O objetivo deste artigo é mostrar como configurar a alteração de autorização (CoA) nos switches Catalyst 1300 usando a interface de usuário da Web (UI).
Change of Authorization (CoA) é uma extensão do protocolo RADIUS, que permite alterar as propriedades de uma sessão de usuário de autenticação, autorização e relatório (AAA) ou dot1x após ser autenticada. Quando uma política para um usuário ou grupo em AAA muda, os administradores podem transmitir pacotes RADIUS CoA do servidor AAA, como um Cisco Identity Services Engine (ISE), para reinicializar a autenticação e aplicar a nova política.
O Cisco Identity Services Engine (ou ISE) é um mecanismo completo de controle de acesso baseado em rede e aplicação de políticas. Ele fornece análise e aplicação de segurança, serviços RADIUS e TACACS, distribuição de políticas e muito mais. O Cisco ISE é atualmente o único cliente de autorização dinâmica de CoA suportado para switches Catalyst 1300. Consulte o guia de administração do ISE para obter mais informações.
Este recurso requer comunicação entre o cliente de autorização dinâmica (servidor RADIUS) e o servidor de autorização dinâmica (switch Catalyst). Conforme visto no diagrama de rede abaixo, o Servidor de Autorização Dinâmico envia uma mensagem de desconexão ou CoA ao Servidor de Autorização Dinâmico e o switch fornece uma resposta.
O suporte a CoA foi adicionado aos switches Catalyst 1300 na versão 4.1.3.36 do firmware. Isso inclui suporte para desconectar usuários e alterar autorizações aplicáveis a uma sessão de usuário. O dispositivo oferece suporte às seguintes ações de CoA:
Para configurar o CoA usando a interface de linha de comando (CLI), consulte Configuração de Alteração de Autorização no Switch Catalyst 1300 usando CLI.
Neste exemplo, o servidor Cisco ISE versão 3.2 é usado. Para obter uma visão geral do ISE, consulte a página do produto Cisco Identity Services Engine.
CoA é suportado no ISE versão 2.7 e posterior.
Após implantar o servidor Cisco ISE, faça login para acessar a interface do usuário da Web.
Para adicionar dispositivos de rede, navegue até o menu Administração > Recursos de rede.
Clique no botão + Add.
Insira o nome, a descrição e o endereço IP do switch Catalyst.
No menu suspenso Device Profile, selecione Cisco.
Defina as configurações de autenticação RADIUS inserindo o segredo compartilhado.
Insira o número da porta de CoA. A porta padrão é 1700.
Em seguida, navegue até Administração > Gerenciamento de identidades e selecione Usuários de acesso à rede.
Para definir o nome de usuário e a senha, clique no símbolo +Add.
Insira o nome de usuário e a senha e clique em Save na parte inferior da página.
Faça login no switch Catalyst 1300 e selecione o modo Avançado. Neste exemplo, C1300-24FP-4X é usado.
O suporte a CoA foi adicionado aos switches Catalyst 1300 na versão 4.1.3.36 do firmware.
Navegue até Segurança > Cliente RADIUS no painel de navegação.
Defina Contabilização RADIUS como Controle de Acesso Baseado em Porta.
Para adicionar o servidor ISE, role para baixo até a tabela RADIUS e clique no ícone de mais.
Defina as configurações do servidor RADIUS.
Clique em Apply.
Para configurar a autenticação 802.1x, navegue para o menu Security > 802.1X Authentication > Properties.
Certifique-se de que a Autenticação Baseada em Porta esteja habilitada e que o Método de Autenticação esteja definido como RADIUS.
Navegue até o menu Autenticação de porta, selecione a porta desejada e clique em editar.
Para Administrative Port Control, selecione a opção Auto que alternará a porta entre o estado autorizado e não autorizado com base na resposta RADIUS.
Habilite a autenticação baseada em 802.1x e clique em Aplicar.
Você precisará do endereço MAC do dispositivo na porta. A operação de CoA no ISE será aplicada a esse endereço MAC. Neste exemplo, é a porta 9. Para obtê-la, navegue até MAC Address Tables > Dynamic Addresses.
Role até a porta e observe o endereço MAC.
Navegue até Segurança > Servidor de autorização dinâmica.
Habilite o seguinte:
Deixe a porta UDP com o valor padrão de 1700.
Em Client Table, verifique se o servidor ISE foi adicionado com a chave de servidor correta. Clique em Apply.
Clique no ícone Save vermelho piscando para salvar as configurações.
No laptop do cliente conectado à porta 9, verifique se o serviço Wired AutoConfig está habilitado para a autenticação 802.1 X.
Nas configurações do adaptador Ethernet, verifique se o endereço MAC corresponde.
Clique no botão Properties em Ethernet settings e, na guia Authentication, certifique-se de que as caixas de seleção estejam ativadas. Além disso, verifique se o método de autenticação é Protected EAP (PEAP).
Clique no botão Settings para verificar se a caixa de seleção ao lado de Verify the server’s identity by validating the certificate está desmarcada.
A caixa Enable Fast Reconnect deve estar marcada.
Em Additional settings (Configurações adicionais), certifique-se de que Specify authentication mode esteja habilitado e que User authentication esteja selecionado no menu suspenso. Você pode salvar as credenciais criadas no ISE ou substituí-las usando o botão Substituir credenciais.
Antes de iniciar a operação de CoA, habilite a captura de pacotes no switch.
No PuTTY, efetue login no switch Catalyst e especifique o tamanho do buffer e o modo de captura usando o comando monitor capture cap1 buffer size 20 circular.
Especifique o plano de controle como ambos usando o comando monitor capture cap1 control-plane both.
Insira os critérios de correspondência como qualquer um. O comando para isso será monitor capture cap1 match any.
Inicie a captura do pacote.
Na interface do ISE, navegue até a opção Endpoints em Visibilidade de contexto.
Escolha o endereço MAC e selecione a operação CoA no menu suspenso Alteração de autorização. Neste exemplo, CoA Session Reauth está selecionado. Isso força a reautenticação na porta, enviando um pacote CoA com um comando reauthenticate.
Volte para o terminal PuTTY para verificar se a operação de CoA foi bem-sucedida.
Se você selecionar CoA Session Terminate, ele enviará uma solicitação de desconexão com um comando terminate com base em uma solicitação administrativa.
A opção CoA Port Bounce enviará um pacote de solicitação de CoA com um comando bounce host port, desativando e reativando a porta no switch. O adaptador de rede fica off-line por 10 segundos e não é autorizado. Ele retornará on-line, se tornará autorizado e poderá encaminhar pacotes.
O término da sessão de CoA com devolução de porta encerrará a sessão existente, devolverá a porta por 10 segundos e se tornará não autorizado. Em seguida, ele volta a ficar on-line, torna-se autorizado e pode encaminhar pacotes.
O encerramento da sessão de CoA com o encerramento da porta encerrará a sessão e encerrará administrativamente a porta.
Para interromper a captura de pacotes, use o comando monitor capture cap1 stop.
Para copiar os arquivos, navegue até Administração > Gerenciamento de arquivos > Diretório de arquivos.
A Flash padrão está disponível. Como alternativa, você pode selecionar USB no menu suspenso Drive.
Agora você sabe tudo sobre o ISE e como configurar o CoA nos switches da série Catalyst 1300.
Para obter mais informações, confira o vídeo abaixo.
Revisão | Data de publicação | Comentários |
---|---|---|
1.0 |
17-Feb-2025 |
Versão inicial |