Документация
Page tree
Skip to end of metadata
Go to start of metadata

You are viewing an old version of this page. View the current version.

Compare with Current View Page History

« Previous Version 3 Current »


Информация

На Май 2026 года работа с RADIUS CoA на коммутаторах SNR адаптирована под работу с Cisco ISE. Более подробно можно узнать в главе: "Минимальный набор атрибутов в RADIUS CoA и RADIUS Disconnect сообщениях".

RADIUS CoA (Change of Authorization) – функционал, который требует от NAS-коммутатора выполнить мгновенную повторную авторизацию подключённого хоста. На коммутаторах SNR можно выполнить CoA для MAB и 802.1x клиентов.
Процесс выполняется в два этапа: 

  1. на NAS-коммутаторе очищается существующая запись об авторизации;
  2. инициируется повторная авторизация по используемой технологии авторизации:
    1. 802.1x: NAS-коммутатор отправляет в сторону клиента EAP-Request, инициируя таким образом повторную авторизацию;
    2. MAB: NAS-коммутатор запускает повторную авторизацию на основе MAC-адреса MAB-клиента.

RADIUS Disconnect – похож на CoA, но в этом случае происходит только очистка записи авторизации, и не инициируется повторная авторизация.
Если быть абсолютно точным:

  1. 802.1x: удаляется запись авторизации на NAS-коммутаторе + в сторону клиента отправляется EAP Failure сообщение. Как правило, после этого между 802.1x-клиентом и NAS-коммутатором устанавливается временная "тишина", пока клиент не решит повторить авторизацию;
  2. MAB: удаляется запись авторизации на NAS-коммутаторе + NAS-коммутатор переводит MAB-клиентов в статус MAB_QUIET. Повторная попытка авторизации может быть инициирована после истечения таймера quiet-period и выхода из статуса MAB_QUIET.

Настройки коммутатора SNR для работы с RADIUS CoA и RADIUS Disconnect

Пример минимальной конфигурации коммутатора для работы RADIUS CoA и RADIUS Disconnect для MAB:

mac-authentication-bypass enable
!
radius-server authentication host 192.168.30.250 key 0 snr		# 192.168.30.250 - RADIUS Auth Server, "snr" - key
radius-server accounting host 192.168.30.250 key 0 snr			# 192.168.30.250 - RADIUS Acco Server, "snr" - key
aaa-accounting enable
aaa enable
!
Interface Ethernet1/0/1											# MAB-client port
 switchport mode hybrid
 switchport hybrid allowed vlan 1;10 untag						# VLAN 10 - Dynamic VLAN
 mac-authentication-bypass enable
!
!
Interface Ethernet1/0/23										# UPLINK to RADIUS-Server
 switchport mode trunk
 switchport trunk allowed vlan 10;30 
!
interface Vlan30												# VLAN 30 and SVI 30 for connectivity with RADIUS-Server
 ip address 192.168.30.100 255.255.255.0
!
end

Важно!

Настройка Accounting может показаться опциональной, но её конфигурация обязательна для работы RADIUS CoA и RADIUS Disconnect!

Пример минимальной конфигурации коммутатора для работы RADIUS CoA и RADIUS Disconnect для 802.1x:

radius-server authentication host 192.168.30.250 key 0 snr		# 192.168.30.250 - RADIUS Auth Server, "snr" - key
radius-server accounting host 192.168.30.250 key 0 snr			# 192.168.30.250 - RADIUS Acco Server, "snr" - key
aaa-accounting enable
aaa enable
!
dot1x enable
!
Interface Ethernet1/0/1											# 802.1x-client port
 switchport mode hybrid
 switchport hybrid allowed vlan 1;10 untag						# VLAN 10 - Dynamic VLAN
 dot1x enable
 dot1x port-method portbased
!
!
Interface Ethernet1/0/23										# UPLINK to RADIUS-Server
 switchport mode trunk
 switchport trunk allowed vlan 10;30
!
interface Vlan30 												# VLAN 30 and SVI 30 for connectivity with RADIUS-Server
 ip address 192.168.30.100 255.255.255.0
!

Минимальный набор атрибутов в RADIUS CoA и RADIUS Disconnect сообщениях

Работа с RADIUS CoA на коммутаторах SNR адаптирована под работу с Cisco ISE, поэтому для работы требуется передача атрибута Cisco (о нём подробнее ниже).
Рассмотрим отдельно минимальный набор атрибутов в сообщениях RADIUS CoA и RADIUS Disconnect для авторизаций 802.1x и MAB и приведём примеры.

Минимальный необходимый набор атрибутов в RADIUS CoA сообщениях

  1. 802.1x: достаточно передать:
    1. User-Name;
    2. Известный Vendor-Specific (type 26) от Cisco, в котором указано:
      1. Vendor ID 9 (ciscoSystems);
      2. Vendor-Specific Attribute Type 1 (Cisco-AVPair);
      3. value: "subscriber:command=reauthenticate".
  2. MAB: достаточно передать:
    1. User-Name (не забываем, что для MAB в качестве User-Name указывается MAC-адрес, записанный по два символа через "-") либо Calling-Station-Id;
    2. Известный Vendor-Specific (type 26) от Cisco, в котором указано:
      1. Vendor ID 9 (ciscoSystems);
      2. Vendor-Specific Attribute Type 1 (Cisco-AVPair);
      3. value: "subscriber:command=reauthenticate".

Пример работы RADIUS CoA для 802.1x-клиента с именем "test15" (дамп с RADIUS-сервера):

Пример работы RADIUS CoA для MAB-клиента с MAC-адресом f8-f0-82-da-2c-9d:

Минимальный необходимый набор атрибутов в RADIUS Disconnect сообщениях

  1. 802.1x: достаточно передать:
    1. User-Name;
  2. MAB: достаточно передать:
    1. User-Name (не забываем, что для MAB в качестве User-Name указывается MAC-адрес, записанный по два символа через "-") либо Calling-Station-Id;

Пример работы RADIUS Disconnect для 802.1x-клиента с именем "test15" (дамп с RADIUS-сервера):

Пример работы RADIUS Disconnect для MAB-клиента с MAC-адресом f8-f0-82-da-2c-9d:

  • No labels