Jump to content
Калькуляторы

Гибридный порт + dot1x и Mab

Добрый день. 

На данный момент имеются настроенные коммутаторы различных моделей. 

 

Настройки конечных портов одинаковые:

 

Скрытый текст

Interface Ethernet1/0/4
 switchport mode hybrid
 switchport hybrid allowed vlan 1-4094 untag
 dot1x enable
 dot1x port-method portbased
 mac-authentication-bypass enable
 mac-authentication-bypass binding-limit 10
 mac-authentication-bypass guest-vlan 1

 

Изначально планировалось, что при подключении любого устройства без суппликанта (камеры, контроллеры скуд и пр), порт будет получать необходимую vlan согласно настройкам AD+Radius. С этим все получилось.

Однако появилась проблема с трафиком. Теперь в любом из этих гибридных портов гуляет "лишний" трафик, например куча ARP запросов из других подсетей. 

 

Подскажите, возможно есть какое-то решение? Либо "универсальные" порты надо переводить в Access и каждый раз при смене конечного устройства менять Vlan?

Заранее спасибо!

 

 

 

Edited by Eviled

Share this post


Link to post
Share on other sites

@Eviled, здравствуйте.

Если вы планируете использовать MAB, то порт, в любом случае, должен быть настроен в hybrid mode, это обязательное условие.

 

У вас на порту разрешены вообще все VLAN (с 1 по 4094), поэтому неудивительно, что вы видите трафик из других подсетей. На гибридном порту "untag" работает на OUT, то есть это трафик, отправляемый С порта, а если учитывать, что ARP-запросы, которые вы видите, широковещательные, то логично, что вы их также видите.

 

Подскажите, вам действительно нужны все эти VLAN на конечных портах?

 

Приведу пример настройки порта подключения конечного пользователя для работы MAB:

 

Например, я хочу выдать устройству за данным портом VLAN 200.

Как уже сказал, обязательным условием для работы MAB является перевод порта в hybrid mode, а также необходимо native vlan на порту дополнительно выдать untag.

В вашем случае, native vlan у вас по умолчанию 1, тогда настройки будут такие:

 

Interface Ethernet1/0/4
 switchport mode hybrid
 switchport hybrid allowed vlan 1;200 untag
 mac-authentication-bypass enable
!

 

Это и есть минимальные настройки для работы MAB, и если вам  не нужны на порту все эти VLAN для работы клиента, то и не нужно их все разрешать на порту, тогда и не будет ненужного трафика из других подсетей.

Если же по какой-то причине вам действительно необходимы все эти VLAN на порту, то в таком случае порт, как уже говорил, нельзя переводить в access для работы MAB, вы можете только как-то зафильтровать ненужный трафик, например, с помощью ACL.

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.