Cisco Cisco Identity Services Engine 1.2 操作指南
© 2015 思科系统公司
第
15 页
安全访问操作指南
Multi-Auth 模式对于每个交换机端口的 MAC 地址数几乎没有限制,并且要求每个 MAC 地址均使
用经过身份验证的会话。当部署到达身份验证的最后阶段或进入实施阶段,则建议使用多域模式。
对于每个端口,多域身份验证将在数据域中支持一个
用经过身份验证的会话。当部署到达身份验证的最后阶段或进入实施阶段,则建议使用多域模式。
对于每个端口,多域身份验证将在数据域中支持一个
MAC 地址,在语音域中支持一个 MAC 地址。
C3750X(config-if-range)#authentication host-mode multi-auth
步骤
10 配置违例操作。
如果发生身份验证违例(例如
MAC 地址数超过端口上支持的最大数量),则默认会将端口置于错
误禁用状态。虽然此行为看似正常且安全,但却可能带来意外的拒绝服务,在部署初期尤为如此。
因此,我们会将该操作设置为受限制。使用这种运行模式,第一台通过身份验证的设备可以继续其
授权操作,而其他设备则会被拒绝。
因此,我们会将该操作设置为受限制。使用这种运行模式,第一台通过身份验证的设备可以继续其
授权操作,而其他设备则会被拒绝。
C3750X(config-if-range)#authentication violation restrict
身份验证设置
– 开放式身份验证和其他步骤
默认情况下
802.1X 采用二进制。身份验证成功意味着已授权用户访问网络,不成功的身份验证意味着用户无
权访问网络。此范例无法为现代企业提供很好的帮助,大多数组织需要利用预执行环境
(PXE) 进行工作站成
像,或者可能具有某些必须通过
DHCP 进行启动且么有任何方法来运行请求方的瘦客户端。
此外,
802.1X 的早期采用者在整个公司范围内部署身份验证时也造成了影响。例如,请求方配置错误,未知
设备由于缺少请求方而无法进行身份验证,以及因许多其他原因对所有设备都有影响。参见下图
1。
为帮助部署,思科创建了开放式身份验证模式。采用开放式身份验证,所有流量均可通过交换机端口,即使
端口未获得授权也可以。此功能允许在整个企业内对身份验证进行配置,而不会拒绝对任何设备的访问。
端口未获得授权也可以。此功能允许在整个企业内对身份验证进行配置,而不会拒绝对任何设备的访问。
图
2. 默认身份验证模式(封闭式)与开放式身份验证模式
步骤
1 将端口设置为开放式身份验证。
C3750X(config-if-range)#authentication open