Catalyst 1300中授权消息类型的更改

目标 

本文的目标是提供Catalyst 1300交换机中授权消息类型更改的概述。

适用设备 | 软件版本 

• Catalyst 1200 交换机 |4.1.3.36
• Catalyst 1300 交换机 |4.1.3.36

简介 

授权更改(CoA)是RADIUS协议的扩展，允许对AAA或dot1x用户会话进行动态更改。当AAA中组用户的策略更改时，管理员可以从AAA服务器（例如思科身份服务引擎[ISE]）传输RADIUS CoA数据包，以重新初始化身份验证并应用新策略。

此功能需要在动态授权客户端（RADIUS服务器）和动态授权服务器（Catalyst交换机）之间进行通信。 如下面的网络图所示，动态授权客户端向动态授权服务器发送断开连接或CoA消息，交换机提供响应。

设备支持以下CoA操作：

• CoA Session Reauth — 这通过发送带有reauthenticate命令的CoA数据包，在端口上强制进行重新身份验证。
• CoA Session Terminate — 这会根据管理员请求使用terminate命令发送Disconnect请求。
• CoA Port Bounce — 这使用Bounce Host Port命令发送CoA Request数据包，该命令将禁用并重新启用交换机上的端口。
• CoA Session Termination with Port Bounce — 这将终止现有会话并退回端口。
• CoA Session Termination with Port Shutdown — 这将终止会话并管理性关闭端口。

CoA请求响应代码

CoA请求（如RFC 5176中所述）用于允许会话识别、主机重新身份验证和会话终止。该模型包含一个请求(CoA-Request)和两个可能的响应代码：

• CoA确认(ACK)[CoA-ACK]
• CoA未确认(NAK)[CoA-NAK]

请求从CoA客户端（通常是RADIUS或策略服务器）发起并定向到充当侦听程序的设备。

CoA ACK响应代码

如果授权状态更改成功，则会发送肯定确认(ACK)。CoA ACK内返回的属性可能因CoA请求而异。

CoA NAK响应代码

否定确认(NAK)表示未能更改授权状态，并且可以包含指示失败原因的属性。

支持的命令和响应

CoA是对整体RADIUS协议的扩展，ISE服务器将数据包发送到交换机上的UDP端口1700。

• 40 - Disconnect-Request — 由交换机处理。交换机以Disconnect-ACK或Disconnect-NAK作为回复。
• 41 - Disconnect-ACK — 由交换机发送
• 42 - Disconnect-NAK — 由交换机发送
• 43 - CoA-Request — 由交换机处理。交换机以CoA-ACK或CoA-NAK作为回复。
• 44 - CoA-ACK — 由交换机发送
• 45 - CoA-NAK — 由交换机发送

结论

既然您了解了CoA消息类型，请查看以下文章以在Catalyst 1300交换机中配置CoA。

使用Web用户界面配置Catalyst 1300中的授权更改

使用CLI配置Catalyst 1300交换机中的授权更改