Petite nouveauté dans le dernier firmware à venir pour les switches Cisco Meraki : une meilleure intégration aux systèmes NAC (Network Access Control) comme Cisco Identity Services Engine (ISE), Bradford Network Sentry et Forescout CounterACT.
En effet la mise à jour ajoute la gestion des messages RADIUS Change of Authorization (CoA). Les deux fonctions principales qui en découlent sont :
Reauthenticate RADIUS Clients - Réauthentifier un utilisateur
Changing the VLAN for an existing client session when authentication via Wired 802.1x or MAC Authentication Bypass (MAB) is possible using CoA. A port bounce will force the client to re-authenticate and assign the new VLAN.
Disconnecting RADIUS Clients - Déconnecter un utilisateur
Disconnecting a client authenticated via Wired 802.1x or MAB, CoA enables administrators and RADIUS servers to 'kick off' a client device from the network. This will often force a client to re-authenticate and assign a new policy.
Cela sera très utile pour les gens gérant un grand réseau (beaucoup de switches, d'AP, de clients) et ayant à maintenir un haut niveau de sécurité !
Questions fréquentes
Qu’est-ce qu’un NAC dans un réseau ?
Un NAC, ou Network Access Control, contrôle l’accès au réseau selon l’identité, l’état ou le profil d’un utilisateur ou d’un appareil.
À quoi sert RADIUS Change of Authorization ?
RADIUS CoA permet de demander à un switch de réauthentifier, changer de VLAN ou déconnecter un client déjà connecté, sans attendre une reconnexion naturelle.
Pourquoi cette fonction est utile sur des switches Meraki ?
Elle permet d’intégrer les switches Meraki avec des solutions comme Cisco ISE, Forescout ou d’autres systèmes NAC pour appliquer des politiques dynamiques.
Quels ports sont mentionnés pour CoA ?
L’article mentionne les ports UDP 1700 et 3799 pour la communication entre switches et serveurs RADIUS selon le déploiement.
BoucheCousue peut-il déployer 802.1X ou MAB ?
Oui. BoucheCousue peut cadrer les profils, VLAN, RADIUS, certificats, exceptions IoT et procédures de support avant de déployer 802.1X ou MAB.