ISE tự học bài 3: Tư động gán ACL động cho từng user
Downloadable dynamic ACL nghĩa là với mỗi user thuộc các nhóm khác nhau, ví dụ user thuộc Kế-Toán sẽ áp 1 ACL khác, user thuộc nhóm Hành-Chính sẽ áp 1 ACL khác, bất kể họ cắm PC vào lỗ mạng nào của switch.
Cơ chế: Ta tạo sẵn các policy cho từng nhóm user trên ISE, trong mỗi policy đã định nghĩa sẵn nhóm nào được áp ACL nào.
Mục đích bài lab: Với nhân viên nv thuộc group NhanVien trên AD, sẽ bị áp ACL cấm ping tới gateway.
Trước khi làm, cần kiểm tra AD đã được tích hợp với ISE (như bài 1)
Vào Administrator > Identity Management > External Indentity Sources:
Thấy đã được join AD ok như dưới:
Vào tiếp Policy > Result
Bấm vào Downloadable ACLs > Add
Tạo thử 1 ACL như dưới: để chặn ping
Bấm tiếp vào Authorization
Sau đó trỏ tới ACL vừa tạo ở trên
Tiếp theo, lấy group NhanVien trên ISE, lấy từ AD
Chọn các group hiện ra như dưới rồi Save (Các group này được tạo trên AD trước đó)
Tiếp theo vào trong Policy > Policy Set > Tạo 1 rule mới, rồi bấm vào mũi tên như ảnh dưới:
Bấm vào Authorization
Bấm vào Condition để chọn với những người thuộc nhóm nhanvien thì sẽ áp policy
Kết quả được như này
Tạo thêm 1 rule authorization để permit các user khác sẽ không bị áp ACL
DONE
VERiFY:
Vào windows client để thử đăng nhập với user nv1 thuộc nhóm nhanvien và ping lên 10.5.7.5 xem được không?
-> Khi user thuộc group Nhanvien: không ping được lên gateway 10.5.7.5
Trên switch show ra để thấy đang nhận ACL được ISE đẩy xuống
show authentication sessions interface e0/1 details
Show ip access-list ACL bên trên:
-> Khi dùng user thuộc 1 nhóm khác, ví dụ nhóm khach
Thì Ping gateway ok, do không bị áp ACL gì cả
=> DONE bài lab
Bài viết cùng danh mục
Danh mục bài viết
- Juniper
- Tài Nguyên LAB
- Wireshark
- FeedBack
- Multicast lab
- Security Infa
- Checkpoint
- Lab OSPF
- Router Logging
- LAB CCNA CCNP CÓ GIẢI
- DMVPN
- Mikrotik
- MPLS
- PFSENSE
- DUMP CCNA
- Điều khoản
- F5 LTM
- MONITOR NETWORK
- TOOL HỌC CCNA
- TƯ VẤN KHÓA HỌC
- PYTHON SCRIPT HỮU ÍCH
- IPv6
- Quality of Service
- QoS
- VXLAN
- SDWAN
- ISE
- Fortigate
- BGP
- MINH HỌA KHÁI NIỆM TRONG CCNA
- Bài tập CCNA CCNP (support Học viên)
- Phỏng vấn IT chứng khoán
- Layer2 CCNA
- Bài tập thiết kế mạng CCNA
- Linux
- EEM SCRIPT
- ASA LAB
- DHCP
- NEXUS
- Giao thức IS IS
- ANSIBLE
- PALO ALTO
- ARUBA SWITCH
- CÂU HỎI TỪ ĐỀ THI THẬT
- CEH cho network admin
- CCNA HIỆU ỨNG ĐỘNG