使用CLI配置Catalyst 1300交换机中的授权更改
目标
本文的目的是向您展示如何使用命令行界面(CLI)在Catalyst 1300交换机中执行授权更改(CoA)功能的基本配置。
适用的设备和软件版本
- Catalyst 1300 交换机 |4.1.3.36
简介
授权更改(CoA)是RADIUS协议的扩展,允许您在身份验证、授权和记帐(AAA)或dot1x用户会话后更改其属性。当AAA中用户或组的策略更改时,管理员可以从AAA服务器(例如思科身份服务引擎[ISE])传输RADIUS CoA数据包,以重新初始化身份验证并应用新策略。
思科身份服务引擎(或ISE)是一个功能齐全的基于网络的访问控制和策略实施引擎。它提供安全分析和实施、RADIUS和TACACS服务、策略分发等。Cisco ISE目前是Catalyst 1300交换机唯一支持的CoA动态授权客户端。有关详细信息,请参阅ISE管理员指南。
CoA支持已添加到固件版本4.1.3.36中的Catalyst 1300交换机。这包括支持断开用户连接以及更改适用于用户会话的授权。设备支持以下CoA操作:
- 断开会话
- 禁用主机端口CoA命令
- 退回主机端口CoA命令
- 重新验证主机CoA命令
在本文中,您将使用CLI在Catalyst 1300交换机上找到基本CoA配置的命令。这些步骤可能因用户设置和要求而异。
目录
使用CLI进行基本CoA配置
设置RADIUS服务器和RADIUS记帐
要从全局配置模式配置RADIUS服务器,请使用以下命令:
第 1 步
使用radius-server key命令为设备和RADIUS后台守护程序之间的RADIUS通信设置身份验证密钥。
switch(config)#radius-server key
第 2 步
使用radius-server host命令配置RADIUS服务器主机。
switch(config)# radius-server host
- IP地址将是ISE服务器的IP地址。
- key <key-string> — 为设备和RADIUS服务器之间的所有RADIUS通信指定身份验证和加密密钥。此密钥必须与RADIUS后台守护程序上使用的加密匹配。
- Priority — 指定服务器的使用顺序,其中0具有最高优先级。(范围:0-65535)
- usage dot1.x — 指定RADIUS服务器用于802.1x端口身份验证。
第 3 步
switch(config)# aaa accounting dot1x start-stop group radius
配置动态授权服务器
第 1 步
在全局配置模式下,运行以下命令进入CoA配置模式:
switch(config)# aaa server radius dynamic-author
第 2 步
配置要在设备和CoA客户端之间共享的RADIUS密钥(范围:0-128个字符),请在动态授权本地服务器配置模式下使用命令server-key <key-string>。CoA请求中提供的密钥必须与此密钥匹配。
switch(config-locsvr-da-radius)# server-key
对于ISE,密钥字符串将与您在配置RADIUS时为RADIUS服务器密钥字符串指定的密钥字符串相同。
第 3 步
输入CoA客户端主机IP地址。IP地址可以是IPv4、IPv6或IPv6z地址。
switch(config-locsvr-da-radius)#client
第 4 步
switch(config)# Exit
配置802.1x
要全局启用802.1X,请使用dot1x system-auth-control命令。
switch(config)# dot1x system-auth-control
在端口上配置802.1x
第 1 步
输入Interface configuration,并使用命令interface GigabitEthernet<Interface ID>选择接口ID。
switch(config)# interface gi1/0/1
第 2 步
要启用端口授权状态的手动控制,请使用dot1x port-control命令。自动模式在端口上启用802.1X身份验证,并根据设备和客户端之间的802.1X身份验证交换使其转换到授权或未经授权状态。
switch(config-if)# dot1x port-control auto
第 3 步
要启动所有启用802.1X的端口或指定的802.1X端口的手动重新身份验证,请在特权EXEC模式下使用dot1x re-authenticate命令。
switch#dot1x re-authenticate gi1/0/1
第 4 步
要配置端口安全学习模式,请使用端口安全模式接口(以太网、端口通道)配置模式命令。Secure delete-on-reset参数是一种安全模式,具有有限学习安全MAC地址和delete-on-reset生存时间。
switch(config-if)# port security mode secure delete-on-reset
步骤 5
要退出接口配置,请输入以下命令:
switch(config-if)#exit
CoA配置的其他命令
以下是一些可以根据您的配置和设置使用的CoA命令。
- attribute event-timestamp drop-packet — 此命令用于动态授权本地服务器配置模式,以将设备配置为丢弃不包括事件时间戳属性的断开数据包(PoD)请求或CoA请求。
Switch010203(config-locsvr-da-radius)# attribute event-timestamp drop-packet
- authentication命令bounce-port ignore — 要将设备配置为忽略RADIUS授权更改(CoA)退回端口命令,请在全局配置模式下使用authentication命令bounce-port ignore命令。
Switch010203(config)#authentication command bounce-port ignore
- authentication command disable-port ignore — 要将设备配置为忽略RADIUS CoA disable-port命令,请在全局配置模式下使用此命令。
Switch010203(config)# authentication command disable-port ignore
- domain delimiter <character> — 要为收到的PoD和CoA请求配置用户名域分隔符,请在动态授权本地服务器配置模式下使用domain delimiter命令。
Switch010203(config-locsvr-da-radius)#domain delimiter $
在本示例中,$字符被配置为分隔符。
- 域剥离[从右到左] — 要启用和定义所接收的PoD和CoA请求的用户名域剥离行为,请在动态授权本地服务器配置模式下使用domain stripping命令。
Switch010203(config-locsvr-da-radius)#domain stripping right-to-left
- ignore server-key — 此命令用于动态授权本地服务器配置模式,用于将设备配置为忽略CoA服务器密钥。
Switch010203(config-locsvr-da-radius)#ignore server-key
特权执行模式下的CLI命令
在特权执行模式下,您可以在经过身份验证的客户端上运行show命令、清除客户端计数器和show Dynamic Authorization Server配置。
- 使用show aaa clients显示AAA(CoA)客户端的统计信息。
Switch010203#show aaa clients
- 使用show aaa server radius dynamic-author命令显示CoA配置。
Switch010203#show aaa server radius dynamic-author
- clear aaa counters可用于清除aaa clients计数器
Switch010203#clear aaa clients counters
结论
现在,您已使用CLI在Catalyst 1300交换机中完成基本授权更改(CoA)配置。
有关Catalyst 1300交换机CLI命令的详细信息,请参阅Cisco Catalyst 1300交换机系列CLI指南。
修订历史记录
| 版本 | 发布日期 | 备注 |
|---|---|---|
1.0 |
23-Oct-2024 |
初始版本 |
反馈