACL (dACL) 获得完整的
网络访问权限。这是此阶段
TrustSec 部署的一个重要过程。对于通过身份验证的特定设备,dACL
优先于默认端口
ACL(根据会话进行处理)。若没有 dACL,设备会继续受控于为该端口分配的
ACL-DEFAULT。
图
4. 身份验证模式的过程
低影响模式的部署
为其他网络设备(思科无线接入点)创建授权规则
思科
IP 电话和无线接入点是更为常见的两种需要访问网络的终端设备。它们都使用可配置请求方,
且可能需要特殊访问权限。
IP 电话将需要访问语音域。无线接入点通常需要特定类型的网络访问权
限。至少,它们需要使用域名系统
(DNS)、简单文件传输协议 (TFTP)、动态主机控制协议 (DHCP)、
轻量级接入点协议
(LWAP),以及无线接入点控制和分配 (CAPWAP) 协议。出于这一原因,我们将
为接入点创建一个允许所有流量的单独授权规则。
根据分析策略创建身份组
步骤
1
导航至
Policy > Profiling。
步骤
2
展开
Profiling Policies 容器。展开 Cisco-Device。
步骤
3
突出显示
Cisco-Access-Point。
步骤
4
选择
Create Matching Identity Group。
设备连接
ACL-DEFAULT 限制流量
802.1X 或 MAB 身份验证成功
dACL 应用于端口 - 允许所有流量