O objetivo deste artigo é demonstrar como a lista de controle de acesso (DACL) disponível para download funciona nos switches Cisco Catalyst 1300 com Cisco Identity Service Engine (ISE).
As ACLs dinâmicas são ACLs atribuídas a uma porta de switch com base em uma política ou em critérios, como a participação em grupos de contas de usuário, hora do dia e muito mais. Podem ser ACLs locais especificadas por ID de filtro ou ACLs para download (DACL).
As ACLs para download são ACLs dinâmicas criadas e baixadas do servidor Cisco ISE. Eles aplicam regras de controle de acesso dinamicamente com base na identidade do usuário e no tipo de dispositivo. A DACL tem a vantagem de permitir que você tenha um repositório central para ACLs, de modo que você não precisa criá-las manualmente em cada switch. Quando um usuário se conecta a um switch, ele só precisa se autenticar, e o switch fará o download das ACLs aplicáveis do servidor Cisco ISE.
Neste artigo, o primeiro caso de uso será discutido em detalhes.
Faça login no switch Catalyst 1300 e navegue para o menu Security > RADIUS Client.
Para Contabilidade RADIUS, selecione a opção Controle de acesso baseado em porta.
Em Tabela RADIUS, clique no ícone de mais para adicionar o servidor Cisco ISE.
Insira os detalhes do servidor Cisco ISE e clique em Apply.
O Tipo de uso deve ser selecionado como 802.1x.
Navegue para o menu Security > 802.1X Authentication > Properties.
Clique na caixa de seleção para habilitar a autenticação baseada em porta.
Em Authentication Method, selecione RADIUS e clique em Apply.
Vá para o menu Security > 802.1X Authentication > Port Authentication. Selecione a porta à qual o laptop está conectado e clique no ícone de edição. Neste exemplo, GE8 está selecionado.
Selecione Administrative Port Control como Auto e habilite 802.1x Based Authentication. Clique em Apply.
A configuração do ISE está além do escopo do suporte Cisco Business. Consulte o guia de administração do ISE para obter mais informações.
As configurações mostradas neste artigo são um exemplo de ACL para download para trabalhar com o switch Cisco Catalyst da série 1300.
Faça login no servidor Cisco ISE, navegue até Administração > Recursos de rede > Dispositivos de rede e adicione o dispositivo do switch Catalyst.
Para criar Grupos de identidade de usuário, navegue até a guia Grupos e adicione os Grupos de identidade de usuário.
Vá para o menu Administração > Gerenciamento de identidades > Identidades para definir os usuários e mapear os usuários para os grupos.
Navegue até o menu Política > Elementos de política > Resultados. Em Authorization, clique em Downloadable ACLs.
Clique no ícone Add para criar a ACL para download.
Configure o Nome, a Descrição, selecione a versão IP e insira as entradas de controle de acesso (ACEs) que formarão a ACL para download no campo DACL Content. Click Save.
Somente ACLs IP são suportadas, e a origem deve ser ANY. Para ACL no ISE, somente IPv4 é suportado agora. Se uma ACL for inserida com outra origem, embora a sintaxe possa ser boa no que diz respeito ao ISE, ela falhará quando aplicada ao switch.
Crie perfis de autorização que serão usados para associar logicamente sua DACL e outras políticas dentro dos conjuntos de políticas do ISE.
Para fazer isso, navegue para Política > Elementos de política > Resultados > Autorização > Perfis de autorização e clique em Adicionar.
Na página Authorization Profile, configure o seguinte:
Click Save.
Para configurar conjuntos de políticas que são agrupamentos lógicos de políticas de autenticação e autorização, clique no menu Policy > Policy Sets.
Você pode exibir o seguinte ao examinar uma lista de conjuntos de políticas:
Para criar um conjunto de políticas, clique no botão add.
Defina um Nome do conjunto de políticas.
Em Condições, clique no botão adicionar. Isso abre o Estúdio de Condições, onde você pode definir onde esse perfil de autenticação será usado. Neste exemplo, ele foi aplicado ao Radius-NAS-IP-Address (o switch), que é o tráfego 172.19.1.250 e wired_802.1x.
Configure os protocolos permitidos para o acesso padrão à rede e clique em Salvar.
Em View, clique no ícone de seta para configurar as políticas de autenticação e autorização com base na configuração e nos requisitos da sua rede ou você pode escolher as configurações padrão. Neste exemplo, clique em Política de autorização.
Clique no ícone do sinal de mais para adicionar uma regra.
Insira o Nome da regra.
Em Condições, clique no ícone do sinal de mais e selecione o grupo de identidade. Clique em Usar.
Aplique o perfil necessário e clique em Save.
No laptop do cliente, navegue para Conexões de rede > Ethernet e clique em Propriedades.
Clique na guia Authentication e verifique se a autenticação 802.1X está habilitada.
Em Additional Settings, selecione User authentication como modo de autenticação. Clique em Salvar credenciais e depois em OK.
Clique em Settings e certifique-se de que a caixa ao lado de Verify the server’s identity by validating the certificate esteja desmarcada. Click OK.
Em Services, habilite Wired AutoConfig .
Depois que o usuário for autenticado, você poderá verificar a ACL que pode ser obtida por download.
Faça login no switch Catalyst 1300 e navegue para o menu Controle de acesso > ACL baseada em IPv4.
A tabela ACL baseada em IPv4 exibirá a ACL baixada.
As ACLs para download não podem ser editadas.
Outra maneira de verificar é navegar paraACE baseada em IPv4, selecionar a ACL que pode ser baixada no menu suspenso Nome da ACL e clicar em Ir. As regras que foram configuradas no ISE serão exibidas.
Navegue para o menu Security > 802.1 Authentication > Authenticated Hosts. Você pode verificar os usuários autenticados. Clique em Authenticated Sessions para ver mais detalhes.
Na CLI, execute o comando show ip access-lists interface seguido pelo ID da interface.
Neste exemplo, as ACLs e ACEs aplicadas ao Gigabit Ethernet 3 podem ser vistas.
Você também pode ver as configurações relacionadas à conexão do ISE e aos downloads da ACL usando o comando
show dot1x sessions interface <ID> detailed. Você pode exibir o status, o estado da autenticação 802.1x e as ACLs baixadas.
Pronto! Agora você sabe como a ACL para download funciona nos switches Cisco Catalyst 1300 com o Cisco ISE.
Para obter mais informações, consulte o Guia de Administração do Catalyst 1300 e a Página de Suporte do Cisco Catalyst 1300 Series.
Revisão | Data de publicação | Comentários |
---|---|---|
1.0 |
18-Jun-2025 |
Versão inicial |