MAB e 802.1x Issue - o dispositivo autenticado por MAB é removido

Navegue suas respostas
1

Estou tentando usar o 802.1x para autenticar clientes na minha rede com a atribuição dinâmica de VLAN do RADIUS. Temos telefones IP (alimentados por PoE) que suportam apenas o EAP-MD5, e preferimos usar o MAB (ele também usa o LLDP-MED para algumas configurações) para autenticar os telefones usando o intervalo MAC do fornecedor dos telefones. O cenário a seguir funciona perfeitamente:

  • Conecte o telefone e deixe-o inicializar (demora um pouco) e autentique-se com o MAB.
  • Conecte um computador na porta de dados do telefone e deixe-o autenticar com o 802.1x (ou falhe e alcance o guest-vlan)

No entanto, o cenário a seguir não funciona:

  • O computador já está conectado ao telefone
  • O telefone é então conectado ao switch

O que é feliz agora é que o computador é autenticado usando o 802.1x antes que o telefone seja inicializado e autenticado com o MAB. Quando o telefone está pronto, ele é autenticado com o MAB e tudo funciona. No entanto, após um curto período (digamos que um minuto), usando debug authentication all , vemos uma mensagem "NEW LL MAC: phones mac" (que é estranha já que o mac já foi autenticado por MAB), e então não conseguimos entrar em contato com o telefone usando ping. Quando eu verifico o show mac address-table ele agora moveu o mac de Port Gi 0/12 para Port Drop . No entanto, se eu verificar show mab interface Gi 0/12 ou show authentication sessions , ele listará os telefones-mac como mab auth sucess .

Alguém pode explicar por que o primeiro cenário funciona, e não o segundo?

O switch é um 3560E PoE 24p com IOS 12.2.58SE2Sample do switch-config.: 

network-policy profile 1
 voice vlan 90
!
interface GigabitEthernet0/12
 switchport mode access
 network-policy 1
 authentication control-direction in
 authentication event fail retry 1 action authorize vlan 60
 authentication event server dead action authorize vlan 60
 authentication event no-response action authorize vlan 60
 authentication event server alive action reinitialize 
 authentication host-mode multi-domain
 authentication order mab dot1x
 authentication priority mab dot1x
 authentication port-control auto
 authentication periodic
 authentication violation replace
 mab
 dot1x pae authenticator
 dot1x timeout tx-period 5
 dot1x max-reauth-req 1
 spanning-tree portfast
!

Btw, quando tentamos autenticar os telefones usando 802.1x também (EAP-MD5), NÃO há problemas em nenhum dos cenários. No entanto, queremos usar o MAB em vez de 802.1x para evitar a necessidade de configurar os telefones com um nome de usuário e senha.

    
por Frode F. 11.04.2013 / 16:33

1 resposta

1

Já tentou adicionar "no cdp enable" a essa interface? Eu tive esse problema uma vez e resolvi isso.

    
por 25.07.2017 / 19:19

Tags

configuração debian vpnc para isakmp verniz sem cache direito