- 802.1x и NPS,
 ShyLion, 13:23 , 09-Ноя-18 (1)
- 802.1x и NPS, Majestyk, 13:56 , 09-Ноя-18 (2)
> дурацкий вопрос - вилан 5 есть на свиче? :) Конечно есть. Для проверки на другом порту его назначал и тыкал туда ПК, и всё норм было (без 802.1х на том порту)
- 802.1x и NPS, ShyLion, 08:23 , 12-Ноя-18 (4) +1
- 802.1x и NPS, Majestyk, 10:54 , 13-Ноя-18 (13)
>[оверквотинг удален]
> server-private 10.131.10.180 auth-port 1812 acct-port 1813 key 7 xxxx
> !
> aaa authentication dot1x default group 8021x
> aaa authorization network default group 8021x
> aaa accounting dot1x default start-stop group 8021x
> !
> dot1x system-auth-control
> dot1x guest-vlan supplicant
> !
> это на какой cisco проводили эксперимент? у меня на 2960 всё отлично проходит, а вот на 3750 проблемы, не авторизует порт, при выводе debug dot1x errors пишет:
4w1d: %RADIUS-4-RADIUS_DEAD: RADIUS server 10.10.200.127:1812,1813 is not responding.
4w1d: %RADIUS-4-RADIUS_ALIVE: RADIUS server 10.10.200.127:1812,1813 has returned.
shared key совпадает, радиус пингует, 2960 (на котором работает) изначально работает через эту 3750, тобеж vlanы есть
- 802.1x и NPS, ShyLion, 11:37 , 13-Ноя-18 (14)
- 802.1x и NPS, Majestyk, 12:57 , 13-Ноя-18 (15)
>[оверквотинг удален]
> на 2960 и 3560
>> проходит, а вот на 3750 проблемы, не авторизует порт, при выводе
>> debug dot1x errors пишет:
>>
>> 4w1d: %RADIUS-4-RADIUS_DEAD: RADIUS server 10.10.200.127:1812,1813 is not responding.
>> 4w1d: %RADIUS-4-RADIUS_ALIVE: RADIUS server 10.10.200.127:1812,1813 has returned.
>>
>> shared key совпадает, радиус пингует, 2960 (на котором работает) изначально работает через
>> эту 3750, тобеж vlanы есть
> а на радиусе этот свитч прописан?да, клиента там добавлял. разница вот в том, что там синтаксис команд другой, версия IOS - 12.2(18)SE1 тут к примеру тот же самый authentication port-control auto это dot1x port-control auto
- 802.1x и NPS, Majestyk, 13:41 , 13-Ноя-18 (16)
>[оверквотинг удален]
> на 2960 и 3560
>> проходит, а вот на 3750 проблемы, не авторизует порт, при выводе
>> debug dot1x errors пишет:
>>
>> 4w1d: %RADIUS-4-RADIUS_DEAD: RADIUS server 10.10.200.127:1812,1813 is not responding.
>> 4w1d: %RADIUS-4-RADIUS_ALIVE: RADIUS server 10.10.200.127:1812,1813 has returned.
>>
>> shared key совпадает, радиус пингует, 2960 (на котором работает) изначально работает через
>> эту 3750, тобеж vlanы есть
> а на радиусе этот свитч прописан?вот основные настройки
aaa new-model
aaa authentication dot1x default group radius
aaa authorization network default group radius
dot1x system-auth-control
!
vlan 5
name Officeinterface GigabitEthernet1/0/13
description Test
switchport mode access
dot1x pae authenticator
dot1x port-control auto
dot1x max-reauth-req 3
dot1x reauthentication
spanning-tree portfast
!
interface GigabitEthernet1/0/15
description Uplink Trunk
switchport trunk encapsulation dot1q
switchport trunk allowed vlan 5,6,12,95,96
switchport mode trunk
no keepalive
!
interface Vlan12
description Manage
ip address 10.10.12.104 255.255.255.0
!
ip default-gateway 10.10.12.1
!
ip radius source-interface Vlan12
!
radius-server host 10.10.12.127 auth-port 1812 acct-port 1813 key 7 111B18011E0718
- 802.1x и NPS, ShyLion, 14:16 , 13-Ноя-18 (17)
- 802.1x и NPS, Majestyk, 14:43 , 13-Ноя-18 (18)
>> вот основные настройки
> ну, судя по гайду вроде все правильно
> а на радуис-то улетают запросы?
> debug radius запросы летят...
4w1d: RADIUS: AAA Unsupported [161] 21
4w1d: RADIUS: 47 69 67 61 62 69 74 45 74 68 65 72 6E 65 74 31 [GigabitEthernet1]
4w1d: RADIUS: 2F 30 2F [/0/]
4w1d: RADIUS(00000019): Storing nasport 50113 in rad_db
4w1d: RADIUS(00000019): Config NAS IP: 10.10.12.104
4w1d: RADIUS/ENCODE(00000019): acct_session_id: 28573696
4w1d: RADIUS(00000019): sending
4w1d: RADIUS(00000019): Send Access-Request to 10.10.12.127:1812 id 21645/80, len 169
4w1d: RADIUS: authenticator 5D 21 F5 56 A0 6A 27 27 - DA F8 FA BE BD 22 D8 39
4w1d: RADIUS: User-Name [1] 29 "user@domain.local"
4w1d: RADIUS: Service-Type [6] 6 Framed [2]
4w1d: RADIUS: Framed-MTU [12] 6 1998
4w1d: RADIUS: Called-Station-Id [30] 19 "00-14-6A-8C-DE-8D"
4w1d: RADIUS: Calling-Station-Id [31] 19 "E0-D5-5E-5D-50-99"
4w1d: RADIUS: EAP-Message [79] 34
4w1d: RADIUS: 02 03 00 20 01 72 2E 73 6F 6B 6F 6C 69 6E 73 6B [??? ?user]
4w1d: RADIUS: 69 79 40 6C 75 67 61 63 6F 6D 2E 6C 6F 63 61 6C [@domain.local]
4w1d: RADIUS: Message-Authenticato[80] 18
4w1d: RADIUS: B9 F6 71 D2 5B E6 A1 83 E5 D2 F3 B2 9D B9 EC C0 [??q?[???????????]
4w1d: RADIUS: NAS-Port [5] 6 50113
4w1d: RADIUS: NAS-Port-Type [61] 6 Eth [15]
4w1d: RADIUS: NAS-IP-Address [4] 6 10.10.12.104
4w1d: RADIUS: Retransmit to (10.10.12.127:1812,1813) for id 21645/80
4w1d: %RADIUS-4-RADIUS_DEAD: RADIUS server 10.10.12.127:1812,1813 is not responding.
4w1d: %RADIUS-4-RADIUS_ALIVE: RADIUS server 10.10.12.127:1812,1813 has returned.
4w1d: RADIUS: Retransmit to (10.10.12.127:1812,1813) for id 21645/80
4w1d: RADIUS: Retransmit to (10.10.12.127:1812,1813) for id 21645/80
4w1d: RADIUS: No response from (10.10.12.127:1812,1813) for id 21645/80
4w1d: RADIUS/DECODE: parse response no app start; FAIL
4w1d: RADIUS/DECODE: parse response; FAIL
csc-3750-km_02#
4w1d: %LINK-3-UPDOWN: Interface GigabitEthernet1/0/13, changed state to down
4w1d: %LINK-3-UPDOWN: Interface GigabitEthernet1/0/13, changed state to up
4w1d: RADIUS: AAA Unsupported [161] 21
4w1d: RADIUS: 47 69 67 61 62 69 74 45 74 68 65 72 6E 65 74 31 [GigabitEthernet1]
4w1d: RADIUS: 2F 30 2F [/0/]
4w1d: RADIUS(0000001A): Storing nasport 50113 in rad_db
4w1d: RADIUS(0000001A): Config NAS IP: 10.10.12.104
4w1d: RADIUS/ENCODE(0000001A): acct_session_id: 28573696
4w1d: RADIUS(0000001A): sending
4w1d: RADIUS(0000001A): Send Access-Request to 10.10.12.127:1812 id 21645/81, len 169
4w1d: RADIUS: authenticator 5C 90 AA 04 B8 8A 2B 4D - A7 AB 32 B2 0A 9B B5 DE
4w1d: RADIUS: User-Name [1] 29 "user@domain.local"
4w1d: RADIUS: Service-Type [6] 6 Framed [2]
4w1d: RADIUS: Framed-MTU [12] 6 1998
4w1d: RADIUS: Called-Station-Id [30] 19 "00-14-6A-8C-DE-8D"
4w1d: RADIUS: Calling-Station-Id [31] 19 "E0-D5-5E-5D-50-99"
4w1d: RADIUS: EAP-Message [79] 34
4w1d: RADIUS: 02 02 00 20 01 72 2E 73 6F 6B 6F 6C 69 6E 73 6B [??? ?user]
4w1d: RADIUS: 69 79 40 6C 75 67 61 63 6F 6D 2E 6C 6F 63 61 6C [@domain.local]
4w1d: RADIUS: Message-Authenticato[80] 18
4w1d: RADIUS: 4A 00 BD C6 CF DC F6 09 56 F0 EC 02 63 15 92 E7 [J???????V???c???]
4w1d: RADIUS: NAS-Port [5] 6 50113
4w1d: RADIUS: NAS-Port-Type [61] 6 Eth [15]
4w1d: RADIUS: NAS-IP-Address [4] 6 10.200.12.104
4w1d: RADIUS: Retransmit to (10.10.12.127:1812,1813) for id 21645/81
4w1d: RADIUS: Retransmit to (10.10.12.127:1812,1813) for id 21645/81
4w1d: RADIUS: Retransmit to (10.10.12.127:1812,1813) for id 21645/81
4w1d: RADIUS: No response from (10.10.12.127:1812,1813) for id 21645/81
4w1d: RADIUS/DECODE: parse response no app start; FAIL
4w1d: RADIUS/DECODE: parse response; FAIL
- 802.1x и NPS, Majestyk, 16:07 , 13-Ноя-18 (19)
>> вот основные настройки
> ну, судя по гайду вроде все правильно
> а на радуис-то улетают запросы?
> debug radius добавил вот такое и cisco увидела таки сервер радиуса, но только одна запись появилась на самом радиусе aaa group server radius RDS
server 10.200.12.127 auth-port 1812 acct-port 1813 aaa authentication dot1x default group RDS
4w1d: RADIUS: AAA Unsupported [161] 21
4w1d: RADIUS: 47 69 67 61 62 69 74 45 74 68 65 72 6E 65 74 31 [GigabitEthernet1]
4w1d: RADIUS: 2F 30 2F [/0/]
4w1d: RADIUS(00000020): Storing nasport 50113 in rad_db
4w1d: RADIUS(00000020): Config NAS IP: 10.200.12.104
4w1d: RADIUS/ENCODE(00000020): acct_session_id: 28573696
4w1d: RADIUS(00000020): sending
4w1d: RADIUS(00000020): Send Access-Request to 10.200.12.127:1812 id 21645/88, len 169
4w1d: RADIUS: authenticator 8C 9F 00 16 BD B2 43 19 - 4C D4 CD A9 46 43 33 2A
4w1d: RADIUS: User-Name [1] 29 "r.sokolinskiy@lugacom.local"
4w1d: RADIUS: Service-Type [6] 6 Framed [2]
4w1d: RADIUS: Framed-MTU [12] 6 1998
4w1d: RADIUS: Called-Station-Id [30] 19 "00-14-6A-8C-DE-8D"
4w1d: RADIUS: Calling-Station-Id [31] 19 "E0-D5-5E-5D-50-99"
4w1d: RADIUS: EAP-Message [79] 34
4w1d: RADIUS: 02 04 00 20 01 72 2E 73 6F 6B 6F 6C 69 6E 73 6B [??? ?r.sokolinsk]
4w1d: RADIUS: 69 79 40 6C 75 67 61 63 6F 6D 2E 6C 6F 63 61 6C [iy@lugacom.local]
4w1d: RADIUS: Message-Authenticato[80] 18
4w1d: RADIUS: 65 D8 9F C2 46 40 F4 E7 67 B6 95 52 35 D4 C4 A9 [e???F@??g??R5???]
4w1d: RADIUS: NAS-Port [5] 6 50113
4w1d: RADIUS: NAS-Port-Type [61] 6 Eth [15]
4w1d: RADIUS: NAS-IP-Address [4] 6 10.200.12.104
4w1d: RADIUS: Retransmit to (10.200.12.127:1812,1813) for id 21645/88
4w1d: RADIUS: Retransmit to (10.200.12.127:1812,1813) for id 21645/88
4w1d: RADIUS: Retransmit to (10.200.12.127:1812,1813) for id 21645/88
4w1d: RADIUS: No response from (10.200.12.127:1812,1813) for id 21645/88
4w1d: RADIUS/DECODE: parse response no app start; FAIL
4w1d: RADIUS/DECODE: parse response; FAIL
а это то, что в логе радиуса Код причины: 49
Причина: RADUIS-запрос не соответствует каким-либо настроенным политикам запросов на подключение (CRP).
- 802.1x и NPS, ShyLion, 12:43 , 14-Ноя-18 (20)
- 802.1x и NPS, Majestyk, 15:25 , 14-Ноя-18 (21)
обновил 3750 до последней прошивки, Version 12.2(55)SE12 и всё заработало, правда надо поднастроить параметры таймаутана последней прошивке уже и команды как на 2960 работают
- 802.1x и NPS, ShyLion, 16:08 , 14-Ноя-18 (22)
- 802.1x и NPS, Majestyk, 10:49 , 15-Ноя-18 (23)
ну пока после нескольких ребутов работает норм, всё подхватывает, единственное что добавил время на таймауте, чтобы успевал аутентифицировать нормально
- 802.1x и NPS, ShyLion, 08:17 , 12-Ноя-18 (3)
- 802.1x и NPS, Majestyk, 08:29 , 12-Ноя-18 (5)
>> Вот настройки порта
> а где настройки не порта?разобрался, спасибо за проявленный интерес к проблеме! Проблема была в том, что не прописан был параметр:
aaa authorization network default group radius
- 802.1x и NPS, ShyLion, 13:17 , 12-Ноя-18 (8)
- 802.1x и NPS, Majestyk, 14:46 , 12-Ноя-18 (9)
в продакшн, на группы компьютеров будет распространение, vlanы автоматом будут назначаться по департаментам
- 802.1x и NPS, Majestyk, 08:35 , 12-Ноя-18 (6)
Вдруг кому тоже надо будет, то вот основные параметры (Cisco) необходимые для работы:aaa new-model
aaa authentication dot1x default group radius
aaa authorization network default group radius
dot1x system-auth-control
radius-server host 10.10.12.127 auth-port 1812 acct-port 1813 key radius настройки порта:
switchport mode access
authentication host-mode multi-domain
authentication open
authentication port-control auto
authentication periodic
dot1x pae authenticator
dot1x timeout quiet-period 10
dot1x timeout server-timeout 5
dot1x timeout tx-period 5
spanning-tree portfast Со стороны NPS Сертификаты чтобы были на клиентском ПК и сервере NPS Атрибуты Radius
Framed-MTU: 1344
Tunnel-Medium-Type: 802
Tunnel_Pvt-Group-ID: 5 (номер вашего влана)
Tunnel-Type: VLAN
Tunnel-Tag:1
- 802.1x и NPS, ShyLion, 11:58 , 12-Ноя-18 (7)
- 802.1x и NPS, Majestyk, 14:55 , 12-Ноя-18 (10)
>> Framed-MTU: 1344
> а MTU зачем уменьшать?ну на сайте поддержки "окон" пишут так: To avoid the fragment issues, you can set the attribute value to 1,344.
А ещё и видео где колумбийский товарищ делал такое (по нему изначально всё делал), он тоже использовал этот параметр.
|
Версия для распечатки
802.1x и NPS, 
