In diesem Artikel wird erläutert, wie Sie die Autorisierungsänderung (Change of Authorization, CoA) in Catalyst 1300-Switches über die Web-Benutzeroberfläche (UI) konfigurieren.
Change of Authorization (CoA) ist eine Erweiterung des RADIUS-Protokolls, mit dem Sie die Eigenschaften einer AAA- (Authentication, Authorization, Accounting) oder dot1x-Benutzersitzung nach deren Authentifizierung ändern können. Wenn sich eine Richtlinie für einen Benutzer oder eine Gruppe in AAA ändert, können Administratoren RADIUS-CoA-Pakete vom AAA-Server, z. B. von der Cisco Identity Services Engine (ISE), übertragen, um die Authentifizierung neu zu initialisieren und die neue Richtlinie anzuwenden.
Die Cisco Identity Services Engine (oder ISE) ist eine Network Based Access Control and Policy Enforcement Engine mit vollem Funktionsumfang. Sie bietet Sicherheitsanalysen und -durchsetzung, RADIUS- und TACACS-Services, Richtlinienverteilung und vieles mehr. Die Cisco ISE ist derzeit der einzige unterstützte CoA Dynamic Authorization Client für Catalyst 1300-Switches. Weitere Informationen finden Sie im ISE-Administratorhandbuch.
Diese Funktion erfordert die Kommunikation zwischen dem Dynamic Authorization Client (RADIUS-Server) und dem Dynamic Authorization Server (Catalyst-Switch). Wie im folgenden Netzwerkdiagramm zu sehen ist, sendet der Dynamic Authorization Server eine Verbindungs- oder CoA-Meldung an den Dynamic Authorization Server, und der Switch antwortet.
Die CoA-Unterstützung wurde den Catalyst 1300-Switches in der Firmware-Version 4.1.3.36 hinzugefügt. Dazu gehört die Unterstützung für das Trennen von Benutzern und das Ändern von Berechtigungen für eine Benutzersitzung. Das Gerät unterstützt die folgenden CoA-Aktionen:
Informationen zur Konfiguration von CoA über die Befehlszeilenschnittstelle (CLI) finden Sie unter Configuration of Change of Authorization in Catalyst 1300 Switch using CLI (Konfiguration der Autorisierungsänderung in Catalyst 1300 Switch unter Verwendung von CLI).
In diesem Beispiel wird Cisco ISE Server Version 3.2 verwendet. Einen Überblick über die ISE finden Sie auf der Produktseite zur Cisco Identity Services Engine.
CoA wird von ISE Version 2.7 und höher unterstützt.
Melden Sie sich nach der Bereitstellung des Cisco ISE-Servers an, um auf die Webbenutzeroberfläche zuzugreifen.
Um Netzwerkgeräte hinzuzufügen, navigieren Sie zum Menü Administration > Network Resources (Verwaltung > Netzwerkressourcen).
Klicken Sie auf die Schaltfläche + Hinzufügen.
Geben Sie den Namen, die Beschreibung und die IP-Adresse des Catalyst Switches ein.
Wählen Sie im Dropdown-Menü Geräteprofil die Option Cisco aus.
Konfigurieren Sie die RADIUS-Authentifizierungseinstellungen, indem Sie den freigegebenen Schlüssel eingeben.
Geben Sie die CoA-Portnummer ein. Der Standardport ist 1700.
Navigieren Sie anschließend zu Administration > Identity Management, und wählen Sie Network Access Users aus.
Um Benutzername und Passwort zu definieren, klicken Sie auf das Symbol +Hinzufügen.
Geben Sie den Benutzernamen und das Kennwort ein, und klicken Sie unten auf der Seite auf Speichern.
Melden Sie sich bei Ihrem Catalyst 1300 Switch an, und wählen Sie den erweiterten Modus aus. In diesem Beispiel wird C1300-24FP-4X verwendet.
Die CoA-Unterstützung wurde den Catalyst 1300-Switches in der Firmware-Version 4.1.3.36 hinzugefügt.
Navigieren Sie im Navigationsbereich zu Security > RADIUS Client (Sicherheit > RADIUS-Client).
Legen Sie RADIUS Accounting auf Port Based Access Control fest.
Um den ISE-Server hinzuzufügen, scrollen Sie nach unten zur RADIUS-Tabelle, und klicken Sie auf das Pluszeichen.
Konfigurieren der RADIUS-Servereinstellungen
Klicken Sie auf Apply (Anwenden).
Um die 802.1x-Authentifizierung zu konfigurieren, navigieren Sie zum Menü Security > 802.1x Authentication > Properties (Sicherheit > 802.1x-Authentifizierung > Eigenschaften).
Stellen Sie sicher, dass die portbasierte Authentifizierung aktiviert und die Authentifizierungsmethode auf RADIUS festgelegt ist.
Navigieren Sie zum Menü Port Authentication (Portauthentifizierung), wählen Sie den gewünschten Port aus, und klicken Sie auf Edit.
Wählen Sie für die administrative Port-Steuerung die Option Auto (Automatisch) aus, mit der der Port auf Basis der RADIUS-Antwort zwischen dem autorisierten und dem nicht autorisierten Status umgeschaltet wird.
Aktivieren Sie die 802.1x-basierte Authentifizierung, und klicken Sie auf Anwenden.
Sie benötigen die MAC-Adresse für das Gerät am Port. Der CoA-Vorgang für die ISE wird auf diese MAC-Adresse angewendet. In diesem Beispiel ist dies Port 9. Navigieren Sie zu MAC Address Tables > Dynamic Addresses, um die Adresse abzurufen.
Blättern Sie nach unten zum Port, und notieren Sie sich die MAC-Adresse.
Navigieren Sie zu Sicherheit > Dynamic Authorization Server.
Aktivieren Sie Folgendes:
Lassen Sie den UDP-Port auf dem Standardwert von 1700.
Vergewissern Sie sich unter Client Table, dass der ISE-Server mit dem richtigen Serverschlüssel hinzugefügt wurde. Klicken Sie auf Apply (Anwenden).
Klicken Sie auf das rot blinkende Symbol Speichern, um die Konfigurationen zu speichern.
Überprüfen Sie auf dem Client-Laptop, der mit Port 9 verbunden ist, ob der Wired AutoConfig-Service für die 802.1 X-Authentifizierung aktiviert ist.
Überprüfen Sie in den Ethernet-Adaptereinstellungen, ob die MAC-Adresse übereinstimmt.
Klicken Sie unter Ethernet-Einstellungen auf die Schaltfläche Eigenschaften, und stellen Sie auf der Registerkarte Authentifizierung sicher, dass die Kontrollkästchen aktiviert sind. Stellen Sie außerdem sicher, dass die Authentifizierungsmethode PEAP (Protected EAP) ist.
Klicken Sie auf die Schaltfläche Einstellungen, um sicherzustellen, dass das Kontrollkästchen neben Identität des Servers durch Validierung des Zertifikats überprüfen deaktiviert ist.
Aktivieren Sie das Kontrollkästchen "Fast Reconnect".
Vergewissern Sie sich unter Zusätzliche Einstellungen, dass der Authentifizierungsmodus angeben aktiviert ist und dass im Dropdown-Menü die Option Benutzerauthentifizierung ausgewählt ist. Sie können die auf der ISE erstellten Anmeldeinformationen speichern oder durch die Schaltfläche Anmeldeinformationen ersetzen.
Aktivieren Sie vor dem Initiieren des CoA-Vorgangs die Paketerfassung auf dem Switch.
Melden Sie sich auf PuTTY bei Ihrem Catalyst Switch an, und geben Sie die Puffergröße und den Erfassungsmodus mithilfe des Befehls monitor capture cap1 buffer size 20 circle an.
Legen Sie die Kontrollebene als beides fest, indem Sie den Befehl monitor capture cap1 control-plane both verwenden.
Geben Sie die Abgleichskriterien ein. Der Befehl hierfür lautet monitor capture cap1 match any.
Starten der Paketerfassung
Navigieren Sie auf der ISE-Schnittstelle unter "Context Visibility" zur Option Endgeräte.
Wählen Sie die MAC-Adresse aus, und wählen Sie im Dropdown-Menü Change of Authorization (Autorisierungsänderung) die CoA-Operation aus. In diesem Beispiel ist CoA Session Reauth ausgewählt. Dadurch wird eine erneute Authentifizierung am Port erzwungen, indem ein CoA-Paket mit dem Befehl reAuthenticate gesendet wird.
Wechseln Sie zurück zum PuTTY-Terminal, um zu überprüfen, ob der CoA-Vorgang erfolgreich war.
Wenn Sie CoA Session Terminate (CoA-Sitzung beenden) auswählen, wird auf Basis einer Verwaltungsanfrage eine Verbindungstrennungsanfrage mit dem Befehl terminate gesendet.
Die CoA-Port-Bounce-Option sendet ein CoA-Anforderungspaket mit einem Bounce-Host-Port-Befehl, wobei der Port am Switch deaktiviert und erneut aktiviert wird. Der Netzwerkadapter ist 10 Sekunden lang offline und wird nicht autorisiert. Es wird das Comeback online, wird autorisiert und kann Pakete weiterleiten.
Bei Beendigung der CoA-Sitzung mit Port-Bounce wird die vorhandene Sitzung beendet, der Port wird für 10 Sekunden zurückgewiesen, und die Autorisierung wird aufgehoben. Anschließend ist er wieder online, wird autorisiert und kann Pakete weiterleiten.
Bei Beendigung einer CoA-Sitzung mit deaktiviertem Port wird die Sitzung beendet und der Port vom Administrator deaktiviert.
Um die Paketerfassung zu beenden, verwenden Sie den Befehl monitor capture cap1 stop.
Um die Dateien zu kopieren, navigieren Sie zu Administration > File Management > File Directory.
Der Standard-Flash ist verfügbar. Alternativ können Sie USB aus dem Dropdown-Menü Drive (Laufwerk) auswählen.
Jetzt wissen Sie alles über die ISE und wie Sie CoA in den Catalyst Switches der Serie 1300 konfigurieren.
Weitere Informationen finden Sie im Video unten.
Überarbeitung | Veröffentlichungsdatum | Kommentare |
---|---|---|
1.0 |
17-Feb-2025 |
Erstveröffentlichung |