Les switches Cisco Meraki s’intègrent mieux aux NAC

Petite nouveauté dans le dernier firmware à venir pour les switches Cisco Meraki : une meilleure intégration aux systèmes NAC (Network Access Control) comme Cisco Identity Services Engine (ISE), Bradford Network Sentry et Forescout CounterACT.

En effet la mise à jour ajoute la gestion des messages RADIUS Change of Authorization (CoA). Les deux fonctions principales qui en découlent sont :

Reauthenticate RADIUS Clients – Réauthentifier un utilisateur
Changing the VLAN for an existing client session when authentication via Wired 802.1x or MAC Authentication Bypass (MAB) is possible using CoA. A port bounce will force the client to re-authenticate and assign the new VLAN.

Disconnecting RADIUS Clients – Déconnecter un utilisateur
Disconnecting a client authenticated via Wired 802.1x or MAB, CoA enables administrators and RADIUS servers to ‘kick off’ a client device from the network. This will often force a client to re-authenticate and assign a new policy.

La fonction utilise les ports UDP 1700 et 3799 des switches pour communiquer avec les serveurs Radius et sa mise en place est détaillée ici. Le guide concernant le déploiement de cette fonction sur les bornes WiFi Cisco Meraki MR est ici.

Cela sera très utile pour les gens gérant un grand réseau (beaucoup de switches, d’AP, de clients) et ayant à maintenir un haut niveau de sécurité!