Cisco Cisco Identity Services Engine 1.2 产品宣传页

下载
页码 34
  
 
 
 
 
 
 
© 2015 思科系统公司 
 5   
安全访问操作指南
 
当用户或设备成功通过身份验证后,他们通过一个允许所有流量的可下载
 ACL (dACL) 获得完整的
网络访问权限。这是此阶段
 TrustSec 部署的一个重要过程。对于通过身份验证的特定设备,dACL 
优先于默认端口
 ACL(根据会话进行处理)。若没有 dACL,设备会继续受控于为该端口分配的 
ACL-DEFAULT。 
 
 4.  身份验证模式的过程 
低影响模式的部署
 
为其他网络设备(思科无线接入点)创建授权规则
 
思科
 IP 电话和无线接入点是更为常见的两种需要访问网络的终端设备。它们都使用可配置请求方,
且可能需要特殊访问权限。
IP 电话将需要访问语音域。无线接入点通常需要特定类型的网络访问权
限。至少,它们需要使用域名系统
 (DNS)、简单文件传输协议 (TFTP)、动态主机控制协议 (DHCP)、
轻量级接入点协议
 (LWAP),以及无线接入点控制和分配 (CAPWAP) 协议。出于这一原因,我们将
为接入点创建一个允许所有流量的单独授权规则。
 
根据分析策略创建身份组
 
步骤
 1 
导航至
 Policy > Profiling。 
步骤
 2 
展开
 Profiling Policies 容器。展开 Cisco-Device。 
步骤
 3 
突出显示
 Cisco-Access-Point。 
步骤
 4 
选择
 Create Matching Identity Group。 
设备连接
 
ACL-DEFAULT 限制流量 
802.1X 或 MAB 身份验证成功 
dACL 应用于端口 - 允许所有流量