downloadable ACL
顾名思义,downloadable ACL 意思是让PIX 在用户认证后,从服务器上下载ACL 到本地用
作用户的权限控制,如下图所示。
    Downloadable ACL 在认证和授权方面的配置和上一节中介绍的差不多,唯独不同的是:
downloadable ACL 必须使用radius 作为认证协议。本节将介绍三种方法来实现downloadable ACL
功能。不管使用哪种方法,AAA 认证部分的配置都是一样的,主要配置如下:
定义AAA 服务器以及认证、授权规则。
    pixfirewall(config)# aaa-server test protocol radius
pixfirewall(config)# aaa-server test (inside) host 172.16.254.10 cisco
pixfirewall(config)# access-list access-internet extended permit ip any any
pixfirewall(config)# aaa authentication match access-internet inside test
!PIX 上配置Radius 时,不需要配置授权
方法1
第一种方法的思路是:事先在PIX 上定义好ACL,当用户通过PIX 认证时,radius 服务器将
该用户对应的ACL 名称告诉PIX,然后PIX ACL 加载到用户的会话上。该方法的优点是实现起
来相对简单,缺点是必须事先在PIX 上将ACL 写好。主要实现步骤如下:
第一步,在PIX 上创建ACL,例如。
pixfirewall(config)# access-list wtest permit ip any host 218.1.1.2
pixfirewall(config)# access-list wtest deny ip any any
第二步,在ACS 上进行如下设置:
ACS 的导航栏中点击“radius软件network configuration”,添加一个AAA client,认证协议选
RADIUSCisco IOS/PIX)”。
进入“user setup”,添加用户,并且放到相应的组中。
进入“group setup”,对用户组进行编辑。在“IETF RADIUS Attributes”部分,选中[011]
Filter-Id,写入该组用户使用的ACL 的名字,如下图:
『注意』PIX 会自动识别“acl=”,第一行必须以回车结束,第二行放的是ACL 的名称。
最后点击“Submit + Restart”保存组配置。
方法2
第二种方法的思路是:使用Cisco AV Pair,在radius 服务器上定义attribute-value (
就是vendor-specific-attributeVSA),在AV pair 中定义用户对应的ACL。这种方法的缺点
ACL 的大小不能超过4096 字节。主要实现步骤如下:
第一步,在ACS 上点击“network configuration”,添加一个AAA client,认证协议选
RADIUSCisco IOS/PIX)”。
第二步,进入“user setup”,添加用户,并且放到相应的组中。
第三步,进入“group setup”,对用户组进行编辑。在“Cisco IOS/PIX RADIUS Attributes
部分,选中[009\001] cisco-av-pair,写入该用户组的ACL,例如:
ip:inacl#100=permit ip any 218.1.1.2 255.255.255.255
ip:inacl#200=deny ip any any
最后点击“Submit + Restart”保存组配置。
方法3
第三种方法的思路是:使用ACS 中的download-able ACL 的功能,在radius 服务器上先写

版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。