RADIUS CoA für 802.1X Authenticator Ethernet Ports

Der 802.1X Authenticator für Ethernet Ports unterstützt RADIUS Change of Authorizaion (CoA) und Disconnect Messages (DM) für 802.1X sowie bei der Authentifizierung basierend auf MAC-Adressen.

Es wird die gemeinsame Konfiguration der Dynamischen Autorisierung verwendet. Im LANconfig unter RADIUS > Dyn. Autorisierung und auf der CLI unter Setup > RADIUS > Dyn-Auth. Diese Konfiguration wird auch von Public Spot oder IKEv2 verwendet.

Die folgenden CoA-Funktionen werden unterstützt:

Trennen der Sitzung eines aktuellen Benutzers (Disconnect Message)
Veränderung der aktuellen Sitzung des Benutzers durch Änderung des VLANs per CoA-Nachricht

Beispiele:

Die aktuell aktiven Sitzungen können über das Status-Menü angezeigt werden:

root@test-8021x-dm:/
> ls /Status/LAN/IEEE802.1x/Authenticator-Ifc-Status/
Ifc   Operating Mode        State         MAC-Auth.-Bypass MAC-Address  VLAN-ID Auth-Count Conflicting-MAC
===============-------------------------------------------------------------------------------------------
ETH-2 Yes       Single-Host authenticated No               e89c255b7b86 0       1          000000000000   

Conflict-Age
-----------------
0

Der Status für CoA kann über das Show-Kommando "show ethernet-dynauth" angezeigt werden:

> show ethernet-dynauth
MAC address e8:9c:25:5b:7b:86 on ETH-2: NAS-Identifier 'test-8021x-dm', User-Name 'test'

Ein Trennen der Sitzung eines 802.1X-Benutzers kann mit dem CLI-Befehl "Radclient" unter Setup > RADIUS > Dyn-Auth. im LCOS durchgeführt werden, z. B.:
```
do Radclient 192.168.1.112 disconnect 12345678 "NAS-Identifier=test-8021x-dm;User-Name=test;"
```
Dabei ist:
- "192.168.1.112" die IP-Adresse des NAS, d. h. des Routers
- "disconnect" die Disconnect-Nachricht, die versendet werden soll
- "12345678" das konfigurierte Dyn-Auth/CoA-Passwort
- "NAS-Identifier" der Name des Routers bzw. die eindeutige Identifizierung des NAS
- "User-Name" der 802.1X Benutzername der in der Authentifizierung vom Client verwendet wurde
Die Verwendung aller dieser Parameter ist erforderlich.
Die Änderung des VLANs einer aktuellen Sitzung für einen MAC-authentifizierten Benutzer kann wie folgt durchgeführt werden:
```
do Radclient 192.168.1.112 coa 12345678 "NAS-Identifier=test-8021x-dm;User-Name=e89c255b7b86;
   Tunnel-Type:0=VLAN;Tunnel-Medium-Type:0=IEEE-802;Tunnel-Private-Group-Id:0=200;
```
Dabei ist:
- "192.168.1.112" die IP-Adresse des NAS, d. h. des Routers
- "coa" die CoA-Nacricht, die versendet werden soll
- "12345678" das konfigurierte Dyn-Auth/CoA-Passwort
- "NAS-Identifier" der Name des Routers bzw. die eindeutige Identifizierung des NAS
- "Tunnel-Type:0=VLAN;Tunnel-Medium-Type:0=IEEE-802;Tunnel-Private-Group-Id:0=200" sind die erforderlichen RADIUS-Attribute um den Client hier in das VLAN 200 zu verschieben
Die Verwendung aller dieser Parameter ist erforderlich. Zur Analyse der CoA-Funktionalität stehen die Traces "DYN-AUTH-Client" sowie "DYN-AUTH-Server" zur Verfügung.