L'obiettivo di questo articolo è dimostrare il funzionamento del DACL (Access Control List) scaricabile sugli switch Cisco Catalyst 1300 con Cisco Identity Service Engine (ISE).
Gli ACL dinamici sono ACL assegnati a una porta dello switch in base a una policy o a criteri quali l'appartenenza al gruppo di account utente, l'ora del giorno e così via. Potrebbero essere ACL locali specificati da filter-ID o ACL scaricabili (DACL).
Gli ACL scaricabili sono ACL dinamici creati e scaricati dal server Cisco ISE. Applicano in modo dinamico le regole di controllo dell'accesso in base all'identità dell'utente e al tipo di dispositivo. DACL offre il vantaggio di disporre di un repository centrale per gli ACL, in modo che non sia necessario crearli manualmente su ciascuno switch. Quando un utente si connette a uno switch, deve solo autenticarsi e lo switch scarica gli ACL applicabili dal server Cisco ISE.
In questo articolo, il primo caso di utilizzo sarà discusso in dettaglio.
Accedere allo switch Catalyst 1300 e selezionare Security > RADIUS Client menu.
Per Accounting RADIUS, selezionare l'opzione Controllo di accesso basato sulla porta.
In Tabella RADIUS, fare clic sull'icona più per aggiungere Cisco ISE Server.
Immettere i dettagli di Cisco ISE Server e fare clic su Apply (Applica).
Il tipo di utilizzo deve essere selezionato come 802.1x.
Selezionare Protezione > Autenticazione 802.1X > Menu Proprietà.
Fare clic sulla casella di controllo per abilitare l'autenticazione basata sulla porta.
In Metodo di autenticazione, selezionare RADIUS e fare clic su Applica.
Andare al menu Security > 802.1X Authentication > Port Authentication (Sicurezza > Autenticazione 802.1X> Autenticazione porta). Selezionare la porta a cui è collegato il portatile e fare clic sull'icona Modifica. Nell'esempio è selezionato GE8.
Selezionare Administrative Port Control come Auto e abilitare l'autenticazione basata su 802.1x. Fare clic su Apply (Applica).
La configurazione ISE non rientra nell'ambito del supporto Cisco Business. Per ulteriori informazioni, consultare la guida per l'amministratore di ISE.
Le configurazioni mostrate in questo articolo sono un esempio di ACL scaricabili per usare gli switch Cisco Catalyst serie 1300.
Accedere al server Cisco ISE e selezionare Amministrazione > Risorse di rete > Dispositivi di rete, quindi aggiungere il dispositivo dello switch Catalyst.
Per creare i gruppi di identità utente, passare alla scheda Gruppi e aggiungere i gruppi di identità utente.
Andare al menu Amministrazione > Gestione delle identità > Identità per definire gli utenti e mappare gli utenti ai gruppi.
Passare a Criterio > Elementi criteri > menu Risultati. In Authorization (Autorizzazione), fare clic su Downloadable ACLs (ACL scaricabili).
Fare clic sull'icona Add per creare l'ACL scaricabile.
Configurare il nome, la descrizione, selezionare la versione IP e immettere le voci di controllo di accesso (ACE) che costituiranno l'ACL scaricabile nel campo Contenuto DACL. Fare clic su Save (Salva).
Sono supportati solo gli ACL IP e l'origine deve essere ANY (QUALSIASI). Per ACL su ISE, ora è supportato solo IPv4. Se un ACL viene immesso con un'altra origine, anche se la sintassi può essere corretta per quanto riguarda ISE, non riuscirà quando applicato allo switch.
Creare profili di autorizzazione che verranno utilizzati per associare logicamente il DACL e altri criteri all'interno dei set di criteri ISE.
A tale scopo, selezionare Policy > Policy Elements > Results > Authorization > Authorization Profiles (Criteri > Elementi criteri > Risultati > Autorizzazione > Profili di autorizzazione) e fare clic su Add (Aggiungi).
Nella pagina Profilo di autorizzazione, configurare quanto segue:
Fare clic su Save (Salva).
Per configurare i set di criteri che sono raggruppamenti logici di criteri di autenticazione e autorizzazione, scegliere Criterio > Set di criteri dal menu.
Quando si esamina un elenco di set di criteri, è possibile visualizzare quanto segue:
Per creare un set di criteri, fare clic sul pulsante Aggiungi.
Definire un nome per il set di criteri.
In Condizioni fare clic sul pulsante Aggiungi. Verrà aperto Conditions Studio in cui è possibile definire dove verrà utilizzato questo profilo di autenticazione. Nell'esempio, è stato applicato all'indirizzo Radius-NAS-IP-Address (lo switch), ossia al traffico 172.19.1.250 e wired_802.1x.
Configurare i Protocolli consentiti in Accesso di rete predefinito e fare clic su Salva.
In Visualizza fare clic sull'icona a forma di freccia per configurare i criteri di autenticazione e autorizzazione in base alla configurazione della rete e ai requisiti oppure scegliere le impostazioni predefinite. In questo esempio fare clic su Criteri di autorizzazione.
Fare clic sull'icona più per aggiungere un criterio.
Immettere il nome della regola.
In Condizioni, fare clic sull'icona più e selezionare il gruppo di identità. Fare clic su Usa.
Applicate il profilo richiesto e fate clic su Salva (Save).
Sul laptop client, selezionare Connessioni di rete > Ethernet e fare clic su Proprietà.
Fare clic sulla scheda Authentication (Autenticazione) e verificare che l'autenticazione 802.1X sia abilitata.
In Impostazioni aggiuntive, selezionare Autenticazione utente come modalità di autenticazione. Fare clic su Salva credenziali e quindi su OK.
Fare clic su Settings (Impostazioni) e assicurarsi che la casella accanto a Verify the server’s identity by validating the certificate (Verifica dell’identità del server tramite la convalida del certificato) sia deselezionata. Fare clic su OK.
In Servizi, abilitare le impostazioni di configurazione automatica per reti cablate.
Dopo aver autenticato l'utente, è possibile verificare l'ACL scaricabile.
Accedere allo switch Catalyst 1300 e selezionare Access Control > IPv4-Based ACL menu.
La tabella ACL basata su IPv4 visualizzerà l'ACL scaricato.
Non è possibile modificare gli ACL scaricabili.
Un altro modo per verificare è individuare l'ACL basato su IPv4, selezionare l'ACL scaricabile dal menu a discesa Nome ACL e fare clic su Vai. Verranno visualizzate le regole configurate in ISE.
Passare a Protezione > Autenticazione 802.1 > Menu Host autenticati. È possibile verificare gli utenti autenticati. Per ulteriori informazioni, fare clic su Authenticated Sessions.
Dalla CLI, eseguire il comando show ip access-lists interface seguito dall'ID dell'interfaccia.
Nell'esempio, è possibile visualizzare gli ACL e gli ACE applicati alla rete Gigabit Ethernet 3.
Per visualizzare le impostazioni relative alla connessione ISE e ai download degli ACL, usare il comando
show dot1x session interface <ID> in dettaglio. È possibile visualizzare lo stato, lo stato di autenticazione 802.1x e gli ACL scaricati.
Ecco qua! Ora sapete come funziona il download dell'ACL sugli switch Cisco Catalyst 1300 con Cisco ISE.
Per ulteriori informazioni, consultare la Guida all'amministrazione di Catalyst 1300 e la pagina di supporto di Cisco Catalyst serie 1300.
Revisione | Data di pubblicazione | Commenti |
---|---|---|
1.0 |
18-Jun-2025 |
Versione iniziale |