Petite nouveauté dans le dernier firmware à venir pour les switches Cisco Meraki : une meilleure intégration aux systèmes NAC (Network Access Control) comme Cisco Identity Services Engine (ISE), Bradford Network Sentry et Forescout CounterACT.
En effet la mise à jour ajoute la gestion des messages RADIUS Change of Authorization (CoA). Les deux fonctions principales qui en découlent sont :
Reauthenticate RADIUS Clients - Réauthentifier un utilisateur Changing the VLAN for an existing client session when authentication via Wired 802.1x or MAC Authentication Bypass (MAB) is possible using CoA. A port bounce will force the client to re-authenticate and assign the new VLAN. Disconnecting RADIUS Clients - Déconnecter un utilisateur Disconnecting a client authenticated via Wired 802.1x or MAB, CoA enables administrators and RADIUS servers to 'kick off' a client device from the network. This will often force a client to re-authenticate and assign a new policy.
La fonction utilise les ports UDP 1700 et 3799 des switches pour communiquer avec les serveurs Radius et sa mise en place est détaillée ici. Le guide concernant le déploiement de cette fonction sur les bornes WiFi Cisco Meraki MR est ici.
Cela sera très utile pour les gens gérant un grand réseau (beaucoup de switches, d'AP, de clients) et ayant à maintenir un haut niveau de sécurité !

Questions fréquentes

Qu’est-ce qu’un NAC dans un réseau ?

Un NAC, ou Network Access Control, contrôle l’accès au réseau selon l’identité, l’état ou le profil d’un utilisateur ou d’un appareil.

À quoi sert RADIUS Change of Authorization ?

RADIUS CoA permet de demander à un switch de réauthentifier, changer de VLAN ou déconnecter un client déjà connecté, sans attendre une reconnexion naturelle.

Pourquoi cette fonction est utile sur des switches Meraki ?

Elle permet d’intégrer les switches Meraki avec des solutions comme Cisco ISE, Forescout ou d’autres systèmes NAC pour appliquer des politiques dynamiques.

Quels ports sont mentionnés pour CoA ?

L’article mentionne les ports UDP 1700 et 3799 pour la communication entre switches et serveurs RADIUS selon le déploiement.

BoucheCousue peut-il déployer 802.1X ou MAB ?

Oui. BoucheCousue peut cadrer les profils, VLAN, RADIUS, certificats, exceptions IoT et procédures de support avant de déployer 802.1X ou MAB.