思科模拟器如何取消阻止网段访问服务器

打开本地安全设置，点“IP安全策略，在本地机器”——>创建IP安全策略---->下一步---->名称随便写，如输入阻止，然后一直点下一步，出现提示点是，一直到完成，这个时候就创建了一个名为“阻止”的策略了

下面点“IP安全策略，在本地机器”——>管理IP筛选器表和筛选器操作---->点添加---->名称添7515625（为了识别最好填写对应的IP段）---->点添加---->下一步---->源地址选择一个特定的IP子网，IP输入75156250 子网掩码改为2552552550---->下一步---->目标地址选择我的IP地址---->下一步---->协议类型为任意---->下一步---->完成 全部关闭

下面点我们开始建立的名为“阻止”的策略，点属性---->填加---->下一步---->下一步网络类型选择所有网络连接---->下一步---->出现提示点是---->到IP筛选列表，点中我们刚才创建的名为7515625的选项---->下一步---->选择阻止---->下一步到完成、关闭

最后点“阻止”这个策略，右键，指派，到这里为止我们就已经阻止了7515625开头的网段了，当然也阻止了7515625192这个IP的攻击了，如还要封其他IP的攻击同样操作即可

Cisco®Catalyst®4500 系列交换机能够提供安全、灵活、不间断的通信，以及出色的投资保护。采用了 CenterFlex 技术的Cisco Catalyst 4500 系列交换机能够通过安全、灵活、不间断的通信，提供可以扩展的无阻碍L2-L4层交换，从而帮助部署了关键业务应用的企业、中小企业（SMB）和城域以太网客户实现业务永续性。由于 Cisco Catalyst 4500 能够为企业配线间和SMB 接入/核心层提供先进的动态服务质量（QoS）功能和配置灵活性，因而能提供可以预测和扩展的高性能。硬件和软件中的集成式永续特性有助于提高网络可用性，以提高劳动力的生产率和企业的盈利能力，并保证客户成功。Cisco Catalyst 4500创新、灵活的集中式系统设计有助于顺利迁移到线速 IPv6 和万兆以太网。几代 Cisco Catalyst 4500 系列的灵活性、可扩展性以及向前和向后兼容性，延长了部署周期，提供了卓越的投资保护，并降低了总体拥有成本。

Cisco Catalyst 4500 系列包括四种机箱：Cisco Catalyst 4510R-E （10个插槽）、Cisco Catalyst 4507R-E（7个插槽）、Cisco Catalyst 4506-E （6个插槽）和 Cisco Catalyst 4503-E （3个插槽）。Cisco Catalyst 4500 系列采用统一的架构，并使用 能够扩展到 388 个以太网端口的现有Cisco Catalyst 4000 系列线路卡。由于 Cisco Catalyst 4500 E 系列能够与现有 Cisco Catalyst 4000 和4500 系列线路卡兼容，因而扩展了在融合型网络中部署的范围。

Cisco Catalyst 4500 系列包括“典型”管理引擎和线路卡，以及新开发的“E系列”管理引擎和线路卡。典型管理引擎和线路卡的每个线路卡插槽提供6千兆交换容量，转发性能为102Mpps。新开发的E系列管理引擎和线路卡提供很多增强特性，包括每个线路卡插槽24千兆交换容量，以及250Mpps的总转发性能。

融合

在当今竞争异常激烈的商业环境中，由于融合型网络能够提高生产率和组织灵活性，并降低运营成本，因而能够帮助各机构增强竞争优势。将数据、语音和视频集成在同一个IP网络中，例如统一通信，要求交换基础设施能够分辨各种流量类型，并根据其独特的要求进行管理。Cisco Catalyst 4500 系列提供的交换基础设施与Cisco IOS® Software 结合在一起，能够提供先进的不间断服务和控制。

安全的不间断服务

Cisco Catalyst 4500 系列为将要通过集成解决业务问题的所有应用提供网络基础设施。如果能够利用集成式永续性扩展智能网络服务，将能够有效控制各种流量，而且只需要短时间的计划内和计划外停机。Cisco Catalyst 4500 通过以下措施提供这种控制：

集成式永续性：由于 Cisco Catalyst 4500 系列采用了冗余管理引擎（一秒内故障切换）功能（Cisco Catalyst 4507R-E 和 4510R-E 交换机）、先进的容错软件、完全图像不间断的软件升级服务（ISSU）、冗余风扇和1+1冗余电源，因而缩短了网络停机时间。另外，所有 Cisco Catalyst 4500 系列机箱都采用了集成式以太网供电（PoE），从而简化了设计，减少了统一通信的故障点数量。

高级安全性：对已获专利的思科L2安全特性的支持有助于预防来自恶意服务器的攻击以及通过截获密码和数据 发动的“中间人”攻击。另外，为消除恶意网络攻击者产生的流量，还支持L2-L4过滤和限速。

先进QoS：通过模块化 QoS CLI（MQC）和多达64,000个 QoS 策略项，基于L2-L4的集成式QoS和流量管理功能能够识别并优先处理关键业务和时间敏感型流量。Cisco Catalyst 4500 系列可以利于基于主机、网络和应用信息的输入和输出限速器等机制，对带宽密集型流量实施整合和限速。

全面管理：Cisco Catalyst 4500 系列为所有端口的配置和控制提供基于 Web 的管理，以便集中管理关键网络特性，例如可用性和响应能力。

可扩展的架构

由于融合消除了独立的语音、视频和数据基础设施，因而降低了网络的总体拥有成本，简化了管理和维护。Cisco Catalyst 4500 系列的模块化架构具有很高的可扩展性和灵活性，不需要部署多个平台，从而降低了维护费用。为进一步延长客户的网络设备部署周期，Cisco Catalyst 4500 系列提供以下特性：

线路卡的向后兼容性：为增强功能而升级到新管理引擎之后，客户可以灵活地重用原有线路卡，也可以升级到更高性能的线路卡，而不需要改动整个系统，从而延缓了资本投入的时间。

顺利的技术迁移：客户可以根据自己的进度顺利迁移到线速 IPv6 或 10 千兆以太网。对任意数量的 IPv6 路径同时部署 IPv4 和 IPv6 不会影响整个系统的线速路由能力。E系列管理引擎支持的 TwinGig 转换器和 X2 模块以及万兆E系列线路卡，使客户不需要执行管理引擎或线路卡升级，就能够使网络性能从千兆以太网增加到10 千兆以太网。

为未来特性留出余量：Cisco Catalyst 4500系列架构配备了大量硬件资源，以支持未来特性，满足用户的未来网络需求。只需对Cisco IOS Software作简单的升级，就可以在不执行整个系统升级的情况下发挥很多硬件特性的优势。

降低功耗：Cisco Catalyst 4500系列的功耗很低，因为它采用了集中式硬件架构设计。

Cisco Catalyst 4500系列的优势

Cisco Catalyst 4500系列为企业 局域网 接入、小型骨干网、L3分布点和集成式SMB和分支机构提供先进的高性能解决方案。其优点包括：

性能：Cisco Catalyst 4500 提供的高级交换解决方案不但能随着端口的增加扩充带宽，还采用了业内领先的应用专用集成电路（ASIC）技术，能够提供线速L2-L3 10/100或千兆交换能力。由于L2交换提供模块化管理引擎灵活性和全面的线路卡兼容性，因而能将性能扩展到 320Gbps和250Mpps。利用 Cisco Express Forwarding，L3-L4交换也可以扩展到320Gbps和250Mpps。交换性能与路由项或支持的高级L3服务的数量无关。

为关键业务应用提供带宽保护：利用 QoS 或安全特性，在部署 Cisco Catalyst 4500 系列管理引擎时，将不会降低转发性能，Cisco Catalyst 4500 系列平台将继续以完全线速转发。

端口密度：Cisco Catalyst 4500 系列能够满足机箱中 388个以太网端口的网络组件连接要求。Cisco Catalyst 4500 系列支持从网络边缘直接到桌面计算机的业内密度最高的10/100/1000自适应、自协商千兆以太网。万兆以太网上行链路端口支持高密度千兆以太网到桌面部署和交换机到交换机应用。Cisco Catalyst 4500 系列的可热插拔、易于使用的模块化交换解决方案不但能降低复杂性，还能容易地支持当今网络中不断变化的桌面环境。

以太网供电（PoE）：Cisco Catalyst 4500 系列为10/100或10/100/1000端口支持8023af PoE 标准，以帮助客户支持电话、无线基站、视频摄像机及其他设备。利用 PoE，不需要提供新插座和昂贵的电路就能将设备放置在适合的位置。不仅如此，PoE还允许企业专门为关键设备配备一台电源系统，以便整个系统都能得到不间断电源（UPS）备份的支持。

所有Cisco Catalyst 4500 系列 PoE 线路卡的每个端口都可以同时获得154瓦（W）的功率。这些卡不但支持IEEE标准，包括可选电源分类，还支持思科准标准电源实施方案，以保证与现有思科供电设备的向后兼容性。这些卡与任何 Cisco Catalyst 4500 系列机箱和管理引擎都兼容。最重要的是，Cisco Catalyst 4500 系列提供的电源和附件能够同时为任何完全加载机箱的每个端口提供154W功率。

管理引擎冗余性：为实现集成式永续性，Cisco Catalyst 4507R-E 和4510R-E 机箱支持1+1管理引擎冗余性。冗余管理引擎有助于缩短计划内和计划外网络停机时间，改善业务连续性，并提高员工生产率。带状态化切换的不间断转发（NSF/SSO）能够在管理引擎切换过程中提供连续包转发。NSF/SSO 能够显著提高L2或L3环境中的网络可靠性和可用性。完全图像ISSU为新线路卡、新电源、新特性或缺陷修复提供无影响的快速软件升级，而且不会影响路由过程，也不会使网络不稳定。即使 Cisco IOS Software 图像正在升级或降级，IP语音也不会掉线。NSF/SSO 和 ISSU 对IP语音（VoIP）等关键业务应用非常重要。

投资保护：由于 Cisco Catalyst 4500 系列采用了灵活的模块化架构，因而能够为 局域网 接入或分支机构网络提供经济高效的接口升级。如果客户部署了配有老管理引擎的 Cisco Catalyst 4500 交换机，但想提高性能和增强特性，可以容易地升级到 Cisco Catalyst 4500 系列 Supervisor Engine II-Plus、Cisco Catalyst 4500 系列 Supervisor Engine II-Plus-TS、Cisco Catalyst 4500 系列 Supervisor II-Plus-10GE、Cisco Catalyst 4000/4500 Supervisor Engine IV、Cisco Catalyst 4000/4500 Supervisor Engine V、Cisco Catalyst 4500 系列 Supervisor Engine V-10GE 或者 Cisco Catalyst 4500系列Supervisor Engine 6-E。由于Cisco Catalyst 4500 系列机箱之间的备件兼容性支持电源和交换线路卡的通用化，因而能降低总部署、迁移和支持成本。

功能上透明的线路卡：只需添加新的管理引擎，Cisco Catalyst 4500 系列系统就可以容易地将所有系统端口升级到更高交换功能。与迁移过程中需要执行全面设备升级的传统交换产品不同，该系统不需要更换老线路卡和布线就可以增强所有系统端口的功能。这种架构优势延长了 Cisco Catalyst 4500 系列线路卡的有用部署时间。

一致的软件架构：由于采用了一致的 Cisco Catalyst 软件和用户界面，用户可以利用掌握的知识，通过 Cisco Catalyst 2960、3560、4500 和 6500 系列交换机以及 Cisco Catalyst 3750 交换机的结合发展基础设施。

Cisco IOS Software 网络服务：Cisco Catalyst 4500 系列交换机提供能够增强公司网络的成熟的企业级L2-L3特性。这些特性能够满足大中型企业的高级网络需求，因为它们是多年来根据客户的意见和建议改进的结果。

高级安全性：在 Cisco Catalyst 4500 系列上支持多种安全特性，例如 8021x、访问控制列s表（ACL）、安全Shell（SSH）协议、单播RPF（uRPF）、端口安全性、动态ARP检测（DAI）、IP Source Guard、控制平面限速、8021x 不可访问认证回避、8021x 单向控制端口、MAC 认证回避、多域认证和专用虚拟局域网（PVLAN），以便增强网络控制和灵活性。如果有选择地或者全部采用这些特性，网络管理员不但能防止非法访问服务器或应用，让不同的人用不同的权限使用同一台PC，还能防止网络入侵者通过盗窃用户名和密码访问交换机，或者防止出现有意或意外广播风暴。

基于硬件的组播：独立于协议的组播（PIM）、密集模式和稀疏模式、互联网小组管理协议（IGMP）、组播侦听器识别（MLD）侦听和思科组管理协议支持基于标准的经过思科技术增强的高效多媒体网络，而且不会降低性能。

可管理性：Cisco Catalyst 4500 系列得到了 CiscoWorks 产品线的支持，提供的创新工具能够集中管理主要网络特性，例如可用性、响应能力、永续性和安全性，以便建立智能交换基础设施。通用模块化QoS 命令行界面（CLI）不但能简化策略流量图的创建，还能为大、小型Cisco Catalyst 交换机提供一致的界面。网络运作可以通过基于Web、GUI和CLI的灵活管理方式得到增强。最重要的是，每台 Cisco Catalyst 4500 系列交换机都有思科服务和支持解决方案作后盾。

思科 NetFlow 服务：为 Supervisor Engine IV 和 Supervisor Engine V 开发的思科 NetFlow 服务卡支持硬件中捕获的统计数据，以便执行基于流和基于 VLAN 的统计监控。企业可以输出、汇总和分析这些数据，以便为电信运营商和企业客户提供病毒检测和消除、网络流量统计、基于使用率的网络计费、网络规划、网络监控和数据挖掘功能。注意： Supervisor Engine V-10GE 上支持的 NetFlow 已经集成在硬件中，因而不再需要 NetFlow 服务卡。

千兆到桌面：Cisco Catalyst 4500 系列已经提供了很多 1000Mbps 桌面和服务器交换解决方案。利用为 Cisco Catalyst 4500 系列开发的48端口和24端口三速自适应、自协商 10/100/1000BASE-T 线路卡，千兆解决方案的范围很容易扩展到桌面。三速48端口和24端口模块，再加上自适应技术，能够提供 局域网 投资保护，因为在未来，快速以太网桌面无需更换线路卡就能迁移到千兆以太网。

　思科提供了许多处理连接性的 方法 ，这使得排除的故障和解决问题成为一个并不轻松的问题。从包括在某些思科路由器中的性能到PIX防火墙所提供的服务，再到思科的 Concentrator，其中的每一个都有其自身的特点。考虑到选项的复杂性，本文所讨论的这些技巧并不一定适用于所有的思科配置。不过，下面我将会为您解决类似的问题提供一个很好的起点，欢迎大家参考和学习。

　问题一：某个运行互联网连接共享的用户不能安装思科3000 客户端。

　这个问题易于解决。用户需要在安装客户端之前在其机器上禁用ICS。笔者建议用户用一个支持防火墙的路由器代替ICS。注意，如果机器只是通过另外一个使用ICS的机器进行连接的话，这样做就不必要了。要禁用ICS，可以单击“开始(Start)”/“控制面板(Control Panel)”/“管理工具(Administrative Tools)”/“服务(Services)”/“Internet连接共享(Internet Connection Sharing)”，并禁用“在启动时加载(Load On Startup)”选项。

　此外，还要保证用户们知道客户端禁用了XP的欢迎屏幕和快速用户切换，这些通常用在多用户的家用电脑中。组合键[Ctrl]+[Alt]+[Delete]仍适用，而且用户需要键入其用户名和口令。(注意：快速用户切换可以通过禁用客户端的‘登录前开始’特性禁用。不过，这也有其自身的问题，因此，除非你确实需要快速用户切换，笔者并不推荐这样做。)

　关于客户端安装的另外一个问题：思科并不推荐在同一的PC上安装多个客户端。如果对此你有任何问题，并且需要支持，可以先卸载 其它 的客户端，然后再打电话寻求支持。

　问题二：日志指示一个密钥问题

　如果与预共享密钥有关的日志中存在着错误，你就可能在连接的任何一端上错配密钥。这种情况下，你的日志会指明客户端与服务器之间的交换很好地切合IKE的首要模式安全性。在这种交换之后，日志会指明一个密钥问题。要解决之，可以在集中器上找到“配置(Configuration)”/“系统(System)”/“隧道协议(Tunneling Protocol)”/“IPSec局域网到局域网(IPSec LAN-to-LAN)”选项，并选择你的IPSec配置。在预共享密钥(Preshared Key)字段中，输入你的预共享密钥。在一个用于与集中器关联的思科PIX防火墙上，应使用命令：

　sakmp key password address xxxxxxxx netmask 255255255255

　在这里的口令即是你的预共享密钥。用于你的集中器中的密钥和PIX防火墙上的密钥应当正确地匹配。

　问题三：在试图连接到时，运行防火墙软件的用户 报告 错误

　在防火墙软件中，有一些端口需要打开，如BlackIce(BlackIce也存在着与思科的客户端相关的其它问题。你可以参考它的发布注释寻求更多的信息。)，Zone Alarm，Symantec，还有Windows平台的其它互联网安全程序,以及Linux系统上的ipchains 和 iptables。总体而言，如果用户在其软件中打开了下面的端口，你就该看到一些抱怨的终结：

　UDP 端口： 500, 1000 和 10000

　IP 协议 50 (ESP)

　为IPSec/TCP而配置的TCP 端口

　NAT-T 端口 4500

　问题四：家庭用户抱怨说，在连接建立后，他们不能访问其家用网络上的其它资源。

　一般而言，这种问题是由于禁用了隧道分离造成的。虽然隧道分离会引起安全风险，可以通过采取强健的、增强的安全策略而将这些风险减轻到某个程度，并自动地扩展到客户端连接(例如，一个策略可能要求安装最新的反病毒软件或安装一个防火墙)。在一个PIX上，可以使用这个命令来启用隧道分离：

　group groupname split-tunnel split_tunnel_acl

　你应当用对应的访问列表命令来定义哪些内容可以通过加密的通道，哪些通信可以以明文的形式发送出去。例如：

　access-list split_tunnel_acl permit ip 10000 25525500 any

　或者任何你指定的IP地址范围。

　在一个思科Cisco Series 3000 Concentrator 上，你需要告诉设备哪些网络应通过加密通道通信。可以通过如下步骤进行：转到“配置(Configuration)”/“用户管理(User Management)”/“基群(Base Group)”，并且从“客户配置(Client Config)”选项卡中，选择“Only Tunnel Networks In The List(仅列表中的隧道网络)”选项，并在你应该由保护的站点上创建一个网络列表，而且要在“Split Tunneling Network List(分离隧道网络列表)”下拉列表框中选择这个网络列表。

　问题五：一个远程用户的网络正在使用与服务器的本地网络相同的IP地址范围(采用支持虚拟适配器的Client 46,环境：Windows 2000/XP)

　对这些特定的 操作系统 来说，这可能有点儿特别，不过诊断Cisco 46的这些IP地址冲突可能会使人灰心丧气。在这些情况下，由于冲突的存在，那些假定通过隧道的通信仍保留在本地。

　在受到影响的客户端上，单击“开始(Start)”/“控制面板(Control Panel)”/“网络和拨号连接(Network And Dialup Connections)”/“本地适配器(local adapter)”，在适配器上右击，并选择“属性(Properties)”。在“属性(Properties)”页上，选择TCP/IP，然后单击“属性(Properties)”按钮。下一步，单击“高级(Advanced)”选项，找到“Interface Metric”选项，将其值增加1。这就有效地告诉了你的计算机第二次使用本地适配器。适配器将可能拥有metric值1,这使它成为一个通信目地的首要选择。

　问题六：某些路由器/固件组合引起了客户端的连接问题

　思科的客户端在一些较老的(有时是较新的)家用路由器中会产生问题，通常是针对特定的固件版本。如果你的用户存在着一致的连接问题，就需要让它们升级其路由器的固件，特别是在他们拥有一个较老的设备单元时。在众多的路由器中，已知会产生思科客户端问题的有：

　固件版本低于144的Linksys BEFW11S4

　固件版本低于215的Asante FR3004 Cable/DSL 路由器

　Nexland Cable/DSL 路由器型号 ISB2LAN

　如果所有其它的 措施 都失效，可以将一个空闲的路由器给用户使用，帮助它们限制潜在的问题范围。最终有问题的路由器可能需要替换。

　问题七：用户报告说，在他们试图建立连接时，其客户端连接会终结

　在这种情况下，用户会看到一个错误消息，类似于“ Connection terminated locally by the Client Reason 403: Unable to contact the security gateway”( 连接被客户端终结。原因403：不能联系到安全网关。)这种错误可能是由多种原因造成的：

　用户可能输入了不正确的组口令

　用户可能并没有为远程端点键入恰当的名称或IP地址

　用户可能存在着其它的互联网连接问题

　基本而言，由于某种原因，IKE协商会失效。你可以检查客户端的日志，(单击log/enable)，设法找到使哈希认证无法进一步缩小问题范围的错误。

　问题八：从NAT设备后建立一个连接时，发生故障;或者建立一个到NAT设备后的服务器的连接时，发生故障。

　在允许传输期间对数据包的头部进行修改之前，这个问题是固有的，所以这个问题出现在所有的思科硬件中。要纠正这个问题，就要在你的硬件上启用NAT-Traversal (NAT-T)，并允许UDP端口4500通过防火墙。

　如果你正将一个PIX防火墙既用作防火墙又用作端点，就要在你的配置中用命令nat-traversal 20启用NAT-T，并打开4500端口。这里的20是NAT的保持活动的时间周期。如果你拥有一个独立的防火墙和一个思科集中器，就要在拥有集中器目标地址的防火墙上打开UDP端口4500。然后，在集中器上，转到“Configuration(配置)/ Tunneling And Security(隧道和安全性)/IPSec /NAT Transparency(NAT 透明度)”,并选择“IPSec Over NAT-T”选项。而且，还要保障任何在用户端点上使用的客户端都支持NAT-T。

　问题九：用户成功地建立了一个链接，不过却周期性的掉线。

　同样，为了明确问题，你还要检查多个地方。首先，确认用户的计算机并没有进入Standby Mode (待命模式)、休眠模式，也没有启动屏幕保护程序。在客户期望到达一个服务器的持续连接时，待命模式、休眠模式能够中断你的网络连接。为了节省电力，你的用户还有可能配置其计算机使其在一段时间之后关闭一个网络适配器(网卡)。

　如果使用了无线技术，你的用户有可能漫游到一个无线信号很弱(或不存在)的地方，那么有可能因此断开。还有，你的用户的网络电缆可能有问题，也有可能是路由器或互联网连接的问题，或者是其它的物理连接问题。

　还有这样一些报告指出，如果一个端点(PIX或3000集中器)耗尽其IP地址池中的资源，也会导致在客户端上导致这种错误。

　问题十：某用户报告说，计算机在本地网络上不再可“见”，即使客户端被禁用。

　其它症状还可能包括用户网络上的其它许多计算机不能Ping通计算机，即使这台计算机能够看到网络上的其它计算机。出现这种情况，这个用户有可能启用了客户端上的内置防火墙。如果防火墙被启用，它就会保持运行状态，甚至在客户端不运行时仍然如此。要解决问题，就要打开客户端，并从选项(options)页上，取消选择“stateful firewall”选项的复选框。

　以上介绍的仅是思科中的十个比较常见的问题及其解决方法，不过，可以看作是抛砖引玉。

CCSP（Cisco Certified Security Professional）思科认证网络安全工程师，是思科安全方向的专业认证，在思科认证体系的金字塔模型中属于第二层，上面的一层是CCIE Security。CCSP的内容主要涉及到Cisco硬件以及应用软件等范围。包括使用网络边界或者DMZ（demilitarized zone，非军事区）中的路由器以及防火墙；为远程访问用户建立***（Virtual Private Network，虚拟专用网）集中器；入侵检测系统能够暗中保护网络上的一些标志；如何配置及管理系统；使用Cisco系统组件，这些组件包括 VMS（***/Security management Solution，***/Security管理方案）以及CSACS（Cisco Secure Access Control Server，Cisco安全访问控制服务器）；使用Web浏览器应用程序来配置保护网络的硬件设备；确保在基于SAFE蓝图的中小型网络中的安全连接 等。

前言

通过上篇文章《思科ISE对有线接入用户进行MAC认证》你应该了解了NAC中的MAC认证方式不需要安装客户端，但是需要在认证服务器上登记MAC地址，管理比较复杂；那么这篇文章给大家介绍的是（NAC）中的另外一种8021X认证，8021X认证是网络接入控制方案，是一种基于端口的网络接入控制协议，通过它能够实现保护企业内网的安全性的目的。8021X认证安全性较高。

8021X理论介绍

1） 客户端是请求接入局域网的用户终端设备，它由局域网中的设备端对其进行认证。客户端上必须安装支持8021X认证的客户端软件。

2） 设备端是局域网中控制客户端接入的网络设备，位于客户端和认证服务器之间，为客户端提供接入局域网的端口（物理端口或逻辑端口），并通过与服务器的交互来对所连接的客户端进行认证。

3） 认证服务器用于对客户端进行认证、授权和计费，通常为RADIUS（Remote Authentication Dial-In User Service，远程认证拨号用户服务）服务器。认证服务器根据设备端发送来的客户端认证信息来验证客户端的合法性，并将验证结果通知给设备端，由设备端决定是否允许客户端接入。在一些规模较小的网络环境中，认证服务器的角色也可以由设备端来代替，即由设备端对客户端进行本地认证、授权和计费。

下图显示了受控端口上不同的授权状态对通过该端口报文的影响。图中对比了两个8021X认证系统的端口状态。系统1的受控端口处于非授权状态，不允许报文通过；系统2的受控端口处于授权状态，允许报文通过。

3）受控方向

在非授权状态下，受控端口可以处于单向受控或双向受控状态。

8021X系统使用EAP（Extensible Authentication Protocol，可扩展认证协议）来实现客户端、设备端和认证服务器之间认证信息的交互。EAP是一种C/S模式的认证框架，它可以支持多种认证方法，例如MD5-Challenge、EAP-TLS、PEAP等。在客户端与设备端之间，EAP报文使用EAPOL封装格式承载于数据帧中传递。在设备端与RADIUS服务器之间，EAP报文的交互有以下两种处理机制。

1) EAP中继

设备对收到的EAP报文进行中继，使用EAPOR（EAP over RADIUS）封装格式将其承载于RADIUS报文中发送给RADIUS服务器进行认证。

2) EAP终结

设备对EAP认证过程进行终结，将收到的EAP报文中的客户端认证信息封装在标准的RADIUS报文中，与服务器之间采用PAP（Password Authentication Protocol，密码验证协议）或CHAP（Challenge Handshake Authentication Protocol，质询握手验证协议）方法进行认证。

1） EAP中继方式

这种方式是IEEE 8021X标准规定的，将EAP承载在其它高层协议中，如EAP over RADIUS，以便扩展认证协议报文穿越复杂的网络到达认证服务器。一般来说，需要RADIUS服务器支持EAP属性：EAP-Message和Message-Authenticator，分别用来封装EAP报文及对携带EAP-Message的RADIUS报文进行保护。

IEEE 8021X认证系统的EAP中继方式业务流程

2） EAP终结方式

这种方式将EAP报文在设备端终结并映射到RADIUS报文中，利用标准RADIUS协议完成认证、授权和计费。设备端与RADIUS服务器之间可以采用PAP或者CHAP认证方法。下面以CHAP认证方法为例介绍基本业务流程。

IEEE 8021X认证系统的EAP终结方式业务流程

一实验拓扑

二实验需求

三实验设备及注意事项

四 思科ISE的配置逻辑

表1 思科ISE的配置逻辑

五 数据规划

表2交换机接口和VLAN规划

表3网络设备IP地址规划

表4交换机业务数据规划

表5ISE业务数据规划

六 实验步骤

Step 1 - 交换机VLAN配置。

Step 2 - Cisco ISE，业务服务器，终端IP地址配置略。

Step 3 - 交换机侧配置。

Step 4 - Cisco ISE 配置

参数说明：

设备名称：Switch

IP地址：192168100254，交换机上该接口必须与ISE互通。

RADIUS密钥：Helperaddress@2019，必须与交换机上配置的RADIUS认证和计费密钥一致

Step 5 - 认证终端安装8021x服务

Step 5 - 检查配置结果