Änderung des Typs der Autorisierungsnachricht in Catalyst 1300

Download-Optionen

  • PDF     (305.1 KB)
    Mit Adobe Reader auf verschiedenen Geräten anzeigen
Aktualisiert:5. März 2025
Dokument-ID:1741213972752260

Inklusive Sprache

In dem Dokumentationssatz für dieses Produkt wird die Verwendung inklusiver Sprache angestrebt. Für die Zwecke dieses Dokumentationssatzes wird Sprache als „inklusiv“ verstanden, wenn sie keine Diskriminierung aufgrund von Alter, körperlicher und/oder geistiger Behinderung, Geschlechtszugehörigkeit und -identität, ethnischer Identität, sexueller Orientierung, sozioökonomischem Status und Intersektionalität impliziert. Dennoch können in der Dokumentation stilistische Abweichungen von diesem Bemühen auftreten, wenn Text verwendet wird, der in Benutzeroberflächen der Produktsoftware fest codiert ist, auf RFP-Dokumentation basiert oder von einem genannten Drittanbieterprodukt verwendet wird. Hier erfahren Sie mehr darüber, wie Cisco inklusive Sprache verwendet.

Informationen zu dieser Übersetzung

Cisco hat dieses Dokument maschinell übersetzen und von einem menschlichen Übersetzer editieren und korrigieren lassen, um unseren Benutzern auf der ganzen Welt Support-Inhalte in ihrer eigenen Sprache zu bieten. Bitte beachten Sie, dass selbst die beste maschinelle Übersetzung nicht so genau ist wie eine von einem professionellen Übersetzer angefertigte. Cisco Systems, Inc. übernimmt keine Haftung für die Richtigkeit dieser Übersetzungen und empfiehlt, immer das englische Originaldokument (siehe bereitgestellter Link) heranzuziehen.

kmgmt3736-coa-message-types-katalysator-1300

Ziel 

Ziel dieses Artikels ist es, einen Überblick über die Änderung der Autorisierungsnachrichtentypen in Catalyst 1300-Switches zu geben.

Unterstützte Geräte | Software-Version 

  • Catalyst Switches der Serie 1200 | 4.1.3.36
  • Catalyst Switches der Serie 1300 | 4.1.3.36

Einleitung 

Autorisationsänderung (Change of Authorization, CoA) ist eine Erweiterung des RADIUS-Protokolls und ermöglicht dynamische Änderungen an einer AAA- oder dot1x-Benutzersitzung. Wenn sich eine Richtlinie für einen Benutzer einer Gruppe in AAA ändert, können Administratoren RADIUS-CoA-Pakete vom AAA-Server übertragen, z. B. eine Cisco Identity Services Engine (ISE), um die Authentifizierung neu zu initialisieren und die neue Richtlinie anzuwenden.

Diese Funktion erfordert die Kommunikation zwischen dem Dynamic Authorization Client (RADIUS-Server) und dem Dynamic Authorization Server (Catalyst-Switch). Wie im folgenden Netzwerkdiagramm zu sehen ist, sendet der Dynamic Authorization Client eine Verbindungs- oder CoA-Meldung an den Dynamic Authorization Server, und der Switch sendet eine Antwort.

Das Gerät unterstützt die folgenden CoA-Aktionen:

  • CoA-Sitzungsauthentifizierung - Erzwingt eine erneute Authentifizierung am Port, indem ein CoA-Paket mit dem Befehl reAuthenticate gesendet wird.
  • CoA-Sitzung beenden - Sendet eine Verbindungstrennungsanforderung mit einem Befehl zum Beenden, der auf einer Administratoranfrage basiert.
  • CoA-Port-Bounce: Versendet ein CoA-Anforderungspaket mit einem Bounce-Host-Port-Befehl, der den Port am Switch deaktiviert und wieder aktiviert.
  • Beendigung der CoA-Sitzung mit Port-Bounce: Diese beendet die vorhandene Sitzung und führt ein Bounce des Ports durch.
  • Beendigung der CoA-Sitzung mit Port-Abschaltung - Mit dieser Taste wird die Sitzung beendet und der Port administrativ abgeschaltet.

Die CoA-Sanet-Sitzungsabfrage wird von den Catalyst 1300-Switches nicht unterstützt.

CoA-Anforderungsantwortcodes

CoA-Anforderungen, wie in RFC 5176 beschrieben, werden verwendet, um die Sitzungsidentifizierung, die Host-Neuauthentifizierung und die Beendigung von Sitzungen zu ermöglichen. Das Modell enthält eine einzelne Anfrage (CoA-Anfrage) und zwei mögliche Antwortcodes:

  • CoA-Bestätigung (ACK) [CoA-ACK]
  • CoA Non-Quittung (NAK) [CoA-NAK]

Die Anforderung wird von einem CoA-Client (in der Regel ein RADIUS- oder Richtlinienserver) initiiert und an das Gerät weitergeleitet, das als Listener fungiert.

CoA ACK-Antwortcode

Wenn ein Autorisierungsstatus erfolgreich geändert wird, wird eine positive Bestätigung (ACK) gesendet. Die in einem CoA-ACK zurückgegebenen Attribute können je nach CoA-Anforderung variieren.

CoA NAK-Antwortcode

Eine negative Bestätigung (NAK) weist darauf hin, dass der Autorisierungsstatus nicht geändert werden konnte. Sie kann Attribute enthalten, die den Grund für den Fehler angeben.

Unterstützte Befehle und Antworten

CoA ist eine Erweiterung des RADIUS-Gesamtprotokolls und lässt den ISE-Server Pakete an den UDP-Port 1700 am Switch senden.

  • 40 - Disconnect-Request - wird vom Switch verarbeitet. Der Switch antwortet entweder mit Disconnect-ACK oder Disconnect-NAK.
  • 41 - Disconnect-ACK - vom Switch gesendet
  • 42 - Disconnect-NAK - vom Switch gesendet
  • 43 - CoA-Anfrage - vom Switch verarbeitet. Der Switch antwortet entweder mit CoA-ACK oder CoA-NAK.
  • 44 - CoA-ACK - vom Switch gesendet
  • 45 - CoA-NAK - vom Switch gesendet

Die RADIUS-Pakettypcodes sind in RFC3575 definiert.

Schlussfolgerung

Nachdem Sie die CoA-Nachrichtentypen verstanden haben, lesen Sie die folgenden Artikel, um die CoA in Catalyst 1300-Switches zu konfigurieren.

Autorisierungsänderung in Catalyst 1300 über Web-Benutzeroberfläche konfigurieren

Konfiguration der Autorisierungsänderung in Catalyst 1300 Switch über CLI

Revisionsverlauf

Überarbeitung Veröffentlichungsdatum Kommentare
1.0
05-Mar-2025
Erstveröffentlichung

War dieses Dokument hilfreich?

FeedbackFeedback

Cisco kontaktieren

Dieses Dokument gilt für folgende Produkte.