Я пытаюсь использовать 802.1x для аутентификации клиентов в моей сети с динамическим назначением VLAN от RADIUS. У нас есть IP-телефоны (с питанием от PoE), которые поддерживают только EAP-MD5, и мы бы предпочли использовать MAB (он также использует LLDP-MED для некоторых настроек) для аутентификации телефонов с использованием диапазона MAC от производителя телефонов. Следующий сценарий работает идеально:
Однако следующий сценарий не работает:
Теперь происходит то, что компьютер аутентифицируется с использованием 802.1x до того, как телефон загружается и аутентифицируется с помощью MAB. Когда телефон готов, он аутентифицируется с помощью MAB, и все работает. Однако через короткий промежуток времени (скажем, минуту), используя debug authentication all
, мы видим сообщение «NEW LL MAC: телефоны mac» (что странно, поскольку Mac уже прошел аутентификацию MAB), а затем мы не можем связаться с телефоном с помощью команды ping. Когда я проверяю show mac address-table
теперь он переместил Mac из Port Gi 0/12
к Port Drop
. Однако, если я проверю show mab interface Gi 0/12
или show authentication sessions
он перечисляет телефоны-Mac как mab auth sucess
.
Может кто-нибудь объяснить, почему работает первый сценарий, а второй нет?
Это коммутатор 3560E PoE 24p с IOS 12.2.58SE2 Пример конфигурации коммутатора:
network-policy profile 1
voice vlan 90
!
interface GigabitEthernet0/12
switchport mode access
network-policy 1
authentication control-direction in
authentication event fail retry 1 action authorize vlan 60
authentication event server dead action authorize vlan 60
authentication event no-response action authorize vlan 60
authentication event server alive action reinitialize
authentication host-mode multi-domain
authentication order mab dot1x
authentication priority mab dot1x
authentication port-control auto
authentication periodic
authentication violation replace
mab
dot1x pae authenticator
dot1x timeout tx-period 5
dot1x max-reauth-req 1
spanning-tree portfast
!
Кстати, когда мы пытались аутентифицировать телефоны с использованием 802.1x (EAP-MD5), проблем не было ни в одном из сценариев. Однако мы хотим использовать MAB вместо 802.1x, чтобы избежать необходимости настраивать телефоны с помощью имени пользователя и пароля.
Вы пробовали добавить в этот интерфейс "no cdp enable"? Однажды у меня была эта проблема, и это решило ее.