Cisco Cisco Identity Services Engine 1.2 产品宣传页
© 2015 思科系统公司
第
7 页
安全访问操作指南
更改默认端口
ACL
在交换机上将
ACL-ALLOW 替换为 ACL-DEFAULT
步骤
1. 应用初始 ACL (ACL-ALLOW)。
C3750X(config-if-range)#ip access-group ACL-DEFAULT in
阶段
2
有线访问
-802.1X 和 MAB 身份验证
在此阶段,所有有线设备都应通过
802.1X 或 MAB 进行身份验证,从而提供对网络的完全访问权限。现在,
我们应该通过区分每个用户获得的访问权限,更有效地保护网络。对于有些部署来说,通过身份验证后再提
供完全访问权限可能已经足够安全了,但是,对大多数企业来说,这样还不够安全。
供完全访问权限可能已经足够安全了,但是,对大多数企业来说,这样还不够安全。
向每个用户或设备会话应用特定
dACL 可实现这种访问权限区分。这是此阶段 TrustSec 部署的一个重要过程。
对于通过身份验证的特定设备,
dACL 优先于默认端口 ACL(根据会话进行处理)。没有 dACL,设备仍会
使用默认端口
ACL。此阶段与前一个阶段的明显区别在于,根据用户角色对用户或设备产生的具体授权结
果不同。
图
4. 最终状态的低影响模式流程
检查其他用户信息
直到此时,如果用户是域用户组的成员,则该用户可以获得完全访问网络的权限。为了提高安全性,我们将
查看其他组,并对每个组提供有区别的访问权限。请参阅
查看其他组,并对每个组提供有区别的访问权限。请参阅
Active Directory 用户和组成员表。
向
Active Directory 连接器添加其他组
步骤
1. 导航至 Administration External Identity Sources Active Directory。
步骤
2. 点击 Groups 选项卡。
步骤
3. 点击 Add Select Groups from Active Directory。
设备连接
ACL-DEFAULT 限制流量
802.1X 或 MAB 身份验证成功
向端口应用角色特定
dACL:允许特定流量