最初使用 RADIUS AAA，客户端将通过策略进行身份验证并获得访问/权限。但是，如果在此会话期间端点将经历一些影响授权的更改，则无法在不断开连接的情况下重新验证​​/重新应用策略/更改策略。

结果最终是客户端将断开连接，然后必须重新连接以接收更改的 AAA 策略/配置文件。

因此，使用 CoA，可以在当前 AAA 会话中对授权进行更改。使用您的 vlan 示例 - 客户端可以进行身份​​验证并将其放置在围墙花园 VLAN 中，一旦 NAC 或其他一些系统确定设备是干净的，则可以将 CoA 发送到网络设备，触发客户端的 VLAN 更改为不受限制的 VLAN。

在我之前的 ISP 工作中，我主要接触过 CoA。CoA 用于为已超出下载配额限制的用户触发正在进行的 QoS 调整策略。这意味着用户只需将新的 QoS 策略应用到他们的虚拟接口就不会断开连接。

HTH。