Modification des types de messages d'autorisation dans Catalyst 1300

Options de téléchargement

  • PDF     (303.4 KB)
    Consulter à l'aide d'Adobe Reader sur un grand nombre d'appareils
  • ePub     (85.3 KB)
    Consulter à l’aide de différentes applications sur iPhone, iPad, Android ou Windows Phone
  • Mobi (Kindle)     (68.9 KB)
    Consulter sur un appareil Kindle ou à l’aide d’une application Kindle sur plusieurs appareils
Mis à jour:5 mars 2025
ID du document:1741213972752260

Langage exempt de préjugés

Dans le cadre de la documentation associée à ce produit, nous nous efforçons d’utiliser un langage exempt de préjugés. Dans cet ensemble de documents, le langage exempt de discrimination renvoie à une langue qui exclut la discrimination en fonction de l’âge, des handicaps, du genre, de l’appartenance raciale de l’identité ethnique, de l’orientation sexuelle, de la situation socio-économique et de l’intersectionnalité. Des exceptions peuvent s’appliquer dans les documents si le langage est codé en dur dans les interfaces utilisateurs du produit logiciel, si le langage utilisé est basé sur la documentation RFP ou si le langage utilisé provient d’un produit tiers référencé. Découvrez comment Cisco utilise le langage inclusif.

À propos de cette traduction

Cisco a traduit ce document en traduction automatisée vérifiée par une personne dans le cadre d’un service mondial permettant à nos utilisateurs d’obtenir le contenu d’assistance dans leur propre langue. Il convient cependant de noter que même la meilleure traduction automatisée ne sera pas aussi précise que celle fournie par un traducteur professionnel.

kmgmt3736-coa-message-types-catalyst-1300

Objectif 

L'objectif de cet article est de fournir une vue d'ensemble de la modification des types de messages d'autorisation dans les commutateurs Catalyst 1300.

Périphériques pertinents | Version logicielle 

  • Commutateurs Catalyst 1200 |4.1.3.36
  • Commutateurs Catalyst 1300 |4.1.3.36

Introduction 

Change of Authorization (CoA) est une extension du protocole RADIUS, qui permet des modifications dynamiques d'une session utilisateur AAA ou dot1x. Lorsqu'une stratégie pour un utilisateur d'un groupe dans AAA change, les administrateurs peuvent transmettre des paquets RADIUS CoA à partir du serveur AAA, tel qu'un moteur Cisco Identity Services Engine (ISE), pour réinitialiser l'authentification et appliquer la nouvelle stratégie.

Cette fonctionnalité nécessite une communication entre le client d'autorisation dynamique (serveur RADIUS) et le serveur d'autorisation dynamique (commutateur Catalyst). Comme le montre le schéma de réseau ci-dessous, le client d'autorisation dynamique envoie un message de déconnexion ou de CoA au serveur d'autorisation dynamique et le commutateur fournit une réponse.

Le périphérique prend en charge les actions CoA suivantes :

  • CoA Session Reauth - Ceci force une réauthentification sur le port en envoyant un paquet CoA avec une commande de réauthentification.
  • Fin de session CoA - Envoie une requête de déconnexion avec une commande de fin basée sur une requête Admin.
  • CoA Port Bounce : envoie un paquet de requête CoA avec une commande Bounce Host Port qui désactive et réactive le port sur le commutateur.
  • Fin de session CoA avec rebondissement de port : met fin à la session existante et rebondit sur le port.
  • Fin de session CoA avec arrêt du port - Cette opération met fin à la session et désactive administrativement le port.

Les commutateurs Catalyst 1300 ne prennent pas en charge CoA Sanet Session Query.

Codes de réponse de demande CoA

Les requêtes CoA, comme décrit dans la RFC 5176, sont utilisées pour permettre l'identification de session, la réauthentification d'hôte et la fermeture de session. Le modèle contient une demande unique (CoA-Request) et deux codes de réponse possibles :

  • Accusé de réception CoA (ACK) [CoA-ACK]
  • Non-accusé de réception CoA (NAK) [CoA-NAK]

La demande est initiée à partir d'un client CoA (généralement un serveur RADIUS ou de stratégie) et dirigée vers le périphérique qui agit en tant qu'écouteur.

Code de réponse ACK CoA

Si un état d’autorisation est modifié avec succès, un accusé de réception positif (ACK) est envoyé. Les attributs renvoyés dans un ACK CoA peuvent varier en fonction de la demande CoA.

Code de réponse NAK CoA

Un accusé de réception négatif (NAK) indique l'échec de la modification de l'état d'autorisation et peut inclure des attributs indiquant la raison de l'échec.

Commandes et réponses prises en charge

CoA est une extension du protocole RADIUS global et le serveur ISE envoie des paquets au port UDP 1700 sur le commutateur.

  • 40 - Disconnect-Request - traité par le commutateur. Le commutateur répond avec Disconnect-ACK ou Disconnect-NAK.
  • 41 - Disconnect-ACK - envoyé par le commutateur
  • 42 - Disconnect-NAK - envoyé par le commutateur
  • 43 - CoA-Request - traité par le commutateur. Le commutateur répond avec CoA-ACK ou CoA-NAK.
  • 4 - CoA-ACK - envoyé par le commutateur
  • 45 - CoA-NAK - envoyé par le commutateur

Les codes de type de paquet RADIUS sont définis dans le document RFC3575.

Conclusion

Maintenant que vous connaissez les types de messages CoA, consultez les articles suivants pour configurer CoA dans les commutateurs Catalyst 1300.

Configuration du changement d'autorisation dans Catalyst 1300 à l'aide de l'interface utilisateur Web

Configuration de la modification d'autorisation dans le commutateur Catalyst 1300 à l'aide de CLI

Historique de révision

Révision Date de publication Commentaires
1.0
05-Mar-2025
Première publication

Ce document vous est-il utile?

FeedbackCommentaires

Contacter Cisco

Ce document s’applique à ces produits