Документация
Page tree

Versions Compared

Old Version 1

changes.mady.by.user kis-import-docs

Saved on

compared with

New Version Current

changes.mady.by.user kis-import-docs

Saved on

Key

  • This line was added.
  • This line was removed.
  • Formatting was changed.

Table of Contents


Info
titleИнформация

На Май 2026 года работа с RADIUS CoA на коммутаторах SNR адаптирована под работу с Cisco ISE. Более подробно можно узнать в главе: "Минимальный набор атрибутов в RADIUS CoA и RADIUS Disconnect сообщениях".

RADIUS CoA (Change of Authorization) – функционал, который требует от NAS-коммутатора выполнить мгновенную повторную авторизацию подключённого хоста. На коммутаторах SNR можно выполнить CoA для MAB и 802.1x клиентов.
Процесс выполняется в два этапа: 

  1. на NAS-коммутаторе очищается существующая запись об авторизации;
  2. инициируется повторная авторизация по используемой технологии авторизации:
    1. 802.1x: NAS-коммутатор отправляет в сторону клиента EAP-Request, инициируя таким образом повторную авторизацию;
    2. MAB: NAS-коммутатор запускает повторную авторизацию на основе MAC-адреса MAB-клиента.

RADIUS Disconnect – похож на CoA, но в этом случае происходит только очистка записи аутентификации/ авторизации, и не инициируется повторная авторизация.
Если быть абсолютно точным:

  1. 802.1x: удаляется запись авторизации на NAS-коммутаторе + в сторону клиента отправляется EAP Failure сообщение. Как правило, после этого между 802.1x-клиентом и NAS-коммутатором устанавливается временная "тишина", пока клиент не решит повторить авторизацию;
  2. MAB: удаляется запись авторизации на NAS-коммутаторе + NAS-коммутатор переводит MAB-клиенты переходят клиентов в статус MAB_QUIET и ожидают повторную попытку аутентификации/авторизации через запущенный таймер . Повторная попытка авторизации может быть инициирована после истечения таймера quiet-period и выхода из статуса MAB_QUIET.

Настройки коммутатора SNR для работы с RADIUS CoA и RADIUS Disconnect

...

Минимальный набор атрибутов в RADIUS CoA и RADIUS Disconnect сообщениях

На Май 2026 года работа с RADIUS CoA на коммутаторах SNR адаптирована под работу с Cisco ISE, поэтому для работы требуется передача атрибута Cisco (о нём подробнее ниже). Рассмотрим отдельно минимальный набор атрибутов в сообщениях RADIUS CoA и RADIUS Disconnect для авторизаций 802.1x и MAB и приведём примеры.

Минимальный необходимый набор атрибутов в

...

RADIUS CoA

...

сообщениях

  1. 802.1x: достаточно передать:
    1. User-Name;
    2. Известный Vendor-Specific (type 26) от Cisco, в котором указано:
      1. Vendor ID 9 (ciscoSystems);
      2. Vendor-Specific Attribute Type 1 (Cisco-AVPair);
      3. value: "subscriber:command=reauthenticate".
  2. MAB: достаточно передать:
    1. User-Name (не забываем, что для MAB в качестве User-Name указывается MAC-адрес, записанный по два символа через "-") либо Calling-Station-Id;
    2. Известный Vendor-Specific (type 26) от Cisco, в котором указано:
      1. Vendor ID 9 (ciscoSystems);
      2. Vendor-Specific Attribute Type 1 (Cisco-AVPair);
      3. value: "subscriber:command=reauthenticate".

...

Пример работы RADIUS CoA для MAB-клиента с MAC-адресом f8-f0-82-da-2c-9d:

Минимальный необходимый набор атрибутов

...

в RADIUS Disconnect

...

сообщениях

  1. 802.1x: достаточно передать:
    1. User-Name;
  2. MAB: достаточно передать:
    1. User-Name (не забываем, что для MAB в качестве User-Name указывается MAC-адрес, записанный по два символа через "-") либо Calling-Station-Id;

...