Работа с RADIUS CoA (Change of Authorization) и RADIUS Disconnect для 802.1x и MAB
На Май 2026 года работа с RADIUS CoA на коммутаторах SNR адаптирована под работу с Cisco ISE. Более подробно можно узнать в главе: "Минимальный набор атрибутов в RADIUS CoA и RADIUS Disconnect сообщениях".
На Май 2026 года работу с RADIUS CoA и Disconnect поддерживают коммутаторы/серии:
- SNR-S225Gi-8T-POE;
- SNR-S2962;
- SNR-S2965;
- SNR-S2982;
- SNR-S2985;
- SNR-S2989;
- SNR-S2995;
- SNR-S3850.
RADIUS CoA (Change of Authorization) – функционал, который требует от NAS-коммутатора выполнить мгновенную повторную авторизацию подключённого хоста. На коммутаторах SNR можно выполнить CoA для MAB и 802.1x клиентов.
Процесс выполняется в два этапа:
- на NAS-коммутаторе очищается существующая запись об авторизации;
- инициируется повторная авторизация по используемой технологии авторизации:
- 802.1x: NAS-коммутатор отправляет в сторону клиента EAP-Request, инициируя таким образом повторную авторизацию;
- MAB: NAS-коммутатор запускает повторную авторизацию на основе MAC-адреса MAB-клиента.
RADIUS Disconnect – похож на CoA, но в этом случае происходит только очистка записи авторизации, и не инициируется повторная авторизация.
Если быть абсолютно точным:
- 802.1x: удаляется запись авторизации на NAS-коммутаторе + в сторону клиента отправляется EAP Failure сообщение. Как правило, после этого между 802.1x-клиентом и NAS-коммутатором устанавливается временная "тишина", пока клиент не решит повторить авторизацию;
- MAB: удаляется запись авторизации на NAS-коммутаторе + NAS-коммутатор переводит MAB-клиентов в статус MAB_QUIET. Повторная попытка авторизации может быть инициирована после истечения таймера quiet-period и выхода из статуса MAB_QUIET.
Настройки коммутатора SNR для работы с RADIUS CoA и RADIUS Disconnect
Пример минимальной конфигурации коммутатора для работы RADIUS CoA и RADIUS Disconnect для MAB:
mac-authentication-bypass enable
radius-server authentication host 192.168.30.250 key 0 snr # 192.168.30.250 - RADIUS Auth Server, "snr" - key
radius-server accounting host 192.168.30.250 key 0 snr # 192.168.30.250 - RADIUS Acco Server, "snr" - key
aaa-accounting enable
aaa enable
Interface Ethernet1/0/1 # MAB-client port
switchport mode hybrid
switchport hybrid allowed vlan 1;10 untag # VLAN 10 - Dynamic VLAN
mac-authentication-bypass enable
!
Interface Ethernet1/0/23 # UPLINK to RADIUS-Server
switchport mode trunk
switchport trunk allowed vlan 10;30
interface Vlan30 # VLAN 30 and SVI 30 for connectivity with RADIUS-Server
ip address 192.168.30.100 255.255.255.0
end
Настройка Accounting может показаться опциональной, но её конфигурация обязательна для работы RADIUS CoA и RADIUS Disconnect!
Пример минимальной конфигурации коммутатора для работы RADIUS CoA и RADIUS Disconnect для 802.1x:
radius-server authentication host 192.168.30.250 key 0 snr # 192.168.30.250 - RADIUS Auth Server, "snr" - key
radius-server accounting host 192.168.30.250 key 0 snr # 192.168.30.250 - RADIUS Acco Server, "snr" - key
aaa-accounting enable
aaa enable
dot1x enable
Interface Ethernet1/0/1 # 802.1x-client port
switchport mode hybrid
switchport hybrid allowed vlan 1;10 untag # VLAN 10 - Dynamic VLAN
dot1x enable
dot1x port-method portbased
!
Interface Ethernet1/0/23 # UPLINK to RADIUS-Server
switchport mode trunk
switchport trunk allowed vlan 10;30
interface Vlan30 # VLAN 30 and SVI 30 for connectivity with RADIUS-Server
ip address 192.168.30.100 255.255.255.0
!
Минимальный набор атрибутов в RADIUS CoA и RADIUS Disconnect сообщениях
На Май 2026 года работа с RADIUS CoA на коммутаторах SNR адаптирована под работу с Cisco ISE, поэтому для работы требуется передача атрибута Cisco (о нём подробнее ниже). Рассмотрим отдельно минимальный набор атрибутов в сообщениях RADIUS CoA и RADIUS Disconnect для авторизаций 802.1x и MAB и приведём примеры.
Минимальный необходимый набор атрибутов в RADIUS CoA сообщениях
- 802.1x: достаточно передать:
- User-Name;
- Известный Vendor-Specific (type 26) от Cisco, в котором указано:
- Vendor ID 9 (ciscoSystems);
- Vendor-Specific Attribute Type 1 (Cisco-AVPair);
- value: "subscriber:command=reauthenticate".
- MAB: достаточно передать:
- User-Name (не забываем, что для MAB в качестве User-Name указывается MAC-адрес, записанный по два символа через "-") либо Calling-Station-Id;
- Известный Vendor-Specific (type 26) от Cisco, в котором указано:
- Vendor ID 9 (ciscoSystems);
- Vendor-Specific Attribute Type 1 (Cisco-AVPair);
- value: "subscriber:command=reauthenticate".
Пример работы RADIUS CoA для 802.1x-клиента с именем "test15" (дамп с RADIUS-сервера):
Пример работы RADIUS CoA для MAB-клиента с MAC-адресом f8-f0-82-da-2c-9d:
Минимальный необходимый набор атрибутов в RADIUS Disconnect сообщениях
- 802.1x: достаточно передать:
- User-Name;
- MAB: достаточно передать:
- User-Name (не забываем, что для MAB в качестве User-Name указывается MAC-адрес, записанный по два символа через "-") либо Calling-Station-Id;
Пример работы RADIUS Disconnect для 802.1x-клиента с именем "test15" (дамп с RADIUS-сервера):
Пример работы RADIUS Disconnect для MAB-клиента с MAC-адресом f8-f0-82-da-2c-9d:
