Introducción
En redes empresariales complejas, gestionar quién puede hacer qué y dónde es un desafío constante. Con equipos distribuidos en regiones, campus y edificios, asignar permisos manualmente genera riesgos de seguridad y operaciones inconsistentes. Cisco Catalyst Center introduce site-based RBAC, un modelo que vincula roles de usuario con la jerarquía de sitios de tu red para delimitar claramente qué pueden hacer y dónde pueden hacerlo.
Este enfoque no solo simplifica la administración de accesos, sino que también reduce errores al aplicar el principio de mínimo privilegio de forma automatizada. A continuación, te mostramos cómo implementarlo en cinco pasos prácticos.
Qué es y para qué sirve
El site-based RBAC en Catalyst Center combina dos conceptos clave:
- Roles: Define qué acciones puede realizar un usuario (ej.: configurar switches, aplicar políticas, monitorear).
- Sitios: Asocia esos roles a ubicaciones específicas de tu red (regiones, campus, edificios).
La unión de ambos se realiza mediante grupos de acceso, que asignan un rol a un sitio concreto. Por ejemplo:
- Un técnico de soporte en Campus A solo podrá modificar switches en ese edificio.
- Un auditor de Región Latinoamérica tendrá permisos de solo lectura en toda la región.
Esto elimina la necesidad de configurar permisos usuario por usuario y centraliza el control desde Catalyst Center, incluso en redes distribuidas.
Prerequisitos
Antes de comenzar, verifica lo siguiente:
| Requisito | Versión/Detalle | Notas |
|---|---|---|
| **Cisco Catalyst Center** | 2.3.3 o superior | Revisa con �BLOCK8� en el CLI o en la UI: *Administración > Acerca de*. |
| **Jerarquía de sitios** | Configurada y sincronizada | Debe reflejar la estructura física de tu red. Si no está definida, [creala primero](https://www.cisco.com/c/en/us/td/docs/cloud-systems-management/catalyst-center/2-x/network-plug-and-play/2-x-guide/configure-network-hierarchy.html). |
| **Usuarios locales** | Habilitados en Catalyst Center | Opcional, pero útil para pruebas. Usa usuarios con rol **Admin** para configurar RBAC. Para entornos productivos, integra con un sistema de identidad externo (ej.: Cisco ISE, Active Directory). |
| **Permisos** | Rol **RBAC Admin** o **Admin** | Necesario para crear roles, grupos de acceso y asignar usuarios. |
| **Protocolos de autenticación** | RADIUS/TACACS+ (si se integra con ISE) | Configura los servidores en *Administración > Seguridad > Autenticación de red*. |
| **Red de destino** | Acceso a dispositivos gestionados | Los switches/routers deben estar registrados en Catalyst Center y accesibles desde la UI. |
Guía paso a paso
Paso 1: Revisar y ajustar la jerarquía de sitios
La base del site-based RBAC es una estructura de sitios precisa y actualizada. Sigue estos pasos:
- Accede a la UI de Catalyst Center con un usuario con rol Admin.
- Navega a Provisionamiento > Jerarquía de sitios.
- Verifica que la estructura refleje tu red:
- Región: AMÉRICA LATINA
- País: ARGENTINA
- Ciudad: BUENOS AIRES
- Campus: RETIRO
- Edificio: TORRE A
- Piso: 5
- Área: DATA CENTER
- Si falta algún sitio, agrégalo:
– Usa nombres descriptivos (ej.: ARG-BUE-RET-05-DC para evitar confusiones).
> ✅ Resultado esperado: La jerarquía debe coincidir con el plano físico de tu red. Ejemplo visual:
>
> AMÉRICA LATINA (Región)
> ├── ARGENTINA (País)
> │ ├── BUENOS AIRES (Ciudad)
> │ │ ├── RETIRO (Campus)
> │ │ │ ├── TORRE A (Edificio)
> │ │ │ │ └── Piso 5 (Área)
> > ⚠️ Advertencia: Evita anidar más de 5 niveles. Catalyst Center tiene límites de profundidad en la jerarquía.
Paso 2: Definir roles personalizados (o usar los predefinidos)
Catalyst Center incluye roles básicos, pero para un RBAC efectivo, crea roles alineados a responsabilidades reales.
- Ve a Administración > Acceso > Roles.
- Opción A: Usa un rol predefinido (ej.: Network Admin, Read-Only).
- Opción B: Crea un rol personalizado (recomendado):
– Completa los campos:
– Nombre: TÉCNICO CAMPUS RETIRO
– Descripción: Permite configurar switches y aplicar políticas en el Campus Retiro.
– Permisos asignados:
Permisos:
- Dispositivos: "Configurar", "Monitorear"
- Políticas: "Aplicar"
- Aprovisionamiento: "Desplegar cambios"
– Guarda el rol.
> ✅ Resultado esperado: El rol TÉCNICO CAMPUS RETIRO aparece en la lista de roles disponibles, con los permisos definidos.
> ⚠️ Error común: Asignar permisos demasiado amplios (ej.: «Acceso total»). Usa el principio de mínimo privilegio: solo incluye lo necesario.
Paso 3: Crear grupos de acceso
Los grupos de acceso vinculan un rol a un sitio. Por ejemplo: el rol TÉCNICO CAMPUS RETIRO + el sitio RETIRO = grupo de acceso para técnicos del campus.
- Ve a Administración > Acceso > Grupos de acceso.
- Haz clic en Agregar grupo de acceso.
- Configura el grupo:
Nombre: "GRUPO-TÉCNICOS-RETIRO"
Descripción: "Técnicos con permisos para configurar dispositivos en el Campus Retiro"
Rol: "TÉCNICO CAMPUS RETIRO" # Selecciona el rol creado en Paso 2
Sitio: "RETIRO" # Selecciona el sitio de la jerarquía
- Guarda el grupo.
> ✅ Resultado esperado:
> – El grupo GRUPO-TÉCNICOS-RETIRO aparece en la lista.
> – Al asignar un usuario a este grupo, heredará los permisos del rol TÉCNICO CAMPUS RETIRO pero solo en el sitio RETIRO.
> 🔄 Alternativa: Si necesitas asignar el mismo rol a múltiples sitios, crea un grupo por sitio (ej.: GRUPO-TÉCNICOS-REGIÓN-ARG para todos los campus de Argentina).
Paso 4: Asignar usuarios a grupos de acceso
Opción A: Usuarios locales en Catalyst Center
- Ve a Administración > Acceso > Usuarios.
- Selecciona un usuario o crea uno nuevo.
- En Grupos de acceso, asócialo al grupo creado (ej.:
GRUPO-TÉCNICOS-RETIRO). - Guarda los cambios.
Opción B: Integración con Cisco ISE (recomendado para entornos productivos)
- Configura la integración con ISE:
– Agrega un servidor RADIUS/TACACS+ (ej.: IP de ISE).
– Prueba la conexión con Verificar conectividad.
- Mapea roles de ISE a Catalyst Center:
– Para el grupo GRUPO-TÉCNICOS-RETIRO, haz clic en Mapeo de identidad.
– Asocia el grupo a un perfil de autorización de ISE (ej.: Catalyst-Retiro-Técnico).
- Automatiza la asignación:
> ✅ Resultado esperado:
> – Usuarios autenticados via ISE reciben permisos basados en su grupo en Catalyst Center.
> – No es necesario asignar permisos manualmente en Catalyst Center.
> ⚠️ Error común: Olvidar mapear los roles de ISE a los grupos de Catalyst Center. Sin esto, la integración no funcionará.
Paso 5: Validar permisos con pruebas de acceso
Antes de escalar el RBAC, valida que los permisos funcionen como se espera:
- Prueba con un usuario de prueba:
test-retiro).– Asócialo al grupo GRUPO-TÉCNICOS-RETIRO.
- Inicia sesión con ese usuario y verifica:
# Debe poder configurar switches en RETIRO
configure terminal
interface GigabitEthernet1/0/1
shutdown
exit
write memory
– Acciones bloqueadas:
# No debe poder configurar switches en otro campus (ej.: CÓRDOBA)
configure terminal
interface GigabitEthernet1/0/1
shutdown # Este comando fallará con "No authorization"
- Revisa logs de auditoría:
– Filtra por el usuario test-retiro y revisa los intentos de configuración.
> ✅ Resultado esperado:
> – El usuario test-retiro puede editar dispositivos en RETIRO pero recibe error de autorización en otros sitios.
> – Los logs muestran intentos exitosos/fallidos.
> 🔍 Depuración:
> – Si un usuario no ve los permisos esperados, revisa:
> – Que el grupo de acceso esté asignado correctamente.
> – Que la jerarquía de sitios coincida con la ubicación física del dispositivo.
> – Que el rol tenga los permisos necesarios.
Consideraciones y buenas prácticas
Limitaciones conocidas
- Topología de red: El site-based RBAC aplica a dispositivos gestionados por Catalyst Center. Switches/clients no gestionados (ej.: dispositivos en modo standalone) no heredan estos permisos.
- Políticas globales: Algunas políticas (ej.: Fabric en SD-Access) pueden anular permisos locales. Revisa las políticas globales en Catalyst Center.
- Replicación de cambios: Los grupos de acceso y roles se replican en todos los nodos de Catalyst Center, pero los cambios pueden tardar hasta 5 minutos en propagarse.
Alternativas y extensiones
| Caso de uso | Solución recomendada | Comandos/configs asociados |
|---|---|---|
| **Acceso temporal** | Usa *Grupos de acceso temporales* en Catalyst Center (expira automáticamente). | Configura en *Administración > Acceso > Grupos de acceso > Temporal*. |
| **Multi-sitio con permisos jerárquicos** | Crea grupos de acceso anidados. Ej.: Un grupo para �BLOCK25� con permisos de monitoreo, y subgrupos por campus con permisos de configuración. | «�BLOCK26�« |
| **Integración con Active Directory** | Usa RADIUS para mapear grupos de AD a grupos de acceso en Catalyst Center. | Configura en *Administración > Seguridad > Autenticación de red > Servidor RADIUS*. |
- Documenta tus roles y grupos:
Rol: "TÉCNICO CAMPUS RETIRO"
Permisos: Configurar switches, aplicar políticas
Sitios asociados: RETIRO
Usuarios típicos: Técnicos de soporte en Buenos Aires
- Revisa permisos periódicamente:
– Ejecuta un script mensual para listar usuarios con roles de Admin o permisos globales:
curl -k -u admin:<contraseña> \
"https://<IP-Catalyst>/api/v1/access/users" | jq '.response[] | select(.role.name == "Admin")'
- Combina con MFA:
Conclusión
Implementar site-based RBAC en Cisco Catalyst Center te permite:
- Delegar permisos de forma segura: Vincula roles con sitios para delimitar responsabilidades.
- Reducir riesgos: El principio de mínimo privilegio limita el impacto de errores o accesos no autorizados.
- Escalar sin fricciones: La integración con ISE o AD automatiza la asignación de permisos.
Los cinco pasos aquí detallados —desde ajustar la jerarquía de sitios hasta validar permisos— son suficientes para implementar un modelo funcional en menos de una hora. La clave está en:
- Mantener la jerarquía de sitios actualizada.
- Definir roles con permisos mínimos.
- Validar antes de escalar.
Con este enfoque, los equipos distribuidos podrán operar su parte de la red con autonomía, mientras el área de seguridad mantiene el control centralizado.