Cisco Cisco Identity Services Engine 1.2 产品宣传页

第

29 页

安全访问操作指南

思科

ISE 配置 – 特定访问的连续配置

为每个主要角色创建其他

dACL

为每个需要不同授权的角色重复此程序。在本文中，我们将讲解如何创建

HR dACL，并显示包括所

有已定义

dACL 的最终屏幕。

最佳实践：精简所有

dACL 的尺寸。交换机上的 dACL 支持与三态内容可寻址存储器 (TCAM) 的可用空间大

小有关。交换机中的每个

ASIC 都有其自身的 TCAM，而每个端口的 ASIC 数量也因交换机型号而异。为每个

ASIC 分配的 TCAM 数量也因交换机型号而异（例如，Cisco Catalyst 3750 交换机上的 TCAM 数量就比 Cisco

Catalyst 2960 交换机上的 TCAM 数量多）。思科交换机支持的 dACL 上限是 64 个 ACE（64 行）。

步骤

导航至

Policy  Policy Elements  Results  Authorization  Downloadable ACLs。

步骤

点击

Add。

Name = HR-ACL

Description = dACL for HR users

DACL Content =

Deny ip any <ip_address_range_of_HR_servers>

permit ip any any

警告：思科

ISE 中没有语法检查。如果 dACL 语法不正确，将不能应用至会话。

步骤

点击

Submit。

步骤

对每个不同的角色类型重复整个程序。

为每个主要角色创建

wACL

为每个需要不同授权的角色重复此程序。显示的

HR 用户的 wACL 可用于参考。

最佳实践：在一致性方面，所有

wACL 都应该使用与对有线访问定义的 dACL 相同的名称。

表

3. HR wACL 规则

HR-ACL
序列

信息来源

目标

协议

DSCP

方向

操作

任何环境

IP 地址

10.1.100.87
255.255.255.255

任何环境

任何环境任何环境

拒绝

任何环境

任何环境任何环境

允许

为每个主要角色创建其他授权配置文件

为每个需要不同授权的角色重复此程序。在本文中，我们将讲解如何创建

HR 授权配置文件，并显示包括所

有已定义授权配置文件的最终屏幕。

步骤

导航至

Policy  Policy Elements  Results  Authorization  Authorization Profiles。

步骤

点击

Add。