Назад | Перейти на главную страницу

Cisco Voice VLAN с аутентификацией 802.1X

У меня есть Cisco Catalyst 2960, который я пытаюсь настроить для удаленного офиса с проводной аутентификацией 802.1X.

Я собираюсь использовать Switch -> VoIP Phone via Internal Switch -> PC/Laptop (Domain Joined Win 7/8).

Нашим сервером аутентификации является NPS на Windows Server 2008 R2.

Мы используем телефоны Snom 300, которые поддерживают 802.1X, но для нас нереально настроить его на всех телефонах, поэтому я настроил коммутатор на использование MAB (MAC Authentication Bypass) для телефонов.

Это по большей части работает блестяще, телефоны проходят аутентификацию и помещаются в домен VOICE, а политика VLAN отображает 501, что является нашей голосовой VLAN.

Но телефоны все еще могут получить полный доступ к VLAN для передачи данных. - Что я делаю не так?

Вот сеанс 802.1x для этого подключенного порта:

int-remote-sw-1#show auth sessions int Fa0/9
        Interface:  FastEthernet0/9
      MAC Address:  0004.133d.69cc
       IP Address:  Unknown
        User-Name:  0004133d69cc
           Status:  Authz Success
           Domain:  VOICE
   Oper host mode:  multi-domain
 Oper control dir:  both
    Authorized By:  Authentication Server
      Vlan Policy:  501
  Session timeout:  600s (local), Remaining: 409s
   Timeout action:  Reauthenticate
     Idle timeout:  N/A
Common Session ID:  0A9402F50000005F094C7DC3
  Acct Session ID:  0x0000007D
           Handle:  0xD6000060

Runnable methods list:
   Method   State
   mab      Authc Success
   dot1x    Not run

Конфигурация переключателя, относящаяся к 802.1x:

aaa new-model
!
!
aaa authentication dot1x default group radius
aaa authorization network default group radius
!
!
aaa session-id common
!
!
dot1x system-auth-control
!
!
errdisable detect cause security-violation shutdown vlan
!
!
vlan 501
    name VOICE-LAN
!
!
interface FastEthernet0/9
    switchport access vlan 502
    switchport mode access
    switchport voice vlan 501
    authentication event fail action authorize vlan 503
    authentication event server dead action reinitialize vlan 503
    authentication event no-response action authorize vlan 503
    authentication event server alive action reinitialize
    authentication host-mode multi-domain
    authentication order mab dot1x
    authentication port-control auto
    authentication periodic
    authentication timer reauthenticate 600
    mab
    mls qos trust cos
    dot1x pae authenticator
    spanning-tree portfast
!
!
radius-server dead-criteria time 30 tries 10
radius-server host 10.***.***.***
radius-server host 10.***.***.***
radius-server retry method reorder
radius-server key ******************

Версия переключателя:

int-remote-sw-1#show ver
    Cisco IOS Software, C2960 Software (C2960-LANBASEK9-M), Version 15.0(2)SE7, RELEASE SOFTWARE (fc1)

Конфигурация сервера NPS:

Я не уверен, что это лучший ответ на вопрос о том, как заставить эту работу работать, но из-за отсутствия лучшего ответа я придумал, как заставить ее работать сам.

По сути, я исходил из того, что если вы используете то, что по сути является динамическим назначением VLAN (даже если это называется голосовой функцией), вы должны использовать его как для домена VOICE, так и для домена DATA, чтобы получить результат, который я искал.

Я изменил VLAN доступа на VLAN, которая не маршрутизируется за пределы коммутатора, поэтому в моем случае switchport access vlan 504

Затем я изменил политику на нашем сервере NPS, чтобы передать назначение VLAN компьютерам при их аутентификации.

Это приводит к тому, что телефоны или любое другое устройство подделывают MAC-адрес без настроенной VLAN, помещаемой в то, что по сути является сетью черной дыры, поэтому они не могут получить доступ ни к чему, но если настроены с правильным идентификатором VLAN, они могут получить доступ к более заблокированным вниз голосовой сети.

Но если компьютер подключен и аутентифицирован либо напрямую, либо через коммутатор на телефоне в домене DATA, коммутатор изменяет доступ или собственный VLAN к нашей внутренней сети в соответствии с инструкциями сервера NPS.

Это результат, который я искал - это просто означало, что нужно изменить конфигурацию на других переключателях, которые используют сервер политики в более простой форме, чего я пытался избежать.