Catalyst 1300中授權消息型別的更改

目標 

本文的目標是提供Catalyst 1300交換機中授權消息型別更改的概述。

適用裝置 | 軟體版本 

• Catalyst 1200交換器 | 4.1.3.36
• Catalyst 1300交換器 | 4.1.3.36

簡介 

授權變更(CoA)是RADIUS通訊協定的延伸，允許對AAA或dot1x使用者作業階段進行動態變更。當AAA中組使用者的策略更改時，管理員可以從AAA伺服器(例如思科身份服務引擎(ISE))傳輸RADIUS CoA資料包，以重新初始化身份驗證並應用新策略。

此功能需要動態授權使用者端（RADIUS伺服器）和動態授權伺服器（Catalyst交換器）之間的通訊。 如下面的網路圖所示，動態授權客戶端向動態授權伺服器傳送斷開連線或CoA消息，交換機提供響應。

裝置支援以下CoA操作：

• CoA Session Reauth — 這通過使用reauthenticate命令傳送CoA封包來強制連線埠進行重新驗證。
• CoA Session Terminate — 這將根據Admin請求使用terminate命令傳送Disconnect請求。
• CoA Port Bounce — 這使用Bounce Host Port命令傳送CoA Request資料包，該命令將禁用並重新啟用交換機上的埠。
• CoA Session Termination with Port Bounce — 這將終止現有會話並退回埠。
• CoA Session Termination with Port Shutdown — 這將終止會話並管理性關閉埠。

CoA請求響應代碼

如RFC 5176所述，CoA請求用於允許會話識別、主機重新身份驗證和會話終止。該模型包含一個請求(CoA-Request)和兩個可能的響應代碼：

• CoA確認(CoA-ACK)
• CoA未確認(NAK)[CoA-NAK]

請求從CoA客戶端（通常是RADIUS或策略伺服器）發起並定向到充當偵聽程式的裝置。

CoA ACK響應代碼

如果授權狀態更改成功，則會傳送肯定確認(ACK)。CoA ACK內返回的屬性可能因CoA請求而異。

CoA NAK響應代碼

否定確認(NAK)表示未能更改授權狀態，可包括指示失敗原因的屬性。

支援的命令和回應

CoA是總體RADIUS協定的擴展，它使ISE伺服器將資料包傳送到交換機上的UDP埠1700。

• 40 - Disconnect-Request — 由交換機處理。交換機使用Disconnect-ACK或Disconnect-NAK回覆。
• 41 - Disconnect-ACK — 由交換機傳送
• 42 - Disconnect-NAK — 由交換機傳送
• 43 - CoA-Request — 由交換機處理。交換器使用CoA-ACK或CoA-NAK回覆。
• 44 - CoA-ACK — 由交換器傳送
• 45 - CoA-NAK — 由交換機傳送

結論

現在您已瞭解CoA訊息型別，請閱讀以下文章以在Catalyst 1300交換器上設定CoA。

使用Web使用者介面配置Catalyst 1300中的授權更改

使用CLI設定Catalyst 1300交換器中的授權變更