Всем доброго времени суток.
Планирую переход с port-security (да, я знатный извращенец) на 802.1X и MAB аутентификацию для телефонов и других устройств, которые не умеют 802.1X.
Имеется сеть с телефонами Cisco SPA 303 и 504 (плюс Грандстрёмы есть), компутерами в домене, настроенной и рабочей структурой AD и RADIUS сервером (NPS на Windows 2012).
Аутентификация компьютеров и wifi-клиентов на точках через RADIUS работает на УРА, в том числе и с назначением динамического VLAN'a в зависимости от принадлежности компьютера/пользователя к определенной группе в AD. Но никак не могу победить аутентификацию телефонов в голосовой VLAN. Если не прописывать на порту switchport voice vlan 10 (номер моего голосового VLAN'a) - то телефон проходит аутентификацию по MAB (пользователей формата mac_телефона=имя пользователя=пароль я разумеется завел), а если указываю голосовой влан на порту - то не проходит. Телефон при этом попадает в DATA-VLAN и жалобно мигает желтыми лампочками на морде, от чего я сам уже чуть не плачу
Перерыл уже уйму доков по настройке MAB на коммутаторах cisco и десятки вариантов написания настроек на порт - ничего не помогает.
Собственно мои настройки на коммутаторе:
version 15.2
aaa group server radius RADIUS-XXX
server name RADIUS.XXX.YYY
server name KAV.XXX.YYY
!
aaa authentication login default group radius group RADIUS-XXX local
aaa authentication enable default enable
aaa authentication dot1x default group radius group RADIUS-XXX
aaa authorization exec default group radius if-authenticated
aaa authorization network default group radius local
authentication mac-move permit (не совсем понял, для чего это)
dot1x system-auth-control
identity profile default
vlan internal allocation policy ascending
!
vlan 10
name Phone
lldp run
# Мой тестовый интерфейс
interface GigabitEthernet1/0/12
switchport access vlan 1 (само собой этой строки нет, просто для наглядности написал, что у меня access vlan - 1)
switchport mode access
switchport voice vlan 10
authentication order mab dot1x
authentication priority mab dot1x
authentication port-control auto
authentication violation restrict
authentication host-mode multi-domain
mab
dot1x pae authenticator
spanning-tree portfast
!
radius server RADIUS.XXX.YYY
address ipv4 192.168.96.71 auth-port 1645 acct-port 1646
timeout 3
key 7 ZZZ
!
radius server KAV.XXX.YYY
address ipv4 192.168.96.70 auth-port 1645 acct-port 1646
timeout 3
key 7 ZZZ
В параметрах RADIUS пробовал и передавать номер голосового влана (и просто цифрой, и именем VOICE и через cisco-av-pair device-traffic-class=voice) и вообще убирать все RADIUS-атрибуты.
Вывод при прописанном voice vlan 10
show mac add inte gi 1/0/12
Vlan Mac Address Type Ports
1 ece1.a9cc.1c89 STATIC Gi1/0/12
show auth ses
Interface MAC Address Method Domain Status Fg Session ID
Gi1/0/12 ece1.a9cc.1c89 mab DATA Auth C0A861090000094250BC7525
Телефон "типа" прошел аутентификацию и попал в DATA-VLAN, но он не доступен и для него ничего не доступно.
А теперь делаю no swi voice vlan 10 и передергиваю интерфейс, телефон загружается и попадает в DATA-VLAN - но работает (АТС доступна и из ДАТА-Влана). Телефон загружается и получает доступ DATA-VLAN, получает адрес и подцепляется к АТС.
Если в прописанным voice Vlan 10 подключаю ко второму порту телефона компьютер (то же по MAB аутентификация), то картина будет такая:
show mac add int gi 1/0/12
Vlan Mac Address Type Ports
1 c264.e341.5bfa STATIC Gi1/0/12
10 ece1.a9cc.1c89 DYNAMIC Drop (телефон, и залез он в свой VLAN)
Соответственно комп доступ к сети получил, а телефон - нет. При чем, если сперва загрузить телефон, а потом уже подключить комп - то компу отлуп, так как телефон уже занял DATA vlan.
Пробовал делать порт транком - не помогает, телефон всё равно не попадает в 10 влан, да и не правильно это.
Подскажите, что не так настроил? Куда копать?