Cisco Cisco Identity Services Engine Express License Bundle Prospecto
© 2015 思科系统公司
第
6 页
安全访问操作指南
以下是两个建议的默认端口
ACL。
ACL-DEFAULT(推荐的安全默认端口 ACL):
ip access-list extended ACL-DEFAULT
remark DHCP
permit udp any eq bootpc any eq bootps
remark DNS
permit udp any any eq domain
remark Ping
permit icmp any any
remark PXE / TFTP
permit udp any any eq tftp
remark Drop all the rest
deny ip any any log
第二个建议的默认端口
ACL 可打开多个 Microsoft 端口,允许设备在登录前与 Active Directory 进行通信,以
缩短登录时间。您还可通过计算机身份验证打开
Microsoft 特定端口。
ACL-DFLT-LESS-RESTRICT:
ip access-list extended ACL-DFLT-LESS-RESTRICT
remark DHCP, DNS, ICMP
permit udp any eq bootpc any eq bootps !DHCP
permit udp any any eq domain !DNS
permit icmp any any !ICMP Ping
remark Allow Microsoft Ports (used for better login performance)
permit tcp any host 10.1.100.10 eq 88 !Kerberos
permit udp any host 10.1.100.10 eq 88 !Kerberos
permit udp any host 10.1.100.10 eq 123 !NTP
permit tcp any host 10.1.100.10 eq 135 !RPC
permit udp any host 10.1.100.10 eq 137 !NetBIOS-Nameservice
permit tcp any host 10.1.100.10 eq 139 !NetBIOS-SSN
permit tcp any host 10.1.100.10 eq 389 !LDAP
permit udp any host 10.1.100.10 eq 389 !LDAP
permit tcp any host 10.1.100.10 eq 445 !MS-DC/SMB
permit tcp any host 10.1.100.10 eq 636 !LDAP w/ SSL
permit udp any host 10.1.100.10 eq 636 !LDAP w/ SSL
permit tcp any host 10.1.100.10 eq 1025 !non-standard RPC
permit tcp any host 10.1.100.10 eq 1026 !non-standard RPC
remark PXE / TFTP
permit udp any any eq tftp
remark Drop all the rest
deny ip any any log
登录速度慢
如果登录速度仍然很慢,则可能是其他应用的原因。如今的企业环境常常是在其中安装了许多企业应用,有
些应用很“繁琐”,会不断地试图与其管理服务器进行通信。下面我们将给出几个建议的方法,用来确定导
致登录速度慢的应用:
些应用很“繁琐”,会不断地试图与其管理服务器进行通信。下面我们将给出几个建议的方法,用来确定导
致登录速度慢的应用:
方法
1:使用一个网络包监听应用,确定登录前的所有流量尝试。
方法
2:在思科 ASA 自适应安全设备上实施一个类似的访问列表,记录所有尝试和所有丢弃。将默认端口
ACL 留为 ACL-ALLOW (permit ip any any)。