本文的目的是顯示如何使用Web使用者介面(UI)在Catalyst 1300交換機中配置授權更改(CoA)。
授權變更(CoA)是RADIUS通訊協定的延伸,允許您變更驗證、授權及計量(AAA)或dot1x使用者作業階段的屬性(經過驗證)。當AAA中使用者或組的策略發生更改時,管理員可以從AAA伺服器(例如思科身份服務引擎(ISE))傳輸RADIUS CoA資料包,以重新初始化身份驗證並應用新策略。
思科身份服務引擎(或ISE)是一個功能全面的基於網路的訪問控制和策略實施引擎。其提供安全分析和執行、RADIUS和TACACS服務、原則發佈等。Cisco ISE是目前唯一支援Catalyst 1300交換機的CoA動態授權客戶端。有關詳細資訊,請參閱ISE管理員指南。
此功能需要動態授權使用者端(RADIUS伺服器)和動態授權伺服器(Catalyst交換器)之間的通訊。 如下面的網路圖所示,動態授權伺服器向動態授權伺服器傳送斷開連線或CoA消息,交換機提供響應。
CoA支援已新增到韌體版本4.1.3.36中的Catalyst 1300交換機。這包括支援斷開使用者連線以及更改適用於使用者會話的授權。裝置支援以下CoA操作:
要使用命令列介面(CLI)配置CoA,請參閱使用CLI在Catalyst 1300交換機中配置授權更改。
在本示例中,使用Cisco ISE伺服器版本3.2。有關ISE的概述,請檢視Cisco Identity Services Engine產品頁面。
ISE版本2.7及更高版本支援CoA。
部署Cisco ISE伺服器後,登入以訪問Web UI。
要新增網路裝置,請導航到管理>網路資源選單。
按一下+ Add按鈕。
輸入Catalyst交換器的名稱、說明和IP地址。
從Device Profile下拉選單中選擇Cisco。
輸入Shared Secret配置RADIUS身份驗證設定。
輸入CoA埠號。預設連線埠為1700。
接下來,導航到Administration > Identity Management,然後選擇Network Access Users。
要定義使用者名稱和密碼,請按一下+Add符號。
輸入使用者名稱和密碼,然後按一下頁面底部的Save。
登入Catalyst 1300交換器並選擇Advanced模式。本範例中使用的是C1300-24FP-4X。
CoA支援已新增到韌體版本4.1.3.36中的Catalyst 1300交換機。
導覽至導覽窗格中的Security > RADIUS Client。
將RADIUS Accounting設定為Port Based Access Control。
要新增ISE伺服器,向下滾動到RADIUS表,然後按一下plus圖示。
配置RADIUS伺服器設定。
按一下「Apply」。
要配置802.1x身份驗證,請導航至安全> 802.1X身份驗證>「屬性」選單。
確保Port-Based Authentication已啟用,且Authentication Method已設定為RADIUS。
導航到Port Authentication選單,選擇所需的埠,然後按一下edit。
對於Administrative Port Control,選擇Auto選項,該選項將根據RADIUS響應在授權和未經授權的狀態之間切換埠。
啟用802.1x Based Authentication,然後按一下Apply。
您將需要埠上裝置的MAC地址。ISE上的CoA操作將應用到該MAC地址。在本例中,它是埠9。要獲取該埠,請導航到MAC地址表>動態地址。
向下滾動到埠並記下MAC地址。
導覽至Security > Dynamic Authorization Server。
啟用以下功能:
將UDP Port保留為預設值1700。
在客戶端表下,確保使用正確的伺服器金鑰新增ISE伺服器。按一下「Apply」。
按一下紅色閃爍的Save圖示以儲存配置。
在連線到埠9的客戶端筆記型電腦上,驗證是否已為802.1 X身份驗證啟用有線自動配置服務。
在Ethernet介面卡設定上,驗證MAC地址是否匹配。
按一下Ethernet settings下的Properties按鈕,然後按一下Authentication頁籤下的Properties按鈕,確保覈取方塊處於啟用狀態。此外,請確保身份驗證方法是受保護的EAP(PEAP)。
按一下Settings按鈕以確保取消選中Verify the server's identity by validating the certificate旁邊的覈取方塊。
應選中Enable Fast Reconnect(啟用快速重新連線)框。
在「Additional settings(其他設定)」下,確保Specify authentication mode已啟用,並從下拉選單中選擇User authentication。您可以儲存在ISE上建立的憑據,或使用替換憑據按鈕替換它。
在啟動CoA操作之前,請在交換機上啟用資料包捕獲。
在PuTTY上,登入您的Catalyst交換機,使用命令monitor capture cap1 buffer size 20 circular指定緩衝區大小和捕獲模式。
使用命令monitor capture cap1 control-plane both將控制平面指定為both。
輸入任意匹配條件。此命令為monitor capture cap1 match any。
開始資料包捕獲。
在ISE介面上,導航到情景可視性下的Endpoints選項。
選擇MAC地址,然後從Change of Authorization下拉選單中選擇CoA操作。在本範例中,選擇了CoA Session Reauth。這會透過使用reauthenticate命令傳送CoA封包在連線埠上強制重新驗證。
返回PuTTY終端檢查CoA操作是否成功。
如果您選擇CoA Session Terminate,它將根據管理請求傳送帶有終止命令的斷開連線請求。
CoA Port Bounce選項將使用bounce host port命令傳送CoA請求資料包,從而禁用並重新啟用交換機上的埠。網路介面卡將離線10秒並變為未授權狀態。它將線上恢復、獲得授權並可轉發資料包。
使用埠退回的CoA會話終止將終止現有會話,退回埠10秒,並變為未授權狀態。然後,它返回聯機狀態,獲得授權並可轉發資料包。
使用埠關閉的CoA會話終止將終止會話並管理性關閉埠。
要停止資料包捕獲,請使用命令monitor capture cap1 stop。
要複製檔案,請導航到管理>檔案管理>檔案目錄。
預設快閃記憶體可用。或者,您可以從Drive下拉選單中選擇USB。
現在您已瞭解ISE以及如何在Catalyst 1300系列交換機中配置CoA。
有關詳細資訊,請檢視下面的影片。
修訂 | 發佈日期 | 意見 |
---|---|---|
1.0 |
17-Feb-2025 |
初始版本 |