الهدف من هذا مادة أن يبدي أنت كيف أن يشكل تغير التفويض (CoA) في مادة حفازة 1300 مفتاح يستعمل ال web مستعمل قارن (UI).
تغيير التفويض (CoA) هو امتداد لبروتوكول RADIUS، يسمح لك بتغيير خصائص المصادقة والتخويل والمحاسبة (AAA) أو dot1x جلسة عمل المستخدم بعد مصادقته. عند تغيير سياسة لمستخدم أو مجموعة في AAA، يمكن للمسؤولين إرسال حزم RADIUS CoA من خادم AAA، مثل محرك خدمات الهوية (ISE) من Cisco، لإعادة تهيئة المصادقة وتطبيق السياسة الجديدة.
محرك خدمات الهوية من Cisco (ISE) عبارة عن محرك متكامل الميزات للتحكم في الوصول وإنفاذ السياسات قائم على الشبكة. وهو يوفر تحليلات الأمان وإنفاذه وخدمات RADIUS و TACACS وتوزيع السياسات وغير ذلك. Cisco ISE هو عميل التفويض الديناميكي CoA الوحيد المدعوم للمحولات Catalyst 1300 switches. راجع دليل مسؤول ISE للحصول على مزيد من المعلومات.
تتطلب هذه الميزة الاتصال بين عميل التفويض الديناميكي (خادم RADIUS) وخادم التفويض الديناميكي (محول Catalyst). كما هو موضح في الرسم التخطيطي للشبكة أدناه، يرسل خادم التخويل الديناميكي رسالة قطع اتصال أو CoA إلى خادم التخويل الديناميكي ويوفر المحول إستجابة.
تمت إضافة دعم CoA إلى محولات Catalyst 1300 في الإصدار 4.1.3.36 من البرنامج الثابت. ويتضمن ذلك دعم فصل المستخدمين وتغيير الأذون القابلة للتطبيق على جلسة عمل المستخدم. يدعم الجهاز إجراءات CoA التالية:
لتكوين CoA باستخدام واجهة سطر الأوامر (CLI)، ارجع إلى تكوين تغيير التفويض في محول Catalyst 1300 switch باستخدام CLI (واجهة سطر الأوامر).
في هذا المثال، يتم إستخدام الإصدار 3.2 من Cisco ISE Server. للحصول على نظرة عامة على ISE، راجع صفحة منتج محرك خدمات الهوية من Cisco.
يتم دعم CoA على الإصدار 2.7 من ISE والإصدارات الأحدث.
بعد نشر خادم Cisco ISE، سجل الدخول للوصول إلى واجهة مستخدم الويب.
لإضافة أجهزة شبكة، انتقل إلى قائمة إدارة > موارد الشبكة.
انقر فوق الزر +إضافة .
دخلت الإسم، الوصف، وعنوان من المادة حفازة مفتاح.
من القائمة المنسدلة ملف تعريف الجهاز، حدد Cisco.
قم بتكوين إعدادات مصادقة RADIUS بإدخال السر المشترك.
دخلت ال coA ميناء رقم. المنفذ الافتراضي هو 1700.
بعد ذلك، انتقل إلى إدارة > إدارة الهوية وحدد مستخدمي الوصول إلى الشبكة.
لتعريف اسم المستخدم وكلمة المرور، انقر على رمز +إضافة.
أدخل اسم المستخدم وكلمة المرور وانقر فوق حفظ في أسفل الصفحة.
قم بتسجيل الدخول إلى المحول Catalyst 1300 switch وحدد الوضع المتقدم. في هذا المثال، يتم إستخدام C1300-24FP-4X.
تمت إضافة دعم CoA إلى محولات Catalyst 1300 في إصدار البرنامج الثابت 4.1.3.36.
انتقل إلى الأمان > عميل RADIUS في جزء التنقل.
تعيين محاسبة RADIUS على التحكم في الوصول المستند إلى المنفذ.
لإضافة خادم ISE، قم بالتمرير إلى جدول RADIUS وانقر فوق أيقونة زائد.
قم بتكوين إعدادات خادم RADIUS.
انقر فوق تطبيق.
لتكوين مصادقة 802.1x، انتقل إلى التأمين > مصادقة 802.1X > قائمة خصائص.
تأكد من تمكين المصادقة المستندة إلى المنفذ، وتم تعيين أسلوب المصادقة على RADIUS.
انتقل إلى قائمة مصادقة المنفذ، وحدد المنفذ المطلوب، وانقر تحرير.
للتحكم في المنفذ الإداري، حدد خيار تلقائي الذي سيحول المنفذ بين الحالة المصرح بها وغير المصرح بها استنادا إلى إستجابة RADIUS.
قم بتمكين المصادقة المستندة إلى معيار 802.1x وانقر فوق تطبيق.
أنت تحتاج ال mac عنوان للجهاز على الميناء. سيتم تطبيق عملية CoA على ISE على عنوان MAC هذا. في هذا المثال، هو المنفذ 9. للحصول عليه، انتقل إلى جداول عناوين MAC > العناوين الديناميكية.
قم بالتمرير لأسفل إلى المنفذ ولاحظ عنوان MAC.
انتقل إلى الأمان > خادم التفويض الديناميكي.
تمكين ما يلي:
أترك منفذ UDP عند القيمة الافتراضية 1700.
ضمن جدول العملاء، تأكد من إضافة خادم ISE باستخدام مفتاح الخادم الصحيح. انقر فوق تطبيق.
انقر أيقونة حفظ الوامض الأحمر لحفظ التكوينات.
على الكمبيوتر المحمول العميل المتصل بالمنفذ 9، تحقق من تمكين خدمة التكوين التلقائي السلكية لمصادقة 802.1 X.
في إعدادات محول الإيثرنت، تحقق من تطابق عنوان MAC.
انقر فوق الزر خصائص ضمن إعدادات إيثرنت وتحت علامة التبويب المصادقة، تأكد من تمكين خانات الاختيار. تأكد أيضا من أن أسلوب المصادقة هو EAP محمي (PEAP).
انقر فوق الزر إعدادات للتأكد من أن خانة الاختيار المجاورة للتحقق من هوية الخادم عن طريق التحقق من صحة الشهادة غير محددة.
يجب تحديد تمكين مربع إعادة الاتصال السريع.
ضمن الإعدادات الإضافية، تأكد من تمكين تحديد وضع المصادقة وتحديد مصادقة المستخدم من القائمة المنسدلة. يمكنك حفظ بيانات الاعتماد التي تم إنشاؤها على ISE أو إستبدالها باستخدام الزر إستبدال بيانات الاعتماد.
قبل بدء عملية CoA، قم بتمكين التقاط الحزمة على المحول.
على PuTTY، قم بتسجيل الدخول إلى محول Catalyst وحدد حجم المخزن المؤقت ووضع الالتقاط باستخدام الأمر monitor capture cap1 buffer size 20 circular.
قم بتعيين مستوى التحكم على حد سواء باستخدام الأمر monitor capture cap1 control-plane كلا.
أدخل معايير المطابقة كأي. الأمر ل هذا سيكون مدرب التقاط cap1 يطابق أي.
بدء التقاط الحزمة.
على واجهة ISE، انتقل إلى خيار نقاط النهاية ضمن إمكانية رؤية السياق.
أختر عنوان MAC وحدد عملية CoA من القائمة المنسدلة تغيير التفويض. في هذا المثال، يتم تحديد مرجع جلسة عمل CoA. هذا يجبر reauthentication على الميناء ب يرسل CoA ربط مع reauthentication أمر.
ارجع إلى وحدة PuTTY الطرفية للتحقق من نجاح عملية CoA.
إذا قمت بتحديد إنهاء جلسة عمل CoA، فسيرسل طلب قطع اتصال باستخدام أمر إنهاء استنادا إلى طلب إداري.
يرسل خيار CoA وثبة أيسر ربط طلب CoA مع قارن مضيف ميناء أمر، يعجز ويعيد يمكن الميناء على المفتاح. يستمر محول الشبكة دون اتصال لمدة 10 ثوان ويصبح غير مصرح به. ستتم العودة عبر الإنترنت، وستصبح معتمدة ويمكن إعادة توجيه الحزم.
سيؤدي إنهاء جلسة عمل CoA مع توقف المنفذ إلى إنهاء الجلسة الحالية وإرجاع المنفذ لمدة 10 ثوان ليصبح غير مصرح به. ثم تعود مرة أخرى إلى الإنترنت، وتصبح مصرح بها، ويمكنها إعادة توجيه الحزم.
سيقوم إنهاء جلسة عمل CoA مع إيقاف تشغيل المنفذ بإنهاء الجلسة وإغلاق المنفذ إداريا.
لإيقاف التقاط الحزمة، أستخدم الأمر monitor capture cap1 stop.
لنسخ الملفات، انتقل إلى إدارة > إدارة الملفات > دليل الملفات.
يتوفر الأمر Flash الافتراضي. وبدلا من ذلك، يمكنك تحديد USB من القائمة المنسدلة محرك الأقراص.
الآن أنت تعرف كل حول ISE وكيف أن يشكل CoA في المادة حفازة 1300 sery مفتاح.
لمزيد من المعلومات، راجع الفيديو أدناه.
المراجعة | تاريخ النشر | التعليقات |
---|---|---|
1.0 |
17-Feb-2025 |
الإصدار الأولي |