In questo articolo viene spiegato come configurare la modifica dell'autorizzazione (CoA) sugli switch Catalyst 1300 con l'interfaccia utente Web.
Change of Authorization (CoA) è un'estensione del protocollo RADIUS che consente di modificare le proprietà di un'autenticazione, autorizzazione e accounting (AAA) o di una sessione utente dot1x dopo l'autenticazione. Quando viene modificato un criterio per un utente o un gruppo in AAA, gli amministratori possono trasmettere pacchetti RADIUS CoA dal server AAA, ad esempio Cisco Identity Services Engine (ISE), per reinizializzare l'autenticazione e applicare il nuovo criterio.
Cisco Identity Services Engine (o ISE) è un motore di controllo dell'accesso e applicazione delle policy basato sulla rete completo di tutte le funzionalità. Fornisce analisi e applicazione della sicurezza, servizi RADIUS e TACACS, distribuzione delle policy e altro ancora. Cisco ISE è attualmente l'unico client di autorizzazione dinamica CoA supportato per gli switch Catalyst 1300. Per ulteriori informazioni, consultare la guida per l'amministratore di ISE.
Questa funzionalità richiede la comunicazione tra il client di autorizzazione dinamica (server RADIUS) e il server di autorizzazione dinamica (switch Catalyst). Come illustrato nel diagramma di rete riportato di seguito, il server di autorizzazione dinamica invia un messaggio di disconnessione o CoA al server di autorizzazione dinamica e lo switch fornisce una risposta.
Il supporto CoA è stato aggiunto agli switch Catalyst 1300 nella versione firmware 4.1.3.36. Include il supporto per la disconnessione degli utenti e la modifica delle autorizzazioni applicabili a una sessione utente. Il dispositivo supporta le seguenti azioni CoA:
Per configurare la CLI con l'interfaccia della riga di comando (CLI), consultare il documento sulla configurazione della modifica dell'autorizzazione nello switch Catalyst 1300 con CLI.
Nell'esempio, viene usato Cisco ISE server versione 3.2. Per una panoramica su ISE, vedere la pagina dei prodotti Cisco Identity Services Engine.
CoA è supportato su ISE versione 2.7 e successive.
Dopo aver distribuito il server Cisco ISE, accedere per accedere all'interfaccia utente Web.
Per aggiungere dispositivi di rete, passare al menu Amministrazione > Risorse di rete.
Fare clic sul pulsante + Aggiungi.
Immettere il nome, la descrizione e l'indirizzo IP dello switch Catalyst.
Dal menu a discesa Device Profile, selezionare Cisco.
Configurare le impostazioni di autenticazione RADIUS immettendo il segreto condiviso.
Immettere il numero della porta CoA. La porta predefinita è 1700.
Passare quindi a Amministrazione > Gestione delle identità e selezionare Utenti accesso alla rete.
Per definire il nome utente e la password, fare clic sul simbolo +Add.
Immettere il nome utente e la password e fare clic su Salva nella parte inferiore della pagina.
Accedere allo switch Catalyst 1300 e selezionare la modalità avanzata. Nell'esempio viene utilizzato il C1300-24FP-4X.
Il supporto CoA è stato aggiunto agli switch Catalyst 1300 nella versione firmware 4.1.3.36.
Passare a Protezione > Client RADIUS nel riquadro di navigazione.
Impostare Accounting RADIUS su Controllo degli accessi basato sulle porte.
Per aggiungere il server ISE, scorrere verso il basso fino alla tabella RADIUS e fare clic sull'icona più.
Configurare le impostazioni del server RADIUS.
Fare clic su Apply (Applica).
Per configurare l'autenticazione 802.1x, passare al menu Protezione > Autenticazione 802.1X >Proprietà.
Verificare che l'autenticazione basata sulla porta sia abilitata e che il metodo di autenticazione sia impostato su RADIUS.
Passare al menu Port Authentication (Autenticazione porta), selezionare la porta desiderata e fare clic su edit (Modifica).
Per Controllo porta amministrativa, selezionare l'opzione Auto per commutare la porta tra stato autorizzato e non autorizzato in base alla risposta RADIUS.
Abilitare l'autenticazione basata su 802.1x e fare clic su Applica.
È necessario l'indirizzo MAC del dispositivo sulla porta. La cooperazione su ISE sarà applicata a quell'indirizzo MAC. In questo esempio, la porta è 9. Per ottenerla, selezionare Tabelle indirizzi MAC > Indirizzi dinamici.
Scorrere fino alla porta e annotare l'indirizzo MAC.
Passare a Sicurezza > Server di autorizzazione dinamica.
Abilitare quanto segue:
Lasciare la porta UDP sul valore predefinito di 1700.
In Tabella client, verificare che il server ISE sia stato aggiunto con la chiave corretta del server. Fare clic su Apply (Applica).
Fare clic sull'icona rossa lampeggiante Save per salvare le configurazioni.
Sul laptop client collegato alla porta 9, verificare che il servizio Wired AutoConfig sia abilitato per l'autenticazione 802.1 X.
Verificare che l'indirizzo MAC corrisponda alle impostazioni della scheda di rete Ethernet.
Fare clic sul pulsante Proprietà in Impostazioni Ethernet e nella scheda Autenticazione verificare che le caselle di controllo siano attivate. Verificare inoltre che il metodo di autenticazione sia PEAP (Protected EAP).
Fare clic sul pulsante Impostazioni per verificare che la casella di controllo accanto a Verifica dell'identità del server tramite la convalida del certificato sia deselezionata.
Selezionare la casella di controllo Abilita riconnessione rapida.
In Impostazioni aggiuntive verificare che Specifica modalità di autenticazione sia attivato e che Autenticazione utente sia selezionato dal menu a discesa. È possibile salvare le credenziali create su ISE o sostituirle utilizzando il pulsante Sostituisci credenziali.
Prima di avviare l'operazione CoA, abilitare l'acquisizione dei pacchetti sullo switch.
Su PuTTy, accedere allo switch Catalyst e specificare le dimensioni del buffer e la modalità di acquisizione usando il comando monitor capture cap1 buffer size 20 circle.
Specificare il piano di controllo come entrambi utilizzando il comando monitor capture cap1 control-plane both.
Inserire i criteri di corrispondenza come qualsiasi. Il comando per questa operazione sarà monitor capture cap1 match any.
Avviare l'acquisizione dei pacchetti.
Sull'interfaccia ISE, selezionare l'opzione Endpoints in Context Visibility.
Scegliere l'indirizzo MAC e selezionare l'operazione CoA dal menu a discesa Modifica autorizzazione. Nell'esempio, è selezionata l'opzione CoA Session Reauth. In questo modo viene forzata la riautenticazione sulla porta tramite l'invio di un pacchetto CoA con un comando reauthentication.
Tornare al terminale PuTTY per verificare se l'operazione CoA ha avuto esito positivo.
Se si seleziona Termina sessione CoA, viene inviata una richiesta di disconnessione con un comando di terminazione basato su una richiesta amministrativa.
L'opzione CoA Port Bounce invia un pacchetto di richiesta CoA con un comando bounce host port, disabilitando e riabilitando la porta sullo switch. La scheda di rete rimane offline per 10 secondi e diventa non autorizzata. Il ritorno online, l'autorizzazione e l'inoltro dei pacchetti.
La terminazione di una sessione CoA con il rimbalzo della porta terminerà la sessione esistente, farà rimbalzare la porta per 10 secondi e non sarà più autorizzata. Torna online, viene autorizzato e può inoltrare i pacchetti.
La chiusura della sessione CoA con la chiusura della porta terminerà la sessione e la porta verrà chiusa a livello amministrativo.
Per interrompere l'acquisizione del pacchetto, usare il comando monitor capture cap1 stop.
Per copiare i file, selezionare Amministrazione > Gestione file > Directory file.
È disponibile il flash predefinito. In alternativa, è possibile selezionare USB (USB) dal menu a discesa Drive (Unità).
Ora puoi sapere tutto su ISE e su come configurare la licenza CoA sugli switch Catalyst serie 1300.
Per maggiori informazioni, guarda il video qui sotto.
Revisione | Data di pubblicazione | Commenti |
---|---|---|
1.0 |
17-Feb-2025 |
Versione iniziale |