Cisco Cisco Identity Services Engine 1.2 产品宣传页

第

3 页

安全访问操作指南

从监控模式迁移

有关通用交换机配置的《

TrustSec 操作指南》介绍一种面向 TrustSec 2.1 版本部署的交换机配置的普遍适用方

法。此方法使交换机最终处于监控模式，以开始第一阶段的

TrustSec 部署。

在监控模式下，会进行身份验证，但是不会根据身份验证结果限制网络访问。通过结合使用思科身份服务引
擎

(ISE) 策略和交换机端口命令，可向所有设备授予对网络的完全访问权限。在监控模式下，网络管理员可以

确定身份验证失败的用户或设备及其原因。

本指南介绍如何成功地从监控模式过渡至部署实施阶段（低影响模式或封闭模式），其中对网络的访问仅限
于那些正确执行身份验证的设备或用户。

从监控模式转至低影响模式

除监控模式之外的部署模式通常通过基于端口的

ACL、dACL 和/或 VLAN 逐步将访问控制纳入设计中。基于

端口的

ACL 是在交换机端口上进行本地定义，用于在流量成功通过身份验证之前过滤流量。dACL 和 VLAN

分配是在思科

ISE 上身份验证配置文件内进行集中定义，并且可以在身份验证成功之后下载至交换机。

使用分阶段方法

请务必注意，授权策略适用于

每个

已通过身份验证的会话。换句话说，所有交换机会同时从监控模式转至低

影响模式，并且对于所有通过身份验证的用户，访问控制都是由过滤其网络访问的身份验证提供的。

在部署实施期间，您可能不想安排所有人同时迁移。本节介绍两种分阶段迁移方法：一次迁移一台交换机，
以及转至低影响模式。

一次迁移一台交换机

分阶段迁移的其中一种方法是指定处于低影响模式而非监控模式的交换机。通过创建一个名为“

Stage”的网

络设备组，并在此“

Stage”组中创建名为“Low Impact”或“Closed”的组，可完成此操作。

创建一个网络设备组以指示处于低影响模式的交换机

步骤

1. 导航至 Administration  Network Resources  Network Device Groups  Groups。

步骤