Obiettivo
Lo scopo di questo articolo è quello di fornire una panoramica delle funzionalità degli ACL (DACL) scaricabili sugli switch Catalyst 1300.
Dispositivi interessati | Versione software
- Catalyst serie 1300 |4.1.6.54
Introduzione
Gli ACL dinamici sono ACL assegnati a una porta dello switch in base a una policy o a criteri quali l'appartenenza al gruppo di account utente, l'ora del giorno e così via. Potrebbero essere ACL locali specificati da filter-ID o ACL scaricabili (DACL).
Gli ACL scaricabili sono ACL dinamici creati e scaricati dal server Cisco ISE. Applicano in modo dinamico le regole di controllo dell'accesso in base all'identità dell'utente e al tipo di dispositivo. DACL offre il vantaggio di disporre di un repository centrale per gli ACL, in modo che non sia necessario crearli manualmente su ciascuno switch. Quando un utente si connette a uno switch, deve solo autenticarsi e lo switch scarica gli ACL applicabili dal server Cisco ISE.
Sommario
Considerazioni su DACL
Quando si lavora con DACL su switch Catalyst 1300, è necessario tenere presenti alcune considerazioni.
- Questa funzione è esclusiva per gli switch Catalyst 1300; non è supportato sugli switch Catalyst 1200.
- Gli ACL dinamici non sono supportati nelle interfacce a cui è applicata una mappa dei criteri.
- Lo switch non invierà richieste di accesso per le regole ACL.
- Il richiedente verrà impostato sullo stato Autenticato ma non Autorizzato.
- Gli ACL dinamici si escludono a vicenda con la configurazione correlata a IP Source Guard e (a livello di interfaccia) Security-Suite
- Quando si usano ACL dinamici con switch in stack, occorre considerare alcuni aspetti.
- Se l'unità attiva esegue il failover, il nuovo switch Active non conterrà i DACL nella sua memoria locale e tutti i DACL dovranno essere nuovamente scaricati.
- Tutte le regole applicate alle interfacce assegnate come parte dell'autenticazione del sistema client verranno rimosse.
- Se si utilizza MAB (MAC Authentication Bypass), è necessario impostare il tipo di autenticazione MAC su RADIUS (anziché il metodo EAP predefinito).
- Lunghezza nome ACL
- DACL: 64 caratteri
- Statico: 32 caratteri
- Gli ACL dinamici sono tutti estesi.
- Gli elenchi DACL utilizzano un numero di risorse TCAM superiore al previsto.
- Gli ACL scaricabili vengono eliminati automaticamente quando nessuna porta lo usa.
- L'ACL predefinito creato per gli ACL dinamici viene eliminato automaticamente quando nessuna porta usa ACL dinamici o scaricabili.
Processo di download DACL
- Avvia come autenticazione 802.1x standard.
- Dopo l'autenticazione del client
- Il server ISE invia un messaggio di accettazione dell'accesso RADIUS al fornitore Cisco AVPair - ACS: CiscoSecure-Defined-ACL = <Nome ACL>
- Lo switch invia una richiesta di accesso RADIUS con AVPair - aaa:event=acl-download
- Il server ISE invia un messaggio di accesso RADIUS con il fornitore Cisco AVPair-ip:inacl#<Numero della voce ACE> = ACE
Nomi ACL scaricabili
Il nome scaricato e assegnato al DACL sullo switch non è lo stesso del DACL creato su ISE.
Ad esempio, se in ISE viene creato un DACL denominato Marketing_ACL, quando viene scaricato potrebbe essere visualizzato come #ACSACL#-IP-Marketing_ACL-57f6b0d4.
- Format su server ISE: <nome> - ad esempio: ACL_marketing
- Formato scaricato sullo switch C1300
- #ACSACL#-IP-<nome>-<numero>
- es: #ACSACL#-IP-Marketing_ACL-57f6b0d4
- Segmenti nome
- #ACSACL# - Prefisso aggiunto da ISE
- IP - indica il tipo di ACL (ACL IP)
- <name> - Nome dell'ACL creato su ISE
- <number> - numero di versione in ASCII hex
- La lunghezza del nome deve essere minore o uguale a 64 caratteri
- Incapsulato in Cisco-AVPair: ACS:CiscoSecure-Defined-ACL= <nome scaricato>
Conclusioni
Ora che si è a conoscenza di tutti gli ACL scaricabili nello switch Catalyst 1300, consultare l'articolo ACL scaricabili negli switch Catalyst 1300 per la procedura di configurazione.
Per ulteriori informazioni, consultare la Guida all'amministrazione di Catalyst 1300 e la pagina di supporto di Cisco Catalyst serie 1300.