Cisco Cisco Identity Services Engine 1.3 작동 가이드

第

8 页

安全访问操作指南

配置本地访问控制列表

交换机上的某些功能需要使用本地配置的访问控制列表

(ACL)，例如 URL 重定向。您创建的某些 ACL 可以

立即使用，而某些则要到部署的稍后阶段才能使用。本部分的目标是同时为所有可能的部署模式准备好交换
机，并限制重复的交换机配置所带来的运营成本。

步骤

1 添加以下要在监控模式下交换机端口上使用的 ACL：

C3750X(config)#ip access-list ext

ACL-ALLOW

C3750X(config-ext-nacl)#permit ip any any

步骤

2 添加以下要在低影响和封闭模式下交换机端口上使用的 ACL：

C3750X(config)#ip access-list ext

ACL-DEFAULT

C3750X(config-ext-nacl)#remark DHCP

C3750X(config-ext-nacl)#permit udp any eq bootpc any eq bootps

C3750X(config-ext-nacl)#remark DNS

C3750X(config-ext-nacl)#permit udp any any eq domain

C3750X(config-ext-nacl)#remark Ping

C3750X(config-ext-nacl)#permit icmp any any

C3750X(config-ext-nacl)#remark PXE / TFTP

C3750X(config-ext-nacl)#permit udp any any eq tftp

C3750X(config-ext-nacl)#remark Drop all the rest

C3750X(config-ext-nacl)#deny ip any any log

步骤

3 添加以下要用于对 Web 身份验证进行 URL 重定向的 ACL：

C3750X(config)#ip access-list ext

ACL-WEBAUTH-REDIRECT

C3750X(config-ext-nacl)#remark explicitly deny DNS from being redirected to address a bug

C3750X(config-ext-nacl)#deny udp any any eq 53

C3750X(config-ext-nacl)#remark redirect all applicable traffic to the ISE Server

C3750X(config-ext-nacl)#permit tcp any any eq 80

C3750X(config-ext-nacl)#permit tcp any any eq 443

C3750X(config-ext-nacl)#remark all other traffic will be implicitly denied from the redirection

步骤

4 添加以下要用于状况代理 URL 重定向的 ACL：

C3750X(config)#ip access-list ext

ACL-AGENT-REDIRECT

C3750X(config-ext-nacl)#remark explicitly deny DNS from being redirected to address a bug

C3750X(config-ext-nacl)#deny udp any any eq 53

C3750X(config-ext-nacl)#remark redirect HTTP traffic only

C3750X(config-ext-nacl)#permit tcp any any eq 80

C3750X(config-ext-nacl)#remark all other traffic will be implicitly denied from the redirection