Cisco Cisco Identity Services Engine 1.2 产品宣传页

 

 
 

© 2015 思科系统公司 

第

 7 页  

安全访问操作指南

更改默认端口

在交换机上将

 ACL-ALLOW 替换为 ACL-DEFAULT 

步骤

 1.   应用初始 ACL (ACL-ALLOW)。 

C3750X(config-if-range)#ip access-group ACL-DEFAULT in 

阶段

有线访问

-802.1X 和 MAB 身份验证 

在此阶段，所有有线设备都应通过

 802.1X 或 MAB 进行身份验证，从而提供对网络的完全访问权限。现在，

我们应该通过区分每个用户获得的访问权限，更有效地保护网络。对于有些部署来说，通过身份验证后再提
供完全访问权限可能已经足够安全了，但是，对大多数企业来说，这样还不够安全。

 

向每个用户或设备会话应用特定

 dACL 可实现这种访问权限区分。这是此阶段 TrustSec 部署的一个重要过程。

对于通过身份验证的特定设备，

dACL 优先于默认端口 ACL（根据会话进行处理）。没有 dACL，设备仍会

使用默认端口

 ACL。此阶段与前一个阶段的明显区别在于，根据用户角色对用户或设备产生的具体授权结

果不同。

 

 

图

 4.  最终状态的低影响模式流程 

检查其他用户信息

直到此时，如果用户是域用户组的成员，则该用户可以获得完全访问网络的权限。为了提高安全性，我们将
查看其他组，并对每个组提供有区别的访问权限。请参阅

 Active Directory 用户和组成员表。 

向

 Active Directory 连接器添加其他组 

步骤

 1.   导航至 Administration  External Identity Sources  Active Directory。 

步骤

 2.   点击 Groups 选项卡。 

步骤

 3.   点击 Add  Select Groups from Active Directory。 

设备连接

 

ACL-DEFAULT 限制流量 

802.1X 或 MAB 身份验证成功 

向端口应用角色特定

 dACL：允许特定流量