エンドポイント アドミッション コントロールの概要
TrustSec ネットワークでは、パケットはネットワークへの入力ではなく出力でフィルタリングされます。TrustSec エンドポイント認証では、TrustSec ドメイン(エンドポイントの IP アドレス)にアクセスするホストは DHCP スヌーピングおよび IP デバイス トラッキングによってアクセス デバイスでセキュリティ グループ タグ(SGT)に関連付けられます。アクセスデバイスは、継続的に更新される送信元 IP と SGT のバインディングテーブルを維持する TrustSec ハードウェア対応出力のデバイスに、SXP 経由でそのアソシエーション(バインド)を送信します。パケットは、セキュリティグループ ACLS(SGACL)を適用することにより、TrustSec ハードウェア対応デバイスによって出力でフィルタリングされます。
認証および許可のためのエンドポイント アドミッション コントロール(EAC)アクセス方式には、次のものがあります。
-
802.1X ポートベースの認証
-
MAC 認証バイパス(MAB)
-
Web 認証(WebAuth)
すべてのポートベース認証は、authentication コマンドでイネーブルにできます。各アクセス方式はポート単位で個別に設定する必要があります。複数の認証モードが設定され、アクティブ方式が失敗すると柔軟な認証シーケンスおよびフェールオーバー機能により管理者は、フェールオーバーおよびフォールバック シーケンスを指定することができます。802.1X ホスト モードは、802.1X ポートごとに接続できるエンドポイントのホスト数を決定します。