Руководство По Работе для Cisco Cisco Identity Services Engine 1.3
© 2015 思科系统公司
第
8 页
安全访问操作指南
配置本地访问控制列表
交换机上的某些功能需要使用本地配置的访问控制列表
(ACL),例如 URL 重定向。您创建的某些 ACL 可以
立即使用,而某些则要到部署的稍后阶段才能使用。本部分的目标是同时为所有可能的部署模式准备好交换
机,并限制重复的交换机配置所带来的运营成本。
机,并限制重复的交换机配置所带来的运营成本。
步骤
1 添加以下要在监控模式下交换机端口上使用的 ACL:
C3750X(config)#ip access-list ext
ACL-ALLOW
C3750X(config-ext-nacl)#permit ip any any
步骤
2 添加以下要在低影响和封闭模式下交换机端口上使用的 ACL:
C3750X(config)#ip access-list ext
ACL-DEFAULT
C3750X(config-ext-nacl)#remark DHCP
C3750X(config-ext-nacl)#permit udp any eq bootpc any eq bootps
C3750X(config-ext-nacl)#remark DNS
C3750X(config-ext-nacl)#permit udp any any eq domain
C3750X(config-ext-nacl)#remark Ping
C3750X(config-ext-nacl)#permit icmp any any
C3750X(config-ext-nacl)#remark PXE / TFTP
C3750X(config-ext-nacl)#permit udp any any eq tftp
C3750X(config-ext-nacl)#remark Drop all the rest
C3750X(config-ext-nacl)#deny ip any any log
步骤
3 添加以下要用于对 Web 身份验证进行 URL 重定向的 ACL:
C3750X(config)#ip access-list ext
ACL-WEBAUTH-REDIRECT
C3750X(config-ext-nacl)#remark explicitly deny DNS from being redirected to address a bug
C3750X(config-ext-nacl)#deny udp any any eq 53
C3750X(config-ext-nacl)#remark redirect all applicable traffic to the ISE Server
C3750X(config-ext-nacl)#permit tcp any any eq 80
C3750X(config-ext-nacl)#permit tcp any any eq 443
C3750X(config-ext-nacl)#remark all other traffic will be implicitly denied from the redirection
步骤
4 添加以下要用于状况代理 URL 重定向的 ACL:
C3750X(config)#ip access-list ext
ACL-AGENT-REDIRECT
C3750X(config-ext-nacl)#remark explicitly deny DNS from being redirected to address a bug
C3750X(config-ext-nacl)#deny udp any any eq 53
C3750X(config-ext-nacl)#remark redirect HTTP traffic only
C3750X(config-ext-nacl)#permit tcp any any eq 80
C3750X(config-ext-nacl)#remark all other traffic will be implicitly denied from the redirection