In diesem Artikel wird erläutert, wie die herunterladbare Zugriffskontrollliste (Access Control List, DACL) auf Cisco Catalyst 1300-Switches mit der Cisco Identity Service Engine (ISE) funktioniert.
Dynamische ACLs sind ACLs, die einem Switch-Port anhand einer Richtlinie oder bestimmter Kriterien (z. B. Mitgliedschaft in einer Benutzergruppe, Tageszeit usw.) zugewiesen werden. Dabei kann es sich um lokale ACLs handeln, die durch die Filter-ID oder durch herunterladbare ACLs (DACLs) angegeben werden.
Herunterladbare ACLs sind dynamische ACLs, die vom Cisco ISE-Server erstellt und heruntergeladen werden. Sie wenden Zugriffskontrollregeln basierend auf der Benutzeridentität und dem Gerätetyp dynamisch an. DACL bietet den Vorteil, dass Sie über ein zentrales Repository für ACLs verfügen, sodass Sie diese nicht auf jedem Switch manuell erstellen müssen. Wenn ein Benutzer eine Verbindung zu einem Switch herstellt, muss er sich lediglich authentifizieren, und der Switch lädt die entsprechenden ACLs vom Cisco ISE-Server herunter.
In diesem Artikel wird der erste Anwendungsfall ausführlich behandelt.
Melden Sie sich beim Catalyst 1300 Switch an, und navigieren Sie zum Menü Security > RADIUS Client (Sicherheit > RADIUS-Client).
Wählen Sie für die RADIUS-Abrechnung die Option Port Based Access Control (Port-basierte Zugriffskontrolle) aus.
Klicken Sie unter RADIUS Table (RADIUS-Tabelle) auf das Pluszeichen, um den Cisco ISE-Server hinzuzufügen.
Geben Sie die Details zum Cisco ISE-Server ein, und klicken Sie auf Apply.
Als Verwendungstyp muss 802.1x ausgewählt sein.
Navigieren Sie zu Security > 802.1X Authentication > Properties (Sicherheit > 802.1X-Authentifizierung > Eigenschaften).
Klicken Sie auf das Kontrollkästchen, um Port-Based Authentication zu aktivieren.
Wählen Sie unter Authentication Method die Option RADIUS aus, und klicken Sie auf Apply.
Gehen Sie zu Security > 802.1X Authentication > Port Authentication menu. Wählen Sie den Port aus, mit dem Ihr Laptop verbunden ist, und klicken Sie auf das Symbol Bearbeiten. In diesem Beispiel ist GE8 ausgewählt.
Wählen Sie Administrative Port Control als Auto aus, und aktivieren Sie die 802.1x-basierte Authentifizierung. Klicken Sie auf Apply (Anwenden).
Die ISE-Konfiguration geht über den Cisco Business Support hinaus. Weitere Informationen finden Sie im ISE-Administratorhandbuch.
Die in diesem Artikel gezeigten Konfigurationen sind ein Beispiel für herunterladbare ACLs, die mit Cisco Catalyst Switches der Serie 1300 verwendet werden können.
Melden Sie sich bei Ihrem Cisco ISE-Server an, navigieren Sie zu Administration > Network Resources > Network Devices, und fügen Sie das Catalyst Switch-Gerät hinzu.
Um Benutzeridentitätsgruppen zu erstellen, navigieren Sie zur Registerkarte Gruppen, und fügen Sie die Benutzeridentitätsgruppen hinzu.
Gehen Sie zum Menü Administration > Identity Management > Identities, um die Benutzer zu definieren und die Benutzer den Gruppen zuzuordnen.
Navigieren Sie zu Richtlinie > Richtlinienelemente > Ergebnisse. Klicken Sie unter Autorisierung auf Herunterladbare ACLs.
Klicken Sie auf das Symbol Add (Hinzufügen), um die herunterladbare ACL zu erstellen.
Konfigurieren Sie den Namen, die Beschreibung, wählen Sie die IP-Version aus, und geben Sie die Zugriffssteuerungseinträge (ACEs) ein, aus denen die herunterladbare ACL besteht. Diese werden in das Feld DACL-Inhalt eingegeben. Klicken Sie auf Speichern.
Nur IP-Zugriffskontrolllisten werden unterstützt, und die Quelle muss ANY sein. Für ACLs auf der ISE wird jetzt nur IPv4 unterstützt. Wenn eine ACL mit einer anderen Quelle eingegeben wird, die Syntax für ISE zwar in Ordnung ist, bei Anwendung auf den Switch jedoch fehlschlägt.
Erstellen Sie Autorisierungsprofile, die verwendet werden, um Ihre DACL und andere Richtlinien innerhalb der ISE-Richtliniensätze logisch miteinander zu verknüpfen.
Navigieren Sie dazu zu Richtlinie > Richtlinienelemente > Ergebnisse > Autorisierung > Autorisierungsprofile, und klicken Sie auf Hinzufügen.
Konfigurieren Sie auf der Seite Authorization Profile (Autorisierungsprofil) Folgendes:
Klicken Sie auf Speichern.
Um Richtliniensätze zu konfigurieren, die logische Gruppierungen von Authentifizierungs- und Autorisierungsrichtlinien darstellen, klicken Sie auf Richtlinie > Menü Richtliniensätze.
Eine Liste der Richtliniensätze enthält folgende Informationen:
Klicken Sie zum Erstellen eines Richtliniensatzes auf die Schaltfläche Hinzufügen.
Definieren Sie einen Richtliniensatznamen.
Klicken Sie unter Bedingungen auf die Schaltfläche Hinzufügen. Dadurch wird das Bedingungsstudio geöffnet, in dem Sie festlegen können, wo dieses Authentifizierungsprofil verwendet werden soll. In diesem Beispiel wurde sie auf die Radius-NAS-IP-Adresse (den Switch) angewendet, die den Datenverkehr "172.19.1.250" und "wired_802.1x" umfasst.
Konfigurieren Sie die zulässigen Protokolle für den Standardnetzwerkzugriff, und klicken Sie auf Speichern.
Klicken Sie unter Ansicht auf das Pfeilsymbol, um Authentifizierungs- und Autorisierungsrichtlinien basierend auf den Einstellungen und Anforderungen Ihres Netzwerks zu konfigurieren, oder wählen Sie die Standardeinstellungen aus. Klicken Sie in diesem Beispiel auf die Autorisierungsrichtlinie.
Klicken Sie auf das Pluszeichen, um eine Richtlinie hinzuzufügen.
Geben Sie den Regelnamen ein.
Klicken Sie unter Bedingungen auf das Pluszeichen, und wählen Sie die Identitätsgruppe aus. Klicken Sie auf Verwenden.
Wenden Sie das erforderliche Profil an, und klicken Sie auf Speichern.
Navigieren Sie auf dem Client-Laptop zu Netzwerkverbindungen > Ethernet, und klicken Sie auf Eigenschaften.
Klicken Sie auf die Registerkarte "Authentifizierung", und stellen Sie sicher, dass die 802.1X-Authentifizierung aktiviert ist.
Wählen Sie unter Zusätzliche Einstellungen die Option Benutzerauthentifizierung als Authentifizierungsmodus aus. Klicken Sie auf Anmeldeinformationen speichern und dann auf OK.
Klicken Sie auf Einstellungen und stellen Sie sicher, dass das Kästchen neben Identität des Servers durch Validierung des Zertifikats überprüfen deaktiviert ist. Klicken Sie auf OK.
Aktivieren Sie unter Services die Einstellungen für die kabelgebundene Autokonfiguration.
Nachdem der Benutzer authentifiziert wurde, können Sie die herunterladbare ACL überprüfen.
Melden Sie sich beim Catalyst 1300 Switch an, und navigieren Sie zum Menü Access Control > IPv4-Based ACL (Zugriffskontrolle > IPv4-basierte ACL).
In der Tabelle mit IPv4-basierten ACLs wird die heruntergeladene ACL angezeigt.
Herunterladbare ACLs können nicht bearbeitet werden.
Sie können auch überprüfen, ob Sie zum IPv4-basierten ACE navigieren, die herunterladbare ACL aus dem Dropdown-Menü ACL Name auswählen und auf Go klicken. Die in der ISE konfigurierten Regeln werden angezeigt.
Navigieren Sie zum Menü Security > 802.1 Authentication > Authenticated Hosts (Sicherheit > 802.1 Authentifizierung > Authentifizierte Hosts). Sie können die authentifizierten Benutzer überprüfen. Klicken Sie auf Authenticated Sessions, um weitere Details anzuzeigen.
Führen Sie in der CLI den Befehl show ip access-lists interface gefolgt von der Schnittstellen-ID aus.
In diesem Beispiel werden die auf Gigabit Ethernet 3 angewendeten ACLs und ACEs angezeigt.
Sie können auch die Einstellungen für die ISE-Verbindung und ACL-Downloads mithilfe des Befehls
show dot1x sessions interface <ID> detailliert. Sie können den Status, den 802.1x-Authentifizierungsstatus und die heruntergeladenen ACLs anzeigen.
Da haben Sie es! Jetzt wissen Sie, wie herunterladbare ACL auf Cisco Catalyst 1300-Switches mit der Cisco ISE funktioniert.
Weitere Informationen finden Sie im Administratorhandbuch für Catalyst 1300 und auf der Support-Seite für Cisco Catalyst Switches der Serie 1300.
Überarbeitung | Veröffentlichungsdatum | Kommentare |
---|---|---|
1.0 |
18-Jun-2025 |
Erstveröffentlichung |