L'objectif de cet article est de vous montrer comment configurer la modification de l'autorisation (CoA) dans les commutateurs Catalyst 1300 à l'aide de l'interface utilisateur Web.
Change of Authorization (CoA) est une extension du protocole RADIUS qui vous permet de modifier les propriétés d'une session utilisateur AAA (Authentication, Authorization, and Accounting) ou dot1x après son authentification. Lorsqu'une stratégie pour un utilisateur ou un groupe dans AAA change, les administrateurs peuvent transmettre des paquets RADIUS CoA à partir du serveur AAA, tel qu'un moteur Cisco Identity Services Engine (ISE), pour réinitialiser l'authentification et appliquer la nouvelle stratégie.
Cisco Identity Services Engine (ou ISE) est un moteur de contrôle d'accès basé sur le réseau et d'application des politiques doté de toutes les fonctionnalités. Il fournit des services d'analyse et d'application de la sécurité, RADIUS et TACACS, la distribution des politiques, etc. Cisco ISE est actuellement le seul client d'autorisation dynamique CoA pris en charge pour les commutateurs Catalyst 1300. Reportez-vous au guide d'administration ISE pour plus d'informations.
Cette fonctionnalité nécessite une communication entre le client d'autorisation dynamique (serveur RADIUS) et le serveur d'autorisation dynamique (commutateur Catalyst). Comme le montre le schéma de réseau ci-dessous, le serveur d'autorisation dynamique envoie un message de déconnexion ou de CoA au serveur d'autorisation dynamique et le commutateur fournit une réponse.
La prise en charge CoA a été ajoutée aux commutateurs Catalyst 1300 dans la version 4.1.3.36 du microprogramme. Elle inclut la prise en charge de la déconnexion des utilisateurs et de la modification des autorisations applicables à une session utilisateur. Le périphérique prend en charge les actions CoA suivantes :
Pour configurer la CoA à l'aide de l'interface de ligne de commande (CLI), référez-vous à Configuration de la modification d'autorisation dans le commutateur Catalyst 1300 à l'aide de la CLI.
Dans cet exemple, le serveur Cisco ISE version 3.2 est utilisé. Pour une présentation d'ISE, consultez la page produit Cisco Identity Services Engine.
CoA est pris en charge sur ISE version 2.7 et ultérieure.
Après le déploiement du serveur Cisco ISE, connectez-vous pour accéder à l'interface utilisateur Web.
Pour ajouter des périphériques réseau, accédez au menu Administration > Ressources réseau.
Cliquez sur le bouton + Add.
Saisissez le nom, la description et l'adresse IP du commutateur Catalyst.
Dans le menu déroulant Device Profile, sélectionnez Cisco.
Configurez les paramètres d'authentification RADIUS en saisissant le secret partagé.
Saisissez le numéro de port CoA. Le port par défaut est 1700.
Accédez ensuite à Administration > Identity Management et sélectionnez Network Access Users.
Pour définir le nom d'utilisateur et le mot de passe, cliquez sur le symbole +Add.
Saisissez le nom d'utilisateur et le mot de passe, puis cliquez sur Save au bas de la page.
Connectez-vous à votre commutateur Catalyst 1300 et sélectionnez le mode avancé. Dans cet exemple, C1300-24FP-4X est utilisé.
La prise en charge CoA a été ajoutée aux commutateurs Catalyst 1300 dans la version 4.1.3.36 du microprogramme.
Accédez à Security > RADIUS Client dans le volet de navigation.
Définissez la comptabilité RADIUS sur Port Based Access Control.
Pour ajouter le serveur ISE, faites défiler jusqu'au tableau RADIUS et cliquez sur l'icône plus.
Configurer les paramètres du serveur RADIUS.
Cliquez sur Apply.
Pour configurer l'authentification 802.1x, accédez au menu Security > 802.1X Authentication > Properties.
Vérifiez que l'authentification basée sur les ports est activée et que la méthode d'authentification est définie sur RADIUS.
Accédez au menu Port Authentication, sélectionnez le port souhaité, puis cliquez sur edit.
Pour Administrative Port Control, sélectionnez l'option Auto qui commute le port entre l'état autorisé et non autorisé en fonction de la réponse RADIUS.
Activez l'authentification basée sur 802.1x et cliquez sur Apply.
Vous aurez besoin de l'adresse MAC du périphérique sur le port. L'opération CoA sur ISE sera appliquée à cette adresse MAC. Dans cet exemple, il s'agit du port 9. Pour l'obtenir, accédez à MAC Address Tables > Dynamic Addresses.
Faites défiler jusqu'au port et notez l'adresse MAC.
Accédez à Security > Dynamic Authorization Server.
Activez les options suivantes :
Laissez le port UDP à la valeur par défaut de 1700.
Sous Client Table, assurez-vous que le serveur ISE est ajouté avec la clé de serveur correcte. Cliquez sur Apply.
Cliquez sur l'icône rouge clignotante Enregistrer pour enregistrer les configurations.
Sur l'ordinateur portable client connecté au port 9, vérifiez que le service Wired AutoConfig est activé pour l'authentification 802.1 X.
Dans les paramètres de la carte Ethernet, vérifiez que l'adresse MAC correspond.
Cliquez sur le bouton Properties sous Ethernet settings et sous l'onglet Authentication, vérifiez que les cases à cocher sont activées. Assurez-vous également que la méthode d'authentification est PEAP (Protected EAP).
Cliquez sur le bouton Settings pour vous assurer que la case à cocher en regard de Verify the server’s identity by validating the certificate est décochée.
La case Enable Fast Reconnect doit être cochée.
Sous Additional settings, assurez-vous que Specify authentication mode est activé et que User authentication est sélectionné dans le menu déroulant. Vous pouvez enregistrer les informations d'identification créées sur ISE ou les remplacer à l'aide du bouton Remplacer les informations d'identification.
Avant de lancer une opération CoA, activez la capture de paquets sur le commutateur.
Sur PuTTY, connectez-vous à votre commutateur Catalyst et spécifiez la taille de tampon et le mode de capture à l'aide de la commande monitor capture cap1 buffer size 20 circulaire.
Spécifiez le plan de contrôle comme étant les deux à l'aide de la commande monitor capture cap1 control-plane both.
Saisissez le critère de correspondance comme suit : La commande pour cela sera monitor capture cap1 match any.
Démarrez la capture de paquets.
Sur l'interface ISE, accédez à l'option Endpoints sous Context Visibility.
Choisissez l'adresse MAC et sélectionnez l'opération CoA dans le menu déroulant Change of Authorization. Dans cet exemple, CoA Session Reauth est sélectionné. Cela force la réauthentification sur le port en envoyant un paquet CoA avec une commande de réauthentification.
Revenez au terminal PuTTY pour vérifier si l'opération CoA a réussi.
Si vous sélectionnez CoA Session Terminate, il enverra une demande de déconnexion avec une commande de fin basée sur une demande administrative.
L'option CoA Port Bounce envoie un paquet de requête CoA avec une commande bounce host port, désactivant et réactivant le port sur le commutateur. La carte réseau se déconnecte pendant 10 secondes et devient non autorisée. Il sera le retour en ligne, devient autorisé et peut transférer des paquets.
La fin de la session CoA avec le renvoi du port met fin à la session existante, renvoie le port pendant 10 secondes et devient non autorisée. Il se reconnecte, devient autorisé et peut transférer des paquets.
La fin de la session CoA avec arrêt du port met fin à la session et arrête administrativement le port.
Pour arrêter la capture de paquets, utilisez la commande monitor capture cap1 stop.
Pour copier les fichiers, accédez à Administration > File Management > File Directory.
La mémoire Flash par défaut est disponible. Vous pouvez également sélectionner USB dans le menu déroulant Drive (Lecteur).
Vous savez maintenant tout sur ISE et comment configurer CoA dans les commutateurs Catalyst 1300.
Pour plus d'informations, regardez la vidéo ci-dessous.
Révision | Date de publication | Commentaires |
---|---|---|
1.0 |
17-Feb-2025 |
Première publication |