El objetivo de este artículo es mostrarle cómo configurar el cambio de autorización (CoA) en los switches Catalyst 1300 mediante la interfaz de usuario (UI) web.
Change of Authorization (CoA) es una extensión del protocolo RADIUS que permite cambiar las propiedades de una sesión de usuario de autenticación, autorización y administración de cuentas (AAA) o dot1x después de que se haya autenticado. Cuando cambia una política para un usuario o grupo en AAA, los administradores pueden transmitir paquetes CoA de RADIUS desde el servidor AAA, como Cisco Identity Services Engine (ISE), para reiniciar la autenticación y aplicar la nueva política.
Cisco Identity Services Engine (o ISE) es un motor de aplicación de políticas y control de acceso basado en red con todas las funciones. Proporciona análisis y aplicación de seguridad, servicios RADIUS y TACACS, distribución de políticas y mucho más. Cisco ISE es actualmente el único cliente de autorización dinámica de CoA compatible para los switches Catalyst 1300. Consulte la guía ISE Admin para obtener más información.
Esta función requiere comunicación entre el cliente de autorización dinámica (servidor RADIUS) y el servidor de autorización dinámica (switch Catalyst). Como se observa en el diagrama de red siguiente, el Servidor de autorización dinámica envía un mensaje de desconexión o CoA al Servidor de autorización dinámica y el switch proporciona una respuesta.
El soporte de CoA se ha agregado a los switches Catalyst 1300 en la versión de firmware 4.1.3.36. Esto incluye soporte para desconectar usuarios y cambiar autorizaciones aplicables a una sesión de usuario. El dispositivo admite las siguientes acciones de CoA:
Para configurar CoA mediante la interfaz de línea de comandos (CLI), consulte Configuración del cambio de autorización en el switch Catalyst 1300 mediante CLI.
En este ejemplo, se utiliza el servidor Cisco ISE versión 3.2. Para obtener una descripción general de ISE, consulte la página del producto Cisco Identity Services Engine.
CoA es compatible con ISE versión 2.7 y posteriores.
Después de implementar el servidor Cisco ISE, inicie sesión para acceder a la interfaz de usuario web.
Para agregar dispositivos de red, navegue hasta el menú Administration > Network Resources.
Haga clic en el botón + Add.
Ingrese el Nombre, la Descripción y la dirección IP del switch Catalyst.
En el menú desplegable Device Profile, seleccione Cisco.
Configure los parámetros de autenticación RADIUS ingresando el secreto compartido.
Introduzca el número de puerto CoA. El puerto predeterminado es 1700.
A continuación, vaya a Administration > Identity Management y seleccione Network Access Users.
Para definir el nombre de usuario y la contraseña, haga clic en el símbolo +Add.
Introduzca el nombre de usuario y la contraseña y haga clic en Guardar en la parte inferior de la página.
Inicie sesión en el switch Catalyst 1300 y seleccione el modo avanzado. En este ejemplo, se utiliza C1300-24FP-4X.
La compatibilidad con CoA se ha agregado a los switches Catalyst 1300 en la versión de firmware 4.1.3.36.
Navegue hasta Security > RADIUS Client en el panel de navegación.
Establezca RADIUS Accounting en Port Based Access Control.
Para agregar el servidor ISE, desplácese hacia abajo hasta la tabla RADIUS y haga clic en el icono más.
Configure los parámetros del servidor RADIUS.
Haga clic en Apply (Aplicar).
Para configurar la autenticación 802.1x, vaya al menú Seguridad > Autenticación 802.1X > Propiedades.
Asegúrese de que la Autenticación Basada en Puerto esté habilitada, y que el Método de Autenticación esté configurado en RADIUS.
Vaya al menú Port Authentication, seleccione el puerto deseado y haga clic en edit.
Para Administrative Port Control, seleccione la opción Auto que conmutará el puerto entre el estado autorizado y el no autorizado según la respuesta RADIUS.
Habilite Autenticación Basada en 802.1x y haga clic en Aplicar.
Necesitará la dirección MAC del dispositivo en el puerto. La operación CoA en ISE se aplicará a esa dirección MAC. En este ejemplo, es el puerto 9. Para obtenerlo, navegue hasta Tablas de direcciones MAC > Direcciones dinámicas.
Desplácese hacia abajo hasta el puerto y anote la dirección MAC.
Vaya a Seguridad > Servidor de autorización dinámica.
Habilite lo siguiente:
Deje el puerto UDP en el valor predeterminado de 1700.
En Tabla de clientes, asegúrese de agregar el servidor ISE con la clave de servidor correcta. Haga clic en Apply (Aplicar).
Haga clic en el icono Save que parpadea en rojo para guardar las configuraciones.
En el equipo portátil cliente conectado al puerto 9, verifique que el servicio Wired AutoConfig esté habilitado para la autenticación 802.1 X.
En los parámetros del adaptador Ethernet, verifique que la dirección MAC coincida.
Haga clic en el botón Properties en Ethernet settings y en la ficha Authentication, asegúrese de que las casillas de verificación estén habilitadas. Además, asegúrese de que el método de autenticación es EAP protegido (PEAP).
Haga clic en el botón Settings para asegurarse de que la casilla de verificación junto a Verify the server’s identity by validating the certificate está desactivada.
Debe estar marcada la casilla Activar reconexión rápida.
En Configuración adicional, asegúrese de que Especificar modo de autenticación esté habilitado y de que Autenticación de usuario esté seleccionada en el menú desplegable. Puede guardar las credenciales creadas en ISE o sustituirlas mediante el botón Reemplazar credenciales.
Antes de iniciar la operación CoA, habilite la captura de paquetes en el switch.
En PuTTY, inicie sesión en su switch Catalyst y especifique el tamaño del búfer y el modo de captura mediante el comando monitor capture cap1 buffer size 20 circular.
Especifique el plano de control como ambos mediante el comando monitor capture cap1 control-plane both.
Introduzca los criterios de coincidencia como cualquiera. El comando para esto será monitor capture cap1 match any.
Inicie la captura de paquetes.
En la interfaz de ISE, desplácese hasta la opción Terminales en Visibilidad del contexto.
Elija la dirección MAC y seleccione la operación CoA en el menú desplegable Change of Authorization. En este ejemplo, se selecciona CoA Session Reauth. Esto fuerza la reautenticación en el puerto al enviar un paquete CoA con un comando reauthenticate.
Vuelva a la terminal PuTTY para comprobar si la operación CoA se realizó correctamente.
Si selecciona CoA Session Terminate, enviará una solicitud de desconexión con un comando de terminación basado en una solicitud administrativa.
La opción de rebote de puerto CoA enviará un paquete de solicitud CoA con un comando bounce host port, inhabilitando y volviendo a habilitar el puerto en el switch. El adaptador de red se desconecta durante 10 segundos y no está autorizado. Se hará la reaparición en línea, se autoriza y puede reenviar paquetes.
La terminación de la sesión CoA con rebote de puerto finalizará la sesión existente, rebotará el puerto durante 10 segundos y se volverá no autorizada. Luego vuelve a estar en línea, se autoriza y puede reenviar paquetes.
La terminación de la sesión CoA con el cierre del puerto finalizará la sesión y cerrará administrativamente el puerto.
Para detener la captura de paquetes, utilice el comando monitor capture cap1 stop.
Para copiar los archivos, navegue hasta Administration > File Management > File Directory.
El Flash predeterminado está disponible. También puede seleccionar USB en el menú desplegable Drive.
Ahora ya sabe todo sobre ISE y cómo configurar CoA en los switches Catalyst serie 1300.
Para obtener más información, vea el siguiente vídeo.
Revisión | Fecha de publicación | Comentarios |
---|---|---|
1.0 |
17-Feb-2025 |
Versión inicial |