Кулинарный мастер-класс
"Готовим безопасный офис
нового поколения на
основе Cisco IOS"Сергей Кучеренко
18 ноября 2013
ведущий:
В программе мастер класса:
Что может понадобится в безопасном офисе нового поколения?
Из чего готовить безопасный офис
Процесс приготовления и его особенности
Презентация готового блюда
Note: Слайды помеченные этим значком били для данной демонстрации
Что может понадобится в безопасном офисе?
Доступ для пользователей а не адресов – проводной и беспроводной доступ на основе групповой принадлежности пользователя для PC и Laptop
Защита от Web угроз и контроль рабочего времени – политики доступа к Web на основании групповой или сетевой принадлежности пользователей для PC и Laptopи мобильных устройств
BYOD – Значит любит – MDM клиент для мобильных устройств сотрудников, push сетевых настроек для безопасного подключение я корпоративной сети, установка корпоративных приложений, защита от утери и кражи устройства
Нам понадобится:
Cisco ISR G2 – IOS 15.3(2)T1 для всей линейки. В этой версии OS будут при приготовлении использованы следующий компоненты: User Based Firewall Transparent ZBF ScanSafe Connector LDAP Server in AAA
Cisco Wireless LAN Controller – версия ПО начиная с 5.0.148.0 в ходе приготовления был использован интегрированный в ISR WLC на основе ISM-SRE-300 с версией ПО 7.4.110.0 В этой версии ПО будут при приготовлении использованы следующий компоненты: WEB Passthrough Authentication 802.1X Authentication/Authorization
Из чего готовить безопасный офис
Microsoft Windows Server – при приготовлении был использован Windows Server 2008 R2 64-bit со следующими ролями: Доменная Служба Active Directory DNS-сервер Служба политик сети и доступа (NPS) Служба сертификации Active Directory
Meraki Systems Manager – облачный Mobile Device Manager, использование данного продукта бесплатно. В ходе приготовлении используется: Push сетевых настроек на мобильные устройства для 802.1x подключений
Нам понадобится (продолжение):
Процесс приготовления и его особенности
Представить/Спланировать/Нарисовать
G0/0
G0
/0.5
0 S
F_D
ata
19
2.1
68.
32.
0/2
4
G0
/0.1
30
SF_S
RV
19
2.1
68.
30.
0/2
4
G0
/0.5
0 S
F_M
ng
19
2.1
68.
95.
0/2
4
Vlan 95 SF_Mng 192.168.95.0/24
Vlan 50 SF_Data 192.168.32.0/24
Vlan 96 SF_Open 192.168.96.0/24
Vlan 97 SF_Sales192.168.97.0/24
Vlan 98 SF_TR 192.168.98.0/24
SF_Open
SF_Corp
Sales Resources
Trainer Resources
.20
.10
.4 .4 .1
.10
.2
.2
.2
.2
G0/2Internet.1
.1
.1
Vlan 95 SF_Mng – MNG zoneVlan 50 SF_Data – IN zoneVlan 96 SF_Open – GUEST zoneVlan 97 SF_Sales – SALES_WF zoneVlan 98 SF_TR – TR_WF zoneVlan 30 SF_SRV – SRV zoneG0/2 – OUT zone
Pair IN_OUTPair IN_SRVPair OUT_SRVPair GUEST_OUTPair SLAES_WF_SRVPair TR_WF_SRVPair MNG_MNGPair IN_INPair SLAES_WF_OUTPair TR_WF_OUTPair SLAES_WF_INPair TR_WF_IN
Глобальные Этапы приготовления:
1. User Based Firewall
2. ScnaSafe Connector
3. WLC Setup
4. MS Network Policy Server setup
5. Meraki Systems Manager setup
1. User Based Firewall
Новый подход позволяющий в качестве match в class-map type inspect использовать user-group
user-group – для получения информации о групповой принадлежности пользователей используется функционал Authentication Proxy.
Authentication Proxy – Функция позволяющая провести аутентификацию пользователей перед предоставлением сетевого доступа. Аутентификация может проходить с помощью протоколов:
Telnet – пользователь инициирует telnet сессию на ресурс, маршрутизатор перехватывает этот пакет и возвращает пользователю запрос username/password. После ввода проводится проверка пользователя по одному из доступных способов аутентификации. Если способ аутентификации это предусматривает нам маршрутизатор возвращается информация о групповой принадлежности пользователя в случаи успешной аутентификации
FTP – процесс проходит аналогично за исключением того что пользователь должен инициировать FTP запрос для начала процедуры аутентификации
HTTP – для проведения аутентификации используется http или httpsпри использовании http authentication proxy аутентификация можетпроходить в двух режимах:
1. HTTP Basic – в этом случае при первом обращении пользователь перенаправляется на адрес virtual-proxy и всегда видит в browser окно аутентификации. Если на маршрутизаторе не включен ip http secure-server передача пользовательских login/password происходит в открытом виде. В случае если secure-server включен аутентификация проходит через https. Если на маршрутизаторе используется само подписанный сертификат пользователь всегда будет видеть сообщении об ошибке сертификата:
Для того чтоб ошибка сертификата не появлялась требуется: Добавить сертификат маршрутизатор в “Доверенные Центры Сертификации” Выписать маршрутизатору сертификат корпоративным или общеизвестным Certificate
Authority
В качестве способов аутентификации могут быть использованы: Local/Radius/LDAP
Режимы HTTP аутентификации:
2. NTLMSSP – в этом режиме так же происходит первоначальное перенаправление на адрес virtual-proxy, но маршрутизатор пытается получить информацию о аутентификации пользователя прозрачно запрашивая NTLM enabled browser (IE/Mozilla/Chrome). В качестве username/password используются те что были введены при входе в систему* Credentials пользователя никогда не передаются в открытом виде, передается их Hash значение. Получив этот hash маршрутизатор отправляет его на сервер аутентификации.
При использовании NTLMSSP на клиентской стороне следует: Для Internet Explorer добавить IP/Name virtual-proxy в список trusted-sites
Для Firefox при использовании Virtual-Proxy IP без name может понадобится изменить файл конфигурации
* - работает только на ПК под управлением Windows, ПК должны быть членами Domain, пользовательский вход должен осуществляется с помощью доменной учетной записи
В качестве способов аутентификации могут быть использованы: LDAP (Только MS AD)
local – в качестве базы пользователей используется локальная база данных маршрутизатора при использовании данного подхода нет возможности предоставить групповую информацию (Для User Based ZBF не применимо)
radius – в качестве сервера аутентификации используется Radius server (Cisco ACS/Cisco ISE/Microsoft NPS/…) сервер возвращает на маршрутизатор Vendor Specific AV Pair которая содержит атрибут “supplicant-group=” указанное здесь значении маршрутизатор воспринимает как имя группы
ldap – в качестве сервера аутентификации используется ldap сервер. В таком случае ldapвозвращает группы в которых находится пользователь в атрибуте “memberOF=” IOS в свою очередь автоматически преобразовывает атрибут “memberOF=” в атрибут “supplicant-group=”с помощью default attribute map
Способы аутентификации:
Как это работает?RADIUS
LDAP
HTTP Request
IP Admission Rule
HTTP Redirect to Virtual Proxy IP IF NTLM with
HASH request
HTTP Request Virtual Proxy IP IF NTLM with
HASH
Authentication Request
Authentication Response
HTTP Basic
Authentication Request
AAA Rule
Authentication ResponseCisco AV Pair
“supplicant-group=“
Attribute Map
Authentication Request
Authentication Response
“memberOF=“
class-map type inspect match usergroup
policy-map type inspect class type inspect
inspect
zone-pair security
Последовательность настройки User Based Firewall:
1. Настройка серверов аутентификацииa) RADIUS MS в IOSb) LDAP MS в IOSc) Настройка Microsoft NAP для возврата информации о группах через Radius
2. Настройка правила AAA для authentication-proxy
3. Настройка политику authentication-proxya) Протокол с помощью которого проходит аутентификация/Исключения из
аутентификации/Режима аутентификации/Листов AAA/Virtual IP/Virtual FQDNb) Изменение таймеров по умолчаниюc) Назначение authentication-proxy на интерфейс
4. Настройка ZBF с использованием Group-Info
5. Проверка настроек
Особенности Приготовления
b) LDAP MS в IOS
Создаем и настраиваем LDAP server
R1(config)#ldap server name
name – имя объекта конфигурации, не FQDN сервера
R1(config-ldap-server)#ipv4 address
R1(config-ldap-server)# transport port port (3268 default for MS)
R1(config-ldap-server)#base-dn dn-name
dn-name – точка с которой следует начинать поиск пользователя в домене, обычно корень домена
R1(config-ldap-server)# bind authenticate root-dn username-dn password password
username-dn – DN пользователя под которым будет подключатся Router, пользователя должен иметь достаточно прав для проведения search/read/lookup, далее мы указываем пароль этого пользователя
R1(config-ldap-server)# authentication bind-first (начинать аутентификацию с операции bind)
Создаем AAA server-group
R1(config)#aaa group server ldap name
name – имя элемента конфигурации, для аутентификации через ldap обязательно создание aaagroup server ldap, в эту группу мы добавляем ранее созданный сервер, в дальнейшем эта группа будет использоваться при создании правил аутентификации/авторизации
R1(config-ldap-sg)#server ldap server name
2. Настройка правил AAA для authentication-proxy
Включаем AAA Framework
R1(config)#aaa new-model
Данная команда приводит к тому что по всем протоколам удаленного доступа (Telnet/SSH/HTTP)будет требоваться локальная аутентификация. Перед выполнением следует убедится что на устройстве задан enable secret и есть хотя бы один пользователь в локальной базе данных:
R1(config)#enable secret passwordR1(config)#username name secret password
Создание правила аутентификации
R1(config)#aaa authentication login list name group {radius|ldap grup name}
list name – имя листа аутентификации, в дальнейшем это имя будет привязываться к authentication-proxy{radius|ldap grup name} – Radius указывает что для проведения аутентификации будут использованы все настроенные radius сервера, если требуется аутентификация через ldap здесь следует указать имя созданной в шаге 2.с) aaa group server ldap
Создание правила авторизации
R1(config)#aaa authorization network list name group {radius|ldap grup name}
login list name – имя листа авторизации , в дальнейшем это имя будет привязываться к authentication-proxy{radius|ldap grup name} – Radius указывает что для проведения авторизации будут использованы все настроенные radius сервера, если требуется авторизация через ldap здесь следует указать имя созданной в шаге 2 с) aaa group server ldap
3. Настройка политику authentication-proxy
a) Настройка Протокола с помощью которого проходит аутентификация/Исключений из аутентификации/Режима аутентификации/Листов AAA/Virtual IP/Virtual FQDN
Исключения
Для исключений создается extended ACL в котором deny строки являются исключением из правила (ex: Корпоративный AD/DNS сервер)
Протокол для проведения аутентификации
R1(config)#ip admission name auth-proxy name proxy {http|telnet|ftp} list ACL name
auth-proxy name – имя правила authentication-proxy, в последующем именованное правило назначается на интерфейс. Для всех настроек имя должно совпадать.ACL name – ACL для исключений созданный в предыдущем шаге
Режим аутентификации для HTTP
R1(config)#ip admission name auth-proxy name {http-basic|ntlm}
R1(config)#ip admission name auth-proxy name order {http-basic|ntlm}
Указываем какой режим пытаться использовать в первую очередь. Обычно устанавливается такой же режим как и в предыдущем шаге.
Virtual IP/Virtual FQDN
R1(config)#ip admission virtual-ip ip virtual-host name
ip – любой не используемы в сети IP address (ex:1.1.1.1), не может быть адресом маршрутизатора, на этот адрес маршрутизатор будет перенаправлять браузер для аутентификации
name – имя на которое будет происходить перенаправление, имя задается не в формате FQDN (ex:isr-proxy), браузер самостоятельно добавит имя домена текущего сетевого подключения. В корпоративном DNS должна присутствовать советующая A запись указывающая на virtual IP. Если задано name перенаправлении всегда идет на имя.
Листы AAA
R1(config)# ip admission name name method-list authentication list name authorization list name
Указываются имена листов созданных в шаге 2.
b) Изменение таймеров по умолчанию
У Auth-proxy существует два основных таймера:
Inactivity Timer – сколько сессия может быть неактивной прежде чем кеш аутентификации будет удален (def=60 min)
Absolute Timer – как долго сессия может длится (def=0 т.е. ограничения нет)
Временные ограничения также могут быть наложены двумя способами:
Global – для всех ip admission rules
Per-rule – для каждого ip admission rules name
c) Назначение Authentication proxy на интерфейс
Правило назначается на тот интерфейс где мы хотим перехватывать пользовательские запросы и проводить аутентификацию:
R1(config)#interface type numberR1(config-subif)#ip admission name
name – имя правила authentication proxy созданного в предыдущих шагах
4. Настройка ZBF с использованием Group-Info
При создании class-map type inspect используется способ поиска match-all и в такой class-map выставляется match user-group, match class-map (match-any) с перечнем приложений, и при необходимости match access-group для ограничения по IP адресам
Note: Т.к. в правилах auth-proxy были исключения для этих IP следует создавать отдельный класс или классы и размещать их выше классов с match по user-group в policy-map type inspect
5. Проверка настроекДля проверки успешного прохождения аутентификации и корректной передачи информации о группах:
R1#test aaa group radius username password legacyR1#tes aaa group ldap group username password new-code
Эти тест можно проводить с параллельно включенным debug:
R1#debug radiusR1#debug ldap all
Мониторинг работы auth-proxy:
R1#sh ip admission cache
Очистка Cache:
R1#clear ip admission cache {*|username}
R1#sh ip admission cache username user
ScanSafe – облачный сервис Web безопасности Cisco решающий ряд задач:
URL Filtering – пользователю и/или группе может быть задан перечень разрешённых URL категории (Social Networks/News/…). Категорий могут быть запрещены/разрешены как на постоянной основе так и на основе временных рамок
File Filtering – разрешение/запрет передачи файлов определенного типа. Ограничения также могут быть постоянными либо привязанными к определённым временным диапазонам
Application Filtering – распознавание и фильтрация различных Web based приложений (ex: разрешить Facebook но заблокировать Facebook игры)
Antimalware – защита от зловредного кода по средствам проверки репутации запрашиваемых сайтов а так же сканирования содержимого этих сайтов
2. ScnaSafe Connector
ISR и ScanSafe – маршрутизатор Cisco имеет встроенный функционал ScanSafe Connector. Эта функция позволяет перенаправлять пользовательский HTTP/HTTPS в облако. При перенаправлении к пользовательскому пакеты может быть добавлена информация о username/group для более гибкого наложения политик доступа. Информация о пользователе и группе всегда передается в зашифрованном виде.
Перенаправление может осуществляется:
Без аутентификации – в этом случаи все пользователи трафик которых был направлен для фильтрации одним ISR будут принадлежать одной default group. Кроме того есть возможность назначить различные group на разные интерфейсы ISR в этом случае пользователи находящиеся на разных интерфейсах могут принадлежать разным группам.
С аутентификацией – ISR будет проводит аутентификацию пользователей и помещать в перенаправляемый пакет информацию о username/group. Аутентификация рабоатет только через http/https и может проходить в двух уже известных режимах:
HTTP Basic NTLM
Как это работает? AAA Rule
IP Admission Rule
HTTP Request vk.com
HTTP Redirect to Virtual Proxy IPIF NTLM with HASH request
HTTP Request Virtual Proxy IP IF NTLM with HASH
Authentication Request
Authentication Response
HTTP Basic
Content Scan
Access Policy
LDAP
Attribute Map
Authentication Request
Authentication Response
“memberOF=Boss“
HTTP Request vk.com
HTTP Request vk.com
LDAP://Boss
Antimalware Scan
HTTP Response vk.com
Последовательность настройки IOS ScanSafe Connector:1. Выдача лицензии
2. Настройка Parameter-Map Content Scan
3. Настройка серверов аутентификации
4. Настройка правила AAA для authentication-proxy
5. Настройка политику authentication-proxya) Протокол с помощью которого проходит аутентификация/Исключения из
аутентификации/Режима аутентификации/Листов AAA/Virtual IP/Virtual FQDNb) Изменение таймеров по умолчаниюc) Назначение authentication-proxy на интерфейс
6. Назначение User-Group на интерфейсах где аутентификация не возможна
7. Включение Content Scan
8. Проверка настроек
9. Базовые настройки на портале администратора
1. Выдача лицензии
При покупке сервиса ScanSafe или при заказе демо пользователь получает письмо следующего содержания:
В письме содержится ссылка на портал администратора а так же временный пароль (должен быть изменен при первом входе). В качестве имени администратора используется e-mail of IT contact (нужно указать при заказе)
Зайдя на портал администратора необходимо перейти: Admin>Authentication>Company Key>Create New После этого ключ будет выслан на почту администратора
Особенности Приготовления
2. Настройка Parameter-Map Content ScanДанный элемент конфигурации отвечает за связь с Proxy Servers облака безопасности.
R1(config)#parameter-map type content-scan global
Переходим в настройки content-can, в IOS может быть только одна parameter-map такого типа
Задать Proxy Servers
R1(config-profile)#server scansafe primary name server fqdn port http 8080 https 8080 R1(config-profile)#server scansafe secondary name server fqdn port http 8080 https 8080
Указываем FQDN серверов для подключений (из письма). Для перенаправлении http/https по умолчанию используется порт 8080
Задать license
R1(config-profile)#license {0|7} key
0 – ключ далее вводится в незашифрованном виде (так он приходит в письме)7 – ключ вводится в уже зашифрованном виде
Задать Source IP
R1(config-profile)#source address ipv4 address
Здесь указывается адрес внешнего интерфейс с которого будет происходить перенаправление
Default User-group
R1(config-profile)#user-group group name
group name – имя группы которое будет отправляться в случае когда аутентификацию провести невозможно.
Действие в случае отказа облака
R1(config-profile)# server scansafe on-failure {allow-all|block-all}
3. Настройка серверов аутентификации
Выполняется так же как и в случаи Authentication Proxy, в качестве сервера аутентификации всегда используется LDAP (Рекомендуем MS AD в этом случае можно использовать NTLM)
4. Настройка правила AAA для authentication-proxy
Выполняется так же как для User Based ZBF
5. Настройка политику authentication-proxy
Выполняется так же как для User Based ZBF
6. Назначение User-Group на интерфейсах где аутентификация не возможна – актуально для интерфейсов за которыми находятся мобильные устройства. Даже Basic аутентификация не всегда работает адекватно в мобильных OS
7. Включение Content Scan
На внешнем интерфейсе включается функция перенаправления трафика http/https в облако ScanSafe:
R1(config)#interface type numberR1(config-if)#content-scan out
8. Проверка настроек
Статус подключения к Proxy Servers
R1#show content-scan summary
Проверки аутентификации выполняются так же как для User Based ZBF
9. Базовые настройки на портале администратора
Создание групп – для дальнейшего применения политик на основе групповой принадлежности пользователя требуется создать группы на портале администратора:
Admin>Management>Groups>Add Directory Group
LDAP группы должны быть созданы в формате LDAP://Group Name.Note: Все группы которые отправляет ISR для ScanSafe являются LDAP группами.
Создание Фильтров – фильтр является элементом который идентифицирует URL категории/Приложения/Типы файлов. В последующем фильтр может быть добавлен в политику в которой назначается действие
Web Filtering>Management> Filters>Create Filter
Создание Политик – политик объединяют группу пользователя фильтр и действие (Allow/Block/Warm/…). Политик могут действовать на постоянной основе или на основе временных диапазонов
Web Filtering>Management>Policy>Create Rule
1. Задаем имя политики2. Делаем ее активной3. Указываем действие4. Выбираем группу к
которой будет применятся политика
5. Добавляем Фильтр который будет действовать в этой политике
6. Добавляем расписание работы политики
3. WLC Setup
От WLC нам понадобится:
2 SSID: открытый SSID с captive-portal который будут использовать гости компании а
так же сотрудники при подключении с мобильных устройств если на них еще не установлен Meraki MDM client
SSID c 802.1x аутентификаций – к этой беспроводной сети будут подключатся: сотрудники на PC и Laptop
помещаемые с помощью 802.1х аутентификации в тот же VLAN что и в проводной сети
Сотрудники со своих мобильных устройств после получения сетевых настроек из Meraki Systems Manager
802.1х authentication and Authorization
Последовательность WLC Setup:
1. Задание Radius Server в WLC
2. Настройка Captive Portal WLC
3. Настройка открытого SSID
4. Настройка SSID с 802.1x аутентификацией и авторизацией
5. Настройка политик в MS NPS
1. Задание Radius Server в WLC
Security>>>Radius>>Authentication>>>New
2. Настройка Captive Portal WLC
Security>>>Web Auth>>>Web Login Page
Для создание Custom Captive Portal можно использовать готовые шаблоны Cisco, Шаблоны могут быть загружены с cisco.com в разделе ПО для WLC: Bundle загружается с cisco.com как .zip Выбираем понравившийся вариант странички Правим его Архивируем снова весь Bundle в .tar и загружаем
на WLC по TFTPCommands>>>Download
Особенности Приготовления
3. Настройка открытого SSID
При создании SSID мапируется к интерфейсу контролера отвечающего за гостевую сеть
После этого в настройкахSecurity>>>Layer 3 поставить галочку в Web Policy и в качестве типа политики выбрать PassthroughNote: Перенаправление происходит с помощьюподмены адреса в DNS Replay на virtual IP контроллера.
4. Настройка SSID с 802.1x аутентификацией и авторизацией
При создании SSID мапируется к интерфейсу Management
После этого в настройкахSecurity>>>Layer 2 оставляем Layer 2Security в значении по умолчанию
Далее переходим на Security>>>AAA Servers и выбираем в качестве сервера аутентификации ранее созданный
Для того чтоб на SSID работало назначение VLAN
4. MS Network Policy Server setup
Данный этап состоит из двух под-этапов:
1. Задание WLC как Radius client в NPS
Минимально достаточные условия: Группа пользователей Тип проверки подлинности – EAPКроме того можно добавить: Тип порта NAS – Wireless 802.11 а так же Понятное имя клиента – Имя WLC в NPS
2. Создание политик сетевого доступа
Необходимо убедится что в свойствах PEAP указан корректный сертификат.
Можно удалить атрибуты проставленные по умолчанию. После этого необходимо добавить следующие атрибуты со значениями: Tunnel-Type=Virtual LANs (VLAN) Tunnel-Medium-Type=802 Tunnel-Pvt-Group-ID= VLAN Number
5. Meraki Systems Manager setup
Meraki Systems Manager – является бесплатно облачной Mobile Device Management системой.
Основные функции мобильные устройства: Местоположение Аудит устройств (Состояние памяти/Версия OS/Установленное ПО/…) Централизованное развертывание приложений Применение корпоративных политик (Беспроводные сети/Настройки Proxy/Включение
шифрование/Требование установки пароля и его сложности/…) Защита при краже или утере (Удаление всех данных с устройства/Удаление данных
корпоративных приложений)
Основные функции Laptop/PC (Windows/MAC OS) Местоположение Аудит устройств (Состояние памяти/Версия OS/Установленное ПО/…) Удаленное управление (RDP Windows) Централизованное развертывание приложений (Windows)
Последовательность настройки Meraki Systems Manager :
1. Регистрация в системе
2. Deployment клиентов
a) Android Enrollmentb) iOS Enrollment
3. Настройка политик для мобильных устройств
1. Регистрация в системе
https://account.meraki.com/login/dashboard_login?go=
После завершения процедуры регистрации мы входим в систему
Особенности Приготовления
2. Deployment клиентов
За Deployment отвечает раздел Mobile>>>Deployment
a) Android Enrollment– можно начать сразу же после входа в систему
В наличии инструкция для двух вариантов Enrollment: Play Market – в этом случае необходимо прочитать QR-
code с устройства – это приведёт к перенаправлению на старичку клиента Meraki в Play Market. Устанавливаем клиент и после установки еще раз считываем QR-code
Web Enrolment – необходимо открыть указанную ссылку и подтвердить Enrolment CodeПосле подтверждения кода произойдет перенаправление в Play Market для загрузки приложений
Note: Присутствует вариант отправки ссылки Web Enrollment на email. Очень удобно в уже работающей инфраструктуре т.к. устройству сразу можно назначить.
b) iOS Enrollment– можно начать сразу же после входа в систему
Для iOS Enrollment необходимо:
Иметь или завести новую учётную запись Apple ID
Выгрузить Meraki Certificate Request на PC Перейти в Apple Push Certification Portal Создать на портале сертификат используй
Meraki Certificate Request и выгрузить его себе на PC
Указать в Organization>>>Settings имя Apple ID и созданный сертификат
Варианты Enrollment: Web based QR-code Email
3. Настройка политик для мобильных устройств
Основой для применяя политик являются Tags. Tag применяется к устройству, Profileприменяется к одному или более Tags. К Profile применятся Settings По умолчанию при первом входе в систему доступен единственный Tag=recently-added
Monitor>>>Clients
Tag>>> Add добавляем новый TagTag>>>Remove удаляем recently-added
Mobile>>>ProfilesСоздаем нужное количество Profile и указываем к каким Tag они будут применятся
Mobile>>>Settings
Полезные ссылки:
Финальная конфигурация R1https://drive.google.com/file/d/0B0VvUTk8KGWfZG5jdGhFX3B4R0E/edit?usp=sharing
Security Configuration Guide: Zone-Based Policy Firewallhttp://www.cisco.com/en/US/docs/ios-xml/ios/sec_data_zbf/configuration/15-1mt/sec-data-zbf-15-mt-book.html
BRKSEC-3007 - Advanced Cisco IOS Security Features (2012 London)https://www.ciscolive365.com/connect/sessionDetail.ww?SESSION_ID=3025&backBtn=true
Cisco ISR Web Security with Cisco ScanSafe Solution Guidehttp://www.cisco.com/en/US/docs/security/web_security/ISR_SS/ISR_ScanSafe_SolutionGuide.pdf
Cisco ScanCenter Administrator Guidehttp://www.cisco.com/en/US/docs/security/web_security/scancenter/administrator/guide/b_ScanCenter_Administrator_Guide.html
YouTube канал компании Merakihttp://www.youtube.com/channel/UCimwNLMzVRMp7SUPVRNaqew
Wireless LAN Controller Web Passthrough Configuration Examplehttp://www.cisco.com/en/US/products/ps6366/products_configuration_example09186a00809bdb5f.shtml
Dynamic VLAN Assignment with RADIUS Server and Wireless LAN Controllerhttp://www.cisco.com/en/US/tech/tk722/tk809/technologies_configuration_example09186a008076317c.shtml
Recommended