Cisco Cisco Identity Services Engine 1.2 产品宣传页

安全访问操作指南

配置交换机

封闭模式表示默认的

 802.1X 行为。在此模式下，交换机端口在从身份验证、授权和记帐 (AAA) 服务器获得

授权结果之前不会允许除局域网扩展认证协议

 (EAPoL) 之外的任何流量。这通常是部署的理想最终状态，因

为它提供了非常强的安全性。像低影响模式一样，封闭模式还可以使用

 TrustSec 部署中的所有可用实施机制

（包括

 dVLAN、可下载的 ACL [dACL]、安全组访问 [SGA] 等），但是封闭模式可能会对 IT 部署的运行模

式产生某些影响。

 

步骤

 1 

请验证在接入交换机上是按名称定义所有可分配的

 VLAN，并且每个 VLAN 均有预期的连接性。

如有必要，使用用户分配功能来映射现有

 VLAN 名称。 

步骤

 2 

请验证已将交换机配置为接受来自

 Cisco ISE 的授权说明 

步骤

 3 

从交换机删除所有入口端口

 ACL，如下所示： 

C3750X(config-if-range)# no ip access-group ACL-DEFAULT in 

注：此部署情景不需要

 ACL。

 

步骤

 4 

在所有端口上禁用开放式身份验证功能。

 

C3750X(config-if-range)# no authentication open 

注：如果需要，请将身份验证顺序配置为在

 802.1X 之前执行 MAB，并修改身份验证优先级，从而使 802.1X 

可以抢先进行成功的

 MAB 身份验证。 

步骤

 5 

除非您出于具体情况，需要在单个端口上支持多个数据设备，（对于非

 IP 电话服务部署）请为单

主机模式配置所有访问端口，或（对于

 IP 电话服务部署）请为多域主机模式配置所有访问端口。 

 

 

 

 

 
 

© 2015 思科系统公司 

第

 6 页