本文的目的是向您展示如何使用Web用户界面(UI)在Catalyst 1300交换机中配置授权更改(CoA)。
授权更改(CoA)是RADIUS协议的扩展,允许您在身份验证、授权和记帐(AAA)或dot1x用户会话后更改其属性。当AAA中用户或组的策略更改时,管理员可以从AAA服务器(例如思科身份服务引擎[ISE])传输RADIUS CoA数据包,以重新初始化身份验证并应用新策略。
思科身份服务引擎(或ISE)是一个功能齐全的基于网络的访问控制和策略实施引擎。它提供安全分析和实施、RADIUS和TACACS服务、策略分发等。Cisco ISE目前是Catalyst 1300交换机唯一支持的CoA动态授权客户端。有关详细信息,请参阅ISE管理员指南。
此功能需要在动态授权客户端(RADIUS服务器)和动态授权服务器(Catalyst交换机)之间进行通信。 如下面的网络图所示,动态授权服务器向动态授权服务器发送断开连接或CoA消息,交换机提供响应。
CoA支持已添加到固件版本4.1.3.36中的Catalyst 1300交换机。这包括支持断开用户连接以及更改适用于用户会话的授权。设备支持以下CoA操作:
要使用命令行界面(CLI)配置CoA,请参阅使用CLI在Catalyst 1300交换机中配置授权更改。
在本示例中,使用Cisco ISE服务器版本3.2。有关ISE的概述,请查看Cisco Identity Services Engine产品页面。
ISE版本2.7及更高版本支持CoA。
部署思科ISE服务器后,登录以访问Web UI。
要添加网络设备,请导航到管理>网络资源菜单。
点击+添加按钮。
输入Catalyst交换机的名称、描述和IP地址。
从Device Profile下拉菜单中,选择Cisco。
通过输入Shared Secret配置RADIUS身份验证设置。
输入CoA端口号。默认端口为 1700。
接下来,导航到Administration > Identity Management,然后选择Network Access Users。
要定义用户名和密码,请点击+Add符号。
输入用户名、密码并点击页面底部的Save。
登录您的Catalyst 1300交换机并选择Advanced模式。本例中使用C1300-24FP-4X。
CoA支持已添加到固件版本4.1.3.36中的Catalyst 1300交换机。
导航到导航窗格中的Security > RADIUS Client。
将RADIUS Accounting设置为基于端口的访问控制。
要添加ISE服务器,请向下滚动到RADIUS表,然后点击加号图标。
配置RADIUS服务器设置。
单击 Apply。
要配置802.1x身份验证,请导航至安全> 802.1X身份验证>属性菜单。
确保Port-Based Authentication已启用,且Authentication Method设置为RADIUS。
导航到Port Authentication菜单,选择所需的端口,然后单击edit。
对于Administrative Port Control,选择Auto选项,该选项将根据RADIUS响应在授权和未经授权状态之间切换端口。
启用基于802.1x的身份验证,然后单击Apply。
您将需要端口上设备的MAC地址。ISE上的CoA操作将应用到该MAC地址。在本例中,它是端口9。要获取该端口,请导航到MAC地址表>动态地址。
向下滚动到端口并记录MAC地址。
导航到安全>动态授权服务器。
启用以下功能:
将UDP Port保留为默认值1700。
在客户端表下,确保使用正确的服务器密钥添加ISE服务器。单击 Apply。
单击红色闪烁的Save图标以保存配置。
在连接到端口9的客户端笔记本电脑上,验证是否已为802.1 X身份验证启用有线自动配置服务。
在以太网适配器设置上,验证MAC地址是否匹配。
单击Ethernet settings下的Properties按钮,然后在Authentication选项卡下确保启用复选框。此外,请确保身份验证方法是受保护的EAP(PEAP)。
单击Settings按钮,确保取消选中Verify the server’s identity by validating the certificate旁边的复选框。
应选中Enable Fast Reconnect(启用快速重新连接)框。
在Additional settings下,确保已启用Specify authentication mode,并从下拉菜单中选择User authentication。您可以保存在ISE上创建的凭证,也可以使用替换凭证按钮替换它。
在启动CoA操作之前,请在交换机上启用数据包捕获。
在PuTTY上,使用命令monitor capture cap1 buffer size 20 circular登录到Catalyst交换机,并指定缓冲区大小和捕获模式。
使用命令monitor capture cap1 control-plane both将控制平面指定为两者。
输入任意匹配条件。此命令为monitor capture cap1 match any。
开始数据包捕获。
在ISE界面上,导航到情景可视性下的终端选项。
选择MAC地址,然后从Change of Authorization下拉菜单中选择CoA操作。在本示例中,CoA Session Reauth已选中。这通过使用reauthenticate命令发送CoA数据包来强制在端口上重新进行身份验证。
返回PuTTY终端检查CoA操作是否成功。
如果选择CoA Session Terminate,它将根据管理请求发送带有终止命令的断开连接请求。
CoA Port Bounce选项将使用bounce host port命令发送CoA请求数据包,从而禁用并重新启用交换机上的端口。网络适配器离线了10秒,变为未授权状态。它将在线恢复,获得授权并可转发数据包。
使用端口退回的CoA会话终止将终止现有会话,退回端口10秒,并变为未授权状态。然后,它会重新联机,获得授权并可转发数据包。
端口关闭的CoA会话终止将终止会话并管理性关闭端口。
要停止数据包捕获,请使用命令monitor capture cap1 stop。
要复制文件,请导航到管理>文件管理>文件目录。
默认的闪存可用。或者,可以从驱动器下拉菜单中选择USB。
现在您已了解ISE以及如何在Catalyst 1300系列交换机中配置CoA。
有关详细信息,请查看以下视频。
版本 | 发布日期 | 备注 |
---|---|---|
1.0 |
17-Feb-2025 |
初始版本 |