https://www.opennet.ru/openforum/vsluhforumID6/1680.html День добрый. настраиваю, а заодно и изучаю, протокол 802.1x на коммутаторе cisco 2950 (Version 12.1(22)EA14), в качестве сервера использую freeradius (FreeRADIUS Version 2.1.12) на ubuntu (серверная, последняя). Ubuntu поднята на виртуалке.<br>настройки циско:<br>[code]aaa new-model<br>aaa authentication dot1x group group radius<br>aaa authorization network default group radius<br><br>dot1x system-auth-control<br><br>interface FastEthernet0/18 (смотрит в сторону сервера)<br> switchport mode access<br>!<br>interface FastEthernet0/19<br> switchport mode access<br> dot1x port-control auto<br> dot1x timeout tx-period 10<br> dot1x timeout reauth-period 3<br> dot1x guest-vlan 150<br> spanning-tree portfast<br>!<br>interface FastEthernet0/20<br> switchport mode access<br> dot1x port-control auto<br> dot1x timeout tx-period 10<br> dot1x timeout reauth-period 3<br> dot1x guest-vlan 150<br> spanning-tree portfast<br>!<br>interface FastEthernet0/21<br> switchport mode access<br> dot1x port-control auto<br> dot1x timeout tx-period 10<br> dot1x timeout reauth-period 3<br> dot1x guest- https://www.opennet.ru/openforum/vsluhforumID6/1680.html#33 Thu, 16 Apr 2015 12:08:32 GMT &gt;[оверквотинг удален]<br>&gt;&gt; <br>&gt;&gt; Status <br>&gt;&gt; Ports <br>&gt;&gt; ---- -------------------------------- --------- ------------------------------- <br>&gt;&gt; 101 test_802.1x <br>&gt;&gt; <br>&gt;&gt; active <br>&gt;&gt; [/code] <br>&gt; не уверен что вывод этой команды покажет динамическое назначение в вилан <br>&gt; по траффику проверял?<br><br>а почему нет? по крайней мере назначение в гостевой влан показывает.<br>Да трафик проходит, по крайней мере могу пинговать хосты в первом влане<br> https://www.opennet.ru/openforum/vsluhforumID6/1680.html#32 Thu, 16 Apr 2015 11:58:30 GMT &gt;[оверквотинг удален]<br>&gt; [code]sh vlan id 101 <br>&gt; VLAN Name <br>&gt; <br>&gt; Status <br>&gt; Ports <br>&gt; ---- -------------------------------- --------- ------------------------------- <br>&gt; 101 test_802.1x <br>&gt; <br>&gt; active <br>&gt; [/code] <br><br>не уверен что вывод этой команды покажет динамическое назначение в вилан<br>по траффику проверял?<br> https://www.opennet.ru/openforum/vsluhforumID6/1680.html#31 Thu, 16 Apr 2015 10:14:36 GMT &gt;[оверквотинг удален]<br>&gt;&gt;&gt;&gt; vlan аутентифицированного порта?<br>&gt;&gt;&gt; ты же делал уже: <br>&gt;&gt;&gt; rad_recv: Access-Accept packet from host 10.95.46.227 port 1812, id=106, length=111 <br>&gt;&gt;&gt; Tunnel-Type:0 = VLAN <br>&gt;&gt;&gt; Tunnel-Medium-Type:0 = IEEE-802 <br>&gt;&gt;&gt; Tunnel-Private-Group-Id:0 = "1" <br>&gt;&gt; я потом поменял Tunnel-Private-Group-Id:0 = "101", но порт все равно в первый <br>&gt;&gt; влан назначается <br>&gt; а вилан такой есть вообще на свиче?<br>&gt; и как ты проверяешь назначение вилана?<br><br>[code]sh vlan id 101<br><br>VLAN Name Status Ports<br>---- -------------------------------- --------- -------------------------------<br>101 test_802.1x active<br><br>[/code]<br> https://www.opennet.ru/openforum/vsluhforumID6/1680.html#30 Thu, 16 Apr 2015 08:17:50 GMT &gt;[оверквотинг удален]<br>&gt;&gt;&gt; и убрал mschap.<br>&gt;&gt;&gt; Порт теперь в аутентифицированном состоянии, но влан остался первым. Можно ли изменить <br>&gt;&gt;&gt; vlan аутентифицированного порта?<br>&gt;&gt; ты же делал уже: <br>&gt;&gt; rad_recv: Access-Accept packet from host 10.95.46.227 port 1812, id=106, length=111 <br>&gt;&gt; Tunnel-Type:0 = VLAN <br>&gt;&gt; Tunnel-Medium-Type:0 = IEEE-802 <br>&gt;&gt; Tunnel-Private-Group-Id:0 = "1" <br>&gt; я потом поменял Tunnel-Private-Group-Id:0 = "101", но порт все равно в первый <br>&gt; влан назначается <br><br>а вилан такой есть вообще на свиче?<br>и как ты проверяешь назначение вилана?<br> https://www.opennet.ru/openforum/vsluhforumID6/1680.html#29 Thu, 16 Apr 2015 05:04:10 GMT &gt;[оверквотинг удален]<br>&gt;&gt; &lt;------&gt;auth_log <br>&gt;&gt; } [/code] <br>&gt;&gt; и убрал mschap.<br>&gt;&gt; Порт теперь в аутентифицированном состоянии, но влан остался первым. Можно ли изменить <br>&gt;&gt; vlan аутентифицированного порта?<br>&gt; ты же делал уже: <br>&gt; rad_recv: Access-Accept packet from host 10.95.46.227 port 1812, id=106, length=111 <br>&gt; Tunnel-Type:0 = VLAN <br>&gt; Tunnel-Medium-Type:0 = IEEE-802 <br>&gt; Tunnel-Private-Group-Id:0 = "1" <br><br>я потом поменял Tunnel-Private-Group-Id:0 = "101", но порт все равно в первый влан назначается<br> https://www.opennet.ru/openforum/vsluhforumID6/1680.html#28 Thu, 16 Apr 2015 03:59:41 GMT &gt;[оверквотинг удален]<br>&gt; [code]authorize { <br>&gt; &lt;------&gt;eap { <br>&gt; &lt;------&gt;&lt;------&gt;ok = return <br>&gt; &lt;------&gt;} <br>&gt; &lt;------&gt;files <br>&gt; &lt;------&gt;auth_log <br>&gt; } [/code] <br>&gt; и убрал mschap.<br>&gt; Порт теперь в аутентифицированном состоянии, но влан остался первым. Можно ли изменить <br>&gt; vlan аутентифицированного порта?<br><br>ты же делал уже:<br><br>rad_recv: Access-Accept packet from host 10.95.46.227 port 1812, id=106, length=111<br> Tunnel-Type:0 = VLAN<br> Tunnel-Medium-Type:0 = IEEE-802<br> Tunnel-Private-Group-Id:0 = "1"<br><br> https://www.opennet.ru/openforum/vsluhforumID6/1680.html#27 Wed, 15 Apr 2015 13:34:23 GMT Проблему с аутентификацией решил так<br>[code]authorize { <br>&lt;------&gt;eap { <br>&lt;------&gt;&lt;------&gt;ok = return <br>&lt;------&gt;} <br>&lt;------&gt;files <br>&lt;------&gt;auth_log <br>} [/code]<br>и убрал mschap.<br><br>Порт теперь в аутентифицированном состоянии, но влан остался первым. Можно ли изменить vlan аутентифицированного порта?<br> https://www.opennet.ru/openforum/vsluhforumID6/1680.html#26 Wed, 15 Apr 2015 06:50:20 GMT &gt;&gt;&gt; Клиенту радиус ответ в 802х не передается никак.<br>&gt;&gt; Вот этого предложения не понял <br>&gt; саппликант только предоставляет информацию для прохождения процедур аутентификации и <br>&gt; авторизации. При этом радиус аттрибуты ходят между каталистом и радиусом. Каталист <br>&gt; свитч, ему информация о IP адресе не нужна, это не PPP <br>&gt; соединение.<br><br>Даже если убрать эти сторчки, аутентификация проходит неудачно<br> https://www.opennet.ru/openforum/vsluhforumID6/1680.html#25 Wed, 15 Apr 2015 06:03:47 GMT &gt; freeradius вываливает тонны информации. ты хочешь чтобы тебе тут по трем строчкам <br>&gt; причину нашли?<br>&gt; телепатов не бывает <br><br>Он выдал не сильно больше, относительно гото что я привел. Я указал, на то что явно указывает на проблему. Впринципе могу привестиполный вывод.<br>