AAA服务器不仅可以对交换机进行认证,还可以对用户进行动态下发ACL的功能
正常情况下,我们在创建ACL时都是在路由器或者防火墙上进行创建,由于每个用户对应的ACL条目并不多,如果路由器或者防火墙上的ACL条目过多时,会降低它们的性能;这时我们可以采用以下的办法:
在AAA服务器上创建ACL,当有用户要访问网络资源时,用户需要输入用户名和密码,然后AAA服务器将这个用户所对应的ACL条目动态地下发到目标主机上
动态下发ACL防火墙的配置
/*创建ACL触发流量*/
Access-list 100 permit tcp any 192.168.100.0 255.255.255.0 eq 80
/*为AAA服务器命名为acs*/
Aaa-server acs protocol radius
/*指定AAA服务器是DMZ区的192.168.1.1*/
Aaa-server acs (dmz) host 192.168.1.1
/*对来自INSIDE区内的匹配ACL100的流量进入认证和授权*/
Aaa authentication match 100 inside acs
认证和授权同时进行
