Change of Authorization (CoA) là tính năng được hỗ trợ trên các thiết bị Cisco C1300 từ phiên bản firmware 4.1.3.36, cho phép điều chỉnh quyền hạn của thiết bị hay người dùng khác trên mạng. Dưới đây là hướng dẫn cấu hình Change of Authorization trên Cisco C1300 qua CLI chi tiết nhất.
TỔNG QUAN VỀ CISCO C1300
Cisco Catalyst 1300 là các thiết bị chuyển mạch ra đời để thay thế cho dòng Cisco CBS350 và Cisco C1000, giúp xây dựng một giải pháp mạng toàn diện với nhiều nâng cấp đáng kể. Switch Cisco 1300 cung cấp khả năng chuyển mạch hiệu suất cao cùng tốc độ kết nối linh hoạt, có thể cung cấp kết nối mạng ngay khi khởi động mà không yêu cầu cấu hình.
Cisco C1300 sở hữu nhiều ưu điểm vượt trội
Cisco C1300 hỗ trợ cấp nguồn qua PoE+, sở hữu bộ tính năng layer 3 tiên tiến giúp nâng cao hiệu suất, khả năng kết nối và đơn giản hóa cấu trúc mạng. Dòng sản phẩm này cũng được trang bị những tính năng tiên tiến, mang đến mức độ bảo mật mạnh mẽ cho mạng. Ngoài ra, Switch Cisco 1300 cũng giúp tiết kiệm điện năng, bảo vệ môi trường và tiết kiệm chi phí cho doanh nghiệp.
TÍNH NĂNG CHANGE OF AUTHORIZATION TRÊN CISCO CATALYST 1300 LÀ GÌ?
Change of Authorization (Thay đổi quyền hạn) là tính năng cho phép điều chỉnh quyền truy cập hay thay đổi thuộc tính của một thiết bị hoặc người dùng thuộc hệ thống AAA (Authentication, Authorization, Accounting) hoặc phiên người dùng dot1x sau khi đã được xác thực.
Khi một yêu cầu CoA được gửi từ máy chủ quản lý quyền truy cập mạng, switch sẽ thay đổi các chính sách truy cập cho thiết bị hoặc người dùng đó ngay lập tức, chẳng hạn như cấp quyền mới, áp dụng các hạn chế, hoặc chuyển sang VLAN khác.
Cisco Catalyst 1300 hỗ trợ các hành động CoA sau:
- Ngắt kết nối phiên
- Vô hiệu hóa lệnh CoA của cổng máy chủ
- Trả lại lệnh CoA của cổng máy chủ
- Xác thực lại lệnh CoA của máy chủ
CÁCH CẤU HÌNH COA CƠ BẢN TRÊN CISCO C1300 VỚI CLI
Cách cấu hình CoA trên Cisco C1300 với CLI
Dưới đây là quy trình để cấu hình lệnh CoA cơ bản trên Cisco Catalyst 1300 qua CLI
Thiết Lập RADIUS Server Và RADIUS Accounting
Để cấu hình máy chủ RADIUS, từ chế độ cấu hình chung, hãy thực hiện các bước sau:
Bước 1
Sử dụng lệnh radius-server key để thiết lập khóa xác thực cho giao tiếp RADIUS giữa thiết bị và RADIUS daemon.
switch(config)#radius-server key <key-string>
Bước 2
Sử dụng lệnh radius-server host để cấu hình máy chủ lưu trữ RADIUS.
switch(config)# radius-server host<ISE Server IP Address> key <key-string> priority 1 usage dot1.x
- Địa chỉ IP sẽ là địa chỉ IP của máy chủ ISE.
- key <key-string> – Chỉ định khóa xác thực và mã hóa cho tất cả các giao tiếp RADIUS giữa thiết bị và máy chủ RADIUS. Khóa này phải khớp với mã hóa được sử dụng trên RADIUS daemon.
- Priority – Chỉ định thứ tự sử dụng máy chủ, trong đó 0 có mức ưu tiên cao nhất. (Phạm vi: 0–65535)
- usage dot1.x – Chỉ định rằng máy chủ RADIUS được sử dụng để xác thực cổng 802.1x.
Bước 3
switch(config)# aaa accounting dot1x start-stop group radius
Cấu Hình Dynamic Authorization Server
Bước 1
Từ chế độ cấu hình chung, hãy vào chế độ cấu hình CoA bằng lệnh:
switch (config)# aaa server radius dynamic-author
Bước 2
Để cấu hình khóa RADIUS được chia sẻ giữa thiết bị và máy khách CoA (Phạm vi: 0–128 ký tự), hãy sử dụng lệnh server-key <key-string> trong chế độ cấu hình máy chủ cục bộ ủy quyền động (dynamic authorization local server). Key được cung cấp trong yêu cầu CoA phải khớp với key này.
switch (config-locsvr-da-radius) # server-key <key-string>
∗ Lưu ý: Đối với ISE, chuỗi khóa (key-string) sẽ giống với chuỗi khóa mà bạn đã chỉ định cho chuỗi khóa máy chủ RADIUS khi cấu hình RADIUS.
Bước 3
Nhập địa chỉ IP máy chủ của máy khách CoA. Địa chỉ IP có thể là địa chỉ IPv4, IPv6 hoặc IPv6z.
switch (config-locsvr-da-radius) #client <ISE Server IP Address>
Bước 4
switch(config) # Exit
Cấu Hình 802.1x
Để bật 802.1X trên toàn hệ thống, hãy sử dụng lệnh dot1x system-auth-control.
switch(config) # dot1x system-auth-control
Cấu Hình 802.1x Trên Một Cổng
Bước 1
Nhập cấu hình Giao diện và chọn ID giao diện bằng cách sử dụng lệnh GigabitEthernet<Interface ID>.
switch(config)# interface gi1/0/1
Bước 2
Để bật chế độ kiểm soát thủ công trạng thái ủy quyền cổng, hãy sử dụng lệnh dot1x port-control. Chế độ tự động bật xác thực 802.1X trên cổng và khiến cổng chuyển sang trạng thái được ủy quyền hoặc không được ủy quyền, dựa trên trao đổi xác thực 802.1X giữa thiết bị và máy khách.
switch(config-if) # dot1x port-control auto
Bước 3
Để bắt đầu xác thực lại thủ công tất cả các cổng hỗ trợ 802.1X hoặc cổng hỗ trợ 802.1X đã chỉ định, hãy sử dụng lệnh dot1x re-authenticate ở chế độ EXEC đặc quyền.
switch#dot1x re-authenticate gi1/0/1
Bước 4
Để cấu hình chế độ port security, hãy sử dụng lệnh chế độ cấu hình bảo mật cổng (Ethernet, Port Channel). Tham số delete-on-reset là chế độ bảo mật có giới hạn học địa chỉ MAC bảo mật với thời gian tồn tại xóa khi đặt lại.
switch(config-if)# port security mode secure delete-on-reset
Bước 5
Để thoát khỏi giao diện cấu hình, hãy nhập lệnh:
switch(config-if)#exit
Đọc thêm cách cấu hình những tính năng khác trên Cisco Catalyst 1300:
CÁC LỆNH KHÁC ĐỂ CẤU HÌNH COA TRÊN CISCO C1300
Sau đây là một số lệnh CoA khác có thể được sử dụng dựa trên cấu hình và thiết lập của bạn.
- attribute event-timestamp drop-packet: Lệnh này được sử dụng trong chế độ cấu hình dynamic authorization local server để cấu hình thiết bị loại bỏ yêu cầu Packet of Disconnect (PoD) request or CoA không bao gồm thuộc tính event-timestamp.
Switch010203(config-locsvr-da-radius )# attribute event-timestamp drop-packet
- authentication command bounce-port ignore: Để cấu hình thiết bị bỏ qua lệnh RADIUS Change of Authorization (CoA) bounce port , hãy sử dụng lệnh authentication command bounce-port ignore ở chế độ cấu hình chung.
Switch010203(config)#authentication command bounce-port ignore
- authentication command disable-port ignore: Để cấu hình thiết bị bỏ qua lệnh RADIUS CoA disable-port, hãy sử dụng lệnh này ở chế độ cấu hình chung.
Switch010203(config)# authentication command disable-port ignore
- domain delimiter <character>: Để cấu hình dấu phân cách miền tên người dùng cho các yêu cầu PoD và CoA đã nhận, hãy sử dụng lệnh domain delimiter ở chế độ cấu hình dynamic authorization local server.
Switch010203(config-locsvr-da-radius)#domain delimiter $
Trong ví dụ này, ký tự $ được cấu hình làm dấu phân cách.
- domain stripping [right-to-left]: Để bật và xác định hành vi loại bỏ username cho các yêu cầu PoD và CoA đã nhận, hãy sử dụng lệnh domain stripping trong chế độ cấu hình dynamic authorization local server.
Switch010203(config-locsvr-da-radius)#domain stripping right-to-left
- ignore server-key: Lệnh này được sử dụng trong chế độ cấu hình dynamic authorization local server để cấu hình thiết bị bỏ qua server-key CoA.
Switch010203(config-locsvr-da-radius)#ignore server-key
LỆNH CLI TRONG CHẾ ĐỘ PRIVILEGE EXEC
Tại chế độ Privilege Exec, bạn có thể dùng lệnh trên client (thiết bị hoặc người dùng) đã xác thực, xóa client đã kết nối và hiển thị cấu hình Dynamic Authorization Server.
- Sử dụng lệnh show aaa clients để hiển thị AAA (CoA) của người dùng hoặc thiết bị
Switch010203#show aaa clients
- Sử dụng lệnh show aaa server radius dynamic-author để hiển thị cấu hình CoA
Switch010203#show aaa server radius dynamic-author
- Sử dụng lệnh clear aaa counters để xóa client đã kết nối
Switch010203#clear aaa clients counters
KẾT LUẬN
Qua bài viết này, Cisco Chính Hãng (ANBINHNET ™) đã gửi đến quý khách hàng và độc giả hướng dẫn cấu hình CoA trên Switch Cisco 1300 qua CLI. Nếu bạn vẫn còn những câu hỏi khác liên quan đến Cisco C1300, hãy liên hệ với chúng tôi theo thông tin sau đây để được Tư vấn, Báo giá hoặc Hướng dẫn kỹ thuật của sản phẩm.
Cisco Chính Hãng – Địa chỉ phân phối Cisco C1300 chính hãng giá tốt nhất
- Văn phòng Hà Nội: 59 Võ Chí Công, Phường Nghĩa Đô, Quận Cầu Giấy, TP. Hà Nội
- Văn phòng TP Hồ Chí Minh: 736/182 Lê Đức Thọ, Phường 15, Quận Gò Vấp, TP. Hồ Chí Minh
- Hotline/Zalo: 0936.366.606
- Hotline/Zalo: 098.234.5005
- Hotline/Zalo: 0967.40.70.80
- Hotline/Zalo: 0888.40.70.80
- Email: info@ciscochinhhang.vn