Tweet
Add Google URLs for ACL Bypass
Điều này có thể gây ngạc nhiên lớn cho bạn, nhưng các thiết bị di động Android cần liên lạc với đám mây của Google. Bây giờ bạn đã nghe tin tức tan vỡ này, bạn sẽ không ngạc nhiên rằng khi các điểm cuối của Android trải qua quá trình lên máy bay BYOD, họ phải có quyền truy cập vào đám mây của Google và ít nhất có quyền truy cập vào cửa hàng Google Play trong để tải xuống ứng dụng Network Setup Assistant (NSA).
Vì vậy, bạn có thể cho phép truy cập Google trong ACL của mình; tuy nhiên, nó không đơn giản như chỉ cần đặt một địa chỉ IP, có hàng ngàn địa chỉ có thể phân giải thành tên DNS cần thiết cho cửa hàng Google Play.
Bắt đầu với WLC phiên bản 7.6, khả năng sử dụng ACL dựa trên DNS dưới dạng danh sách URL đã được thêm vào ACL của Airespace.
Bắt đầu bằng cách điều hướng đến Security > Access Control Lists > Access Control Lists:
Step 1. Di con trỏ chuột qua mũi tên hướng xuống dưới màu xanh và trắng bên cạnh danh sách truy cập ACL_weBAUTH_REDIRECT mà bạn đã tạo trong phần trước.
Step 2. Select Add-Remove URL, as shown in Figure 2-78.
Bây giờ bạn được đưa đến phần Danh sách URL. Các URL mà bạn nhập ở đây được định cấu hình bằng ký tự đại diện ẩn trong phần đầu tiên của FQDN. Nói cách khác, việc nhập vào google google.com. Mọi kết quả khớp với các mục URL này sẽ được cho phép thông qua ACL.
Step 3. Trong trường Tên chuỗi URL, nhập URL được phép thông qua ACL và nhấp vào Add.
Ở Hoa Kỳ, việc nhập vào Google google.com và các khách hàng của chúng tôi thường thực hiện thủ thuật này. Ở các quốc gia khác, có thể có các URL khác cần thiết cho hoạt động trơn tru của các điểm cuối Android. Một giải pháp đã hoạt động là thêm vào. *. * Cho các phần mở rộng tên miền.
Nói cách khác, hãy nhập google. *. * Thay vì google.com và android.clents.google. *. * Thay vì adroid.clents.google.com.
Hình 2-79 hiển thị Danh sách URL ví dụ.
Create the Dynamic Interfaces for the Client VLANs ( Tạo giao diện động cho Vlan khách)
Khi chúng ta muốn gán người dùng hoặc thiết bị cho Vlan trên công tắc Catalyst, chúng ta chỉ cần gán Vlan cho cổng và toàn bộ cổng chuyển đổi sẽ được gán cho Vlan cụ thể đó.
Bộ điều khiển mạng LAN không dây chỉ có một vài kết nối vật lý với mạng có dây và nó phải kết nối tất cả người dùng không dây từ mạng RF (Wi-Fi) của họ với mạng có dây vật lý và cũng có khả năng gán Vlan khác nhau cho mỗi phiên xác thực (Nếu cần). Bạn có thể nghĩ rằng nó chỉ cần được kết nối với một thân cây, phải không? Vâng, vâng, đó là sự thật.
WLC sẽ được cấu hình để sử dụng 802.1Q để gắn thẻ lưu lượng truy cập cho một Vlan cụ thể khi lưu lượng đó thoát khỏi bộ điều khiển. Tuy nhiên, WLC sẽ gọi đây là giao diện động của người dùng vì vì cách nó có thể gán giao diện vật lý cho lưu lượng truy cập hoặc gán thẻ.
Chúng tôi sẽ tạo hai giao diện động trong phần này, một cho lưu lượng nhân viên và một cho lưu lượng khách.
Điều này có thể gây ngạc nhiên lớn cho bạn, nhưng các thiết bị di động Android cần liên lạc với đám mây của Google. Bây giờ bạn đã nghe tin tức tan vỡ này, bạn sẽ không ngạc nhiên rằng khi các điểm cuối của Android trải qua quá trình lên máy bay BYOD, họ phải có quyền truy cập vào đám mây của Google và ít nhất có quyền truy cập vào cửa hàng Google Play trong để tải xuống ứng dụng Network Setup Assistant (NSA).
Vì vậy, bạn có thể cho phép truy cập Google trong ACL của mình; tuy nhiên, nó không đơn giản như chỉ cần đặt một địa chỉ IP, có hàng ngàn địa chỉ có thể phân giải thành tên DNS cần thiết cho cửa hàng Google Play.
Bắt đầu với WLC phiên bản 7.6, khả năng sử dụng ACL dựa trên DNS dưới dạng danh sách URL đã được thêm vào ACL của Airespace.
Bắt đầu bằng cách điều hướng đến Security > Access Control Lists > Access Control Lists:
Step 1. Di con trỏ chuột qua mũi tên hướng xuống dưới màu xanh và trắng bên cạnh danh sách truy cập ACL_weBAUTH_REDIRECT mà bạn đã tạo trong phần trước.
Step 2. Select Add-Remove URL, as shown in Figure 2-78.
Bây giờ bạn được đưa đến phần Danh sách URL. Các URL mà bạn nhập ở đây được định cấu hình bằng ký tự đại diện ẩn trong phần đầu tiên của FQDN. Nói cách khác, việc nhập vào google google.com. Mọi kết quả khớp với các mục URL này sẽ được cho phép thông qua ACL.
Step 3. Trong trường Tên chuỗi URL, nhập URL được phép thông qua ACL và nhấp vào Add.
Ở Hoa Kỳ, việc nhập vào Google google.com và các khách hàng của chúng tôi thường thực hiện thủ thuật này. Ở các quốc gia khác, có thể có các URL khác cần thiết cho hoạt động trơn tru của các điểm cuối Android. Một giải pháp đã hoạt động là thêm vào. *. * Cho các phần mở rộng tên miền.
Nói cách khác, hãy nhập google. *. * Thay vì google.com và android.clents.google. *. * Thay vì adroid.clents.google.com.
Hình 2-79 hiển thị Danh sách URL ví dụ.
Create the Dynamic Interfaces for the Client VLANs ( Tạo giao diện động cho Vlan khách)
Khi chúng ta muốn gán người dùng hoặc thiết bị cho Vlan trên công tắc Catalyst, chúng ta chỉ cần gán Vlan cho cổng và toàn bộ cổng chuyển đổi sẽ được gán cho Vlan cụ thể đó.
Bộ điều khiển mạng LAN không dây chỉ có một vài kết nối vật lý với mạng có dây và nó phải kết nối tất cả người dùng không dây từ mạng RF (Wi-Fi) của họ với mạng có dây vật lý và cũng có khả năng gán Vlan khác nhau cho mỗi phiên xác thực (Nếu cần). Bạn có thể nghĩ rằng nó chỉ cần được kết nối với một thân cây, phải không? Vâng, vâng, đó là sự thật.
WLC sẽ được cấu hình để sử dụng 802.1Q để gắn thẻ lưu lượng truy cập cho một Vlan cụ thể khi lưu lượng đó thoát khỏi bộ điều khiển. Tuy nhiên, WLC sẽ gọi đây là giao diện động của người dùng vì vì cách nó có thể gán giao diện vật lý cho lưu lượng truy cập hoặc gán thẻ.
Chúng tôi sẽ tạo hai giao diện động trong phần này, một cho lưu lượng nhân viên và một cho lưu lượng khách.