Сообщения без ответов | Активные темы Текущее время: 29 ноя 2020, 07:56



Ответить на тему  [ Сообщений: 5 ] 
Проблема с мультиавторизацией на Raduis (MAB + 802.1x) 

Был ли у Вас опыт разделения Vlan'ов на основе MAC'ов на одном порту?
Да, успешно работает. 0%  0%  [ 0 ]
Да, работает с косяками. 0%  0%  [ 0 ]
Да, но не завелось. 0%  0%  [ 0 ]
Не было. 100%  100%  [ 1 ]
А такое вообще возможно? По-моему нет. 0%  0%  [ 0 ]
Всего голосов : 1

Проблема с мультиавторизацией на Raduis (MAB + 802.1x) 
Автор Сообщение

Зарегистрирован: 24 мар 2016, 10:31
Сообщения: 7
День добрый!
Руководство поставило задачу контролировать доступ к сетевой среде. Как вариант, предложили рассмотреть 802.1x и FreeRadius.
Сеть простая ~ 100 свичей доступа (Eltex MES + Cisco 2960) + Cisco 6509 в качестве ядра.
Проблема - по сети разбросаны тупые свичи (не хватает розеток, а ставить управляемые свичи в кабинетах запретили).
В случае одного хоста на порт - всё работает (и 802.1x, и MAB).
В случае тупых свичей - потестили возможность назначать VLan на хост (MAC) и получили следующие результаты:

На Eltex'ах всё завелось согласно инструкции:
dot1x system-auth-control
radius-server host IPшник key КЛЮЧ
На порту:
dot1x host-mode multi-sessions
dot1x port-control force-authorized
dot1x authentication 802.1x mac
dot1x radius-attributes vlan

На Cisco 2960 аутентифицируются оба хоста за тупым свичём, авторизуется только первый (не назначается VLAN):
aaa new-model
aaa authentication dot1x default group radius
dot1x system-auth-control
aaa authorization network default group radius
radius-server host IPшник auth-port 1812 key КЛЮЧ
На порту:
switchport mode access
authentication host-mode multi-auth
authentication order mab dot1x
authentication port-control auto
mab
dot1x pae authenticator
authentication violation protect
radius-server vsa send authentication
spanning-tree portfast

Провели диагностику разных host-mode на Cisco:
single-host (только один хост) - работает,
multi-host (аутентификация хотя бы одного хоста) - работает
multi-auth - не работает.

Далее тестили multi-auth детальнее:
dot1.x на обоих хостах - авторизуется успешно только первый
mab на обоих хостах - авторизуется успешно только первый
Отключили отправку атрибута Tunnel-Private-Group-Id (VLAN ID) на Radius'е и включили явно на порту свича (sw a v 11) - оба хоста успешно авторизовались и заработали.
Но в последнем случае, нет возможности назначит каждому хосту собственный VLAN по результатам аутентификации.

Подскажите, кто имел опыт работы с Multi-auth,
почему проходит аутентификация, но не проходит авторизация (назначение VLAN и предоставление доступа)?
Проблема проявляется даже если Radius сервер назначает одинаковый VlanID для обоих хостов.

Cisco 2960 - это WS-C2960CG-8TC-L c Cisco IOS 15.2(2)E9, хотя тестили до обновления и на 12.2(55)EX3 - тот же результат.
Готов предоставить доп. инфу, т.к. стенд уже собран и готов к отладке.


22 окт 2020, 15:37
Профиль

Зарегистрирован: 01 янв 1970, 03:00
Сообщения: 1870
Я правильно понимаю, Вы хотите в итоге, что бы на одном порту свича Cisco висел неуправляемый свитч, к которому были подключены два хоста, которые находятся в разных vlans?


23 окт 2020, 11:23
Профиль

Зарегистрирован: 24 мар 2016, 10:31
Сообщения: 7
Nikolay_ писал(а):
Я правильно понимаю, Вы хотите в итоге, что бы на одном порту свича Cisco висел неуправляемый свитч, к которому были подключены два хоста, которые находятся в разных vlans?

Да, всё верно. Извините за поздний ответ - проблема с уведомлениями.


29 окт 2020, 14:50
Профиль

Зарегистрирован: 03 дек 2019, 09:17
Сообщения: 27
Думаю, невозможно пропихнуть в аксесс порт несколько вланов, но если у вас получится, обязательно поделитесь.
Можно запихнуть две сетки или подсетки в один влан и соответственно выдавать разные айпи, но не знаю подойдёт ли вам такой вариант.
И ещё portfast не рекомендуется включать на портах за которыми свичи, особенно тупые, да ещё и в открытом доступе у обычных пользователей.


30 окт 2020, 14:59
Профиль

Зарегистрирован: 01 янв 1970, 03:00
Сообщения: 1870
DEGABB писал(а):
Nikolay_ писал(а):
Я правильно понимаю, Вы хотите в итоге, что бы на одном порту свича Cisco висел неуправляемый свитч, к которому были подключены два хоста, которые находятся в разных vlans?

Да, всё верно. Извините за поздний ответ - проблема с уведомлениями.

Ну, в общем-то вам уже ответили.
Есть некоторое, можно сказать, исключение - это Voice vlan.
Если использовать вместо неуправляемого коммутатора нормальный коммутатор Cisco - то можно использовать технологию NEAT.


01 ноя 2020, 21:57
Профиль
Показать сообщения за:  Поле сортировки  
Ответить на тему   [ Сообщений: 5 ] 

Кто сейчас на конференции

Сейчас этот форум просматривают: Bessmertniy, Google [Bot] и гости: 19


Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Перейти:  
Создано на основе phpBB® Forum Software © phpBB Group
Designed by ST Software for PTF.
Русская поддержка phpBB