Leaflet
安全访问操作指南
VLAN
注意事项
动态 VLAN 分配要求每个用户可能会连接和进行身份验证的接入交换机都支持每个动态 VLAN。此要求有多种影响。例
如,假设您要向三个用户组分配唯一 VLAN:工程、财务和 HR。在这种情况下,每个接入交换机都必须按名称定义这
三个 VLAN(VLAN 的编号不必一样)。您可以通过用户分配功能将多个 VLAN 映射至一个 VLAN 组名。这可能对于
大园区 LAN 很有用,因为它允许交换机在不同的 VLAN 上实现同一组内的用户负载平衡,从而降低任何单个 VLAN 的
广播域大小。顾名思义,用户分配功能原本就是为这种使用案例而开发的。
如果交换机尝试将一个不存在的 VLAN 应用于某个端口,则授权会失败并且用户将无法获得访问权限(即使他们提供了
有效的凭证而且通过了身份验证)。
使用所需的最小数量的
VLAN
从 IP 寻址的角度来看,单个接入交换机支持多个 VLAN 意义重大。优秀的园区设计原则要求每个 VLAN 一个子网,任
何 VLAN 均不得跨越多台交换机。您的 IP 寻址方案应支持一台交换机多个子网,而且这种支持不会加剧园区分配程序
块的控制层和数据层的负担。
实际上,您分配的 VLAN 越少,您的解决方案的可管理性和可扩展性就越高。事实上,有些客户已发现,经过分析后,
使用非常少的 VLAN 即可满足其安全策略要求(例如,员工、访客/故障和语音)。
MAB
配置注意事项
如果您选择更改身份验证顺序,在 802.1X 之前执行 MAB
,
则要注意的是,这将意味着每个设备(即便是那些支持
802.1X 的设备)都将接受 MAB。这可能会显著增加您的网络控制层的流量。
根据失败的身份验证方法类型授予有限访问权限
如果未通过 802.1X 身份验证的设备需要某个级别的访问权限(例如,为了允许证书已过期的员工下载新证书),可以将
解决方案配置为根据失败的身份验证方法类型授予有限访问权限。如果 802.1X 失败,可以将交换机配置为向用于此用途
的专用 VLAN(即 Auth-Fail VLAN)打开端口。
处理无法执行
802.1X
和
MAB
失败的设备
您的网络上可能会有无法执行 802.1X 而且无法通过 MAB 的设备(例如,无正确配置的请求方而且需要具有某种形式的
网络访问权限的承包商)。对于无法通过 MAB 的未知 MAC 地址,默认策略为 WebAuth (CWA)。如果设备已经过分析
而且与任何已定义的授权策略匹配,则应用此策略,否则,此设备将限制为 WebAuth 模式。
实施封闭模式
确保所有身份存储库数据库保持最新和在线
在过渡到封闭模式之前,您应确保所有终端均可进行身份验证。所有身份存储库数据库都应保持最新和在线。
注:
从低影响模式到封闭模式,用户可以选择 dACL 或 dVLAN 来实施授权策略。封闭模式的关键是了解封
闭模式的运行方式并选择符合要求的部署方法。因此,本节不会提供具体的 ISE 配置。但是,会提供所需的
交换机配置。
© 2015 思科系统公司 第 5 页