imosk Posted February 28, 2019 Posted February 28, 2019 (edited) Доброго времени суток Выдержка из конфигурации коммутатора ниже: Spoiler spanning-tree ! ! ! Interface Ethernet0 ! mtu 9000 dosattack-check tcp-flags enable dosattack-check icmp-attacking enable ! loopback-detection control-recovery timeout 15 ! ! cpu-rx-ratelimit protocol UNKNOW-SMAC 200 ! vlan 1;125;499 ! mac-authentication-bypass enable ! radius-server key 0 test radius-server authentication host 10.0.0.3 primary radius-server accounting host 10.0.0.3 primary aaa-accounting enable aaa enable ! dot1x enable ! ! Interface Ethernet1/0/22 mac-authentication-bypass enable loopback-detection specified-vlan 1 loopback-detection control shutdown ! ! Interface Ethernet1/0/24 switchport mode hybrid switchport hybrid allowed vlan 1;499 untag dot1x enable dot1x port-method portbased dot1x guest-vlan 499 loopback-detection specified-vlan 1 loopback-detection control shutdown ! Версия ПО 7.0.3.5(R0254.0071) Необходимо настроить порт 22 для аутентификации устройств через MAB на сервере Radius 10.0.0.3. В качестве сервера используется MS NPS, с 24 порта авторизации по 802.1x принимаются и логируются. С 22 порта по MAB никакой информации в логах Radius, нет даже попыток авторизоваться. Текущая конфигурация настроена согласно инструкции по 2940, есть ли отличия у 2990? Если нет, где может быть проблема? Возможна ли на данном устройстве аутентификация устройств через 802.1х и MAB на одном порту? (конфигурация SIP-телефон с подключенным к нему ПК). Каким образом? Ищу ответы в гугле вторую неделю, пока безуспешно. Заранее спасибо за ответ Edited March 1, 2019 by imosk Вставить ник Quote
Aleksey Sonkin Posted March 1, 2019 Posted March 1, 2019 @imosk Добрый день! 'mac-address-learning cpu-control' присутствует в конфигурации? Вставить ник Quote
imosk Posted March 1, 2019 Author Posted March 1, 2019 33 minutes ago, Aleksey Sonkin said: @imosk Добрый день! 'mac-address-learning cpu-control' присутствует в конфигурации? Добрый день Спасибо за ответ. Добавил параметр, но безрезультатно. В логах radius пусто. Можно ли как-нибудь увидеть лог запросов в сторону radius с помощью "show logging..."? Вставить ник Quote
Aleksey Sonkin Posted March 1, 2019 Posted March 1, 2019 @imosk можно увидеть в режиме отладки: terminal monitor debug mac-authentication-bypass event debug mac-authentication-bypass packet Что показывает 'show mac-authentication-bypass'? Вставить ник Quote
imosk Posted March 1, 2019 Author Posted March 1, 2019 16 minutes ago, Aleksey Sonkin said: @imosk можно увидеть в режиме отладки: terminal monitor debug mac-authentication-bypass event debug mac-authentication-bypass packet Что показывает 'show mac-authentication-bypass'? Quote SNR-S2990G-24TX-13#show mac-authentication-bypass The Number of all binding is 0 MAC Interface Vlan ID State ---------------------------------------------------------------------------------------------------------- debug пишет следующее: Quote %Mar 01 08:20:09 2019 %LINEPROTO-5-UPDOWN: Line protocol on Interface Ethernet1/0/22, changed state to DOWN %Mar 01 08:20:09 2019 MAB EVENT: Receive port DOWN event on port Ethernet1/0/22 %Mar 01 08:20:09 2019 MAB EVENT: Process port DOWN event, flush MAB binding on port Ethernet1/0/22 %Mar 01 08:20:15 2019 %LINEPROTO-5-UPDOWN: Line protocol on Interface Ethernet1/0/22, changed state to UP %Mar 01 08:20:15 2019 MAB EVENT: Receive port UP event on port Ethernet1/0/22 %Mar 01 08:20:15 2019 MAB EVENT: Process port UP event, recover MAB binding on port Ethernet1/0/22 %Mar 01 08:20:58 2019 MAB PACKET: Receive packet, smac 70-54-d2-a8-cd-28, interface Ethernet1/0/22(portID 0x1000016), vid 1 %Mar 01 08:20:59 2019 MAB EVENT: recv RADIUS response -1 (id 5000), auto vlan 0 %Mar 01 08:20:59 2019 MAB EVENT: Find binding(MAC 70-54-d2-a8-cd-28, state MAB_AUTHENTICATING) for binding ID 5000 recv ntp packet but server does not found! %Mar 01 08:21:30 2019 MAB PACKET: Receive packet, smac 70-54-d2-a8-cd-28, interface Ethernet1/0/22(portID 0x1000016), vid 1 %Mar 01 08:21:30 2019 MAB EVENT: recv RADIUS response -1 (id 5000), auto vlan 0 %Mar 01 08:21:30 2019 MAB EVENT: Find binding(MAC 70-54-d2-a8-cd-28, state MAB_AUTHENTICATING) for binding ID 5000 %Mar 01 08:22:15 2019 MAB PACKET: Receive packet, smac 70-54-d2-a8-cd-28, interface Ethernet1/0/22(portID 0x1000016), vid 1 Коммутатор и radius в одной подсети /24, пинги есть Вставить ник Quote
Aleksey Sonkin Posted March 1, 2019 Posted March 1, 2019 @imosk Судя по дебагу попытки авторизоваться есть, и в ответ приходит reject. На radius сервере в качестве имени клиента и пароля должен указываться MAC клиента, например: d4-85-74-ed-02-e0 Cleartext-Password := "d4-85-74-ed-02-e0" Вставить ник Quote
imosk Posted March 1, 2019 Author Posted March 1, 2019 1 minute ago, Aleksey Sonkin said: @imosk Судя по дебагу попытки авторизоваться есть, и в ответ приходит reject. На radius сервере в качестве имени клиента и пароля должен указываться MAC клиента, например: d4-85-74-ed-02-e0 Cleartext-Password := "d4-85-74-ed-02-e0" Возможно ли изменить формат отправляемого логина/пароля? MS NPS работает с учетными записями в AD, а они, в свою очередь, не могут содержать дефисы. Вставить ник Quote
Aleksey Sonkin Posted March 1, 2019 Posted March 1, 2019 @imosk Для оценки возможности изменения реализации данного функционала создайте, пожалуйста, обращение на support.nag.ru. Вставить ник Quote
imosk Posted March 1, 2019 Author Posted March 1, 2019 2 hours ago, Aleksey Sonkin said: @imosk Для оценки возможности изменения реализации данного функционала создайте, пожалуйста, обращение на support.nag.ru. Спасибо за ответы Вставить ник Quote
.png.5d2afa2996cc6a85d0f2c09b92dd0a28.png)
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.