- 802.1x и NPS, ShyLion, 13:23 , 09-Ноя-18 (1)
дурацкий вопрос - вилан 5 есть на свиче? :)
- 802.1x и NPS, Majestyk, 13:56 , 09-Ноя-18 (2)
- 802.1x и NPS, ShyLion, 08:23 , 12-Ноя-18 (4) +1
>> дурацкий вопрос - вилан 5 есть на свиче? :) > Конечно есть. Для проверки на другом порту его назначал и тыкал туда > ПК, и всё норм было (без 802.1х на том порту) Вот мои эксперименты с dot1x, сразу скажу что в продакшен не пошло, хотелось сделать зависимый от пользователя доступ, а работает это плохо, по крайней мере мне на 7-ке не понравилось с этим жить. macro name dot1x authentication event fail action authorize vlan 16 authentication event no-response action authorize vlan 16 authentication port-control auto dot1x pae authenticator dot1x timeout tx-period 5 dot1x max-req 1 dot1x max-reauth-req 1 @ ! aaa new-model ! ! aaa group server radius 8021x server-private 10.131.10.180 auth-port 1812 acct-port 1813 key 7 xxxx ! aaa authentication dot1x default group 8021x aaa authorization network default group 8021x aaa accounting dot1x default start-stop group 8021x ! dot1x system-auth-control dot1x guest-vlan supplicant !
- 802.1x и NPS, Majestyk, 10:54 , 13-Ноя-18 (13)
- 802.1x и NPS, ShyLion, 11:37 , 13-Ноя-18 (14)
> это на какой cisco проводили эксперимент? у меня на 2960 всё отлично на 2960 и 3560 > проходит, а вот на 3750 проблемы, не авторизует порт, при выводе > debug dot1x errors пишет: > > 4w1d: %RADIUS-4-RADIUS_DEAD: RADIUS server 10.10.200.127:1812,1813 is not responding. > 4w1d: %RADIUS-4-RADIUS_ALIVE: RADIUS server 10.10.200.127:1812,1813 has returned. > > shared key совпадает, радиус пингует, 2960 (на котором работает) изначально работает через > эту 3750, тобеж vlanы есть а на радиусе этот свитч прописан?
- 802.1x и NPS, Majestyk, 12:57 , 13-Ноя-18 (15)
- 802.1x и NPS, Majestyk, 13:41 , 13-Ноя-18 (16)
- 802.1x и NPS, ShyLion, 14:16 , 13-Ноя-18 (17)
> вот основные настройки ну, судя по гайду вроде все правильно а на радуис-то улетают запросы? debug radius
- 802.1x и NPS, Majestyk, 14:43 , 13-Ноя-18 (18)
- 802.1x и NPS, Majestyk, 16:07 , 13-Ноя-18 (19)
- 802.1x и NPS, ShyLion, 12:43 , 14-Ноя-18 (20)
Очевидно, что проблема не в 802.1x, а в недружбе радиуса и кисы.Радиус похоже не находит подходящей политки. Вероятно у тебя политика требует наличия/значения каких-то атрибутов, которых нет в запросе. Проверь политику.
- 802.1x и NPS, Majestyk, 15:25 , 14-Ноя-18 (21)
- 802.1x и NPS, ShyLion, 16:08 , 14-Ноя-18 (22)
> обновил 3750 до последней прошивки, Version 12.2(55)SE12 и всё заработало, правда надо > поднастроить параметры таймаута > на последней прошивке уже и команды как на 2960 работают Ждем отчета как оно в длительной эксплаутации. Попробуй винду просто перегрузить, например. У меня от такого часто впадал процесс в ступор, толи свитч 802.1x не инициировал, толи винда. Лечилось только передергиванием линка.
- 802.1x и NPS, ShyLion, 08:17 , 12-Ноя-18 (3)
> Вот настройки порта а где настройки не порта?
- 802.1x и NPS, Majestyk, 08:29 , 12-Ноя-18 (5)
- 802.1x и NPS, ShyLion, 13:17 , 12-Ноя-18 (8)
>>> Вот настройки порта >> а где настройки не порта? > разобрался, спасибо за проявленный интерес к проблеме! > Проблема была в том, что не прописан был параметр: > aaa authorization network default group radius как использовать собираешься? на комп авторизация или на пользователя?
- 802.1x и NPS, Majestyk, 14:46 , 12-Ноя-18 (9)
- 802.1x и NPS, ShyLion, 16:06 , 12-Ноя-18 (12)
> в продакшн, на группы компьютеров будет распространение, vlanы автоматом будут назначаться > по департаментам ну если по компам, то наверное взлетит
- 802.1x и NPS, Majestyk, 08:35 , 12-Ноя-18 (6)
- 802.1x и NPS, ShyLion, 11:58 , 12-Ноя-18 (7)
> Framed-MTU: 1344 а MTU зачем уменьшать?
- 802.1x и NPS, Majestyk, 14:55 , 12-Ноя-18 (10)
- 802.1x и NPS, ShyLion, 16:05 , 12-Ноя-18 (11)
>>> Framed-MTU: 1344 >> а MTU зачем уменьшать? > ну на сайте поддержки "окон" пишут так: To avoid the fragment issues, > you can set the attribute value to 1,344. > А ещё и видео где колумбийский товарищ делал такое (по нему изначально > всё делал), он тоже использовал этот параметр.попробуй без
|