Документация
Page tree
Skip to end of metadata
Go to start of metadata

You are viewing an old version of this page. View the current version.

Compare with Current View Page History

Version 1 Next »

RADIUS CoA (Change of Authorization) – функционал, который требует от NAS-коммутатора выполнить мгновенную повторную авторизацию подключённого хоста. На коммутаторах SNR можно выполнить CoA для MAB и 802.1x клиентов.
Процесс выполняется в два этапа: 

  1. очищается существующая запись об авторизации;
  2. инициируется повторная авторизация по используемой технологии авторизации:
    1. 802.1x: NAS-коммутатор отправляет в сторону клиента EAP-Request, инициируя таким образом повторную авторизацию;
    2. MAB: NAS-коммутатор запускает повторную авторизацию на основе MAC-адреса MAB-клиента.

RADIUS Disconnect – похож на CoA, но в этом случае происходит только очистка записи аутентификации/авторизации, и не инициируется повторная авторизация.
Если быть абсолютно точным:

  1. 802.1x: удаляется запись авторизации на NAS-коммутаторе + в сторону клиента отправляется EAP Failure сообщение. Как правило, после этого между 802.1x-клиентом и NAS-коммутатором устанавливается временная "тишина", пока клиент не решит повторить авторизацию;
  2. MAB: MAB-клиенты переходят в статус MAB_QUIET и ожидают повторную попытку аутентификации/авторизации через запущенный таймер quiet-period.

Настройки коммутатора SNR для работы с RADIUS CoA и RADIUS Disconnect

Пример минимальной конфигурации коммутатора для работы RADIUS CoA и RADIUS Disconnect для MAB:

mac-authentication-bypass enable
!
radius-server authentication host 192.168.30.250 key 0 snr		# 192.168.30.250 - RADIUS Auth Server, "snr" - key
radius-server accounting host 192.168.30.250 key 0 snr			# 192.168.30.250 - RADIUS Acco Server, "snr" - key
aaa-accounting enable
aaa enable
!
Interface Ethernet1/0/1											# MAB-client port
 switchport mode hybrid
 switchport hybrid allowed vlan 1;10 untag						# VLAN 10 - Dynamic VLAN
 mac-authentication-bypass enable
!
!
Interface Ethernet1/0/23										# UPLINK to RADIUS-Server
 switchport mode trunk
 switchport trunk allowed vlan 10;30 
!
interface Vlan30												# VLAN 30 and SVI 30 for connectivity with RADIUS-Server
 ip address 192.168.30.100 255.255.255.0
!
end

Важно!

Настройка Accounting может показаться опциональной, но её конфигурация обязательна для работы RADIUS CoA и RADIUS Disconnect!

Пример минимальной конфигурации коммутатора для работы RADIUS CoA и RADIUS Disconnect для 802.1x:

radius-server authentication host 192.168.30.250 key 0 snr		# 192.168.30.250 - RADIUS Auth Server, "snr" - key
radius-server accounting host 192.168.30.250 key 0 snr			# 192.168.30.250 - RADIUS Acco Server, "snr" - key
aaa-accounting enable
aaa enable
!
dot1x enable
!
Interface Ethernet1/0/1											# 802.1x-client port
 switchport mode hybrid
 switchport hybrid allowed vlan 1;10 untag						# VLAN 10 - Dynamic VLAN
 dot1x enable
 dot1x port-method portbased
!
!
Interface Ethernet1/0/23										# UPLINK to RADIUS-Server
 switchport mode trunk
 switchport trunk allowed vlan 10;30
!
interface Vlan30 												# VLAN 30 and SVI 30 for connectivity with RADIUS-Server
 ip address 192.168.30.100 255.255.255.0
!

Минимальный набор атрибутов в RADIUS CoA и RADIUS Disconnect сообщениях

Рассмотрим отдельно минимальный набор атрибутов в сообщениях RADIUS CoA и RADIUS Disconnect для авторизаций 802.1x и MAB и приведём примеры.

Минимальный набор атрибутов в сообщении RADIUS CoA:

  1. 802.1x: достаточно передать:
    1. User-Name;
    2. Известный Vendor-Specific (type 26) от Cisco, в котором указано:
      1. Vendor ID 9 (ciscoSystems);
      2. Vendor-Specific Attribute Type 1 (Cisco-AVPair);
      3. value: "subscriber:command=reauthenticate".
  2. MAB: достаточно передать:
    1. User-Name (не забываем, что для MAB в качестве User-Name указывается MAC-адрес, записанный по два символа через "-") либо Calling-Station-Id;
    2. Известный Vendor-Specific (type 26) от Cisco, в котором указано:
      1. Vendor ID 9 (ciscoSystems);
      2. Vendor-Specific Attribute Type 1 (Cisco-AVPair);
      3. value: "subscriber:command=reauthenticate".

Пример работы RADIUS CoA для 802.1x-клиента с именем "test15" (дамп с RADIUS-сервера):

Пример работы RADIUS CoA для MAB-клиента с MAC-адресом f8-f0-82-da-2c-9d:

Минимальный набор атрибутов, необходимый для работы RADIUS Disconnect:

  1. 802.1x: достаточно передать:
    1. User-Name;
  2. MAB: достаточно передать:
    1. User-Name (не забываем, что для MAB в качестве User-Name указывается MAC-адрес, записанный по два символа через "-") либо Calling-Station-Id;

Пример работы RADIUS Disconnect для 802.1x-клиента с именем "test15" (дамп с RADIUS-сервера):

Пример работы RADIUS Disconnect для MAB-клиента с MAC-адресом f8-f0-82-da-2c-9d:

  • No labels