Я пытаюсь заставить Dynamic VLAN Assignment работать на ряде коммутаторов Dell PowerConnect 3524.
У меня есть два сервера RADIUS, оба из которых, как я показал, работают с помощью radtest в Linux.
Один из серверов (приоритет 0) размещен в VLAN управления сетью (TekRADIUS, работающий в Windows), а второй (приоритет 1) расположен в другой VLAN (FreeRADIUS в Linux).
Однако я не могу убедить коммутаторы действительно выполнять аутентификацию против любого из серверов RADIUS.
Сетевая связь между коммутатором и серверами RADIUS была проверена с помощью эхо-запроса от интерфейса командной строки коммутатора.
Моя конфигурация коммутатора следующая, может ли кто-нибудь заметить что-нибудь, что я пропустил?
interface range ethernet all
spanning-tree portfast
exit
interface range ethernet e(1-24)
dot1x multiple-hosts authentication
exit
interface ethernet g1
switchport mode trunk
exit
vlan database
vlan 2-5,9-11
exit
interface ethernet g1
switchport trunk allowed vlan add 2
exit
interface ethernet g1
switchport trunk allowed vlan add 3
exit
interface ethernet g1
switchport trunk allowed vlan add 4
exit
interface ethernet g1
switchport trunk allowed vlan add 5
exit
interface ethernet g1
switchport trunk allowed vlan add 9
exit
interface ethernet g1
switchport trunk allowed vlan add 10
exit
interface ethernet g1
switchport trunk allowed vlan add 11
exit
interface vlan 2
name netman
exit
interface vlan 3
name lt-sys
exit
interface vlan 4
name pub-sys
exit
interface vlan 5
name lt-clients
exit
interface vlan 9
name lt-voip
exit
interface vlan 10
name lt-print
exit
interface vlan 11
name lt-wifi
exit
dot1x system-auth-control
interface range ethernet e(1-24)
dot1x radius-attributes vlan
exit
interface range ethernet e(1-24)
dot1x port-control auto
exit
interface vlan 2
ip address 10.58.2.7 255.255.255.0
exit
hostname sw-3-1
radius-server host 10.58.2.128 key switch usage dot1.x
radius-server host 10.58.3.132 key switch priority 1 usage dot1.x
aaa authentication dot1x default radius
username bryan password password-hash-was-here level 15 encrypted
ip domain-name liketechnologies.local
ip name-server 10.58.3.32 10.58.3.33
Мне удалось решить эту проблему сейчас (или почти всегда). Порты правильно назначаются VLAN в результате аутентификации RADIUS, однако по какой-то причине после того, как устройству назначается IP-адрес от нашего DHCP-сервера, другой трафик не пересылается.
Я, вероятно, только что ошибся маршрутизацией моей VLAN, или я неправильно передаю трафик VLAN на магистральные порты.
Для всех, кто нашел это через Google, моя (в основном) рабочая конфигурация выглядит следующим образом:
interface range ethernet all
spanning-tree portfast
exit
interface range ethernet e(1-24)
dot1x multiple-hosts authentication
exit
interface range ethernet g(1-4)
switchport mode trunk
exit
vlan database
vlan 2-6,9-11
exit
interface range ethernet g(1-4)
switchport trunk allowed vlan add 2
exit
interface range ethernet g(1-4)
switchport trunk allowed vlan add 3
exit
interface range ethernet g(1-4)
switchport trunk allowed vlan add 4
exit
interface range ethernet g(1-4)
switchport trunk allowed vlan add 5
exit
interface range ethernet g(1-4)
switchport trunk allowed vlan add 6
exit
interface range ethernet g(1-4)
switchport trunk allowed vlan add 9
exit
interface range ethernet g(1-4)
switchport trunk allowed vlan add 10
exit
interface range ethernet g(1-4)
switchport trunk allowed vlan add 11
exit
interface vlan 2
name netman
exit
interface vlan 3
name lt-sys
exit
interface vlan 4
name pub-sys
exit
interface vlan 5
name lt-clients
exit
interface vlan 6
name guest
exit
interface vlan 9
name lt-voip
exit
interface vlan 10
name lt-print
exit
interface vlan 11
name lt-wifi
exit
interface vlan 6
dot1x guest-vlan
exit
dot1x system-auth-control
interface range ethernet e(1-24)
dot1x re-authentication
exit
interface range ethernet e(1-24)
dot1x max-req 3
exit
interface range ethernet e(1-24)
dot1x mac-authentication mac-and-802.1x
exit
interface range ethernet e(1-24)
dot1x radius-attributes vlan
exit
interface range ethernet e(1-24)
dot1x port-control auto
exit
interface range ethernet e(1-24)
dot1x guest-vlan enable
exit
interface vlan 2
ip address 10.58.2.99 255.255.255.0
exit
hostname sw-1-2
radius-server host 10.58.2.128 key switch priority 2
radius-server host 10.58.3.132 key switch priority 1
aaa authentication dot1x default radius
username bryan password password-hash-was-here level 15 encrypted
clock source sntp
sntp server 10.58.3.128 poll
ip domain-name liketechnologies.local
ip name-server 10.58.3.32 10.58.3.33