Panoramica degli ACL scaricabili negli switch Catalyst 1300

Opzioni per il download

  • PDF     (396.7 KB)
    Visualizza con Adobe Reader su diversi dispositivi
Aggiornato:24 giugno 2025
ID documento:1750806081046281

Linguaggio senza pregiudizi

La documentazione per questo prodotto è stata redatta cercando di utilizzare un linguaggio senza pregiudizi. Ai fini di questa documentazione, per linguaggio senza di pregiudizi si intende un linguaggio che non implica discriminazioni basate su età, disabilità, genere, identità razziale, identità etnica, orientamento sessuale, status socioeconomico e intersezionalità. Le eventuali eccezioni possono dipendere dal linguaggio codificato nelle interfacce utente del software del prodotto, dal linguaggio utilizzato nella documentazione RFP o dal linguaggio utilizzato in prodotti di terze parti a cui si fa riferimento. Scopri di più sul modo in cui Cisco utilizza il linguaggio inclusivo.

Informazioni su questa traduzione

Cisco ha tradotto questo documento utilizzando una combinazione di tecnologie automatiche e umane per offrire ai nostri utenti in tutto il mondo contenuti di supporto nella propria lingua. Si noti che anche la migliore traduzione automatica non sarà mai accurata come quella fornita da un traduttore professionista. Cisco Systems, Inc. non si assume alcuna responsabilità per l’accuratezza di queste traduzioni e consiglia di consultare sempre il documento originale in inglese (disponibile al link fornito).

kmgmt3829-panoramica-scaricabile-acl-in-catalyst-1300-switch

Obiettivo

Lo scopo di questo articolo è quello di fornire una panoramica delle funzionalità degli ACL (DACL) scaricabili sugli switch Catalyst 1300.

Dispositivi interessati | Versione software

  • Catalyst serie 1300 |4.1.6.54

Introduzione

Gli ACL dinamici sono ACL assegnati a una porta dello switch in base a una policy o a criteri quali l'appartenenza al gruppo di account utente, l'ora del giorno e così via. Potrebbero essere ACL locali specificati da filter-ID o ACL scaricabili (DACL).

Gli ACL scaricabili sono ACL dinamici creati e scaricati dal server Cisco ISE. Applicano in modo dinamico le regole di controllo dell'accesso in base all'identità dell'utente e al tipo di dispositivo. DACL offre il vantaggio di disporre di un repository centrale per gli ACL, in modo che non sia necessario crearli manualmente su ciascuno switch. Quando un utente si connette a uno switch, deve solo autenticarsi e lo switch scarica gli ACL applicabili dal server Cisco ISE.

Sommario

Considerazioni su DACL

Quando si lavora con DACL su switch Catalyst 1300, è necessario tenere presenti alcune considerazioni.

  • Questa funzione è esclusiva per gli switch Catalyst 1300; non è supportato sugli switch Catalyst 1200.
  • Gli ACL dinamici non sono supportati nelle interfacce a cui è applicata una mappa dei criteri.
    • Lo switch non invierà richieste di accesso per le regole ACL.
    • Il richiedente verrà impostato sullo stato Autenticato ma non Autorizzato.
  • Gli ACL dinamici si escludono a vicenda con la configurazione correlata a IP Source Guard e (a livello di interfaccia) Security-Suite
  • Quando si usano ACL dinamici con switch in stack, occorre considerare alcuni aspetti.
    • Se l'unità attiva esegue il failover, il nuovo switch Active non conterrà i DACL nella sua memoria locale e tutti i DACL dovranno essere nuovamente scaricati.
    • Tutte le regole applicate alle interfacce assegnate come parte dell'autenticazione del sistema client verranno rimosse.
  • Se si utilizza MAB (MAC Authentication Bypass), è necessario impostare il tipo di autenticazione MAC su RADIUS (anziché il metodo EAP predefinito).
  • Lunghezza nome ACL
    • DACL: 64 caratteri
    • Statico: 32 caratteri
  • Gli ACL dinamici sono tutti estesi.
  • Gli elenchi DACL utilizzano un numero di risorse TCAM superiore al previsto.
  • Gli ACL scaricabili vengono eliminati automaticamente quando nessuna porta lo usa.
  • L'ACL predefinito creato per gli ACL dinamici viene eliminato automaticamente quando nessuna porta usa ACL dinamici o scaricabili.

Processo di download DACL

  • Avvia come autenticazione 802.1x standard.
  • Dopo l'autenticazione del client
    • Il server ISE invia un messaggio di accettazione dell'accesso RADIUS al fornitore Cisco AVPair - ACS: CiscoSecure-Defined-ACL = <Nome ACL>
    • Lo switch invia una richiesta di accesso RADIUS con AVPair - aaa:event=acl-download
    • Il server ISE invia un messaggio di accesso RADIUS con il fornitore Cisco AVPair-ip:inacl#<Numero della voce ACE> = ACE
A diagram of a computer system AI-generated content may be incorrect.

Nomi ACL scaricabili

Il nome scaricato e assegnato al DACL sullo switch non è lo stesso del DACL creato su ISE.

Ad esempio, se in ISE viene creato un DACL denominato Marketing_ACL, quando viene scaricato potrebbe essere visualizzato come #ACSACL#-IP-Marketing_ACL-57f6b0d4.

  • Format su server ISE: <nome> - ad esempio: ACL_marketing
  • Formato scaricato sullo switch C1300
    • #ACSACL#-IP-<nome>-<numero>
    • es: #ACSACL#-IP-Marketing_ACL-57f6b0d4
  • Segmenti nome
    • #ACSACL# - Prefisso aggiunto da ISE
    • IP - indica il tipo di ACL (ACL IP)
    • <name> - Nome dell'ACL creato su ISE
    • <number> - numero di versione in ASCII hex
  • La lunghezza del nome deve essere minore o uguale a 64 caratteri
  • Incapsulato in Cisco-AVPair: ACS:CiscoSecure-Defined-ACL= <nome scaricato>

Conclusioni

Ora che si è a conoscenza di tutti gli ACL scaricabili nello switch Catalyst 1300, consultare l'articolo ACL scaricabili negli switch Catalyst 1300 per la procedura di configurazione.

Per ulteriori informazioni, consultare la Guida all'amministrazione di Catalyst 1300 e la pagina di supporto di Cisco Catalyst serie 1300.

Cronologia delle revisioni

Revisione Data di pubblicazione Commenti
1.0
24-Jun-2025
Versione iniziale

Questo documento ti è stato utile?

FeedbackFeedback

Contattaci

Questo documento si applica a questi prodotti