Cambio de los tipos de mensajes de autorización en Catalyst 1300

Opciones de descarga

  • PDF     (304.0 KB)
    Visualice con Adobe Reader en una variedad de dispositivos
Actualizado:5 de marzo de 2025
ID del documento:1741213972752260

Lenguaje no discriminatorio

El conjunto de documentos para este producto aspira al uso de un lenguaje no discriminatorio. A los fines de esta documentación, "no discriminatorio" se refiere al lenguaje que no implica discriminación por motivos de edad, discapacidad, género, identidad de raza, identidad étnica, orientación sexual, nivel socioeconómico e interseccionalidad. Puede haber excepciones en la documentación debido al lenguaje que se encuentra ya en las interfaces de usuario del software del producto, el lenguaje utilizado en función de la documentación de la RFP o el lenguaje utilizado por un producto de terceros al que se hace referencia. Obtenga más información sobre cómo Cisco utiliza el lenguaje inclusivo.

Acerca de esta traducción

Cisco ha traducido este documento combinando la traducción automática y los recursos humanos a fin de ofrecer a nuestros usuarios en todo el mundo contenido en su propio idioma. Tenga en cuenta que incluso la mejor traducción automática podría no ser tan precisa como la proporcionada por un traductor profesional. Cisco Systems, Inc. no asume ninguna responsabilidad por la precisión de estas traducciones y recomienda remitirse siempre al documento original escrito en inglés (insertar vínculo URL).

kmgmt3736-coa-message-types-catalyst-1300

Objetivo 

El objetivo de este artículo es proporcionar una descripción general del cambio de los tipos de mensajes de autorización en los switches Catalyst 1300.

Dispositivos aplicables | Versión de software 

  • Switches Catalyst 1200 |4.1.3.36
  • Switches Catalyst 1300 |4.1.3.36

Introducción 

Change of Authorization (CoA) es una extensión del protocolo RADIUS que permite cambios dinámicos en una sesión de usuario AAA o dot1x. Cuando cambia una política para un usuario de un grupo en AAA, los administradores pueden transmitir paquetes CoA de RADIUS desde el servidor AAA, como Cisco Identity Services Engines (ISE), para reiniciar la autenticación y aplicar la nueva política.

Esta función requiere comunicación entre el cliente de autorización dinámica (servidor RADIUS) y el servidor de autorización dinámica (switch Catalyst). Como se observa en el diagrama de red a continuación, el cliente de autorización dinámica envía un mensaje de desconexión o CoA al servidor de autorización dinámica y el switch proporciona una respuesta.

El dispositivo admite las siguientes acciones de CoA:

  • CoA Session Reauth - Esto fuerza una reautenticación en el puerto al enviar un paquete CoA con un comando reauthenticate.
  • CoA Session Terminate - Esto envía una solicitud de desconexión con un comando de terminación basado en una solicitud del administrador.
  • Rebote de puerto CoA: envía un paquete de solicitud CoA con un comando Bounce Host Port que desactivará y volverá a activar el puerto en el switch.
  • CoA Session Termination with Port Bounce - Esto termina la sesión existente y rebota el puerto.
  • CoA Session Termination with Port Shutdown (Terminación de la sesión de CoA con cierre de puerto): Esto finaliza la sesión y cierra el puerto administrativamente.

Los switches Catalyst 1300 no admiten CoA Sanet Session Query.

Códigos de respuesta de solicitud de CoA

Las solicitudes CoA, como se describe en RFC 5176, se utilizan para permitir la identificación de sesión, la reautenticación de host y la terminación de sesión. El modelo contiene una única solicitud (CoA-Request) y dos posibles códigos de respuesta:

  • Reconocimiento de CoA (ACK) [CoA-ACK]
  • CoA sin confirmación (NAK) [CoA-NAK]

La solicitud se inicia desde un cliente CoA (normalmente un servidor RADIUS o de políticas) y se dirige al dispositivo que actúa como receptor.

Código de respuesta de ACK de CoA

Si un estado de autorización se cambia correctamente, se envía un reconocimiento positivo (ACK). Los atributos devueltos dentro de un ACK de CoA pueden variar en función de la solicitud de CoA.

Código de respuesta NAK de CoA

Un reconocimiento negativo (NAK) indica un error al cambiar el estado de autorización y puede incluir atributos que indiquen el motivo del error.

Comandos y respuestas compatibles

CoA es una extensión del protocolo RADIUS general y hace que el servidor ISE envíe paquetes al puerto UDP 1700 en el switch.

  • 40 - Disconnect-Request - procesado por el switch. El switch responde con Disconnect-ACK o Disconnect-NAK.
  • 41 - Disconnect-ACK - enviado por el switch
  • 42 - Disconnect-NAK - enviado por el switch
  • 43 - CoA-Request - procesado por el switch. El switch responde con CoA-ACK o CoA-NAK.
  • 44 - CoA-ACK - enviado por el switch
  • 45 - CoA-NAK - enviado por el switch

Los códigos de tipo de paquete RADIUS se definen en RFC3575.

Conclusión

Ahora que comprende los tipos de mensajes de CoA, consulte los siguientes artículos para configurar CoA en los switches Catalyst 1300.

Configuración del Cambio de Autorización en Catalyst 1300 Usando la Interfaz de Usuario Web

Configuración del cambio de autorización en el switch Catalyst 1300 mediante CLI

Historial de revisiones

Revisión Fecha de publicación Comentarios
1.0
05-Mar-2025
Versión inicial

¿Resultó útil este documento?

FeedbackComentarios

Contacte a Cisco

Este documento se aplica a estos productos