Cisco Cisco Identity Services Engine 1.3 작동 가이드
© 思科系统公司 2015
第
12 页
安全访问操作指南
步骤
2
在无线
LAN 控制器中创建一个名为“
NSP-ACL”的 ACL,以便稍后在策略中使用,以重定向为自
带设备请求方调配、证书调配和
MDM 隔离选择的客户端。
思科身份服务引擎 IP 地址 = 10.35.50.165
公司内部网络 = 192.168.0.0, 172.16.0.0(需重定向)
MDM 服务器子网 = 204.8.168.0
图
13. 用于将客户端重定向至自带设备流程的访问控制列表
图
13 中
NSP-ACL 的解释如下:
1. 允许从服务器到客户端的所有“出站”流量。
2. 对于故障排除,允许从客户端到服务器的“入站”ICMP 流量,这是可选的。
3. 允许访问适用于未注册和不合规设备的 MDM 服务器,以下载 MDM 代理和执行合规检查。
4. 允许从客户端到服务器再到 ISE 的所有“入站”流量以执行网络门户和请求方以及证书调配流程。
5. 允许从客户端到服务器的“入站”DNS 流量以进行名称解析。
6. 允许从客户端到服务器的“入站”DHCP 流量以获取 IP 地址。
7. 拒绝从客户端到服务器再到用于重定向至 ISE 的企业资源的所有“入站”流量(根据公司策略)。
8. 拒绝从客户端到服务器再到用于重定向至 ISE 的企业资源的所有“入站”流量(根据公司策略)。