Сообщения без ответов | Активные темы Текущее время: 28 мар 2024, 14:23



Ответить на тему  [ Сообщений: 4 ] 
Cisco SG300 + MAB 
Автор Сообщение

Зарегистрирован: 25 июл 2022, 08:40
Сообщения: 2
Добрый день!

Имеется большой парк Cisco SMB (в основном SG300), была поставлена задача внедрить MAC Authentication Bypass для разграничения доступа устройств по мак-адресам.

В качестве Radius-сервера используется машина на Windows Server 2012 R2. Конфигурация политики запросов на подключение - в приложении. Данная конфигурация взята из рекомендованных Циской мануалов. Кроме того, такая конфигурация подходит для коммутаторов SNR, из чего я делаю вывод, что на Радиусе настроено всё правильно.

А вот Cisco SG300 работает, да не совсем.

1) Связность SG300 и Радиуса есть, поскольку авторизация при Management Access на циске проходит успешно - согласно созданной на Радиусе сетевой политике.

2) Кроме того, при диагностике через mirror port я вижу, что приходящие от Радиуса на коммутатор пакеты содержат атрибуты, которые заданы в политике запросов на подключение.

А далее происходит вот что.

Если подключенное к порту устройство имеет мак из диапазона, указанного в политике на Радиусе, то в интерфейсе коммутатора я вижу, что устройство авторизовано и его мак попадает в дефолтную влан.

Если устройство имеет мак не из диапазона, то устройство не авторизуется и его мак попадает в Guest VLAN (в данном случае - 51).

Иными словами, коммутатор авторизует или не авторизует устройство в зависимости от указанных на Радиусе диапазонов мак-адресов, то есть выполняет политики Радиуса. Проблема же в том, что коммутатор не назначает устройству влану, указанную в политике запросов на подключение (в данном случае - 40).

Выжимка конфига коммутатора:

!
no cdp run
vlan database
vlan 10,20,30,40,42,51-53
exit

dot1x system-auth-control
dot1x traps authentication failure mac
dot1x traps authentication success mac
no lldp run
loopback-detection enable

encrypted radius-server host X.X.X.X key XXXX= priority 1

ip http authentication aaa login-authentication login-authorization radius local
aaa authentication login authorization SSH radius local
aaa authentication enable authorization SSH radius enable
aaa accounting dot1x start-stop group radius
aaa accounting login start-stop group radius

!
interface vlan 51
dot1x guest-vlan
!
interface gigabitethernet6
loopback-detection enable
dot1x guest-vlan enable
dot1x reauthentication
dot1x timeout reauth-period 300
dot1x authentication mac
dot1x radius-attributes vlan static
dot1x port-control auto
storm-control broadcast enable
storm-control include-multicast
switchport mode general
switchport general allowed vlan add 40,52-53 untagged
no macro auto persistent
no macro auto smartport

macro auto disabled
no macro auto processing cdp
no macro auto processing lldp
macro auto processing type ip_phone disabled
macro auto processing type ip_phone_desktop disabled
macro auto processing type switch disabled
macro auto processing type ap disabled

Перепробовал кучу различных вариантов, перелопатил весь интернет, но ответа на вопрос не нашёл.

Уважаемые форумчане, может быть, кто-то сталкивался с такой задачей? Что я делаю не так? Может быть, не хватает какой-то настройки? Заранее благодарен за ответ!


Вложения:
Конфигурация политики запросов на подключение.JPG
Конфигурация политики запросов на подключение.JPG [ 86.38 КБ | Просмотров: 1953 ]
Конфигурация политики запросов на подключение.JPG
Конфигурация политики запросов на подключение.JPG [ 86.38 КБ | Просмотров: 1953 ]
26 июл 2022, 08:26
Профиль

Зарегистрирован: 07 сен 2014, 02:54
Сообщения: 548
Откуда: Msk
artem-sailer писал(а):
Имеется большой парк Cisco SMB (в основном SG300), была поставлена задача внедрить MAC Authentication Bypass для разграничения доступа устройств по мак-адресам.

Вообще довольно странно покупать SMB свитчи и потом внедрять на них enterprise фичи.
Не то чтобы их там нет или они не работают, но это железки довольно экзотические и инфы по ним мало.
В отличие от классических Cisco свитчей (Catalyst). А это какой-то очередной Linksys.

Гуглите:
cisco sg300 dot1x dynamic vlan
cisco sg300 mab dynamic vlan
cisco dot1x mab (для общего понимания)

artem-sailer писал(а):
Проблема же в том, что коммутатор не назначает устройству влану, указанную в политике запросов на подключение

Вот почитайте что пишут:

I can't speak for the MS NAC system. I can say PacketFence works with these switches without issue.

BUT more to the point, make sure you have smartport disabled on this switch.
This "feature" will do to you what you want MS NAC to do. I ran in circles trying to understand why what the NAC
server was sending wasn't being honored by the switch.
Either way make sure Administrative Auto Smart Port setting is disabled in the webgui.

Also in the Security section, under 802.1x there are some settings you need to make there.
We set values on Properties, Port Authentication, and Host and Session.

Port Authentication as a setting to honor radius vlan assignments.

https://community.spiceworks.com/topic/ ... isco-sg300

Не факт что проблема именно в этом, но попробуйте.
Плюс возможно этому свитчу не хватает каких-то атрибутов в ответе RADIUS.
По идее нужно включать дебаг RADIUS на свитче и смотреть.
Какой метод авторизации используется? Какие атрибуты ходят туда-сюда?
Вот только есть ли он там?
RTFM.

Solved: Dynamic VLAN assignment on Cisco SG300
https://community.cisco.com/t5/small-bu ... -p/1867344

Вот, собственно, о чем я и говорил:

sg300 MAC-Based 802.1x authentification aka. mab (mac-auth-bypass)
https://community.cisco.com/t5/small-bu ... -p/1867344

Cisco 300 Series Managed Switches Administration Guide Release 1.4.0 (PDF - 5 MB)
_https://www.cisco.com/c/en/us/support/switches/small-business-300-series-managed-switches/series.html

Это не совсем то, что нужно, но рядом.
Configuring 802.1X on SG300 Series Switches
_https://www.cisco.com/c/en/us/support/docs/smb/switches/cisco-small-business-300-series-managed-switches/smb5105-configuring-802-1x-on-sg300-series-switches.html

P.S. На community.cisco.com из Ru нужно уметь попасть.
P.P.S. И использовать серверные продукты с русским интерфейсом - это дичь полнейшая.

_________________
Knowledge is Power


29 июл 2022, 02:10
Профиль

Зарегистрирован: 07 сен 2014, 02:54
Сообщения: 548
Откуда: Msk
И вот еще почитайте, для понимания что там в RADIUS должно бегать туда и обратно:

FreeRADIUS Guide/Mac Auth
https://wiki.freeradius.org/guide/Mac%20Auth

И вот еще немного на русском. Правда древнее и тут опять же про IOS.

Про NAP, MAB и динамические VLAN-ы - Хабр
https://habr.com/ru/post/124697/

_________________
Knowledge is Power


29 июл 2022, 03:20
Профиль

Зарегистрирован: 25 июл 2022, 08:40
Сообщения: 2
Silent_D писал(а):

Вообще довольно странно покупать SMB свитчи и потом внедрять на них enterprise фичи.
Не то чтобы их там нет или они не работают, но это железки довольно экзотические и инфы по ним мало.
В отличие от классических Cisco свитчей (Catalyst). А это какой-то очередной Linksys.


P.P.S. И использовать серверные продукты с русским интерфейсом - это дичь полнейшая.


Спасибо за ответ и приведённые ссылки. Большинство из них, правда, я уже изучил. К сожалению, ответа на мой вопрос в них не нашёл.

Что касается SMB и enterprise, то абсолютно с Вами согласен, но оборудование было закуплено и установлено намного раньше того, как я тут очутился, что никак не отменяет поставленной руководством задачи сегодня.

То же могу сказать и относительно серверных продуктов на русскоязычной Windows, хотя, на мой взгляд, это не имеет большого значения.


29 июл 2022, 08:08
Профиль
Показать сообщения за:  Поле сортировки  
Ответить на тему   [ Сообщений: 4 ] 

Кто сейчас на конференции

Сейчас этот форум просматривают: Google [Bot] и гости: 60


Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Перейти:  
Создано на основе phpBB® Forum Software © phpBB Group
Designed by ST Software for PTF.
Русская поддержка phpBB