Het doel van dit artikel is om aan te tonen hoe de downloadbare Access Control List (DACL) werkt op Cisco Catalyst 1300-switches met Cisco Identity Service Engine (ISE).
ACL's zijn ACL's die aan een switch-poort zijn toegewezen op basis van een beleid of criteria zoals gebruikersaccountgroeplidmaatschap, tijdstip van de dag en meer. Dit kunnen lokale ACL's zijn die zijn opgegeven door filter-ID of downloadbare ACL's (DACL).
Downloadbare ACL's zijn dynamische ACL's die worden gemaakt en gedownload van de Cisco ISE-server. Ze passen dynamisch toegangscontroleregels toe op basis van gebruikersidentiteit en apparaattype. DACL heeft het voordeel dat u één centrale repository voor ACL's kunt hebben, dus u hoeft ze niet handmatig op elke switch te maken. Wanneer een gebruiker verbinding maakt met een switch, hoeft deze alleen maar te worden geverifieerd en de switch downloadt de toepasselijke ACL's van de Cisco ISE-server.
In dit artikel wordt de eerste use case uitvoerig besproken.
Meld u aan bij de Catalyst 1300-switch en navigeer naar Beveiliging > RADIUS-clientmenu.
Selecteer voor RADIUS-boekhouding de optie Port Based Access Control (Toegangsbeheer op basis van poort).
Klik onder RADIUS-tabel op het pluspictogram om de Cisco ISE-server toe te voegen.
Voer de Cisco ISE Server-gegevens in en klik op Toepassen.
Het gebruikstype moet zijn geselecteerd als 802.1x.
Navigeer naar Beveiliging > 802.1X-verificatie > menu Eigenschappen.
Klik op het selectievakje om Port-Based Authentication (Poortgebaseerde verificatie) in te schakelen.
Selecteer onder Verificatiemethode de optie RADIUS en klik op Toepassen.
Ga naar Beveiliging > 802.1X-verificatie > Poortverificatie menu. Selecteer de poort waarop uw laptop is aangesloten en klik op het pictogram Bewerken. In dit voorbeeld wordt GE8 geselecteerd.
Selecteer het beheerpoortbesturingselement als automatisch en schakel 802.1x-gebaseerde verificatie in. Klik op Apply (Toepassen).
ISE-configuratie valt buiten het bereik van Cisco Business Support. Raadpleeg de ISE-beheerdershandleiding voor meer informatie.
De configuraties in dit artikel zijn een voorbeeld voor downloadbare ACL om te werken met Cisco Catalyst 1300-serie switch.
Meld u aan bij uw Cisco ISE-server en navigeer naar Beheer > Netwerkbronnen > Netwerkapparaten en voeg het Catalyst switch-apparaat toe.
Om gebruikersidentiteitsgroepen te maken, bladert u naar het tabblad Groepen en voegt u de gebruikersidentiteitsgroepen toe.
Ga naar het menu Beheer > Identiteitsbeheer > Identiteiten om de gebruikers te definiëren en de gebruikers aan de groepen toe te wijzen.
Navigeer naar Beleid > Beleidselementen > Resultaten menu. Klik onder Autorisatie op Downloadbare ACL's.
Klik op het pictogram Toevoegen om de downloadbare ACL te maken.
Configureer de naam, beschrijving, selecteer de IP-versie en voer de toegangscontrole-items (ACE's) in waaruit de downloadbare ACL bestaat in het veld DACL-inhoud. Klik op Save (Opslaan).
Alleen IP-ACL's worden ondersteund en de bron moet ELKE zijn. Voor ACL op ISE wordt nu alleen IPv4 ondersteund. Als een ACL wordt ingevoerd met een andere bron, terwijl de syntaxis prima kan zijn wat ISE betreft, zal het falen wanneer toegepast op de switch.
Machtigingsprofielen maken die worden gebruikt om uw DACL en andere beleidsregels logisch aan elkaar te koppelen binnen de ISE-beleidssets.
Ga hiervoor naar Beleid > Beleidselementen > Resultaten > Autorisatie > Autorisatieprofielen en klik op Toevoegen.
Configureer op de pagina Autorisatieprofiel het volgende:
Klik op Save (Opslaan).
Als u beleidssets wilt configureren die logische groepen van verificatie- en autorisatiebeleid zijn, klikt u op Beleid > Beleidsreeksen in het menu.
U kunt het volgende bekijken bij het bekijken van een lijst met beleidssets:
Als u een beleidsset wilt maken, klikt u op de knop Toevoegen.
Definieer een naam voor de beleidsset.
Klik onder Voorwaarden op de knop Toevoegen. Dit opent de Conditions Studio waar u kunt definiëren waar dit verificatieprofiel wordt gebruikt. In dit voorbeeld is het toegepast op het Radius-NAS-IP-adres (de switch) dat 172.19.1.250 en bekabeld_802.1x-verkeer is.
Configureer de toegestane protocollen voor de standaardnetwerktoegang en klik op Opslaan.
Klik onder Weergave op het pijltje om het verificatie- en autorisatiebeleid te configureren op basis van de netwerkconfiguratie en -vereisten of u kunt de standaardinstellingen kiezen. Klik in dit voorbeeld op Autorisatiebeleid.
Klik op het plus-pictogram om een beleid toe te voegen.
Voer de naam van de regel in.
Klik onder Voorwaarden op het plus-pictogram en selecteer de identiteitsgroep. Klik op Gebruiken.
Pas het gewenste profiel toe en klik op Opslaan.
Navigeer op de clientlaptop naar Netwerkverbindingen > Ethernet en klik op Eigenschappen.
Klik op het tabblad Verificatie en controleer of 802.1X-verificatie is ingeschakeld.
Selecteer onder Aanvullende instellingen de optie Gebruikersverificatie als verificatiemodus. Klik op Inloggegevens opslaan en vervolgens op OK.
Klik op Instellingen en zorg ervoor dat het vakje naast Verifiëren van de identiteit van de server door het valideren van het certificaat is uitgeschakeld. Klik op OK.
Schakel onder Services de instellingen voor bekabelde automatische configuratie in.
Zodra de gebruiker is geverifieerd, kunt u de downloadbare ACL controleren.
Meld u aan bij de Catalyst 1300-switch en navigeer naar Toegangscontrole > Op IPv4 gebaseerde ACL-menu.
De ACL-tabel op basis van IPv4 geeft de gedownloade ACL weer.
Downloadbare ACL's kunnen niet worden bewerkt.
Een andere manier om te controleren is om naar IPv4-gebaseerde ACE te navigeren, selecteer de downloadbare ACL in het vervolgkeuzemenu ACL-naam en klik op Go. De regels die in ISE zijn geconfigureerd, worden weergegeven.
Navigeer naar Beveiliging > 802.1-verificatie > Het menu Geverifieerde hosts. U kunt controleren welke gebruikers zijn geverifieerd. Klik op Authenticated Sessions voor meer informatie.
Voer vanuit de CLI de opdracht show ip access-lists interface uit, gevolgd door de interface-ID.
In dit voorbeeld zijn ACL's en ACE's toegepast op Gigabit Ethernet 3 te zien.
U kunt ook instellingen zien met betrekking tot de ISE-verbinding en ACL-downloads met behulp van de opdracht
tonen dot1x sessies interface <ID> gedetailleerd. U kunt de status, de 802.1x-verificatiestatus en de gedownloade ACL's bekijken.
Daar ga je! Nu weet u hoe downloadbare ACL werkt op Cisco Catalyst 1300-switches met Cisco ISE.
Raadpleeg de Catalyst 1300-beheerdershandleiding en de ondersteuningspagina van de Cisco Catalyst 1300-reeks voor meer informatie.
Revisie | Publicatiedatum | Opmerkingen |
---|---|---|
1.0 |
18-Jun-2025 |
Eerste vrijgave |