Catalyst 1300の認可メッセージタイプの変更
目的
この記事の目的は、Catalyst 1300スイッチでの許可メッセージタイプの変更の概要を説明することです。
該当するデバイス|ソフトウェアバージョン
- Catalyst 1200スイッチ| 4.1.3.36
- Catalyst 1300スイッチ| 4.1.3.36
はじめに
認可変更(CoA)はRADIUSプロトコルの拡張であり、AAAまたはdot1xユーザセッションに対する動的な変更を可能にします。AAA内のグループのユーザに対するポリシーが変更された場合、管理者はCisco Identity Services Engines(ISE)などのAAAサーバからRADIUS CoAパケットを送信して、認証を再初期化し、新しいポリシーを適用できます。
この機能には、Dynamic Authorization Client(RADIUSサーバ)とDynamic Authorization Server(Catalystスイッチ)間の通信が必要です。 次のネットワーク図に示すように、動的認可クライアントは接続解除メッセージまたはCoAメッセージを動的認可サーバに送信し、スイッチが応答を返します。
このデバイスは、次のCoAアクションをサポートしています。
- CoAセッション再認証:これは、reauthenticateコマンドでCoAパケットを送信することによって、ポートで再認証を強制します。
- CoA Session Terminate:Admin要求に基づいて、terminateコマンドでDisconnect Requestを送信します。
- CoAポートバウンス:CoA要求パケットをBounce Host Portコマンドとともに送信します。このコマンドはスイッチ上のポートを無効および再度有効にします。
- ポートバウンスを使用したCoAセッションの終了:既存のセッションを終了し、ポートをバウンスします。
- CoA Session Termination with Port Shutdown:セッションを終了し、ポートを管理上ダウンします。
Catalyst 1300スイッチでは、CoA Sanet Session Queryはサポートされていません。
CoA要求応答コード
CoA要求は、RFC 5176に記述されているように、セッションの識別、ホストの再認証、およびセッションの終了を可能にするために使用されます。このモデルには、1つの要求(CoA-Request)と2つの可能な応答コードが含まれています。
- CoA確認応答(ACK)[CoA-ACK]
- CoA非確認応答(NAK)[CoA-NAK]
要求はCoAクライアント(通常はRADIUSまたはポリシーサーバ)から開始され、リスナーとして機能するデバイスに送信されます。
CoA ACK応答コード
許可状態が正常に変更されると、確認応答(ACK)が送信されます。CoA ACKで返される属性は、CoA要求によって異なります。
CoA NAK応答コード
否定応答(NAK)は、認可の状態を変更できなかったことを示し、失敗の理由を示す属性を含めることができます。
サポートされるコマンドと応答
CoAはRADIUSプロトコル全体の拡張であり、ISEサーバがスイッチのUDPポート1700にパケットを送信します。
- 40:Disconnect-Request:スイッチによって処理されます。スイッチはDisconnect-ACKまたはDisconnect-NAKで応答します。
- 41 - Disconnect-ACK – スイッチにより送信
- 42 - Disconnect-NAK – スイッチによって送信されます。
- 43 - CoA-Request – スイッチによる処理スイッチはCoA-ACKまたはCoA-NAKで応答します。
- 44 - CoA-ACK – スイッチにより送信
- 45 - CoA-NAK – スイッチにより送信
RADIUSパケットタイプコードは、RFC3575で定義されています。
結論
CoAメッセージタイプを理解したので、次の記事をチェックして、Catalyst 1300スイッチでCoAを設定してください。
更新履歴
| 改定 | 発行日 | コメント |
|---|---|---|
1.0 |
05-Mar-2025
|
初版 |
フィードバック