Solución de problemas de terminales Catalyst serie 9000 que no reciben dirección DHCP cuando ISE la redirige

Opciones de descarga

PDF (245.8 KB)
Visualice con Adobe Reader en una variedad de dispositivos
ePub (88.2 KB)
Visualice en diferentes aplicaciones en iPhone, iPad, Android, Sony Reader o Windows Phone
Mobi (Kindle) (74.3 KB)
Visualice en dispositivo Kindle o aplicación Kindle en múltiples dispositivos

Actualizado:14 de mayo de 2026

ID del documento:225823

Lenguaje no discriminatorio

El conjunto de documentos para este producto aspira al uso de un lenguaje no discriminatorio. A los fines de esta documentación, "no discriminatorio" se refiere al lenguaje que no implica discriminación por motivos de edad, discapacidad, género, identidad de raza, identidad étnica, orientación sexual, nivel socioeconómico e interseccionalidad. Puede haber excepciones en la documentación debido al lenguaje que se encuentra ya en las interfaces de usuario del software del producto, el lenguaje utilizado en función de la documentación de la RFP o el lenguaje utilizado por un producto de terceros al que se hace referencia. Obtenga más información sobre cómo Cisco utiliza el lenguaje inclusivo.

Acerca de esta traducción

Cisco ha traducido este documento combinando la traducción automática y los recursos humanos a fin de ofrecer a nuestros usuarios en todo el mundo contenido en su propio idioma. Tenga en cuenta que incluso la mejor traducción automática podría no ser tan precisa como la proporcionada por un traductor profesional. Cisco Systems, Inc. no asume ninguna responsabilidad por la precisión de estas traducciones y recomienda remitirse siempre al documento original escrito en inglés (insertar vínculo URL).

Contenido

Problema

Después de habilitar la autenticación mediante la redirección desde Cisco Identity Services Engine (ISE) en un switch Cisco Catalyst serie 9000, los terminales con cable no pueden obtener direcciones IP de forma intermitente a través del protocolo de configuración dinámica de host (DHCP). No se observan problemas en los switches que no son Catalyst serie 9000 que utilizan las mismas configuraciones.

Entorno

Familia de productos: Catalyst 9000 Series
Equipos Windows que experimentan errores de adquisición DHCP
La lista de control de acceso (ACL) de redirección en el switch Catalyst serie 9000 no deniega explícitamente el tráfico DHCP

Resolución

1. Agregue las siguientes sentencias deny a la ACL de redirección para manejar explícitamente el tráfico DHCP:

deny udp any eq bootps any

deny udp any any eq bootpc

deny udp any eq bootpc any

2. Después de modificar la ACL, vuelva a autenticar un dispositivo que fallaba anteriormente para verificar que ahora puede recuperar correctamente una dirección IP a través de DHCP.

Causa

Los switches Catalyst de la serie 9000 procesan paquetes de manera diferente que los modelos de switches más antiguos cuando la autenticación está habilitada. El orden de procesamiento de paquetes en los switches Catalyst de la serie 9000 es el siguiente:

1. Los paquetes que coinciden con una regla permit Access Control Entry (ACE) se envían a la CPU para su redirección al servidor AAA.

2. Los paquetes que coinciden con una regla ACE de negación se reenvían a través del switch.

3. La siguiente lista de control de acceso descargable (DACL) procesa los paquetes que no coinciden con las reglas ACE de permiso o denegación y, si no existe ninguna DACL, los paquetes llegan a la ACL de denegación implícita y se descartan.

Este método de procesamiento difiere de los modelos de switch más antiguos que utilizan ACL predeterminadas que permiten el tráfico DHCP de forma predeterminada y se procesan antes de redirigir ACL. Los modelos de Catalyst serie 9000 no utilizan estas ACL predeterminadas y, en su lugar, dependen completamente de la ACL de redirección y la DACL en su lugar en la sesión. La ACL predeterminada para sesiones de modo cerrado en switches Catalyst predecesores es la siguiente:

3750#sh ip access-lists Auth-Default-ACL

Extended IP access list Auth-Default-ACL

10 permit udp any range bootps 65347 any range bootpc 65348 (22 coincidencias)

20 permit udp any any range bootps 65347 (12 coincidencias)

30 deny ip any any

Contenido relacionado

Historial de revisiones

Revisión	Fecha de publicación	Comentarios
3.0	14-May-2026	Recertificación.
2.0	08-May-2026	Revisado y volverá a publicar cuando no esté sincronizado con la versión anterior.
1.0	30-Apr-2026	Versión inicial

Con la colaboración de ingenieros de Cisco