Tweet
Creating Local Access Control Lists for Classic and Newer IOS
Một số chức năng trên công tắc yêu cầu sử dụng ACL được cấu hình cục bộ, chẳng hạn như chuyển hướng URL. Một số ACL được tạo này sẽ được sử dụng ngay lập tức và một số ACL có thể không được sử dụng cho đến giai đoạn triển khai muộn hơn nhiều. Mục tiêu của phần này là chuẩn bị các công tắc cho tất cả các mô hình triển khai có thể cùng một lúc và giới hạn chi phí vận hành của cấu hình công tắc lặp lại.
Step 1. Add the following ACL to be used on switch ports in monitor mode:
Step 2. Add the following ACL to be used on switch ports in low-impact mode:
Step 3. Add the following ACL to be used for URL redirection with Web Authentication:
Step 4. Add the following ACL to be used for URL redirection with the posture agent:
Các mẫu dịch vụ là mới đối với các thiết bị chuyển mạch C3PL. Chúng tương tự như hồ sơ ủy quyền ISE, nhưng có thể có mặt cục bộ trên công tắc. Mẫu dịch vụ là một tập hợp các chuỗi Vlan, được đặt tên là ACL, Timer và URL Redirect có thể được áp dụng dựa trên sự kiện C3PL. Giống như các dACL, các mẫu dịch vụ có thể được đặt tập trung trên ISE và được tải xuống trong khi ủy quyền. Tuy nhiên, chúng tôi đang tạo một mẫu dịch vụ cục bộ cho công tắc để áp dụng khi không có máy chủ RADIUS được cấu hình (ISE PSN) nào có thể truy cập được để xử lý các yêu cầu 802.1X hoặc MAB (được gọi là trạng thái quan trọng-auth phe).
Thêm mẫu dịch vụ sau có tên CRITICAL sẽ được sử dụng khi không có máy chủ RADIUS (trạng thái xác thực quan trọng):
Một số chức năng trên công tắc yêu cầu sử dụng ACL được cấu hình cục bộ, chẳng hạn như chuyển hướng URL. Một số ACL được tạo này sẽ được sử dụng ngay lập tức và một số ACL có thể không được sử dụng cho đến giai đoạn triển khai muộn hơn nhiều. Mục tiêu của phần này là chuẩn bị các công tắc cho tất cả các mô hình triển khai có thể cùng một lúc và giới hạn chi phí vận hành của cấu hình công tắc lặp lại.
Step 1. Add the following ACL to be used on switch ports in monitor mode:
Code:
C3560X(config)#ip access-list extended ACL-ALLOW C3560X(config-ext-nacl)#permit ip any any
Code:
C3560X(config)#ip access-list ext ACL-DEFAULT C3560X(config-ext-nacl)#remark DHCP C3560X(config-ext-nacl)#permit udp any eq bootpc any eq bootps C3560X(config-ext-nacl)#remark DNS C3560X(config-ext-nacl)#permit udp any any eq domain C3560X(config-ext-nacl)#remark Ping C3560X(config-ext-nacl)#permit icmp any any C3560X(config-ext-nacl)#remark PXE / TFTP C3560X(config-ext-nacl)#permit udp any any eq tftp C3560X(config-ext-nacl)#remark Drop all the rest C3560X(config-ext-nacl)#deny ip any any log
Code:
C3560X(config)#ip access-list ext ACL-WEBAUTH-REDIRECT C3560X(config-ext-nacl)#remark explicitly deny DNS from being redirected to addr C3560X(config-ext-nacl)#deny udp any any eq 53 C3560X(config-ext-nacl)#remark redirect all applicable traffic to the ISE Server C3560X(config-ext-nacl)#permit tcp any any eq 80 C3560X(config-ext-nacl)#permit tcp any any eq 443 C3560X(config-ext-nacl)#remark all other traffic will be implicitly denied from
Code:
C3560X(config)#ip access-list ext ACL-AGENT-REDIRECT C3560X(config-ext-nacl)#remark explicitly deny DNS and DHCP from being redirecte C3560X(config-ext-nacl)#deny udp any any eq 53 bootps C3560X(config-ext-nacl)#remark redirect HTTP traffic only C3560X(config-ext-nacl)#permit tcp any any eq 80 C3560X(config-ext-nacl)#remark all other traffic will be implicitly denied from
Thêm mẫu dịch vụ sau có tên CRITICAL sẽ được sử dụng khi không có máy chủ RADIUS (trạng thái xác thực quan trọng):
Code:
C3850(config)#service-template CRITICAL C3850(config-service-template)#description Apply for Critical Auth C3850(config-service-template)#access-group ACL-ALLOW