Cisco Cisco Identity Services Engine 1.2 操作指南
操作指南
-21-监控模式部署指南
5
监控模式
监控模式概述
通过采用监控模式,企业能够在整个有线基础架构中启用身份验证,不会对有线用户或设备产生影响。您可以将其
看做一种“审核模式”。在用于验证的日志记录数据的帮助下,管理员使用监控模式帮助确保所有设备都使用
看做一种“审核模式”。在用于验证的日志记录数据的帮助下,管理员使用监控模式帮助确保所有设备都使用
802.1X 或 MAC 身份验证绕行正确进行身份验证。如果设备配置错误或缺少 802.1X 客户端,则访问会被拒绝并直
接记录。部署监控模式后,多数企业会吃惊地发现,有些设备连接至网络而自己之前并未察觉。
接记录。部署监控模式后,多数企业会吃惊地发现,有些设备连接至网络而自己之前并未察觉。
采用
802.1X 的无线环境为二进制(802.1X 专为此而设计),因此如果用户无法进行身份验证,则不能访问无线网
络。多数用户能够接受此行为,并且愿意寻找有物理网络连接(有线连接)的位置来实现网络访问。尽管最终用户
大多能够接受无法加入无线环境的情况,但如果出现无法访问有线网络端口的情形,他们会变得不太理解这种情况。
大多能够接受无法加入无线环境的情况,但如果出现无法访问有线网络端口的情形,他们会变得不太理解这种情况。
注:无线网络无法实施监控模式。因此,我们会在低影响模式阶段介绍无线方式。
监控模式是一个过程,而不只是交换机上的一个命令。在此过程中,系统会在您的思科基础架构上综合使用
RADIUS 记帐数据包、开放式身份验证和多重身份验证功能,同时结合设备分析,让管理员了解正在连接至网络的
用户和设备及其接入网络的位置。如果由于种类配置错误,设备应该却无法进行身份验证,那么管理员会得到通知
并进行更正,不会拒绝用户访问网络。
用户和设备及其接入网络的位置。如果由于种类配置错误,设备应该却无法进行身份验证,那么管理员会得到通知
并进行更正,不会拒绝用户访问网络。
此操作指南涵盖园区和远程办公室的有线访问(图
3)。如前所述,不存在采用无线访问的监控模式的概念,因此,
在此指南中将不讨论无线访问。
图
3 - 园区和远程办公室中的有线场景
在部署之前了解流程
检查
Cisco
®
身份服务引擎 (ISE) 默认配置或在思科 ISE 中进行任何新配置之前,您必须充分了解网络访问的功能和
网络访问处理流程,这一点非常重要。
RADIUS 控制的网络访问采用传统的身份验证、授权和记帐 (AAA) 模式。
简而言之,身份验证就是验证凭证是否有效,就是这样。身份验证可以用于验证客户端证书的有效性,也可以用于
确认用户名
确认用户名
/密码组合是否有效。但是,身份验证自身无法提供任何访问权限。
授权即确定通过身份验证的用户或设备的访问级别。其中会进行大量的网络访问控制工作。
思科
ISE 图形用户界面逻辑分出了身份验证和授权策略。身份验证策略会根据传入的身份验证请求决定要检查的身
份库。例如,来自
VPN 的身份验证请求可能会配置为通过检查一次性密码 (OTP) 服务器对凭证进行验证。同时,
使用相同的思科
ISE 安装,来自思科无线 LAN 控制器的身份验证请求可能会使系统使用 Active-Directory 验证凭证。
思科
ISE 能够提供非常强大、灵活的身份验证策略。