使用CLI設定Catalyst 1300交換器中的授權變更
目標
本文的目的是顯示如何在Catalyst 1300交換器上使用指令行介面(CLI)執行授權變更(CoA)功能的基本設定。
適用裝置和軟體版本
- Catalyst 1300交換器 | 4.1.3.36
簡介
授權變更(CoA)是RADIUS通訊協定的延伸,允許您變更驗證、授權及計量(AAA)或dot1x使用者作業階段的屬性(經過驗證)。當AAA中使用者或組的策略發生更改時,管理員可以從AAA伺服器(例如思科身份服務引擎(ISE))傳輸RADIUS CoA資料包,以重新初始化身份驗證並應用新策略。
思科身份服務引擎(或ISE)是一個功能全面的基於網路的訪問控制和策略實施引擎。其提供安全分析和執行、RADIUS和TACACS服務、原則發佈等。Cisco ISE是目前唯一支援Catalyst 1300交換機的CoA動態授權客戶端。有關詳細資訊,請參閱ISE管理員指南。
CoA支援已新增到韌體版本4.1.3.36中的Catalyst 1300交換機。這包括支援斷開使用者連線以及更改適用於使用者會話的授權。裝置支援以下CoA操作:
- 斷開會話
- 禁用主機埠CoA命令
- 退回主機埠CoA命令
- 重新驗證主機CoA命令
在本文中,您將使用CLI在Catalyst 1300交換機中找到基本CoA配置的命令。這些步驟可能因使用者設定和要求而異。
目錄
使用CLI進行基本CoA配置
設定RADIUS伺服器和RADIUS記帳
要從全域性配置模式配置RADIUS伺服器,請使用以下命令:
步驟 1
使用radius-server key命令為裝置和RADIUS後台程式之間的RADIUS通訊設定身份驗證金鑰。
switch(config)#radius-server key
步驟 2
使用radius-server host命令配置RADIUS伺服器主機。
switch(config)# radius-server host
- IP地址將是ISE伺服器IP地址。
- key <key-string> — 為裝置和RADIUS伺服器之間的所有RADIUS通訊指定身份驗證和加密金鑰。此金鑰必須與RADIUS守護程式上使用的加密匹配。
- Priority — 指定伺服器的使用順序,其中0具有最高的優先順序。(範圍:0-65535)
- usage dot1.x — 指定RADIUS伺服器用於802.1x埠身份驗證。
步驟 3
switch(config)# aaa accounting dot1x start-stop group radius
配置動態授權伺服器
步驟 1
在全域性配置模式下,運行以下命令進入CoA配置模式:
switch(config)# aaa server radius dynamic-author
步驟 2
配置要在裝置和CoA客戶端之間共用的RADIUS金鑰(範圍:0-128個字元),在動態授權本地伺服器配置模式下使用server-key <key-string>命令。CoA請求中提供的金鑰必須與此金鑰匹配。
switch(config-locsvr-da-radius)# server-key
對於ISE,金鑰字串將與您在配置RADIUS時為RADIUS伺服器key-string指定的金鑰字串相同。
步驟 3
輸入CoA客戶端主機IP地址。IP地址可以是IPv4、IPv6或IPv6z地址。
switch(config-locsvr-da-radius)#client
步驟 4
switch(config)# Exit
配置802.1x
要全域性啟用802.1X,請使用dot1x system-auth-control命令。
switch(config)# dot1x system-auth-control
在埠上配置802.1x
步驟 1
輸入介面配置,然後使用命令interface GigabitEthernet<Interface ID>選擇介面ID。
switch(config)# interface gi1/0/1
步驟 2
要啟用對埠授權狀態的手動控制,請使用dot1x port-control命令。自動模式根據裝置與客戶端之間的802.1X身份驗證交換,啟用埠上的802.1X身份驗證,並使其轉換到授權或未經授權的狀態。
switch(config-if)# dot1x port-control auto
步驟 3
要啟動所有啟用802.1X的埠或指定的802.1X的埠手動重新身份驗證,請在特權EXEC模式下使用dot1x re-authenticate命令。
switch#dot1x re-authenticate gi1/0/1
步驟 4
要配置埠安全學習模式,請使用port security mode Interface(Ethernet, Port Channel)配置模式命令。Secure delete-on-reset參數是一種安全模式,其學習安全MAC地址有限,具有delete-on-reset生存時間。
switch(config-if)# port security mode secure delete-on-reset
步驟 5
要退出介面配置,請輸入以下內容:
switch(config-if)#exit
CoA配置的其他命令
以下是一些其他可根據您的配置和設定使用的CoA命令。
- attribute event-timestamp drop-packet — 此命令在動態授權本地伺服器配置模式下用於配置裝置以丟棄不包括事件時間戳屬性的斷開資料包(PoD)請求或CoA請求。
Switch010203(config-locsvr-da-radius)# attribute event-timestamp drop-packet
- authentication命令bounce-port ignore — 要將裝置配置為忽略RADIUS授權更改(CoA)退回埠命令,請在全域性配置模式下使用authentication命令bounce-port ignore命令。
Switch010203(config)#authentication command bounce-port ignore
- authentication command disable-port ignore — 要將裝置配置為忽略RADIUS CoA disable-port命令,請在全域性配置模式下使用此命令。
Switch010203(config)# authentication command disable-port ignore
- 域分隔符<character> — 要為收到的PoD和CoA請求配置使用者名稱域分隔符,請在動態授權本地伺服器配置模式下使用domain delimiter命令。
Switch010203(config-locsvr-da-radius)#domain delimiter $
在本示例中,$字元被配置為分隔符。
- domain stripping [right-to-left] — 要為接收的PoD和CoA請求啟用和定義使用者名稱域剝離行為,請在動態授權本地伺服器配置模式下使用domain stripping命令。
Switch010203(config-locsvr-da-radius)#domain stripping right-to-left
- ignore server-key — 此命令在動態授權本地伺服器配置模式下用於將裝置配置為忽略CoA伺服器金鑰。
Switch010203(config-locsvr-da-radius)#ignore server-key
特權執行模式下的CLI命令
在特權exec模式下,您可以在經過身份驗證的客戶端上運行show命令,清除客戶端計數器並顯示Dynamic Authorization Server配置。
- 使用show aaa clients顯示AAA(CoA)使用者端的統計資訊。
Switch010203#show aaa clients
- 使用show aaa server radius dynamic-author命令顯示CoA配置。
Switch010203#show aaa server radius dynamic-author
- clear aaa counters可用於清除aaa客戶端計數器
Switch010203#clear aaa clients counters
結論
現在,您已使用CLI在Catalyst 1300交換器上完成基本授權變更(CoA)組態。
有關Catalyst 1300交換機CLI命令的詳細資訊,請參閱Cisco Catalyst 1300交換機系列CLI指南。
修訂記錄
| 修訂 | 發佈日期 | 意見 |
|---|---|---|
1.0 |
23-Oct-2024 |
初始版本 |
意見