Cisco Voice VLAN com autenticação 802.1X

2

Tenho um Cisco Catalyst 2960 que estou tentando configurar para um escritório remoto com autenticação com fio 802.1X.

A configuração para a qual estou indo é Switch -> VoIP Phone via Internal Switch -> PC/Laptop (Domain Joined Win 7/8).

Nosso servidor de autenticação é o NPS no Windows Server 2008 R2.

Estamos usando aparelhos Snom 300 que suportam 802.1X, mas não é realmente possível configurá-lo em todos os aparelhos, por isso configurei o switch para usar o MAB (bypass de autenticação MAC) para os telefones.

Na maior parte do tempo, isso está funcionando de forma brilhante, os telefones celulares são autenticados e colocados no domínio VOICE e a política de VLAN está exibindo 501, que é nossa VLAN de voz.

Mas, os telefones ainda podem acessar totalmente a VLAN de dados - o que estou fazendo errado?

Aqui está a sessão do 802.1x para essa porta conectada:

int-remote-sw-1#show auth sessions int Fa0/9
        Interface:  FastEthernet0/9
      MAC Address:  0004.133d.69cc
       IP Address:  Unknown
        User-Name:  0004133d69cc
           Status:  Authz Success
           Domain:  VOICE
   Oper host mode:  multi-domain
 Oper control dir:  both
    Authorized By:  Authentication Server
      Vlan Policy:  501
  Session timeout:  600s (local), Remaining: 409s
   Timeout action:  Reauthenticate
     Idle timeout:  N/A
Common Session ID:  0A9402F50000005F094C7DC3
  Acct Session ID:  0x0000007D
           Handle:  0xD6000060

Runnable methods list:
   Method   State
   mab      Authc Success
   dot1x    Not run

Altere a configuração relacionada ao 802.1x:

aaa new-model
!
!
aaa authentication dot1x default group radius
aaa authorization network default group radius
!
!
aaa session-id common
!
!
dot1x system-auth-control
!
!
errdisable detect cause security-violation shutdown vlan
!
!
vlan 501
    name VOICE-LAN
!
!
interface FastEthernet0/9
    switchport access vlan 502
    switchport mode access
    switchport voice vlan 501
    authentication event fail action authorize vlan 503
    authentication event server dead action reinitialize vlan 503
    authentication event no-response action authorize vlan 503
    authentication event server alive action reinitialize
    authentication host-mode multi-domain
    authentication order mab dot1x
    authentication port-control auto
    authentication periodic
    authentication timer reauthenticate 600
    mab
    mls qos trust cos
    dot1x pae authenticator
    spanning-tree portfast
!
!
radius-server dead-criteria time 30 tries 10
radius-server host 10.***.***.***
radius-server host 10.***.***.***
radius-server retry method reorder
radius-server key ******************

Versão do switch:

int-remote-sw-1#show ver
    Cisco IOS Software, C2960 Software (C2960-LANBASEK9-M), Version 15.0(2)SE7, RELEASE SOFTWARE (fc1)

Configuração do servidor NPS:

    
por iamacarpet 26.03.2015 / 12:10

1 resposta

0

Não sei se é a melhor resposta para a questão de como fazer isso funcionar, mas, na falta de uma resposta melhor, descobri uma maneira de fazê-lo funcionar sozinho.

Basicamente, eu fui com a idéia de que se você está usando o que é essencialmente atribuição de VLAN dinâmica (mesmo que seja chamado de um recurso de voz), você tem que usá-lo para os domínios VOICE e DATA para obter o resultado que eu estava procurando para.

Alterei a VLAN de acesso para uma VLAN que não é encaminhada para fora do switch, portanto, no meu caso, switchport access vlan 504

Em seguida, modifiquei a política em nosso servidor NPS para passar uma atribuição de VLAN a computadores quando eles se autenticam.

Isso tem o efeito de colocar telefones ou qualquer dispositivo de spoofing de MAC como um sem uma VLAN configurada no que é essencialmente uma rede blackhole para que eles não possam acessar nada - mas se configurado com o ID de VLAN correto, eles podem acessar a rede de voz mais bloqueada.

Mas se um computador estiver conectado e autenticado diretamente ou por meio do comutador no telefone no domínio DATA, o comutador alterará o acesso ou a VLAN nativa para nossa rede interna conforme instruído pelo servidor NPS.

Este é o resultado que eu estava procurando - significava apenas ter que alterar a configuração em outros switches que usam o servidor de políticas de uma forma mais básica que eu estava tentando evitar.

    
por 30.03.2015 / 10:23