思科身份服务引擎封闭模式 安全访问操作指南系列 日期:2012 年 8 月 作者:Adrianne Wang
安全访问操作指南 目录 封闭模式 ........................................................................................................................................................................ 3 封闭模式概述 ......................................................................................................................................... 3 封闭模式使用案例 ................................................................................................................................ 4 部署注意事项 .............................
安全访问操作指南 封闭模式 封闭模式概述 封闭模式是 802.1X 的一种较为传统的部署模式。在准备妥当的网络中,封闭模式提供对交换机级别(第 2 层) 网络访问的全面控制。此类部署仅推荐用于具有 802.1X 部署背景并已将所有相关细节都考虑在内的环境。请 将此模式视为一种“需谨慎部署”的模式。 思科建议分阶段部署 TrustSec 和 802.1X。初始阶段首先部署监控模式,最终状态则是低影响模式或封闭模式。 本文档重点介绍封闭模式部署。 图 1 封闭模式默认 802.1X 端口行为 图 1. 封闭模式默认 802.1X 端口行为 在封闭模式下,在身份验证成功以前,交换机端口将不允许除局域网扩展认证协议 (EAPoL) 之外的任何流量 通过。此模式没有预身份验证访问的概念,这意味着在身份验证过程中将不允许任何访问,例如动态主机配 置协议 (DHCP)、HTTP 和域名系统 (DNS)。封闭模式对基于 VLAN 的实施很有用,因为客户端在其成功通过 身份验证之前,不会获得 IP 地址。 对于成功完成 802.
安全访问操作指南 图 2. 超时身份验证流程 为了添加更精细的访问控制,封闭模式使用动态 VLAN 分配来将不同类用户隔离至不同的广播域。通过将来 自不同类用户的流量隔离至单独的 VLAN,封闭模式为虚拟化网络服务奠定了基础。无法进行身份验证或身 份验证失败的设备仍保留身份验证之前的相同访问级别:即没有网络访问权限,因为拒绝访问不及提供有限 访问权限或访客访问权限那么可取。部署建议为配置辅助身份验证机制,例如采用思科身份服务引擎 (ISE) 的 集中 Web 身份验证 (CWA)。 注:默认情况下,无线连接遵循与封闭模式相同的逻辑;但是建议在进行身份验证后添加对无线连接使用无 线访问控制列表 (wACL) 或动态 VLAN (dVLAN) 的身份验证和实施模式逻辑,而不是允许所有流量。 封闭模式使用案例 采用有线和无线网络的封闭模式部署在身份验证成功之后为用户提供完整的网络访问权限,并将 VLAN 分配 给已经过身份验证的用户。对于无线连接,身份验证失败会导致无法访问网络(这就是无线网络本质上的运 行方式),但是,在有线连接中身份验证失败则会导致使用下一个身份验证方法。因此,有线环境中的非 802.
安全访问操作指南 VLAN 注意事项 动态 VLAN 分配要求每个用户可能会连接和进行身份验证的接入交换机都支持每个动态 VLAN。此要求有多种影响。例 如,假设您要向三个用户组分配唯一 VLAN:工程、财务和 HR。在这种情况下,每个接入交换机都必须按名称定义这 三个 VLAN(VLAN 的编号不必一样)。您可以通过用户分配功能将多个 VLAN 映射至一个 VLAN 组名。这可能对于 大园区 LAN 很有用,因为它允许交换机在不同的 VLAN 上实现同一组内的用户负载平衡,从而降低任何单个 VLAN 的 广播域大小。顾名思义,用户分配功能原本就是为这种使用案例而开发的。 如果交换机尝试将一个不存在的 VLAN 应用于某个端口,则授权会失败并且用户将无法获得访问权限(即使他们提供了 有效的凭证而且通过了身份验证)。 使用所需的最小数量的 VLAN 从 IP 寻址的角度来看,单个接入交换机支持多个 VLAN 意义重大。优秀的园区设计原则要求每个 VLAN 一个子网,任 何 VLAN 均不得跨越多台交换机。您的 IP 寻址方案应支持一台交换机多个子网,而且这种支持不会加剧园区分配程序 块的控制层和数据层的负担
安全访问操作指南 配置交换机 封闭模式表示默认的 802.
安全访问操作指南 附录 A:参考 Cisco TrustSec 系统: • http://www.cisco.com/go/trustsec • http://www.cisco.com/en/US/solutions/ns340/ns414/ns742/ns744/landing_DesignZone_TrustSec.html 设备配置指南: • 思科身份服务引擎用户指南: http://www.cisco.com/en/US/products/ps11640/products_user_guide_list.html 有关思科 IOS 软件、思科 IOS XE 软件和思科 NX-OS 软件版本的更多信息,请参阅以下 URL: • 对于 Cisco Catalyst 2900 系列交换机: http://www.cisco.com/en/US/products/ps6406/products_installation_and_configuration_guides_list.html • 对于 Cisco Catalyst 3000 系列交换机: http://www.cisco.
