この記事の目的は、Webユーザインターフェイス(UI)を使用してCatalyst 1300スイッチで認可変更(CoA)を設定する方法を説明することです。
認可変更(CoA)はRADIUSプロトコルの拡張機能であり、認証された後で認証、認可、アカウンティング(AAA)またはdot1xユーザセッションのプロパティを変更できます。AAA内のユーザまたはグループのポリシーが変更された場合、管理者はCisco Identity Services Engine(ISE)などのAAAサーバからRADIUS CoAパケットを送信して、認証を再初期化し、新しいポリシーを適用できます。
Cisco Identity Services Engine(ISE)は、完全な機能を備えたネットワークベースのアクセスコントロールおよびポリシー適用エンジンです。セキュリティの分析と適用、RADIUSおよびTACACSサービス、ポリシーの配布などを提供します。Cisco ISEは現在、Catalyst 1300スイッチ用にサポートされている唯一のCoAダイナミック認可クライアントです。詳細については、『ISE管理ガイド』を参照してください。
この機能には、Dynamic Authorization Client(RADIUSサーバ)とDynamic Authorization Server(Catalystスイッチ)間の通信が必要です。 次のネットワーク図に示すように、動的認可サーバは接続解除メッセージまたはCoAメッセージを動的認可サーバに送信し、スイッチが応答を返します。
CoAのサポートは、ファームウェアバージョン4.1.3.36でCatalyst 1300スイッチに追加されました。これには、ユーザの接続解除と、ユーザセッションに適用される認可の変更のサポートが含まれます。このデバイスは、次のCoAアクションをサポートしています。
コマンドラインインターフェイス(CLI)を使用してCoAを設定するには、『CLIを使用したCatalyst 1300スイッチでの認可変更の設定』を参照してください。
この例では、Cisco ISEサーババージョン3.2が使用されます。ISEの概要については、Cisco Identity Services Engineの製品ページを確認してください。
CoAはISEバージョン2.7以降でサポートされています。
Cisco ISEサーバの導入後、ログインしてWeb UIにアクセスします。
ネットワークデバイスを追加するには、Administration > Network Resourcesメニューに移動します。
+ Addボタンをクリックします。
Catalystスイッチの名前、説明、およびIPアドレスを入力します。
Device Profileドロップダウンメニューから、Ciscoを選択します。
共有秘密を入力して、RADIUS認証設定を設定します。
CoAポート番号を入力します。デフォルト ポートは 1700 です。
次に、Administration > Identity Managementの順に移動し、Network Access Usersを選択します。
ユーザ名とパスワードを定義するには、+Add記号をクリックします。
ユーザ名とパスワードを入力し、ページの下部にあるSaveをクリックします。
Catalyst 1300スイッチにログインし、Advancedモードを選択します。この例では、C1300-24FP-4Xが使用されています。
CoAのサポートは、ファームウェアバージョン4.1.3.36でCatalyst 1300スイッチに追加されました。
ナビゲーションペインで、Security > RADIUS Clientの順に選択します。
RADIUS AccountingをPort Based Access Controlに設定します。
ISEサーバを追加するには、RADIUSテーブルまで下にスクロールし、プラス記号のアイコンをクリックします。
RADIUSサーバの設定を行います。
[APPLY] をクリックします。
802.1x認証を設定するには、Security > 802.1X Authentication > Propertiesメニューに移動します。
Port-Based Authenticationが有効で、Authentication MethodがRADIUSに設定されていることを確認します。
Port Authenticationメニューに移動し、目的のポートを選択して、editをクリックします。
Administrative Port Controlでは、Autoオプションを選択します。このオプションでは、RADIUS応答に基づいてポートが承認済みと未承認の状態を切り替えます。
802.1xベースの認証を有効にし、Applyをクリックします。
ポート上のデバイスのMACアドレスが必要になります。ISEでのCoA操作は、そのMACアドレスに適用されます。この例では、ポート9です。これを取得するには、MAC Address Tables > Dynamic Addressesの順に移動します。
ポートまでスクロールし、MACアドレスをメモします。
Security > Dynamic Authorization Serverの順に移動します。
次の機能を有効にします。
UDP Portはデフォルト値の1700のままにしておきます。
Client Tableの下で、ISEサーバが正しいサーバキーで追加されていることを確認します。[APPLY] をクリックします。
赤色に点滅しているSaveアイコンをクリックして、設定を保存します。
ポート9に接続されているクライアントラップトップで、Wired AutoConfigサービスが802.1 X認証に対して有効になっていることを確認します。
イーサネットアダプタの設定で、MACアドレスが一致していることを確認します。
Ethernet settingsの下にあるPropertiesボタンをクリックし、Authenticationタブでチェックボックスが有効になっていることを確認します。また、認証方式がProtected EAP(PEAP)であることを確認します。
Settingsボタンをクリックし、Verify the server's identity by validating the certificateの横にあるチェックボックスがオフになっていることを確認します。
Enable Fast Reconnectボックスにチェックマークを入れる必要があります。
Additional settingsの下で、Specify authentication modeが有効になっており、ドロップダウンメニューからUser authenticationが選択されていることを確認します。ISEで作成したクレデンシャルを保存するか、Replace credentialsボタンを使用して置き換えることができます。
CoA処理を開始する前に、スイッチでパケットキャプチャを有効にします。
PuTTYで、Catalystスイッチにログインし、コマンドmonitor capture cap1 buffer size 20 circularを使用して、バッファサイズとキャプチャモードを指定します。
monitor capture cap1 control-plane bothコマンドを使用して、コントロールプレーンをbothとして指定します。
一致基準を入力します。このためのコマンドは、monitor capture cap1 match anyです。
パケットキャプチャを開始します。
ISEインターフェイスで、Context Visibilityの下のEndpointsオプションに移動します。
MACアドレスを選択し、Change of AuthorizationドロップダウンメニューからCoA操作を選択します。この例では、CoA Session Reauthが選択されています。これにより、reauthenticateコマンドを使用してCoAパケットを送信することで、ポートで再認証が強制されます。
PuTTY端末に戻り、CoA処理が成功したかどうかを確認します。
CoA Session Terminateを選択すると、管理要求に基づいてterminateコマンドで切断要求が送信されます。
CoAポートバウンスオプションは、bounce host portコマンドを使用してCoA要求パケットを送信し、スイッチ上のポートを無効にしてから再度有効にします。ネットワークアダプタが10秒間オフラインになり、認証されなくなります。オンラインで復帰し、承認され、パケットを転送できます。
ポートバウンスを使用したCoAセッションの終了では、既存のセッションが終了し、ポートが10秒間バウンスした後、不正なセッションになります。その後、再びオンラインになり、認証されてパケットを転送できます。
ポートシャットダウンによるCoAセッションの終了は、セッションを終了し、ポートを管理上シャットダウンします。
パケットキャプチャを停止するには、monitor capture cap1 stopコマンドを使用します。
ファイルをコピーするには、Administration > File Management > File Directoryの順に選択します。
デフォルトのフラッシュが使用可能です。または、DriveドロップダウンメニューからUSBを選択することもできます。
これで、ISEに関するすべての情報と、Catalyst 1300シリーズスイッチでのCoAの設定方法を理解できました。
詳細については、以下のビデオをご覧ください。
改定 | 発行日 | コメント |
---|---|---|
1.0 |
17-Feb-2025 |
初版 |