The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы
правила/FAQ
поиск
регистрация
вход
слежка
RSS



Версия для распечатки Пред. тема | След. тема
Новые ответы [ Отслеживать ]
802.1x и NPS, !*! Majestyk, 09-Ноя-18, 12:14  [смотреть все]
  • 802.1x и NPS, !*! ShyLion, 13:23 , 09-Ноя-18 (1)
    дурацкий вопрос - вилан 5 есть на свиче? :)
    Ответить | Сообщить модератору
    • 802.1x и NPS, !*! Majestyk, 13:56 , 09-Ноя-18 (2)
      • 802.1x и NPS, !*! ShyLion, 08:23 , 12-Ноя-18 (4) +1
        >> дурацкий вопрос - вилан 5 есть на свиче? :)
        > Конечно есть. Для проверки на другом порту его назначал и тыкал туда
        > ПК, и всё норм было (без 802.1х на том порту)

        Вот мои эксперименты с dot1x, сразу скажу что в продакшен не пошло, хотелось сделать зависимый от пользователя доступ, а работает это плохо, по крайней мере мне на 7-ке не понравилось с этим жить.


        macro name dot1x
        authentication event fail action authorize vlan 16
        authentication event no-response action authorize vlan 16
        authentication port-control auto
        dot1x pae authenticator
        dot1x timeout tx-period 5
        dot1x max-req 1
        dot1x max-reauth-req 1
        @
        !
        aaa new-model
        !
        !
        aaa group server radius 8021x
         server-private 10.131.10.180 auth-port 1812 acct-port 1813 key 7 xxxx
        !
        aaa authentication dot1x default group 8021x
        aaa authorization network default group 8021x 
        aaa accounting dot1x default start-stop group 8021x
        !
        dot1x system-auth-control
        dot1x guest-vlan supplicant
        !

        Ответить | Сообщить модератору
        • 802.1x и NPS, !*! Majestyk, 10:54 , 13-Ноя-18 (13)
          • 802.1x и NPS, !*! ShyLion, 11:37 , 13-Ноя-18 (14)
            > это на какой cisco проводили эксперимент? у меня на 2960 всё отлично

            на 2960 и 3560

            > проходит, а вот на 3750 проблемы, не авторизует порт, при выводе
            > debug dot1x errors пишет:
            > 

             
            > 4w1d: %RADIUS-4-RADIUS_DEAD: RADIUS server 10.10.200.127:1812,1813 is not responding. 
            > 4w1d: %RADIUS-4-RADIUS_ALIVE: RADIUS server 10.10.200.127:1812,1813 has returned.
            >

            > shared key совпадает, радиус пингует, 2960 (на котором работает) изначально работает через
            > эту 3750, тобеж vlanы есть

            а на радиусе этот свитч прописан?

            Ответить | Сообщить модератору
            • 802.1x и NPS, !*! Majestyk, 12:57 , 13-Ноя-18 (15)
            • 802.1x и NPS, !*! Majestyk, 13:41 , 13-Ноя-18 (16)
              • 802.1x и NPS, !*! ShyLion, 14:16 , 13-Ноя-18 (17)
                > вот основные настройки

                ну, судя по гайду вроде все правильно

                а на радуис-то улетают запросы?

                debug radius

                Ответить | Сообщить модератору
                • 802.1x и NPS, !*! Majestyk, 14:43 , 13-Ноя-18 (18)
                • 802.1x и NPS, !*! Majestyk, 16:07 , 13-Ноя-18 (19)
                  • 802.1x и NPS, !*! ShyLion, 12:43 , 14-Ноя-18 (20)
                    Очевидно, что проблема не в 802.1x, а в недружбе радиуса и кисы.

                    Радиус похоже не находит подходящей политки. Вероятно у тебя политика требует наличия/значения каких-то атрибутов, которых нет в запросе. Проверь политику.

                    Ответить | Сообщить модератору
                    • 802.1x и NPS, !*! Majestyk, 15:25 , 14-Ноя-18 (21)
                      • 802.1x и NPS, !*! ShyLion, 16:08 , 14-Ноя-18 (22)
                        > обновил 3750 до последней прошивки, Version 12.2(55)SE12 и всё заработало, правда надо
                        > поднастроить параметры таймаута
                        > на последней прошивке уже и команды как на 2960 работают

                        Ждем отчета как оно в длительной эксплаутации. Попробуй винду просто перегрузить, например.
                        У меня от такого часто впадал процесс в ступор, толи свитч 802.1x не инициировал, толи винда. Лечилось только передергиванием линка.

                        Ответить | Сообщить модератору
  • 802.1x и NPS, !*! ShyLion, 08:17 , 12-Ноя-18 (3)
    > Вот настройки порта

    а где настройки не порта?

    Ответить | Сообщить модератору
    • 802.1x и NPS, !*! Majestyk, 08:29 , 12-Ноя-18 (5)
      • 802.1x и NPS, !*! ShyLion, 13:17 , 12-Ноя-18 (8)
        >>> Вот настройки порта
        >> а где настройки не порта?
        > разобрался, спасибо за проявленный интерес к проблеме!
        > Проблема была в том, что не прописан был параметр:
        > aaa authorization network default group radius

        как использовать собираешься? на комп авторизация или на пользователя?

        Ответить | Сообщить модератору
        • 802.1x и NPS, !*! Majestyk, 14:46 , 12-Ноя-18 (9)
          • 802.1x и NPS, !*! ShyLion, 16:06 , 12-Ноя-18 (12)
            > в продакшн, на группы компьютеров будет распространение, vlanы автоматом будут назначаться
            > по департаментам

            ну если по компам, то наверное взлетит

            Ответить | Сообщить модератору
  • 802.1x и NPS, !*! Majestyk, 08:35 , 12-Ноя-18 (6)
    • 802.1x и NPS, !*! ShyLion, 11:58 , 12-Ноя-18 (7)
      > Framed-MTU: 1344

      а MTU зачем уменьшать?

      Ответить | Сообщить модератору
      • 802.1x и NPS, !*! Majestyk, 14:55 , 12-Ноя-18 (10)
        • 802.1x и NPS, !*! ShyLion, 16:05 , 12-Ноя-18 (11)
          >>> Framed-MTU: 1344
          >> а MTU зачем уменьшать?
          > ну на сайте поддержки "окон" пишут так: To avoid the fragment issues,
          > you can set the attribute value to 1,344.
          > А ещё и видео где колумбийский товарищ делал такое (по нему изначально
          > всё делал), он тоже использовал этот параметр.

          попробуй без

          Ответить | Сообщить модератору

Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей 		Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру