PIX上有一個download-able ACL的功能,可以讓PIX從radius服務器上下載ACL到本地,Cisco文檔介紹了三種方法來實現此功能。
1、事先在PIX上定義好ACL,當用戶通過PIX認證時,radius服務器將該用戶對應的ACL名稱告訴PIX,然後PIX將ACL加載到用戶的會話上。這種方法的缺點是必須事先在PIX上將ACL寫好。
這是三種方法中實現最簡單的一種方法,也是讓我耗時最長的一種方法,因爲Cisco的官方文檔又錯了。
2、使用Cisco AV Pair,在radius服務器上定義attribute-value (也就是vendor-specific-attribute,VSA),在AV pair中定義用戶對應的ACL。這種方法的缺點是ACL的大小不能超過4096字節。
3、使用ACS的download-able ACL的功能,在radius服務器上先寫好ACL,當用戶認證時,讓PIX自己下載與用戶所對應的ACL。這是Cisco最推崇的方法。
下面來簡單談談使用各種方法實現時的注意事項:
不管用什麼方法,PIX上aaa部分的配置都基本一樣:
aaa-server ciscorad protocol radius
aaa-server ciscorad (inside) host 10.10.5.24 cisco1 timeout 10
aaa authentication include http inside 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 ciscorad
方法1:
首先在PIX上創建一個ACL:
access-list wtest permit ip any host 192.168.10.5
access-list wtest deny ip any any
接下來,在ACS上進行設置
1、在ACS上點擊“network configuration”,添加一個AAA的client,認證協議選“RADIUS(Cisco IOS/PIX)”。
2、進入“user setup”,添加一個用戶,放到相應的組中。
3、進入“group setup”,對此用戶屬於的組進行編輯。在“IETF RADIUS Attributes”部分,選中[011] Filter-Id,寫入ACL的名字,如下圖:
值得注意的是:PIX會自動識別“acl=”,第一行必須以回車結束,第二行放的是ACL的名稱。
方法2:
1、在ACS上點擊“network configuration”,添加一個AAA的client,認證協議選“RADIUS(Cisco IOS/PIX)”。
2、進入“user setup”,添加一個用戶,放到相應的組中。
3、進入“group setup”,對此用戶屬於的組進行編輯。在“Cisco IOS/PIX RADIUS Attributes”部分,選中[009/001] cisco-av-pair,寫入如下語句:
ip:inacl#100=permit ip any 192.168.10.5 255.255.255.255
ip:inacl#200=deny ip any any
方法3:
1、在ACS上點擊“network configuration”,添加一個AAA的client,認證協議選“RADIUS(Cisco IOS/PIX)”。
2、進入“user setup”,添加一個用戶,放到相應的組中。
3、進入“shared profile components”,點擊“Downloadable IP ACLs”,在裏面添加一個ACL。
4、再次進入“user setup”,在“Downloadable ACLs”部分,選中“Assign IP ACL”,並且指定好該用戶的ACL即可。
測試環境:
Cisco PIX Firewall Version 6.3(4)
Cisco PIX Firewall 515E
Cisco ACS 3.3 for windows
Jre ver 1.5