中文讨论区

Reply
Moderator
Posts: 153
Registered: ‎05-20-2013

如何使用Validuser ACL

Validuer ACL策略是针对用户源IP地址进行检测,在用户源IP地址进入控制器用户列表前,允许有效IP获得对应用户角色及访问权限,拒绝非法IP以用户身份关联控制器。

 

默认情况下,Validuser ACL允许全部IP地址进入用户列表。

 

当出现以下情况时,需使用Validuser ACL对用户源IP进行控制。

 

1 同一用户终端的多个IP地址进入控制器用户列表

 

a 用户的旧IP地址被发布至现WLAN网络

b 在DHCP超时时,169.254.x.x被发布至控制器用户列表

c VMWARE IP地址

 

2 内部server的IP地址被发布至用户列表,导致正常终端无法访问内部server

 

a 内部server物理连接至RAP或S2500/3500的untrust有线接口

b 无线终端以内部server的IP地址为源地址进行发包,导致控制将内部server IP视为无线用户

 

3 在控制收到DoS攻击时,用户表资源耗尽,导致正常用户无法关联有以下解决方法。

 

1 在ArubaOS6.1或以后版本,多数情况可通过AAA profile里的”Enforce DHCP”进行解决。该功能确保有效用户的地址都是通过DHCP而获得。

2 手动配置Validuser ACL,允许或拒绝用户IP的访问权限。如,只允许10.1.1.0/24网段用户关联访问,

 

ip access-list session validuser

 no any any any permit

 no ipv6 any any any permit  

 network 10.1.1.0 255.255.255.0 any any permit

 any any any deny

 

注意:

Validuser ACL如在Master/Local环境中使用,将作用于全部的用户接入。

 

3 作为另一种选择,在AurbaOS3.4或以后的版本,可以在Advanaced>Stateful Firewall部分,使用"Only allow local subnets in the user table"选项。该功能将按本地配置的IP地址范围检查连接用户,拒绝非本地IP地址设备的接入。

 

Search Airheads
Showing results for 
Search instead for 
Did you mean: