L'objectif de cet article est de démontrer le fonctionnement de la liste de contrôle d'accès (DACL) téléchargeable sur les commutateurs Cisco Catalyst 1300 avec Cisco Identity Service Engine (ISE).
Les listes de contrôle d’accès dynamiques sont des listes attribuées à un port de commutateur en fonction d’une stratégie ou de critères tels que l’appartenance à un groupe de comptes d’utilisateurs, l’heure, etc. Il peut s’agir de listes de contrôle d’accès locales spécifiées par filter-ID ou de listes de contrôle d’accès téléchargeables (DACL).
Les listes de contrôle d'accès téléchargeables sont des listes dynamiques créées et téléchargées à partir du serveur Cisco ISE. Ils appliquent dynamiquement des règles de contrôle d'accès basées sur l'identité des utilisateurs et le type de périphérique. La liste de contrôle d’accès dynamique a l’avantage de vous permettre d’avoir un référentiel central pour les listes de contrôle d’accès. Vous n’avez donc pas besoin de les créer manuellement sur chaque commutateur. Lorsqu'un utilisateur se connecte à un commutateur, il n'a qu'à s'authentifier et le commutateur télécharge les listes de contrôle d'accès applicables à partir du serveur Cisco ISE.
Dans cet article, le premier cas d'utilisation sera traité en détail.
Connectez-vous au commutateur Catalyst 1300 et accédez au menu Security > RADIUS Client.
Pour RADIUS Accounting, sélectionnez l'option Port Based Access Control.
Sous RADIUS Table, cliquez sur l'icône plus pour ajouter le serveur Cisco ISE.
Entrez les détails du serveur Cisco ISE et cliquez sur Apply.
Le type d'utilisation doit être sélectionné comme 802.1x.
Accédez au menu Security > 802.1X Authentication > Properties.
Cochez cette case pour activer l'authentification basée sur les ports.
Sous Authentication Method, sélectionnez RADIUS et cliquez sur Apply.
Accédez au menu Security > 802.1X Authentication > Port Authentication. Sélectionnez le port auquel votre ordinateur portable est connecté et cliquez sur l'icône edit (Modifier). Dans cet exemple, GE8 est sélectionné.
Sélectionnez Administrative Port Control comme Auto et activez l'authentification basée sur 802.1x. Cliquez sur Apply.
La configuration ISE sort du cadre de l'assistance Cisco Business. Reportez-vous au guide d'administration ISE pour plus d'informations.
Les configurations présentées dans cet article sont un exemple de liste de contrôle d'accès téléchargeable à utiliser avec le commutateur de la gamme Cisco Catalyst 1300.
Connectez-vous à votre serveur Cisco ISE et accédez à Administration > Network Resources > Network Devices et ajoutez le périphérique de commutateur Catalyst.
Pour créer des groupes d'identité utilisateur, accédez à l'onglet Groupes et ajoutez les groupes d'identité utilisateur.
Accédez au menu Administration > Identity Management > Identities pour définir les utilisateurs et les mapper aux groupes.
Accédez au menu Politique > Eléments de politique > Résultats. Sous Authorization, cliquez sur Downloadable ACLs.
Cliquez sur l'icône Add pour créer la liste de contrôle d'accès téléchargeable.
Configurez le nom, la description, sélectionnez la version IP et entrez les entrées de contrôle d'accès (ACE) qui constitueront la liste de contrôle d'accès téléchargeable dans le champ DACL Content. Cliquez sur Save.
Seules les listes de contrôle d’accès IP sont prises en charge et la source doit être ANY. Pour les listes de contrôle d'accès sur ISE, seul IPv4 est désormais pris en charge. Si une liste de contrôle d’accès est entrée avec une autre source, alors que la syntaxe peut être correcte en ce qui concerne ISE, elle échouera lorsqu’elle sera appliquée au commutateur.
Créez des profils d'autorisation qui seront utilisés pour associer logiquement votre liste de contrôle d'accès et d'autres stratégies à l'intérieur des ensembles de stratégies ISE.
Pour ce faire, accédez à Policy > Policy Elements > Results > Authorization > Authorization Profiles et cliquez sur Add.
Dans la page Authorization Profile, configurez les éléments suivants :
Cliquez sur Save.
Pour configurer des ensembles de stratégies qui sont des regroupements logiques de stratégies d'authentification et d'autorisation, cliquez sur le menu Stratégie > Jeux de stratégies.
Vous pouvez afficher les éléments suivants lorsque vous consultez une liste d'ensembles de stratégies :
Pour créer un jeu de stratégies, cliquez sur le bouton add (ajouter).
Définissez un nom de jeu de stratégies.
Sous Conditions, cliquez sur le bouton Ajouter. Cela ouvre le Studio Conditions où vous pouvez définir où ce profil d'authentification sera utilisé. Dans cet exemple, il a été appliqué à l'adresse IP Radius-NAS-IP (le commutateur) qui est 172.19.1.250 et le trafic filaire 802.1x.
Configurez les protocoles autorisés sur l'accès réseau par défaut et cliquez sur Enregistrer.
Sous View, cliquez sur l'icône en forme de flèche pour configurer les stratégies d'authentification et d'autorisation en fonction de la configuration et des exigences de votre réseau. Vous pouvez également choisir les paramètres par défaut. Dans cet exemple, cliquez sur Stratégie d'autorisation.
Cliquez sur l'icône plus pour ajouter une stratégie.
Saisissez le nom de la règle.
Sous Conditions, cliquez sur l'icône plus et sélectionnez le groupe d'identité. Cliquez sur Utiliser.
Appliquez le profil requis et cliquez sur Enregistrer.
Sur l'ordinateur portable client, accédez à Connexions réseau > Ethernet et cliquez sur Propriétés.
Cliquez sur l'onglet Authentication et vérifiez que l'authentification 802.1X est activée.
Sous Additional Settings, sélectionnez User authentication comme mode d'authentification. Cliquez sur Save Credentials, puis sur OK.
Cliquez sur Settings et assurez-vous que la case en regard de Verify the server’s identity by validating the certificate est décochée. Click OK.
Sous Services, activez les paramètres Wired AutoConfig.
Une fois l'utilisateur authentifié, vous pouvez vérifier la liste de contrôle d'accès téléchargeable.
Connectez-vous au commutateur Catalyst 1300 et accédez au menu Access Control > IPv4-Based ACL.
La table des ACL basées sur IPv4 affiche la liste de contrôle d'accès téléchargée.
Impossible de modifier les listes de contrôle d'accès téléchargeables.
Une autre méthode de vérification consiste à accéder à l'ACE IPv4, à sélectionner la liste de contrôle d'accès téléchargeable dans le menu déroulant Nom de la liste de contrôle d'accès, puis à cliquer sur Exécuter. Les règles configurées dans ISE s'affichent.
Accédez au menu Security > 802.1 Authentication > Authenticated Hosts. Vous pouvez vérifier les utilisateurs qui sont authentifiés. Cliquez sur Authenticated Sessions pour afficher plus de détails.
À partir de l'interface de ligne de commande, exécutez la commande show ip access-lists interface suivie de l'ID d'interface.
Dans cet exemple, les listes de contrôle d'accès et les ACE appliquées à Gigabit Ethernet 3 sont visibles.
Vous pouvez également afficher les paramètres relatifs à la connexion ISE et aux téléchargements de listes de contrôle d’accès à l’aide de la commande
show dot1x sessions interface <ID> detailed. Vous pouvez afficher l'état, l'état d'authentification 802.1x et les listes de contrôle d'accès téléchargées.
Et voilà ! Allez ! Vous savez maintenant comment les listes de contrôle d'accès téléchargeables fonctionnent sur les commutateurs Cisco Catalyst 1300 avec Cisco ISE.
Pour plus d'informations, consultez le Guide d'administration de Catalyst 1300 et la page de support de la gamme Cisco Catalyst 1300.
Révision | Date de publication | Commentaires |
---|---|---|
1.0 |
18-Jun-2025 |
Première publication |