TN: Настройка проводного доступа 802.1x и MAB

1. Описание

Документ описывает процедуру настройки проводного доступа на коммутаторе Aquarius версии ПО 7.3.1 по протоколу 802.1X (EAP-PEAP) и MAB с использованием клиента на базе ОС Windows 10 и серверов Efros и Cisco ISE 3.4 в качестве RADIUS-серверов.

Данный сценарий реализует безопасную идентификацию пользователя по сетевому интерфейсу и централизованный контроль доступа.

2. Настройка EAP-PEAP

2.1 Настройка коммутатора

Включение глобальной поддержки 802.1X:

Настройка параметров интерфейса доступа:

Настройка параметров сервера RADIUS, находящегося за интерфейсом управления (mgmt-if):

2.2 Настройка ПК (Windows 10)

В настройках интерфейса зайти в закладку "Проверка подлинности", там поставить флаг "Включить проверку подлинности IEEE 802.1X", выбрать протокол PEAP и перейти в раздел "Параметры"

2.2.1 Открытие параметров сетевого адаптера

Перейти в свойства сетевого адаптера:
Сеть и Интернет → Центр управления сетями и общим доступом → Изменение параметров адаптера → Ethernet → Свойства → Проверка подлинности.

2.2.2 Включение 802.1X и выбор метода проверки

В открывшемся окне установите флаг «Включить проверку подлинности IEEE 802.1X», затем в выпадающем списке выберите метод Microsoft: защищённый EAP (PEAP) и нажмите кнопку «Параметры».
На Рисунке 1 показано окно выбора метода проверки подлинности EAP-PEAP.

Рисунок 1 - Окно выбора метода проверки подлинности EAP-PEAP

2.2.3 Настройка параметров PEAP

В разделе «Свойства защищённого EAP» снимите флаг «Подтвердить удостоверение сервера с помощью проверки сертификата», выберите в качестве метода проверки EAP-MSCHAPv2 и нажмите «Настроить».

На Рисунке 2 показано, какие параметры следует изменить.

Рисунок 2 - Настройка параметров PEAP

2.2.4 Настройка EAP-MSCHAPv2

В появившемся окне «Свойства EAP-MSCHAPv2» снимите флаг «Использовать автоматически имя входа и пароль из Windows». После этого нажмите ОК.

На Рисунке 3 показаны параметры, которые необходимо изменить.

Рисунок 3 - Настройка EAP-MSCHAPv2

2.2.5 Дополнительные параметры

В разделе «Проверка подлинности» снимите флаг «Запоминать мои учетные данные» и нажмите кнопку «Дополнительные параметры…».

На Рисунке 4 продемонстрированы необходимые изменения.

Рисунок 4 - Отключение сохранения учетных данных

2.2.6 Настройка режима проверки подлинности

В появившемся окне «Дополнительные параметры» убедитесь, что в поле «Режим проверки подлинности» установлено значение «Проверка подлинности пользователя», а флаг «Сохранить учетные данные» не установлен. После этого нажмите ОК.

На Рисунке 5 показан правильный вариант настройки.

Рисунок 5 - Дополнительные параметры проверки подлинности

2.3 Настройка сервера Efros в роли RADIUS-сервера

2.3.1 Выключение или перезагрузка сервера Efros

При необходимости остановки или перезагрузки сервера необходимо вручную остановить все контейнеры (сервисы) комплекса:

После запуска сервера необходимо вручную инициировать запуск всех контейнеров и дождаться их загрузки:

Для перезапуска только сервиса RADIUS можно использовать следующую команду:

2.3.2 Проверка профиля устройства (Default Device Profile)

Для подтверждения корректной работы политики доступа необходимо проверить настройки профиля устройства:

• Перейдите в меню: Access control → Device profiles → Default_device_profile

• Убедитесь, что в блоке Conditions for access scenarios указаны условия аутентификации 802.1X wired authentication (Wired 802.1X) и при необходимости — Wired MAC address authentication (Wired MAB).

На рисунке 6 продемонстрированы условия доступа в профиле по умолчанию.

Рисунок 6 - Проверка условий аутентификации в Default_device_profile

2.3.3 Добавление NAS-устройства

• Перейдите в меню: Access control → Network hardware → Devices

• Нажмите +Device для добавления нового сетевого устройства.

На рисунке 7 отображён интерфейс регистрации нового NAS-устройства.

Рисунок 7 - Добавление NAS-устройства в системе Efros

2.3.4 Заполнение параметров устройства

В открывшемся окне необходимо задать:

• Name – уникальное имя коммутатора;

• Network device profile – выбрать Default_device_profile либо ранее созданный профиль;

• RADIUS secret key – ввести секретный ключ, совпадающий с ключом, настроенным на коммутаторе;

• Change of authorization (CoA) – включить при необходимости поддержки CoA.

На рисунке 8 показано окно конфигурации параметров NAS-устройства.

Рисунок 8 - Настройка сетевого устройства и ключа RADIUS

2.3.5 Создание пользователя

• Откройте меню: Access control → Network users → Users.

• Нажмите +User, задайте имя (например, admin1) и активируйте пользователя.

На рисунке 9 отображён список добавленных пользователей.

Рисунок 9 - Управление сетевыми пользователями в системе Efros

2.3.6 Создание группы и добавление в неё пользователя

• Перейдите в раздел: Access control → Network users → Groups

• Нажмите +Group, укажите имя группы (например, admins), затем добавьте в неё ранее созданного пользователя.

На рисунке 10 показана добавленная группа с назначенным пользователем.

Рисунок 10 - Группа пользователей в системе Efros

2.3.7 Корректировка списка разрешённых протоколов (Allowed Protocols)

Перейдите в меню: Access control → Allowed protocols → Network access и откройте профиль Default_Network_Access.

Убедитесь, что активирован протокол PEAP, а в качестве метода проверки указан EAP-MSCHAPv2.

На рисунке 11 показано расположение профиля Default_Network_Access в интерфейсе управления.

Рисунок 11 - Профиль Default_Network_Access в разделе Allowed protocols

Убедитесь, что активирован протокол PEAP, а в качестве метода проверки указан EAP-MSCHAPv2.

На рисунке 12 представлены параметры активного протокола PEAP и установленный метод EAP-MSCHAPv2.

Рисунок 12 - Активация PEAP и выбор EAP-MSCHAPv2 в Allowed Protocols

2.3.8 Создание авторизационного профиля (Authorization Profile)

Перейдите в меню: Access control → Authorization profiles и создайте новый профиль (например, admins). Укажите связанный Network device profile — по умолчанию Default_device_profile.

На рисунке 13 показан пример заполнения полей при создании авторизационного профиля.

Рисунок 13 - Настройка авторизационного профиля в системе Efros

2.3.9 Создание Policy Set для аутентификации по 802.1X

Перейдите в меню: Access control → Policy sets → Network access. Нажмите +Policy и создайте новый Policy Set, указав:

• Name — например, admins

• Condition — Wired802_1X

• Allowed protocols — Default_Network_Access

На рисунке 14 представлен список созданных Policy Set, включая набор условий.

Рисунок 14 - Список Policy Set для проводной аутентификации 802.1X

На рисунке 15 продемонстрированы условия применения Policy Set admins.

Рисунок 15 - Условия срабатывания Policy Set с фильтром Wired802_1X

2.3.10 Настройка правил аутентификации (Authentication Rules)

Откройте вкладку Authentication rules внутри созданного Policy Set.

Убедитесь, что в качестве источника (Source) указан параметр Internal Users.

На рисунке 16 представлена конфигурация источника аутентификации.

Рисунок 16 - Указание источника Internal Users в правилах аутентификации

2.3.11 Настройка правил авторизации (Authorization Rules)

Перейдите на вкладку Authorization rules в рамках текущего Policy Set.

Добавьте новое правило, в котором:

• Условие: NetUserGroup-Name EQUALS admins

• Результат авторизации: профиль admins

На рисунке 17 показано окно настройки правила авторизации на основе принадлежности к группе.

Рисунок 17 - Настройка правила авторизации с привязкой к группе пользователей

2.4 Проверка работы

2.4.1 Проверка на ПК (Windows 10)

Для проверки работы выполните отключение и повторное включение сетевого интерфейса Ethernet. Щёлкните правой кнопкой мыши по нужному адаптеру и выберите Отключить, затем повторите действие и выберите Включить.

На рисунке 18 показано окно управления сетевыми адаптерами Windows.

Рисунок 18 - Управление интерфейсами Ethernet в Windows 10

После включения интерфейса отобразится окно ввода учётных данных. Введите имя пользователя и пароль, созданные ранее в системе Efros.

Рисунок 19 - Окно ввода учётных данных для аутентификации 802.1X

2.4.2 Проверка на коммутаторе

На коммутаторе выполните команду:

Ниже представлен полный вывод информации об интерфейсе eth-0-2, подтверждающий успешную аутентификацию пользователя admin1:

Для получения дополнительной информации используйте команды отладки:

После выполнения этих команд отображается подробный вывод о ходе аутентификации. Ниже приведён пример полного вывода отладки при успешной аутентификации клиента на интерфейсе eth-0-2.

2.4.3 Проверка на сервере Efros

Для проверки результатов аутентификации на сервере Efros выполните следующие действия:

Перейдите в раздел Events → Network Access → Authentication.
В списке отображаются все запросы аутентификации от клиентов, подключённых по 802.1X.

На рисунке 20 показан журнал запросов аутентификации, содержащий дату и время события, IP-адрес устройства, имя пользователя и результат запроса.

Рисунок 20 - Журнал запросов аутентификации в интерфейсе сервера Efros

Щёлкните по нужной строке с меткой Access-Accept, чтобы просмотреть подробности аутентификации.

На рисунке 21 представлены параметры запроса:

• Результат: Access granted

• Пользователь: admin1

• Access policy: admins

• Authentication rule: Default

• Authorization rule: admins

• Authorization profile: admins

Убедитесь, что все параметры соответствуют ожидаемой конфигурации.

Рисунок 21 - Детали запроса аутентификации 802.1X на сервере Efros

3. Настройка VLAN assignment

3.1 Настройки коммутатора

Для передачи VLAN порт коммутатора должен быть настроен в L2-режиме. При включённом STP необходимо активировать edge-port, иначе порт будет находиться в состоянии discarding около 30 секунд.

Пример работы коммутатора:

Коммутатор должен содержать соответствующий VLAN, при этом на порту может быть настроен неиспользуемый VLAN.

Настройка порта доступа:

3.2 Настройка PC

Дополнительных настроек не требуется.

3.3 Настройка Cisco ISE в качестве Radius Сервера

Создайте авторизационный результат:
Перейдите в раздел: Policy→Policy Sets→Policy Elements->Results->Authorization→Authorization profile→Add

На Рисунке 22 показан интерфейс создания Authorization Profile в Cisco ISE.

Рисунок 22 - Создание Authorization Profile в Cisco ISE

Добавьте Policy Sets:
Перейдите в раздел: Policy→Policy Sets→Authorization Policy

На Рисунке 23 представлен интерфейс настройки Policy Sets в Cisco ISE.

Рисунок 23 - Настройка Policy Sets в Cisco ISE

3.4 Настройка Efros в качестве RADIUS-сервера

3.4.1 Настройка Device Profile

Для передачи VLAN необходимо активировать эту возможность в Device Profile. Сделать это в Default_device_profile нельзя, поэтому нужно создать новый профиль.

Перейдите в раздел: Access control→Device Profile→+Profile

На Рисунке 24 показан интерфейс создания нового Device Profile в Efros.

Рисунок 24 - Создание нового Device Profile в системе Efros

Во вновь созданном профиле устройства повторите все настройки из Default и активируйте поле VLAN Assignment.

На Рисунке 25 представлены параметры VLAN Assignment в Device Profile.

Рисунок 25 - Активация VLAN Assignment в Device Profile

3.4.2 Настройка Network Hardware

После настройки профиля устройства примените его к сетевому оборудованию:
Access Control→Network Hardware->[Device]→Network Device Profile

На Рисунке 26 показано применение Device Profile к сетевому оборудованию.

Рисунок 26 - Назначение Device Profile сетевому устройству

3.4.3 Настройка Authorization profile

• Примените профиль устройства в авторизационном профиле:
  Access Control→Authorization profiles->[name]→Network Device Profile
• Настройте передачу VLAN:
  Access Control→Authorization profiles→[name]→Vlan
  Access Control→Authorization profiles→[name]→Vlan Name

На Рисунке 27 показана настройка VLAN в Authorization Profile.

Рисунок 27 - Конфигурация VLAN в Authorization Profile

3.5 Проверка работы

3.5.1 Проверка на коммутаторе

Для проверки статуса аутентификации и назначенного VLAN выполните команду:

Пример корректного вывода команды:

Ключевые параметры для проверки:

• portStatus: Authorized - подтверждение успешной аутентификации
• Assign VLAN: 10 - подтверждение назначения правильного VLAN

Для MAC-based аутентификации проверьте назначенный VLAN командой:

Пример вывода:

3.5.2 Проверка на ПК (Windows 10)

Специфичные проверки не требуются. Убедитесь, что:

• Сетевое подключение активно
• Нет запросов повторной аутентификации
• Доступ к сетевым ресурсам имеется

3.5.3 Проверка на Cisco ISE в качестве RADIUS-сервера

Перейдите в раздел: Operation->Radius→Live Logs

На Рисунке 28 представлен журнал RADIUS-аутентификаций в Cisco ISE.

Рисунок 28 - Журнал RADIUS-аутентификаций в Cisco ISE

Для просмотра деталей конкретного события нажмите на иконку лупы рядом с записью

На Рисунке 29 показаны детали успешной аутентификации, включая переданные атрибуты VLAN.

Рисунок 29 - Детализация события аутентификации в Cisco ISE

3.5.4 Проверка на Efros в качестве RADIUS-сервера

Для анализа событий аутентификации:

• Перейдите в раздел: Events→Network Access
• Выберите нужное событие для просмотра деталей

На Рисунке 30 представлен трейс успешной аутентификации с указанием применённого VLAN.

Рисунок 30 - Просмотр события аутентификации в интерфейсе Efros

4. Настройка MAC-Based аутентификации при аутентификации по 802.1x

4.1 Настройки коммутатора

Для реализации MAC-Based аутентификации необходимо изменить режим работы порта:

1. Включите MAC-Based режим на порту:

2. Настройка на порту доступа:

4.2 Проверка работы

4.2.1 Проверка на коммутаторе

Для просмотра состояния MAC-Based аутентификации выполните команду:

При использовании MAC-Based аутентификации с EAP система временно создает запись MAB в состоянии WAITING, которая автоматически удаляется после успешного завершения EAP-аутентификации.

Пример вывода:

Для просмотра деталей сессии используйте команду:

Пример корректного вывода:

Параметр success:T явно указывает на успешное завершение EAP-аутентификации

4.2.2 Особенности работы в MAC-Based режиме

• Доступность узла:

• • Ping с самого коммутатора на рабочую станцию не работает

  • Проверка доступности возможна только через соседнее устройство

  • Для локальной проверки необходимо настроить статический VLAN на порту

• Интерфейс SVI:

  • Интерфейс SVI (VLAN interface) не поднимается автоматически

  • Требуется дополнительная настройка для работы интерфейсов уровня 3

• Состояние MAB:

  • При успешной EAP-аутентификации MAB переходит в состояние WAITING

  • После завершения аутентификации запись MAB исчезает из вывода команд

5. Настройка MAB (MAC Authentication Bypass)

5.1 Настройки коммутатора

На коммутаторе необходимо включить поддержку MAB с помощью команды:

При этом должен быть активирован режим dot1x port-mode mac.

Настройка на порту доступа

5.2 Настройка ПК (Windows 10)

На ПК необходимо отключить PEAP.

Отключение EAP-PEAP:

• Перейдите в свойства сетевого адаптера:
  Сеть и Интернет → Параметры адаптера → Ethernet → Свойства → Проверка подлинности.
• Снимите флажок «Включить проверку подлинности IEEE 802.1X».

На Рисунке 31 показано отключение 802.1X на клиенте Windows.

Рисунок 31 - Отключение 802.1X в настройках сетевого адаптера Windows 10

5.3 Настройка Efros в качестве Radius Сервера

5.3.1 Управление Endpoints

В случае отсутствия Endpoint, её нужно добавить. Если аутентификация уже проходила, устройство должно присутствовать в списке.

• Перейдите в раздел:
  Objects → Network → End Points.

• Добавьте новый Endpoint, указав MAC-адрес устройства.

На Рисунке 32 показан интерфейс управления Endpoints в системе Efros.

Рисунок 32 - Интерфейс управления Endpoints в системе Efros

5.3.2 Создание Policy Set для MAB

• Перейдите в раздел:
  Access control → Policy Sets → Network Access.

• Создайте новый Policy Set с условием WiredMAB.

На Рисунке 33 продемонстрирована настройка Policy Set с условием WiredMAB.

Рисунок 33 - Настройка Policy Set с условием WiredMAB

5.3.3 Настройка правил аутентификации

В разделе Authentication Rules выберите источник: Source → Internal Endpoints.

На Рисунке 34 показан выбор источника Internal Endpoints в правилах аутентификации.

Рисунок 34 - Выбор источника Internal Endpoints в правилах аутентификации

5.3.4 Настройка авторизации

Авторизационное правило стандартное. Используйте предустановленный профиль, если не требуется дополнительных ограничений.

5.4 Настройка Cisco ISE в качестве Radius Сервера

Специфические команды не требуются. Правила аутентификации и авторизации настроены по умолчанию.

5.5 Проверка работы

5.5.1 Проверка на коммутаторе

Статус MAB:

Ключевые параметры:

• portMode: MAC based — подтверждает активацию MAC-based режима.

• Mac Auth bypass: enabled — MAB включен.

Проверка MAC-адресов:

Пояснение к выводу:

• ACCEPT — устройство успешно прошло MAB-аутентификацию.

• TRUE — подтверждает, что для данного MAC-адреса активирован обход аутентификации (MAC Authentication Bypass).

Тестирование связи:

5.5.2 Проверка на ПК

Для проверки сетевого подключения выполните следующие действия:

• Убедитесь, что сетевое подключение активно (кабель/Wi-Fi).

• Откройте командную строку (Win + R → cmd → Enter).

• Введите команду:

Например:

Если пакеты успешно проходят (0% потерь), подключение работает.

5.5.3 Проверка на Efros в качестве Radius Сервера

• Перейдите в раздел:
  Events → Network Access → Authentication.

• Найдите событие с типом Access-Accept и статусом MAB.

На Рисунке 35 представлен журнал аутентификации MAB в системе Efros.

Рисунок 35 - Журнал аутентификации MAB в системе Efros

На Рисунке 36 показаны детали успешного запроса аутентификации MAB.

Рисунок 36 - Детали успешного запроса аутентификации MAB

5.5.4 Проверка на Cisco ISE в качестве Radius Сервера

• Перейдите в раздел:
  Operations → RADIUS → Live Logs.

• Убедитесь, что запрос содержит атрибут Calling-Station-ID (MAC-адрес).

На Рисунке 37 отображён журнал событий MAB в Cisco ISE.

Рисунок 37. Журнал событий MAB в Cisco ISE

На Рисунке 38 представлены детали аутентификации MAB в Cisco ISE.

Рисунок 38 - Детали аутентификации MAB в Cisco ISE

6. Настройка CoA (Change of Authorization)

1) Efros отсылает CoA на NAS-IP-Address из атрибута, а не на Soure IP address, в результате он может не доходить до коммутатора, где прописан радиус через mgmt, это в рамках таска 916 должно решиться
2) CoA ответы не кладутся в mgmt интерфейс (хотя запросы обрабатываются) , в результате сервер не получает ACK или NACK и его это немного расстраивает. Дмитрий в курсе, разбирается
3) Cisco ISE шлет re-auth basic, где у него по умолчанию один атрибут (а Efros посылает rerun по умолчанию с двумя). В результате на Cisco ISE, если специально не добавить в basic второй атрибут - коммутатор возвращает ошибку. В принципе это можно поправить как раз добавив в Basic второй атрибут, но возможно стоит изучить reauth basic и его тоже добавить.
4) И у Cisco и у Efros при задании атрибутов в различных CoA сценариях написано shutdown вместо disable. Возможно это более понятно, потому что есть событие Disconnet и его можно спутать с Disable.

6.1 Настройки коммутатора

Коммутатор по умолчанию использует порт 3799 для обработки CoA-запросов.

Для реализации функционала CoA (Change of Authorization) на коммутаторе используются два типа команд: rerun и last.

• Команда rerun выполняет полный перезапуск аутентификации. При её использовании удаляется текущая сессия auth_session (для клиентов 802.1X) или запись auth_mac (для MAB), после чего инициируется новая процедура аутентификации. Клиент, подключенный к порту, автоматически запускает процесс заново, как если бы он только что подключился.

• Команда last работает иначе: она не удаляет сессию или MAC-адрес, а сбрасывает их состояние до начального. При этом используется сохраненная информация о клиенте, что позволяет провести реаутентификацию без полного удаления данных.

Поведение в зависимости от настройки dot1x reauthentication:

• Если команда dot1x reauthentication не применена к порту, оба типа CoA (rerun и last) приводят к удалению клиента из системы. В этом случае разницы между ними нет.

• Если dot1x reauthentication активирована:

  • Для MAB:

    • last сохраняет клиента в системе, повторяя аутентификацию с текущими параметрами.

    • rerun полностью удаляет клиента и запускает процедуру с нуля.

  • Для 802.1X:

    • Обе команды (rerun и last) удаляют сессию, вызывая кратковременное прерывание трафика (не более 2 секунд). В будущих версиях для 802.1X планируется реализовать логику, аналогичную MAB, где last будет сохранять сессию.

Настройка на порту доступа

6.2 Настройка ПК

Специализированные настройки не требуются.

6.3 Настройка Cisco ISE 

6.3.1 Создание Network Device Profile

Для настройки CoA требуется создать отдельный профиль устройства:

• Перейдите в раздел:
  Administration → Network Resources → Network Device Profile → +Add.

• Задайте параметры:

  • Name: Aquarius

  • Supported Protocols: RADIUS

  • RADIUS Dictionaries: Cisco

Поддержка протокола RADIUS и словаря Cisco обязательна, так как атрибуты CoA специфичны для оборудования Cisco.

На Рисунке 39 показан интерфейс создания Network Device Profile.

Рисунок 39 - Создание Network Device Profile

Для корректной работы CoA активируйте атрибуты для Wired 802.1X и Host Lookup (MAB).

На Рисунке 40 представлена настройка атрибутов для Wired 802.1X и MAB.

Рисунок 40 - Настройка атрибутов для Wired 802.1X и MAB

В таблице ниже приведены параметры для CoA-событий:

На Рисунке 41 показана конфигурация CoA-событий.

Рисунок 41 - Конфигурация CoA-событий

6.3.3 Применение Device Profile на устройство

Перейдите в раздел:
Administration → Network Devices → [выберите устройство] → Device Profile.

Выберите профиль Aquarius из списка.

Рисунок 42 - Применение Network Device Profile на устройстве

Настройте порт устройства:

• Убедитесь, что порт находится в VLAN 10.
• Активируйте режим 802.1X и MAB.

На Рисунке 43 представлена настройка порта.

Рисунок 43 - Настройка порта для работы с CoA

6.3.4 Применение Device Profile на Authorization Profile

Примените профиль к Authorization Profile:
Перейдите в раздел:
Policy → Policy Elements → Results → Authorization → Authorization Profiles → VLAN 10 → Network Device Profile.

На Рисунке 44 показана привязка профиля к Authorization Profile.

Рисунок 44 - Привязка Device Profile к Authorization Profile

6.4 Настройка Efros

6.4.1 Создание Device Profile

В системе Efros создайте профиль устройства, выбрав два словаря: Cisco и RADIUS. Настройте параметры для Wired MAB/802.1X.

На Рисунке 45 показана настройка Wired MAB/802.1X в Efros.

6.4.2 Настройки CoA

Задайте конфигурацию CoA-событий, аналогичную Cisco ISE. На Рисунке 46 представлены настройки CoA.

Рисунок 46 - Настройка CoA-событий в Efros

Убедитесь, что созданный профиль применен к сетевому устройству. Для этого перейдите в раздел управления устройствами и выберите соответствующий профиль.

На Рисунке 47 показано применение профиля к устройству в Efros.

Рисунок 47 - Применение профиля к устройству

Затем привяжите профиль к авторизационному профилю. Перейдите в раздел Authorization Profiles и выберите созданный профиль.

На Рисунке 48 показана привязка профиля к Authorization Profile.

Рисунок 48 - Привязка профиля к Authorization Profile

6.5 Проверка работы

6.5.1 Проверка на коммутаторе

После отправки CoA-запроса из Cisco ISE проверьте логи коммутатора. Успешная переаутентификация сопровождается записями:

Reauth на Cisco ISE

6.5.2 Проверка на ПК

Специализированная проверка не требуется.

6.5.3 Проверка на Cisco ISE 

Перейдите в раздел:
Operations → RADIUS → Live Sessions → Show CoA Actions → Session reauthenticate.

На Рисунке 49 показан интерфейс просмотра CoA-действий.

Рисунок 49 - Просмотр CoA-действий в Cisco ISE

В разделе Operations → RADIUS → Live Logs найдите событие CoA.

На Рисунке 50 показано логирование CoA-событий.

Рисунок 50 - Логирование CoA-событий в Live Logs

В дампе трафика можно увидеть успешный CoA-запрос, подтверждающий ответ от коммутатора и последующую переаутентификацию устройства.

На Рисунке 51 показан дамп трафика с подтверждением запроса и ответа.

Рисунок 51 - Дамп трафика с успешной переаутентификацией

6.5.4 Проверка на Efros

Перейдите в раздел:
Objects → Network → End Points → [MAC-адрес] → CoA.

На Рисунке 52 показан интерфейс отправки CoA-запроса в Efros.

Рисунок 52 - Отправка CoA в Efros

qq