- 802.1x и NPS, ShyLion, 13:23 , 09-Ноя-18 (1)
- 802.1x и NPS, Majestyk, 13:56 , 09-Ноя-18 (2)
> дурацкий вопрос - вилан 5 есть на свиче? :) Конечно есть. Для проверки на другом порту его назначал и тыкал туда ПК, и всё норм было (без 802.1х на том порту)
- 802.1x и NPS, ShyLion, 08:23 , 12-Ноя-18 (4) +1
- 802.1x и NPS, Majestyk, 10:54 , 13-Ноя-18 (13)
>[оверквотинг удален] > server-private 10.131.10.180 auth-port 1812 acct-port 1813 key 7 xxxx > ! > aaa authentication dot1x default group 8021x > aaa authorization network default group 8021x > aaa accounting dot1x default start-stop group 8021x > ! > dot1x system-auth-control > dot1x guest-vlan supplicant > ! > это на какой cisco проводили эксперимент? у меня на 2960 всё отлично проходит, а вот на 3750 проблемы, не авторизует порт, при выводе debug dot1x errors пишет:
4w1d: %RADIUS-4-RADIUS_DEAD: RADIUS server 10.10.200.127:1812,1813 is not responding. 4w1d: %RADIUS-4-RADIUS_ALIVE: RADIUS server 10.10.200.127:1812,1813 has returned.
shared key совпадает, радиус пингует, 2960 (на котором работает) изначально работает через эту 3750, тобеж vlanы есть
- 802.1x и NPS, ShyLion, 11:37 , 13-Ноя-18 (14)
- 802.1x и NPS, Majestyk, 12:57 , 13-Ноя-18 (15)
>[оверквотинг удален] > на 2960 и 3560 >> проходит, а вот на 3750 проблемы, не авторизует порт, при выводе >> debug dot1x errors пишет: >> >> 4w1d: %RADIUS-4-RADIUS_DEAD: RADIUS server 10.10.200.127:1812,1813 is not responding. >> 4w1d: %RADIUS-4-RADIUS_ALIVE: RADIUS server 10.10.200.127:1812,1813 has returned. >> >> shared key совпадает, радиус пингует, 2960 (на котором работает) изначально работает через >> эту 3750, тобеж vlanы есть > а на радиусе этот свитч прописан?да, клиента там добавлял. разница вот в том, что там синтаксис команд другой, версия IOS - 12.2(18)SE1 тут к примеру тот же самый authentication port-control auto это dot1x port-control auto
- 802.1x и NPS, Majestyk, 13:41 , 13-Ноя-18 (16)
>[оверквотинг удален] > на 2960 и 3560 >> проходит, а вот на 3750 проблемы, не авторизует порт, при выводе >> debug dot1x errors пишет: >> >> 4w1d: %RADIUS-4-RADIUS_DEAD: RADIUS server 10.10.200.127:1812,1813 is not responding. >> 4w1d: %RADIUS-4-RADIUS_ALIVE: RADIUS server 10.10.200.127:1812,1813 has returned. >> >> shared key совпадает, радиус пингует, 2960 (на котором работает) изначально работает через >> эту 3750, тобеж vlanы есть > а на радиусе этот свитч прописан?вот основные настройки
aaa new-model aaa authentication dot1x default group radius aaa authorization network default group radius dot1x system-auth-control ! vlan 5 name Officeinterface GigabitEthernet1/0/13 description Test switchport mode access dot1x pae authenticator dot1x port-control auto dot1x max-reauth-req 3 dot1x reauthentication spanning-tree portfast ! interface GigabitEthernet1/0/15 description Uplink Trunk switchport trunk encapsulation dot1q switchport trunk allowed vlan 5,6,12,95,96 switchport mode trunk no keepalive ! interface Vlan12 description Manage ip address 10.10.12.104 255.255.255.0 ! ip default-gateway 10.10.12.1 ! ip radius source-interface Vlan12 ! radius-server host 10.10.12.127 auth-port 1812 acct-port 1813 key 7 111B18011E0718
- 802.1x и NPS, ShyLion, 14:16 , 13-Ноя-18 (17)
- 802.1x и NPS, Majestyk, 14:43 , 13-Ноя-18 (18)
>> вот основные настройки > ну, судя по гайду вроде все правильно > а на радуис-то улетают запросы? > debug radius запросы летят... 4w1d: RADIUS: AAA Unsupported [161] 21 4w1d: RADIUS: 47 69 67 61 62 69 74 45 74 68 65 72 6E 65 74 31 [GigabitEthernet1] 4w1d: RADIUS: 2F 30 2F [/0/] 4w1d: RADIUS(00000019): Storing nasport 50113 in rad_db 4w1d: RADIUS(00000019): Config NAS IP: 10.10.12.104 4w1d: RADIUS/ENCODE(00000019): acct_session_id: 28573696 4w1d: RADIUS(00000019): sending 4w1d: RADIUS(00000019): Send Access-Request to 10.10.12.127:1812 id 21645/80, len 169 4w1d: RADIUS: authenticator 5D 21 F5 56 A0 6A 27 27 - DA F8 FA BE BD 22 D8 39 4w1d: RADIUS: User-Name [1] 29 "user@domain.local" 4w1d: RADIUS: Service-Type [6] 6 Framed [2] 4w1d: RADIUS: Framed-MTU [12] 6 1998 4w1d: RADIUS: Called-Station-Id [30] 19 "00-14-6A-8C-DE-8D" 4w1d: RADIUS: Calling-Station-Id [31] 19 "E0-D5-5E-5D-50-99" 4w1d: RADIUS: EAP-Message [79] 34 4w1d: RADIUS: 02 03 00 20 01 72 2E 73 6F 6B 6F 6C 69 6E 73 6B [??? ?user] 4w1d: RADIUS: 69 79 40 6C 75 67 61 63 6F 6D 2E 6C 6F 63 61 6C [@domain.local] 4w1d: RADIUS: Message-Authenticato[80] 18 4w1d: RADIUS: B9 F6 71 D2 5B E6 A1 83 E5 D2 F3 B2 9D B9 EC C0 [??q?[???????????] 4w1d: RADIUS: NAS-Port [5] 6 50113 4w1d: RADIUS: NAS-Port-Type [61] 6 Eth [15] 4w1d: RADIUS: NAS-IP-Address [4] 6 10.10.12.104 4w1d: RADIUS: Retransmit to (10.10.12.127:1812,1813) for id 21645/80 4w1d: %RADIUS-4-RADIUS_DEAD: RADIUS server 10.10.12.127:1812,1813 is not responding. 4w1d: %RADIUS-4-RADIUS_ALIVE: RADIUS server 10.10.12.127:1812,1813 has returned. 4w1d: RADIUS: Retransmit to (10.10.12.127:1812,1813) for id 21645/80 4w1d: RADIUS: Retransmit to (10.10.12.127:1812,1813) for id 21645/80 4w1d: RADIUS: No response from (10.10.12.127:1812,1813) for id 21645/80 4w1d: RADIUS/DECODE: parse response no app start; FAIL 4w1d: RADIUS/DECODE: parse response; FAIL csc-3750-km_02# 4w1d: %LINK-3-UPDOWN: Interface GigabitEthernet1/0/13, changed state to down 4w1d: %LINK-3-UPDOWN: Interface GigabitEthernet1/0/13, changed state to up 4w1d: RADIUS: AAA Unsupported [161] 21 4w1d: RADIUS: 47 69 67 61 62 69 74 45 74 68 65 72 6E 65 74 31 [GigabitEthernet1] 4w1d: RADIUS: 2F 30 2F [/0/] 4w1d: RADIUS(0000001A): Storing nasport 50113 in rad_db 4w1d: RADIUS(0000001A): Config NAS IP: 10.10.12.104 4w1d: RADIUS/ENCODE(0000001A): acct_session_id: 28573696 4w1d: RADIUS(0000001A): sending 4w1d: RADIUS(0000001A): Send Access-Request to 10.10.12.127:1812 id 21645/81, len 169 4w1d: RADIUS: authenticator 5C 90 AA 04 B8 8A 2B 4D - A7 AB 32 B2 0A 9B B5 DE 4w1d: RADIUS: User-Name [1] 29 "user@domain.local" 4w1d: RADIUS: Service-Type [6] 6 Framed [2] 4w1d: RADIUS: Framed-MTU [12] 6 1998 4w1d: RADIUS: Called-Station-Id [30] 19 "00-14-6A-8C-DE-8D" 4w1d: RADIUS: Calling-Station-Id [31] 19 "E0-D5-5E-5D-50-99" 4w1d: RADIUS: EAP-Message [79] 34 4w1d: RADIUS: 02 02 00 20 01 72 2E 73 6F 6B 6F 6C 69 6E 73 6B [??? ?user] 4w1d: RADIUS: 69 79 40 6C 75 67 61 63 6F 6D 2E 6C 6F 63 61 6C [@domain.local] 4w1d: RADIUS: Message-Authenticato[80] 18 4w1d: RADIUS: 4A 00 BD C6 CF DC F6 09 56 F0 EC 02 63 15 92 E7 [J???????V???c???] 4w1d: RADIUS: NAS-Port [5] 6 50113 4w1d: RADIUS: NAS-Port-Type [61] 6 Eth [15] 4w1d: RADIUS: NAS-IP-Address [4] 6 10.200.12.104 4w1d: RADIUS: Retransmit to (10.10.12.127:1812,1813) for id 21645/81 4w1d: RADIUS: Retransmit to (10.10.12.127:1812,1813) for id 21645/81 4w1d: RADIUS: Retransmit to (10.10.12.127:1812,1813) for id 21645/81 4w1d: RADIUS: No response from (10.10.12.127:1812,1813) for id 21645/81 4w1d: RADIUS/DECODE: parse response no app start; FAIL 4w1d: RADIUS/DECODE: parse response; FAIL
- 802.1x и NPS, Majestyk, 16:07 , 13-Ноя-18 (19)
>> вот основные настройки > ну, судя по гайду вроде все правильно > а на радуис-то улетают запросы? > debug radius добавил вот такое и cisco увидела таки сервер радиуса, но только одна запись появилась на самом радиусе aaa group server radius RDS server 10.200.12.127 auth-port 1812 acct-port 1813 aaa authentication dot1x default group RDS
4w1d: RADIUS: AAA Unsupported [161] 21 4w1d: RADIUS: 47 69 67 61 62 69 74 45 74 68 65 72 6E 65 74 31 [GigabitEthernet1] 4w1d: RADIUS: 2F 30 2F [/0/] 4w1d: RADIUS(00000020): Storing nasport 50113 in rad_db 4w1d: RADIUS(00000020): Config NAS IP: 10.200.12.104 4w1d: RADIUS/ENCODE(00000020): acct_session_id: 28573696 4w1d: RADIUS(00000020): sending 4w1d: RADIUS(00000020): Send Access-Request to 10.200.12.127:1812 id 21645/88, len 169 4w1d: RADIUS: authenticator 8C 9F 00 16 BD B2 43 19 - 4C D4 CD A9 46 43 33 2A 4w1d: RADIUS: User-Name [1] 29 "r.sokolinskiy@lugacom.local" 4w1d: RADIUS: Service-Type [6] 6 Framed [2] 4w1d: RADIUS: Framed-MTU [12] 6 1998 4w1d: RADIUS: Called-Station-Id [30] 19 "00-14-6A-8C-DE-8D" 4w1d: RADIUS: Calling-Station-Id [31] 19 "E0-D5-5E-5D-50-99" 4w1d: RADIUS: EAP-Message [79] 34 4w1d: RADIUS: 02 04 00 20 01 72 2E 73 6F 6B 6F 6C 69 6E 73 6B [??? ?r.sokolinsk] 4w1d: RADIUS: 69 79 40 6C 75 67 61 63 6F 6D 2E 6C 6F 63 61 6C [iy@lugacom.local] 4w1d: RADIUS: Message-Authenticato[80] 18 4w1d: RADIUS: 65 D8 9F C2 46 40 F4 E7 67 B6 95 52 35 D4 C4 A9 [e???F@??g??R5???] 4w1d: RADIUS: NAS-Port [5] 6 50113 4w1d: RADIUS: NAS-Port-Type [61] 6 Eth [15] 4w1d: RADIUS: NAS-IP-Address [4] 6 10.200.12.104 4w1d: RADIUS: Retransmit to (10.200.12.127:1812,1813) for id 21645/88 4w1d: RADIUS: Retransmit to (10.200.12.127:1812,1813) for id 21645/88 4w1d: RADIUS: Retransmit to (10.200.12.127:1812,1813) for id 21645/88 4w1d: RADIUS: No response from (10.200.12.127:1812,1813) for id 21645/88 4w1d: RADIUS/DECODE: parse response no app start; FAIL 4w1d: RADIUS/DECODE: parse response; FAIL
а это то, что в логе радиуса Код причины: 49 Причина: RADUIS-запрос не соответствует каким-либо настроенным политикам запросов на подключение (CRP).
- 802.1x и NPS, ShyLion, 12:43 , 14-Ноя-18 (20)
- 802.1x и NPS, Majestyk, 15:25 , 14-Ноя-18 (21)
обновил 3750 до последней прошивки, Version 12.2(55)SE12 и всё заработало, правда надо поднастроить параметры таймаутана последней прошивке уже и команды как на 2960 работают
- 802.1x и NPS, ShyLion, 16:08 , 14-Ноя-18 (22)
- 802.1x и NPS, Majestyk, 10:49 , 15-Ноя-18 (23)
ну пока после нескольких ребутов работает норм, всё подхватывает, единственное что добавил время на таймауте, чтобы успевал аутентифицировать нормально
- 802.1x и NPS, ShyLion, 08:17 , 12-Ноя-18 (3)
- 802.1x и NPS, Majestyk, 08:29 , 12-Ноя-18 (5)
>> Вот настройки порта > а где настройки не порта?разобрался, спасибо за проявленный интерес к проблеме! Проблема была в том, что не прописан был параметр: aaa authorization network default group radius
- 802.1x и NPS, ShyLion, 13:17 , 12-Ноя-18 (8)
- 802.1x и NPS, Majestyk, 14:46 , 12-Ноя-18 (9)
в продакшн, на группы компьютеров будет распространение, vlanы автоматом будут назначаться по департаментам
- 802.1x и NPS, Majestyk, 08:35 , 12-Ноя-18 (6)
Вдруг кому тоже надо будет, то вот основные параметры (Cisco) необходимые для работы:aaa new-model aaa authentication dot1x default group radius aaa authorization network default group radius dot1x system-auth-control radius-server host 10.10.12.127 auth-port 1812 acct-port 1813 key radius настройки порта: switchport mode access authentication host-mode multi-domain authentication open authentication port-control auto authentication periodic dot1x pae authenticator dot1x timeout quiet-period 10 dot1x timeout server-timeout 5 dot1x timeout tx-period 5 spanning-tree portfast Со стороны NPS Сертификаты чтобы были на клиентском ПК и сервере NPS Атрибуты Radius Framed-MTU: 1344 Tunnel-Medium-Type: 802 Tunnel_Pvt-Group-ID: 5 (номер вашего влана) Tunnel-Type: VLAN Tunnel-Tag:1
- 802.1x и NPS, ShyLion, 11:58 , 12-Ноя-18 (7)
- 802.1x и NPS, Majestyk, 14:55 , 12-Ноя-18 (10)
>> Framed-MTU: 1344 > а MTU зачем уменьшать?ну на сайте поддержки "окон" пишут так: To avoid the fragment issues, you can set the attribute value to 1,344. А ещё и видео где колумбийский товарищ делал такое (по нему изначально всё делал), он тоже использовал этот параметр.
|