Cisco Cisco Identity Services Engine 1.3 전단

 

 
 

© 2015 思科系统公司 

第

 8 页  

安全访问操作指南

步骤

 4.   点击 Retrieve Groups。 

注：当

 AD 有 100 多个组时，可以使用过滤器选项找到您正在寻找的特定组。 

步骤

 5.   选择其他组。 

在我们的示例中，我们将选择工程组、销售组和

 HR 组。 

步骤

 6.   点击 OK。我们最终的组选择屏幕截图如下： 

 

图

 5.  从 AD 选择组 

步骤

 7.   滚动到底部，点击 Save Configuration。 

注：如果保存配置，在授权过程中，将不会从

 Active Directory 中检索到其他组。 

角色特定访问权限的配置

为每个主要角色创建其他可下载

为每个需要不同授权的角色重复此程序。在本文中，我们将讲解如何创建

 HR dACL，并显示包括所有已定义 

dACL 的最终屏幕。 

思科最佳实践：精简所有

 dACL 的尺寸。交换机上的 dACL 支持与三态内容可寻址存储器 (TCAM) 的可用空

间大小有关。交换机中的每个

 ASIC 都有其自身的 TCAM，而每个端口的 ASIC 数量也因交换机型号而异。为

每个

 ASIC 分配的 TCAM 数量也因交换机型号而异（例如，Cisco Catalyst 3750 交换机上的 TCAM 数量就比 

Cisco Catalyst 2960 交换机上的 TCAM 数量多）。思科交换机支持的 dACL 上限是 64 个 ACE（64 行）。 

步骤

 1.   导航至 Policy  Policy Elements  Results  Authorization  Downloadable ACLs。 

步骤

 2.   点击 Add。 

Name = HR-ACL 

 

Description = dACL for HR users (Enforcement Mode) 

Deny ip any <ip_address_range_of_engineering_servers> 

permit ip any any