ISE tự học bài 3: Tư động gán ACL động cho từng user

Downloadable dynamic ACL nghĩa là với mỗi user thuộc các nhóm khác nhau, ví dụ user thuộc Kế-Toán sẽ áp 1 ACL khác, user thuộc nhóm Hành-Chính sẽ áp 1 ACL khác, bất kể họ cắm PC vào lỗ mạng nào của switch.

Cơ chế: Ta tạo sẵn các policy cho từng nhóm user trên ISE, trong mỗi policy đã định nghĩa sẵn nhóm nào được áp ACL nào.

Mục đích bài lab: Với nhân viên nv thuộc group NhanVien trên AD, sẽ bị áp ACL cấm ping tới gateway.

Trước khi làm, cần kiểm tra AD đã được tích hợp với ISE (như bài 1)

Vào Administrator > Identity Management > External Indentity Sources:

Thấy đã được join AD ok như dưới:

Vào tiếp Policy > Result

Bấm vào Downloadable ACLs > Add

Tạo thử 1 ACL như dưới: để chặn ping

Bấm tiếp vào Authorization

Sau đó trỏ tới ACL vừa tạo ở trên

Tiếp theo, lấy group NhanVien trên ISE, lấy từ AD

Chọn các group hiện ra như dưới rồi Save (Các group này được tạo trên AD trước đó)

Tiếp theo vào trong Policy > Policy Set > Tạo 1 rule mới, rồi bấm vào mũi tên như ảnh dưới:

Bấm vào Authorization

Bấm vào Condition để chọn với những người thuộc nhóm nhanvien thì sẽ áp policy

Kết quả được như này

Tạo thêm 1 rule authorization để permit các user khác sẽ không bị áp ACL

DONE

VERiFY:

Vào windows client để thử đăng nhập với user nv1 thuộc nhóm nhanvien và ping lên 10.5.7.5 xem được không?

-> Khi user thuộc group Nhanvien: không ping được lên gateway 10.5.7.5

Trên switch show ra để thấy đang nhận ACL được ISE đẩy xuống

show authentication sessions interface e0/1 details

Show ip access-list ACL bên trên:

-> Khi dùng user thuộc 1 nhóm khác, ví dụ nhóm khach

Thì Ping gateway ok, do không bị áp ACL gì cả

=> DONE bài lab