Документация
Page tree
Skip to end of metadata
Go to start of metadata


Информация

На Май 2026 года работа с RADIUS CoA на коммутаторах SNR адаптирована под работу с Cisco ISE. Более подробно можно узнать в главе: "Минимальный набор атрибутов в RADIUS CoA и RADIUS Disconnect сообщениях".

RADIUS CoA (Change of Authorization) – функционал, который требует от NAS-коммутатора выполнить мгновенную повторную авторизацию подключённого хоста. На коммутаторах SNR можно выполнить CoA для MAB и 802.1x клиентов.
Процесс выполняется в два этапа: 

  1. на NAS-коммутаторе очищается существующая запись об авторизации;
  2. инициируется повторная авторизация по используемой технологии авторизации:
    1. 802.1x: NAS-коммутатор отправляет в сторону клиента EAP-Request, инициируя таким образом повторную авторизацию;
    2. MAB: NAS-коммутатор запускает повторную авторизацию на основе MAC-адреса MAB-клиента.

RADIUS Disconnect – похож на CoA, но в этом случае происходит только очистка записи авторизации, и не инициируется повторная авторизация.
Если быть абсолютно точным:

  1. 802.1x: удаляется запись авторизации на NAS-коммутаторе + в сторону клиента отправляется EAP Failure сообщение. Как правило, после этого между 802.1x-клиентом и NAS-коммутатором устанавливается временная "тишина", пока клиент не решит повторить авторизацию;
  2. MAB: удаляется запись авторизации на NAS-коммутаторе + NAS-коммутатор переводит MAB-клиентов в статус MAB_QUIET. Повторная попытка авторизации может быть инициирована после истечения таймера quiet-period и выхода из статуса MAB_QUIET.

Настройки коммутатора SNR для работы с RADIUS CoA и RADIUS Disconnect

Пример минимальной конфигурации коммутатора для работы RADIUS CoA и RADIUS Disconnect для MAB:

mac-authentication-bypass enable
!
radius-server authentication host 192.168.30.250 key 0 snr		# 192.168.30.250 - RADIUS Auth Server, "snr" - key
radius-server accounting host 192.168.30.250 key 0 snr			# 192.168.30.250 - RADIUS Acco Server, "snr" - key
aaa-accounting enable
aaa enable
!
Interface Ethernet1/0/1											# MAB-client port
 switchport mode hybrid
 switchport hybrid allowed vlan 1;10 untag						# VLAN 10 - Dynamic VLAN
 mac-authentication-bypass enable
!
!
Interface Ethernet1/0/23										# UPLINK to RADIUS-Server
 switchport mode trunk
 switchport trunk allowed vlan 10;30 
!
interface Vlan30												# VLAN 30 and SVI 30 for connectivity with RADIUS-Server
 ip address 192.168.30.100 255.255.255.0
!
end

Важно!

Настройка Accounting может показаться опциональной, но её конфигурация обязательна для работы RADIUS CoA и RADIUS Disconnect!

Пример минимальной конфигурации коммутатора для работы RADIUS CoA и RADIUS Disconnect для 802.1x:

radius-server authentication host 192.168.30.250 key 0 snr		# 192.168.30.250 - RADIUS Auth Server, "snr" - key
radius-server accounting host 192.168.30.250 key 0 snr			# 192.168.30.250 - RADIUS Acco Server, "snr" - key
aaa-accounting enable
aaa enable
!
dot1x enable
!
Interface Ethernet1/0/1											# 802.1x-client port
 switchport mode hybrid
 switchport hybrid allowed vlan 1;10 untag						# VLAN 10 - Dynamic VLAN
 dot1x enable
 dot1x port-method portbased
!
!
Interface Ethernet1/0/23										# UPLINK to RADIUS-Server
 switchport mode trunk
 switchport trunk allowed vlan 10;30
!
interface Vlan30 												# VLAN 30 and SVI 30 for connectivity with RADIUS-Server
 ip address 192.168.30.100 255.255.255.0
!

Минимальный набор атрибутов в RADIUS CoA и RADIUS Disconnect сообщениях

Работа с RADIUS CoA на коммутаторах SNR адаптирована под работу с Cisco ISE, поэтому для работы требуется передача атрибута Cisco (о нём подробнее ниже).
Рассмотрим отдельно минимальный набор атрибутов в сообщениях RADIUS CoA и RADIUS Disconnect для авторизаций 802.1x и MAB и приведём примеры.

Минимальный необходимый набор атрибутов в RADIUS CoA сообщениях

  1. 802.1x: достаточно передать:
    1. User-Name;
    2. Известный Vendor-Specific (type 26) от Cisco, в котором указано:
      1. Vendor ID 9 (ciscoSystems);
      2. Vendor-Specific Attribute Type 1 (Cisco-AVPair);
      3. value: "subscriber:command=reauthenticate".
  2. MAB: достаточно передать:
    1. User-Name (не забываем, что для MAB в качестве User-Name указывается MAC-адрес, записанный по два символа через "-") либо Calling-Station-Id;
    2. Известный Vendor-Specific (type 26) от Cisco, в котором указано:
      1. Vendor ID 9 (ciscoSystems);
      2. Vendor-Specific Attribute Type 1 (Cisco-AVPair);
      3. value: "subscriber:command=reauthenticate".

Пример работы RADIUS CoA для 802.1x-клиента с именем "test15" (дамп с RADIUS-сервера):

Пример работы RADIUS CoA для MAB-клиента с MAC-адресом f8-f0-82-da-2c-9d:

Минимальный необходимый набор атрибутов в RADIUS Disconnect сообщениях

  1. 802.1x: достаточно передать:
    1. User-Name;
  2. MAB: достаточно передать:
    1. User-Name (не забываем, что для MAB в качестве User-Name указывается MAC-адрес, записанный по два символа через "-") либо Calling-Station-Id;

Пример работы RADIUS Disconnect для 802.1x-клиента с именем "test15" (дамп с RADIUS-сервера):

Пример работы RADIUS Disconnect для MAB-клиента с MAC-адресом f8-f0-82-da-2c-9d:

  • No labels