Cisco Cisco Identity Services Engine 1.2 操作指南

  

 

 

 

 
 

© 2015 思科系统公司 

第

 16 页  

安全访问操作指南 

步骤

  2  在端口上启用 MAC 身份验证绕行。 

C3750X(config-if-range)#mab 

步骤

  3  支持端口执行 IEEE 802.1X 身份验证。 

C3750X(config-if-range)#dot1x pae authenticator 

身份验证设置

 – 定时器   

很多定时器可以在部署中根据需要进行修改。除非遇到调整定时器可纠正意外行为这种特定情况，否则我们
建议将除

 802.1X 传送定时器（传送时间）以外的所有定时器都保留默认值。 

传送时间定时器的默认值为

 30 秒。将此值保留为 30 秒意味着默认等待 90 秒（3 x 传送时间）后，交换机端

口会开始采用下一方法进行身份验证，对非身份验证设备启用

 MAB 流程。 

思科最佳实践：根据多种配置，最佳实践的建议是将

 tx-period 值设置为 10 秒，从而为 MAB 设备提供最佳时

间。将该值设置为

 10 秒以内可能会导致端口过快采用 MAC 身份验证绕行。 

步骤

  1  配置传送时间定时器。 

C3750X(config-if-range)#dot1x timeout tx-period 10 

在端口上应用初始

 ACL 并启用身份验证    

此步骤将为监控模式准备端口：在端口上应用默认

 ACL 而不拒绝任何流量。 

步骤

  1  应用初始 ACL (ACL-ALLOW)。 

C3750X(config-if-range)#ip access-group 

ACL-ALLOW

 in 

步骤

  2  开启身份验证。 

C3750X(config-if-range)#authentication port-control auto 

注：需要此命令才能启用身份验证（

802.1X、MAB、Web-Auth）。如果没有此命令，则所有流程看似在运行，

但不会向

 RADIUS 服务器发送任何身份验证。