Anticisco http://anticisco.ru/forum/ |
|
Проблема с мультиавторизацией на Raduis (MAB + 802.1x) http://anticisco.ru/forum/viewtopic.php?f=2&t=11442 |
Страница 1 из 1 |
Автор: | DEGABB [ 22 окт 2020, 15:37 ] |
Заголовок сообщения: | Проблема с мультиавторизацией на Raduis (MAB + 802.1x) |
День добрый! Руководство поставило задачу контролировать доступ к сетевой среде. Как вариант, предложили рассмотреть 802.1x и FreeRadius. Сеть простая ~ 100 свичей доступа (Eltex MES + Cisco 2960) + Cisco 6509 в качестве ядра. Проблема - по сети разбросаны тупые свичи (не хватает розеток, а ставить управляемые свичи в кабинетах запретили). В случае одного хоста на порт - всё работает (и 802.1x, и MAB). В случае тупых свичей - потестили возможность назначать VLan на хост (MAC) и получили следующие результаты: На Eltex'ах всё завелось согласно инструкции: dot1x system-auth-control radius-server host IPшник key КЛЮЧ На порту: dot1x host-mode multi-sessions dot1x port-control force-authorized dot1x authentication 802.1x mac dot1x radius-attributes vlan На Cisco 2960 аутентифицируются оба хоста за тупым свичём, авторизуется только первый (не назначается VLAN): aaa new-model aaa authentication dot1x default group radius dot1x system-auth-control aaa authorization network default group radius radius-server host IPшник auth-port 1812 key КЛЮЧ На порту: switchport mode access authentication host-mode multi-auth authentication order mab dot1x authentication port-control auto mab dot1x pae authenticator authentication violation protect radius-server vsa send authentication spanning-tree portfast Провели диагностику разных host-mode на Cisco: single-host (только один хост) - работает, multi-host (аутентификация хотя бы одного хоста) - работает multi-auth - не работает. Далее тестили multi-auth детальнее: dot1.x на обоих хостах - авторизуется успешно только первый mab на обоих хостах - авторизуется успешно только первый Отключили отправку атрибута Tunnel-Private-Group-Id (VLAN ID) на Radius'е и включили явно на порту свича (sw a v 11) - оба хоста успешно авторизовались и заработали. Но в последнем случае, нет возможности назначит каждому хосту собственный VLAN по результатам аутентификации. Подскажите, кто имел опыт работы с Multi-auth, почему проходит аутентификация, но не проходит авторизация (назначение VLAN и предоставление доступа)? Проблема проявляется даже если Radius сервер назначает одинаковый VlanID для обоих хостов. Cisco 2960 - это WS-C2960CG-8TC-L c Cisco IOS 15.2(2)E9, хотя тестили до обновления и на 12.2(55)EX3 - тот же результат. Готов предоставить доп. инфу, т.к. стенд уже собран и готов к отладке. |
Автор: | Nikolay_ [ 23 окт 2020, 11:23 ] |
Заголовок сообщения: | Re: Проблема с мультиавторизацией на Raduis (MAB + 802.1x) |
Я правильно понимаю, Вы хотите в итоге, что бы на одном порту свича Cisco висел неуправляемый свитч, к которому были подключены два хоста, которые находятся в разных vlans? |
Автор: | DEGABB [ 29 окт 2020, 14:50 ] |
Заголовок сообщения: | Re: Проблема с мультиавторизацией на Raduis (MAB + 802.1x) |
Nikolay_ писал(а): Я правильно понимаю, Вы хотите в итоге, что бы на одном порту свича Cisco висел неуправляемый свитч, к которому были подключены два хоста, которые находятся в разных vlans? Да, всё верно. Извините за поздний ответ - проблема с уведомлениями. |
Автор: | mihalich [ 30 окт 2020, 14:59 ] |
Заголовок сообщения: | Re: Проблема с мультиавторизацией на Raduis (MAB + 802.1x) |
Думаю, невозможно пропихнуть в аксесс порт несколько вланов, но если у вас получится, обязательно поделитесь. Можно запихнуть две сетки или подсетки в один влан и соответственно выдавать разные айпи, но не знаю подойдёт ли вам такой вариант. И ещё portfast не рекомендуется включать на портах за которыми свичи, особенно тупые, да ещё и в открытом доступе у обычных пользователей. |
Автор: | Nikolay_ [ 01 ноя 2020, 21:57 ] |
Заголовок сообщения: | Re: Проблема с мультиавторизацией на Raduis (MAB + 802.1x) |
DEGABB писал(а): Nikolay_ писал(а): Я правильно понимаю, Вы хотите в итоге, что бы на одном порту свича Cisco висел неуправляемый свитч, к которому были подключены два хоста, которые находятся в разных vlans? Да, всё верно. Извините за поздний ответ - проблема с уведомлениями. Ну, в общем-то вам уже ответили. Есть некоторое, можно сказать, исключение - это Voice vlan. Если использовать вместо неуправляемого коммутатора нормальный коммутатор Cisco - то можно использовать технологию NEAT. |
Страница 1 из 1 | Часовой пояс: UTC + 3 часа |
Powered by phpBB® Forum Software © phpBB Group http://www.phpbb.com/ |