Downloadable ACL
DACL är en teknik som tillåter ACL-applicering vid Radius/dot1x-autentisering. Tekniken lämpar sig väl för att implementera klientisolering inom samma subnät närmast användaren.
Själva accesslistan byggs i ISE under Policy > Policy Elements > Authorization > Downloadable ACLs. En ACL kan vara så lätt att den tillåter eller nekar all trafik. Observera att man använder en DACL per protokoll, i händelse av dual-stack behövs två DACL. ACLn byggs enligt IOS-standard, ex:
permit icmp any any
deny ip any 192.168.1.0 0.255.255.255
permit ip any anyFör att DACLn ska användas måste den kopplas mot den Authorization Policy som används i Policy Set:et. Lägg till DACL i Common Tasks enligt skärmdumpen.
När den här sedan är applicerad i Policy Set:et kan man verifiera att den har blivit tillämpad i show access-session, se exempel:
c9300#show access-session interface gigabitEthernet 1/0/3 details
Interface: GigabitEthernet1/0/3
IIF-ID: 0x19AE4F44
MAC Address: aaaa.bbbb.ccc
IPv6 Address: fe80::aaa:bbbb:cccc:ddd
IPv4 Address: 192.168.1.1
User-Name: client
Status: Authorized
Domain: DATA
Oper host mode: single-host
Oper control dir: both
Session timeout: N/A
Common Session ID: 140BA8C000001D44B98DD61C
Acct Session ID: Unknown
Handle: 0x3c000d3d
Current Policy: POLICY_Gi1/0/3
Local Policies:
Service Template: DEFAULT_LINKSEC_POLICY_SHOULD_SECURE (priority 150)
Security Policy: Should Secure
Security Status: Link Unsecured
Server Policies:
Vlan Group: Vlan: 1337
ACS ACL: xACSACLx-IP-PERMIT_USER_IPv4-64f82bfd
ACS ACL IPV6: xACSACLx-IPV6-PERMIT_USER_IPv6-664d9894
Method status list:
Method State
dot1x Authc Success
Det går även att titta på ACL:en "precis som vanligt", så länge någon port använder sig av den och den därmed är nedladdad.
c9300#show ip access-lists xACSACLx-IP-PERMIT_USER_IPv4-64f82bfd
Extended IP access list xACSACLx-IP-PERMIT_USER_IPv4-64f82bfd
1 permit icmp any any
2 deny ip any 192.168.1.0 0.255.255.255
3 permit ip any any