Назад | Перейти на главную страницу

Проблема MAB и 802.1x - устройство, прошедшее проверку подлинности MAB, отключается

Я пытаюсь использовать 802.1x для аутентификации клиентов в моей сети с динамическим назначением VLAN от RADIUS. У нас есть IP-телефоны (с питанием от PoE), которые поддерживают только EAP-MD5, и мы бы предпочли использовать MAB (он также использует LLDP-MED для некоторых настроек) для аутентификации телефонов с использованием диапазона MAC от производителя телефонов. Следующий сценарий работает идеально:

Однако следующий сценарий не работает:

Теперь происходит то, что компьютер аутентифицируется с использованием 802.1x до того, как телефон загружается и аутентифицируется с помощью MAB. Когда телефон готов, он аутентифицируется с помощью MAB, и все работает. Однако через короткий промежуток времени (скажем, минуту), используя debug authentication all, мы видим сообщение «NEW LL MAC: телефоны mac» (что странно, поскольку Mac уже прошел аутентификацию MAB), а затем мы не можем связаться с телефоном с помощью команды ping. Когда я проверяю show mac address-table теперь он переместил Mac из Port Gi 0/12к Port Drop. Однако, если я проверю show mab interface Gi 0/12 или show authentication sessions он перечисляет телефоны-Mac как mab auth sucess.

Может кто-нибудь объяснить, почему работает первый сценарий, а второй нет?

Это коммутатор 3560E PoE 24p с IOS 12.2.58SE2 Пример конфигурации коммутатора:

network-policy profile 1
 voice vlan 90
!
interface GigabitEthernet0/12
 switchport mode access
 network-policy 1
 authentication control-direction in
 authentication event fail retry 1 action authorize vlan 60
 authentication event server dead action authorize vlan 60
 authentication event no-response action authorize vlan 60
 authentication event server alive action reinitialize 
 authentication host-mode multi-domain
 authentication order mab dot1x
 authentication priority mab dot1x
 authentication port-control auto
 authentication periodic
 authentication violation replace
 mab
 dot1x pae authenticator
 dot1x timeout tx-period 5
 dot1x max-reauth-req 1
 spanning-tree portfast
!

Кстати, когда мы пытались аутентифицировать телефоны с использованием 802.1x (EAP-MD5), проблем не было ни в одном из сценариев. Однако мы хотим использовать MAB вместо 802.1x, чтобы избежать необходимости настраивать телефоны с помощью имени пользователя и пароля.

Вы пробовали добавить в этот интерфейс "no cdp enable"? Однажды у меня была эта проблема, и это решило ее.