|
|
Страница 1 из 1
|
[ Сообщений: 5 ] |
|
Проблема с мультиавторизацией на Raduis (MAB + 802.1x)
Проблема с мультиавторизацией на Raduis (MAB + 802.1x)
Автор |
Сообщение |
DEGABB
Зарегистрирован: 24 мар 2016, 10:31 Сообщения: 7
|
День добрый! Руководство поставило задачу контролировать доступ к сетевой среде. Как вариант, предложили рассмотреть 802.1x и FreeRadius. Сеть простая ~ 100 свичей доступа (Eltex MES + Cisco 2960) + Cisco 6509 в качестве ядра. Проблема - по сети разбросаны тупые свичи (не хватает розеток, а ставить управляемые свичи в кабинетах запретили). В случае одного хоста на порт - всё работает (и 802.1x, и MAB). В случае тупых свичей - потестили возможность назначать VLan на хост (MAC) и получили следующие результаты:
На Eltex'ах всё завелось согласно инструкции: dot1x system-auth-control radius-server host IPшник key КЛЮЧ На порту: dot1x host-mode multi-sessions dot1x port-control force-authorized dot1x authentication 802.1x mac dot1x radius-attributes vlan
На Cisco 2960 аутентифицируются оба хоста за тупым свичём, авторизуется только первый (не назначается VLAN): aaa new-model aaa authentication dot1x default group radius dot1x system-auth-control aaa authorization network default group radius radius-server host IPшник auth-port 1812 key КЛЮЧ На порту: switchport mode access authentication host-mode multi-auth authentication order mab dot1x authentication port-control auto mab dot1x pae authenticator authentication violation protect radius-server vsa send authentication spanning-tree portfast
Провели диагностику разных host-mode на Cisco: single-host (только один хост) - работает, multi-host (аутентификация хотя бы одного хоста) - работает multi-auth - не работает.
Далее тестили multi-auth детальнее: dot1.x на обоих хостах - авторизуется успешно только первый mab на обоих хостах - авторизуется успешно только первый Отключили отправку атрибута Tunnel-Private-Group-Id (VLAN ID) на Radius'е и включили явно на порту свича (sw a v 11) - оба хоста успешно авторизовались и заработали. Но в последнем случае, нет возможности назначит каждому хосту собственный VLAN по результатам аутентификации.
Подскажите, кто имел опыт работы с Multi-auth, почему проходит аутентификация, но не проходит авторизация (назначение VLAN и предоставление доступа)? Проблема проявляется даже если Radius сервер назначает одинаковый VlanID для обоих хостов.
Cisco 2960 - это WS-C2960CG-8TC-L c Cisco IOS 15.2(2)E9, хотя тестили до обновления и на 12.2(55)EX3 - тот же результат. Готов предоставить доп. инфу, т.к. стенд уже собран и готов к отладке.
|
22 окт 2020, 15:37 |
|
|
Nikolay_
Зарегистрирован: 01 янв 1970, 03:00 Сообщения: 1874
|
Я правильно понимаю, Вы хотите в итоге, что бы на одном порту свича Cisco висел неуправляемый свитч, к которому были подключены два хоста, которые находятся в разных vlans?
|
23 окт 2020, 11:23 |
|
|
DEGABB
Зарегистрирован: 24 мар 2016, 10:31 Сообщения: 7
|
Nikolay_ писал(а): Я правильно понимаю, Вы хотите в итоге, что бы на одном порту свича Cisco висел неуправляемый свитч, к которому были подключены два хоста, которые находятся в разных vlans? Да, всё верно. Извините за поздний ответ - проблема с уведомлениями.
|
29 окт 2020, 14:50 |
|
|
mihalich
Зарегистрирован: 03 дек 2019, 09:17 Сообщения: 42
|
Думаю, невозможно пропихнуть в аксесс порт несколько вланов, но если у вас получится, обязательно поделитесь. Можно запихнуть две сетки или подсетки в один влан и соответственно выдавать разные айпи, но не знаю подойдёт ли вам такой вариант. И ещё portfast не рекомендуется включать на портах за которыми свичи, особенно тупые, да ещё и в открытом доступе у обычных пользователей.
|
30 окт 2020, 14:59 |
|
|
Nikolay_
Зарегистрирован: 01 янв 1970, 03:00 Сообщения: 1874
|
DEGABB писал(а): Nikolay_ писал(а): Я правильно понимаю, Вы хотите в итоге, что бы на одном порту свича Cisco висел неуправляемый свитч, к которому были подключены два хоста, которые находятся в разных vlans? Да, всё верно. Извините за поздний ответ - проблема с уведомлениями. Ну, в общем-то вам уже ответили. Есть некоторое, можно сказать, исключение - это Voice vlan. Если использовать вместо неуправляемого коммутатора нормальный коммутатор Cisco - то можно использовать технологию NEAT.
|
01 ноя 2020, 21:57 |
|
|
|
Страница 1 из 1
|
[ Сообщений: 5 ] |
|
Кто сейчас на конференции |
Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 49 |
|
Вы не можете начинать темы Вы не можете отвечать на сообщения Вы не можете редактировать свои сообщения Вы не можете удалять свои сообщения Вы не можете добавлять вложения
|
|
|