El objetivo de este artículo es demostrar cómo funciona la lista de control de acceso (DACL) descargable en los switches Cisco Catalyst 1300 con Cisco Identity Service Engine (ISE).
Las ACL dinámicas son ACL asignadas a un puerto de switch en función de una política o criterios como la pertenencia a grupos de cuentas de usuario, la hora del día, etc. Pueden ser ACL locales que se especifican mediante ID de filtro o ACL descargables (DACL).
Las ACL descargables son ACL dinámicas que se crean y descargan del servidor Cisco ISE. Aplican dinámicamente reglas de control de acceso basadas en la identidad del usuario y el tipo de dispositivo. DACL tiene la ventaja de que le permite tener un repositorio central para las ACL, por lo que no necesita crearlas manualmente en cada switch. Cuando un usuario se conecta a un switch, solo tiene que autenticarse y el switch descargará las ACL aplicables del servidor Cisco ISE.
En este artículo, el primer caso práctico se tratará en detalle.
Inicie sesión en el switch Catalyst 1300 y navegue hasta el menú Security > RADIUS Client.
Para RADIUS Accounting, seleccione la opción Port Based Access Control.
En Tabla RADIUS, haga clic en el icono más para agregar el servidor Cisco ISE.
Introduzca los detalles del servidor Cisco ISE y haga clic en Apply.
El tipo de uso debe seleccionarse como 802.1x.
Vaya al menú Security > 802.1X Authentication > Properties.
Haga clic en la casilla de verificación para habilitar la autenticación basada en puerto.
En Método de autenticación, seleccione RADIUS y haga clic en Aplicar.
Vaya al menú Security > 802.1X Authentication > Port Authentication. Seleccione el puerto al que está conectado el portátil y haga clic en el icono de edición. En este ejemplo, se selecciona GE8.
Seleccione Administrative Port Control como Auto y habilite la autenticación basada en 802.1x. Haga clic en Apply (Aplicar).
La configuración de ISE está fuera del alcance de la asistencia empresarial de Cisco. Consulte la guía ISE Admin para obtener más información.
Las configuraciones que se muestran en este artículo son un ejemplo de ACL descargable para funcionar con el switch Catalyst de Cisco serie 1300.
Inicie sesión en su servidor Cisco ISE y navegue hasta Administration > Network Resources > Network Devices y agregue el dispositivo de switch Catalyst.
Para crear grupos de identidad de usuario, vaya a la ficha Groups y agregue los grupos de identidad de usuario.
Vaya al menú Administration > Identity Management > Identities para definir los usuarios y asignarlos a los grupos.
Vaya al menú Policy > Policy Elements > Results. En Autorización, haga clic en ACL descargables.
Haga clic en el icono Add para crear la ACL descargable.
Configure el Nombre, la Descripción, seleccione la versión de IP e ingrese las entradas de control de acceso (ACE) que conformarán la ACL descargable en el campo DACL Content. Click Save.
Sólo se admiten ACL IP y el origen debe ser ANY. Para ACL en ISE, ahora solo se admite IPv4. Si se ingresa una ACL con otro origen, aunque la sintaxis puede ser correcta en lo que respecta a ISE, fallará cuando se aplique al switch.
Cree perfiles de autorización que se utilizarán para asociar lógicamente su DACL y otras políticas dentro de los conjuntos de políticas de ISE.
Para ello, navegue hasta Política > Elementos de política > Resultados > Autorización > Perfiles de autorización y haga clic en Agregar.
En la página Perfil de autorización, configure lo siguiente:
Click Save.
Para configurar conjuntos de directivas que sean agrupaciones lógicas de directivas de autenticación y autorización, haga clic en el menú Directiva > Conjuntos de directivas.
Puede ver lo siguiente al consultar una lista de conjuntos de políticas:
Para crear un conjunto de políticas, haga clic en el botón add.
Defina un nombre de conjunto de políticas.
En Condiciones, haga clic en el botón Agregar. Esto abre Conditions Studio, donde puede definir dónde se utilizará este perfil de autenticación. En este ejemplo, se ha aplicado al Radius-NAS-IP-Address (el switch) que es tráfico 172.19.1.250 y wired_802.1x.
Configure los Protocolos Permitidos para el Acceso a la Red Predeterminado y haga clic en Guardar.
En Ver, haga clic en el icono de flecha para configurar las políticas de autenticación y autorización en función de la configuración y los requisitos de la red o puede elegir los valores predeterminados. En este ejemplo, haga clic en Directiva de autorización.
Haga clic en el icono más para agregar una política.
Introduzca el nombre de la regla.
En Condiciones, haga clic en el icono más y seleccione el grupo de identidad. Haga clic en Usar.
Aplique el perfil necesario y haga clic en Guardar.
En el equipo portátil del cliente, navegue hasta Conexiones de red > Ethernet y haga clic en Propiedades.
Haga clic en la pestaña Authentication y asegúrese de que la autenticación 802.1X esté habilitada.
En Configuración adicional, seleccione Autenticación de usuario como modo de autenticación. Haga clic en Save Credentials y luego en OK.
Haga clic en Configuración y asegúrese de que la casilla junto a Verificar la identidad del servidor validando el certificado esté desactivada. Click OK.
En Services, habilite Wired AutoConfig.
Una vez autenticado el usuario, puede verificar la ACL descargable.
Inicie sesión en el switch Catalyst 1300 y navegue hasta Access Control > IPv4-Based ACL menu.
La Tabla ACL Basada en IPv4 mostrará la ACL descargada.
Las ACL descargables no se pueden editar.
Otra forma de verificarlo es navegar a la ACE basada en IPv4, seleccionar la ACL descargable del menú desplegable Nombre de ACL y hacer clic en Ir. Se mostrarán las reglas que se han configurado en ISE.
Vaya al menú Security > 802.1 Authentication > Authenticated Hosts . Puede comprobar los usuarios autenticados. Haga clic en Authenticated Sessions para ver más detalles.
Desde la CLI, ejecute el comando show ip access-lists interface seguido del ID de interfaz.
En este ejemplo, se pueden ver las ACL y ACE aplicadas a Gigabit Ethernet 3.
También puede ver la configuración relacionada con la conexión ISE y las descargas de ACL mediante el comando
show dot1x sessions interface <ID> detailed. Puede ver el estado, el estado de autenticación 802.1x y las ACL descargadas.
¡Ahí tienes! Ahora ya sabe cómo funciona la ACL descargable en los switches Cisco Catalyst 1300 con Cisco ISE.
Para obtener más información, consulte la Guía de administración de Catalyst 1300 y la Página de soporte de Cisco Catalyst 1300 Series.
Revisión | Fecha de publicación | Comentarios |
---|---|---|
1.0 |
18-Jun-2025 |
Versión inicial |