Cisco Cisco Identity Services Engine 1.2 产品宣传页

第

6 页

安全访问操作指南

以下是两个建议的默认端口

ACL。

ACL-DEFAULT（推荐的安全默认端口 ACL）：

ip access-list extended ACL-DEFAULT

remark DHCP

permit udp any eq bootpc any eq bootps

remark DNS

permit udp any any eq domain

remark Ping

permit icmp any any

remark PXE / TFTP

permit udp any any eq tftp

remark Drop all the rest

deny ip any any log

第二个建议的默认端口

ACL 可打开多个 Microsoft 端口，允许设备在登录前与 Active Directory 进行通信，以

缩短登录时间。您还可通过计算机身份验证打开

Microsoft 特定端口。

ACL-DFLT-LESS-RESTRICT：

ip access-list extended ACL-DFLT-LESS-RESTRICT

remark DHCP, DNS, ICMP

permit udp any eq bootpc any eq bootps !DHCP

permit udp any any eq domain !DNS

permit icmp any any !ICMP Ping

remark Allow Microsoft Ports (used for better login performance)

permit tcp any host 10.1.100.10 eq 88 !Kerberos

permit udp any host 10.1.100.10 eq 88 !Kerberos

permit udp any host 10.1.100.10 eq 123 !NTP

permit tcp any host 10.1.100.10 eq 135 !RPC

permit udp any host 10.1.100.10 eq 137 !NetBIOS-Nameservice

permit tcp any host 10.1.100.10 eq 139 !NetBIOS-SSN

permit tcp any host 10.1.100.10 eq 389 !LDAP

permit udp any host 10.1.100.10 eq 389 !LDAP

permit tcp any host 10.1.100.10 eq 445 !MS-DC/SMB

permit tcp any host 10.1.100.10 eq 636 !LDAP w/ SSL

permit udp any host 10.1.100.10 eq 636 !LDAP w/ SSL

permit tcp any host 10.1.100.10 eq 1025 !non-standard RPC

permit tcp any host 10.1.100.10 eq 1026 !non-standard RPC

remark PXE / TFTP

permit udp any any eq tftp

remark Drop all the rest

deny ip any any log

登录速度慢

如果登录速度仍然很慢，则可能是其他应用的原因。如今的企业环境常常是在其中安装了许多企业应用，有
些应用很“繁琐”，会不断地试图与其管理服务器进行通信。下面我们将给出几个建议的方法，用来确定导
致登录速度慢的应用：

方法

1：使用一个网络包监听应用，确定登录前的所有流量尝试。

方法

2：在思科 ASA 自适应安全设备上实施一个类似的访问列表，记录所有尝试和所有丢弃。将默认端口

ACL 留为 ACL-ALLOW (permit ip any any)。