Всем доброго времени суток.
Планирую переход с port-security (да, я знатный извращенец) на 802.1X и MAB аутентификацию для телефонов и других устройств, которые не умеют 802.1X.
Имеется сеть с телефонами Cisco SPA 303 и 504 (плюс Грандстрёмы есть), компутерами в домене, настроенной и рабочей структурой AD и RADIUS сервером (NPS на Windows 2012).

Аутентификация компьютеров и wifi-клиентов на точках через RADIUS работает на УРА, в том числе и с назначением динамического VLAN'a в зависимости от принадлежности компьютера/пользователя к определенной группе в AD. Но никак не могу победить аутентификацию телефонов в голосовой VLAN. Если не прописывать на порту switchport voice vlan 10 (номер моего голосового VLAN'a) - то телефон проходит аутентификацию по MAB (пользователей формата mac_телефона=имя пользователя=пароль я разумеется завел), а если указываю голосовой влан на порту - то не проходит. Телефон при этом попадает в DATA-VLAN и жалобно мигает желтыми лампочками на морде, от чего я сам уже чуть не плачу Перерыл уже уйму доков по настройке MAB на коммутаторах cisco и десятки вариантов написания настроек на порт - ничего не помогает.
Собственно мои настройки на коммутаторе:

version 15.2
aaa group server radius RADIUS-XXX
server name RADIUS.XXX.YYY
server name KAV.XXX.YYY
!
aaa authentication login default group radius group RADIUS-XXX local
aaa authentication enable default enable
aaa authentication dot1x default group radius group RADIUS-XXX
aaa authorization exec default group radius if-authenticated
aaa authorization network default group radius local

authentication mac-move permit (не совсем понял, для чего это)
dot1x system-auth-control
identity profile default
vlan internal allocation policy ascending
!
vlan 10
name Phone
lldp run
# Мой тестовый интерфейс
interface GigabitEthernet1/0/12
switchport access vlan 1 (само собой этой строки нет, просто для наглядности написал, что у меня access vlan - 1)
switchport mode access
switchport voice vlan 10
authentication order mab dot1x
authentication priority mab dot1x
authentication port-control auto
authentication violation restrict
authentication host-mode multi-domain
mab
dot1x pae authenticator
spanning-tree portfast
!
radius server RADIUS.XXX.YYY
address ipv4 192.168.96.71 auth-port 1645 acct-port 1646
timeout 3
key 7 ZZZ
!
radius server KAV.XXX.YYY
address ipv4 192.168.96.70 auth-port 1645 acct-port 1646
timeout 3
key 7 ZZZ

В параметрах RADIUS пробовал и передавать номер голосового влана (и просто цифрой, и именем VOICE и через cisco-av-pair device-traffic-class=voice) и вообще убирать все RADIUS-атрибуты.

Вывод при прописанном voice vlan 10
show mac add inte gi 1/0/12
Vlan Mac Address Type Ports
1 ece1.a9cc.1c89 STATIC Gi1/0/12

show auth ses
Interface MAC Address Method Domain Status Fg Session ID
Gi1/0/12 ece1.a9cc.1c89 mab DATA Auth C0A861090000094250BC7525

Телефон "типа" прошел аутентификацию и попал в DATA-VLAN, но он не доступен и для него ничего не доступно.

А теперь делаю no swi voice vlan 10 и передергиваю интерфейс, телефон загружается и попадает в DATA-VLAN - но работает (АТС доступна и из ДАТА-Влана). Телефон загружается и получает доступ DATA-VLAN, получает адрес и подцепляется к АТС.
Если в прописанным voice Vlan 10 подключаю ко второму порту телефона компьютер (то же по MAB аутентификация), то картина будет такая:
show mac add int gi 1/0/12
Vlan Mac Address Type Ports
1 c264.e341.5bfa STATIC Gi1/0/12
10 ece1.a9cc.1c89 DYNAMIC Drop (телефон, и залез он в свой VLAN)

Соответственно комп доступ к сети получил, а телефон - нет. При чем, если сперва загрузить телефон, а потом уже подключить комп - то компу отлуп, так как телефон уже занял DATA vlan.
Пробовал делать порт транком - не помогает, телефон всё равно не попадает в 10 влан, да и не правильно это.
Подскажите, что не так настроил? Куда копать?

Для Cisco ISE в профиле авторизации для телефона должен передаваться только:

У Вас последний атрибут именно так передается?
Ну и Voice VLAN понятно на порту прописан должен быть.
Свич какой модели и с каким IOS?

Николай, спасибо за ответ!

Всё, разобрался уже В настройках NPS-сервера, в свойствах сетевой политики нужно было выставить RADIUS-атрибуты "Зависящие от поставщика". Там добавить атрибут cisco-av-pair, поставщик cisco, значение device-traffic-class=voice, а из стандартных параметров убрать вообще все другие атрибуты (service-type, tunnel-pvt-group и т.д.). Если они будут заданы - то телефон не попадает в нужный VLAN.

Тему можно закрывать.

P.S. Для тех, кто считает, что MAB это большая дыра в безопасности (так как надо создавать пользователей в домене) - решает, как мне кажется, довольно просто - убираем пользователей с MAB-авторизацией из дефолтной группы "Пользователи домена". Добавляем из какую-нибудь специальную группу (к примеру MAB-Auth-Group), в групповой политике домена (или в локальной сервера NPS) добавляем эту группу к разрешенным для входа по сети и всё. Получаем пользователей с минимальным набором разрешений, даже на компе не получится залогиниться. (Навеяно найденными на просторах интернетов комментариями о том, что MAB через AD не безопасно).

Доброго времени суток.
Озадачили похожей проблемой.
Буду задавать каверзные вопросы
1-й NPS на чем поднят? 2012 R2 &
2-й На WiFi аутентификация мобильных девайсов по МАС ?
Спасибо.

Сорри, протупил, на первый вопрос увидел ответ

1 - 2012R2
2 - нет, мобильные телефоны - через WPA2 Enterprise со своими данными из домена, основываясь на принадлежности пользователя к определённой группе. Корпоративные ноутбуки так же, только авторизация компьютера, а не пользователя.

Такая же чухня, ток у меня комп еще сертификат имеет доменный.
А как боритесь с тем что пользователям на моблах надо пере заходить в сетку при истечении срока действия пароля? (у меня подвязаны смартфоны на WiFI и пользователи тупо не хотят вручную переключаться) Думал, может как то можно подгрузить сертификат или по МАС, но не получается.