答:思科支持IEEE 802.1 X标准,并且可以提供下述扩展功能以进一步增强802.1 X:
*带V*AN的802.1 X
Cisco IBNS可以提供这种功能使基于用户的身份动态地将V*AN分配给相应端口。采用标准的802.1 X方案,认证成功后的用户被置于预先配置好的V*AN中,该V*AN已经分配到某个端口。这种新的特性使得管理员可以维护RADIUS内从用户名到V*AN的数据库。在成功地完成802.1 X鉴别之后,RADIUS还可以将V*AN发送到用于特定用户的交换机,交换机就可以为指定的V*AN配置附加端口。这样,经过802.1 X认证的端口就可以将基于用户的身份指派到V*AN上。
*带端口安全性的802.1 X
这种特性可以在802.1 X端口上配置端口安全性。如果端口上只有一个介质接入控制(MAC)地址能够实现端口安全性,那么只有该MAC地址才能够通过RADIUS服务器认证。所有其它MAC用户将被拒绝访问,这样就能够消除其它用户连接到某个集线器上以绕开认证的安全性风险。在多种认证模式中采用代端口安全性功能的802.1 X时,所有尝试通过交换机端口连接的主机都必需要求采用802.1 X进行认证。
*带语音V*AN ID的802.1 X
这种特性能够帮助组织结合Cisco AVVID(用于语音、视频和集成数据的基础架构)、IP语音(VoIP)以及动态端口安全性。管理员可以配置辅助的V*AN语音V*AN ID。
*802.1 X访客V*AN(仅适用于Cisco Cata*yst 6500系列)
这种特性有助于让组织提供"访客"网络接入,这种方式对网络接入有严格限制。在启用这种特性之后,到那些没有802.1 X兼容主机的网络的用户连接尝试将被置于访客V*AN中。
*802.1 X的高可用性(仅适用于Cisco Cata*yst 6500系列)
这种特性可以在主用和备用监控模块之间提供同步运行时的802.1 X端口安全性信息,从而在高可用性的切换过程中仍然能够保持端口的安全性状态。
*高可用性端口安全性(仅适用于Cisco Cata*yst 6500系列)
这种特性可以在主用和备用监控模块之间提供同步运行时的端口安全性信息,从而在高可用性的切换过程中仍然能够保持端口的安全性状态。
*带AC*分配的802.1 X
基于身份的访问控制列表(AC*)使客户可以根据用户的802.1 X认证结果,动态地将访问控制策略分配到某个接口上。您可以使用这种特性来严格限制用户对网络中某些网段的访问,限制对敏感服务器的访问,甚至限制可能使用到的协议和应用。这样,不需损害用户的移动性或者造成管理损耗,就能够实现专门基于身份的安全性。
