Господа, а используете ли вы 802.1x в своей работе? Есть ли примеры сетей cisco catalyst и windows AD клиентов? Хочется пару вопросов решить.
>Господа, а используете ли вы 802.1x в своей работе?
Да.Смотря что именно
Есть ли примеры
>сетей cisco catalyst и windows AD клиентов? Хочется пару вопросов решить.
>
на каталистах 802.1q, 802.1d, 802.1p... на windows dhcp, dns, авторизация ...
>>Господа, а используете ли вы 802.1x в своей работе?
>Да.
>
>Смотря что именно
>
>Есть ли примеры
>>сетей cisco catalyst и windows AD клиентов? Хочется пару вопросов решить.
>>
>на каталистах 802.1q, 802.1d, 802.1p... на windows dhcp, dns, авторизация ...
Основная вещь, которую хочется реализовать это vlan назначаемый через 802.1x аутентификацию.
Делаю так: загружается winxp, и соответственно, пока пользователь не авторизовался, машина попадает в guest-vlan, далее должен заходить пользователь и попадать в свой vlan. Но! 802.1x re-authentication не срабатывает и машина так и остаётся сидеть в guest vlan'e, пока на коммутаторе вручную не будет выполнена команда dot1x re-authenticate interface fastethernet0/XX, после этого клиент получает нужный vlan и далее ре-аутентификация работает как надо с нужной периодичностью.
С этим кто-нибудь сталкивался?
Сейчас нет доступа к каталисту, но:
1. В какой vlan попадает пользователь? guest vlan = management vlan?
2. Вроде были команды регулирующие частоту реаутентификации.Работала подобная схема, правда не не цисках. Пользователь по умолчанию попадал в management vlan, после ввода пароля попадал в нужный.
>>>Господа, а используете ли вы 802.1x в своей работе?
>>Да.
>>
>>Смотря что именно
>>
>>Есть ли примеры
>>>сетей cisco catalyst и windows AD клиентов? Хочется пару вопросов решить.
>>>
>>на каталистах 802.1q, 802.1d, 802.1p... на windows dhcp, dns, авторизация ...
>
>
>Основная вещь, которую хочется реализовать это vlan назначаемый через 802.1x аутентификацию.
>Делаю так: загружается winxp, и соответственно, пока пользователь не авторизовался, машина попадает
>в guest-vlan, далее должен заходить пользователь и попадать в свой vlan.
>Но! 802.1x re-authentication не срабатывает и машина так и остаётся сидеть
>в guest vlan'e, пока на коммутаторе вручную не будет выполнена команда
>dot1x re-authenticate interface fastethernet0/XX, после этого клиент получает нужный vlan и
>далее ре-аутентификация работает как надо с нужной периодичностью.
>С этим кто-нибудь сталкивался?
1. Да, видимо, guest = management
2. Частоту ставил любую, хоть каждые 5 сек.
>Сейчас нет доступа к каталисту, но:
>1. В какой vlan попадает пользователь? guest vlan = management vlan?
>2. Вроде были команды регулирующие частоту реаутентификации.
>
>Работала подобная схема, правда не не цисках. Пользователь по умолчанию попадал в
>management vlan, после ввода пароля попадал в нужный.
>
>
>>>>Господа, а используете ли вы 802.1x в своей работе?
>>>Да.
>>>
>>>Смотря что именно
>>>
>>>Есть ли примеры
>>>>сетей cisco catalyst и windows AD клиентов? Хочется пару вопросов решить.
>>>>
>>>на каталистах 802.1q, 802.1d, 802.1p... на windows dhcp, dns, авторизация ...
>>
>>
>>Основная вещь, которую хочется реализовать это vlan назначаемый через 802.1x аутентификацию.
>>Делаю так: загружается winxp, и соответственно, пока пользователь не авторизовался, машина попадает
>>в guest-vlan, далее должен заходить пользователь и попадать в свой vlan.
>>Но! 802.1x re-authentication не срабатывает и машина так и остаётся сидеть
>>в guest vlan'e, пока на коммутаторе вручную не будет выполнена команда
>>dot1x re-authenticate interface fastethernet0/XX, после этого клиент получает нужный vlan и
>>далее ре-аутентификация работает как надо с нужной периодичностью.
>>С этим кто-нибудь сталкивался?
Что значит "видимо"? У вас сейчас как реализовано?>1. Да, видимо, guest = management
>2. Частоту ставил любую, хоть каждые 5 сек.
>
>
>>Сейчас нет доступа к каталисту, но:
>>1. В какой vlan попадает пользователь? guest vlan = management vlan?
>>2. Вроде были команды регулирующие частоту реаутентификации.
>>
>>Работала подобная схема, правда не не цисках. Пользователь по умолчанию попадал в
>>management vlan, после ввода пароля попадал в нужный.
>>
>>
>>>>>Господа, а используете ли вы 802.1x в своей работе?
>>>>Да.
>>>>
>>>>Смотря что именно
>>>>
>>>>Есть ли примеры
>>>>>сетей cisco catalyst и windows AD клиентов? Хочется пару вопросов решить.
>>>>>
>>>>на каталистах 802.1q, 802.1d, 802.1p... на windows dhcp, dns, авторизация ...
>>>
>>>
>>>Основная вещь, которую хочется реализовать это vlan назначаемый через 802.1x аутентификацию.
>>>Делаю так: загружается winxp, и соответственно, пока пользователь не авторизовался, машина попадает
>>>в guest-vlan, далее должен заходить пользователь и попадать в свой vlan.
>>>Но! 802.1x re-authentication не срабатывает и машина так и остаётся сидеть
>>>в guest vlan'e, пока на коммутаторе вручную не будет выполнена команда
>>>dot1x re-authenticate interface fastethernet0/XX, после этого клиент получает нужный vlan и
>>>далее ре-аутентификация работает как надо с нужной периодичностью.
>>>С этим кто-нибудь сталкивался?
В терминологии cisco и 802.1x - management vlan нет, есть guest и restricted.
Если имеется ввиду vlan через который коммутаторы администрируются, тогда management не равно guest.
afaik, management vlan по умолчанию это vlan1
В каком vlan порт _до_ попыток аутентификации?>В терминологии cisco и 802.1x - management vlan нет, есть guest и
>restricted.
>Если имеется ввиду vlan через который коммутаторы администрируются, тогда management не равно
>guest.
>afaik, management vlan по умолчанию это vlan1
>В каком vlan порт _до_ попыток аутентификации?
>
>
>
>>В терминологии cisco и 802.1x - management vlan нет, есть guest и
>>restricted.
>>Если имеется ввиду vlan через который коммутаторы администрируются, тогда management не равно
>>guest.ops, да, пробел в моих знаниях
до всех попыток, порт находится действительно во vlan 1
При указании необходимости авторизации на циске (dot1x port-control auto) порт либо блокирует трафик (и горит амбером), если на запрос циски на авторизацию рабочая станция ответила (т.е. включен в настройках сетевого интерфейса режим 802.1х), либо помещает порт в guest vlan (dot1x guest-vlan xx), если сетевой интерфейс не отвечает на запрос авторизации.
>При указании необходимости авторизации на циске (dot1x port-control auto) порт либо блокирует
>трафик (и горит амбером), если на запрос циски на авторизацию рабочая
>станция ответила (т.е. включен в настройках сетевого интерфейса режим 802.1х), либо
>помещает порт в guest vlan (dot1x guest-vlan xx), если сетевой интерфейс
>не отвечает на запрос авторизации.
все верно, это работает
мне нужно чтобы после того как пользователь залогинился, коммутатор произвел реаутентификацию и на этот раз поместил порт в нужный рабочий vlan
Должно работать :)
Скажите, без использования guest vlan аутентификация проходит нормально?
Есть возможность проверить в ситуации когда клиент, свич и радиус в одном vlan?Если что: uin 127303637
>>afaik, management vlan по умолчанию это vlan1
>>В каком vlan порт _до_ попыток аутентификации?
>>
>>
>>
>>>В терминологии cisco и 802.1x - management vlan нет, есть guest и
>>>restricted.
>>>Если имеется ввиду vlan через который коммутаторы администрируются, тогда management не равно
>>>guest.
>
>ops, да, пробел в моих знаниях
>до всех попыток, порт находится действительно во vlan 1
Покажите конфиг порта.>1. Да, видимо, guest = management
>2. Частоту ставил любую, хоть каждые 5 сек.
>
>
>>Сейчас нет доступа к каталисту, но:
>>1. В какой vlan попадает пользователь? guest vlan = management vlan?
>>2. Вроде были команды регулирующие частоту реаутентификации.
>>
>>Работала подобная схема, правда не не цисках. Пользователь по умолчанию попадал в
>>management vlan, после ввода пароля попадал в нужный.
>>
>>
>>>>>Господа, а используете ли вы 802.1x в своей работе?
>>>>Да.
>>>>
>>>>Смотря что именно
>>>>
>>>>Есть ли примеры
>>>>>сетей cisco catalyst и windows AD клиентов? Хочется пару вопросов решить.
>>>>>
>>>>на каталистах 802.1q, 802.1d, 802.1p... на windows dhcp, dns, авторизация ...
>>>
>>>
>>>Основная вещь, которую хочется реализовать это vlan назначаемый через 802.1x аутентификацию.
>>>Делаю так: загружается winxp, и соответственно, пока пользователь не авторизовался, машина попадает
>>>в guest-vlan, далее должен заходить пользователь и попадать в свой vlan.
>>>Но! 802.1x re-authentication не срабатывает и машина так и остаётся сидеть
>>>в guest vlan'e, пока на коммутаторе вручную не будет выполнена команда
>>>dot1x re-authenticate interface fastethernet0/XX, после этого клиент получает нужный vlan и
>>>далее ре-аутентификация работает как надо с нужной периодичностью.
>>>С этим кто-нибудь сталкивался?
>Покажите конфиг порта.
>interface FastEthernet0/15
description 802.1x TEST PORT
switchport mode access
dot1x port-control auto
dot1x timeout reauth-period 5
dot1x guest-vlan 530
dot1x reauthentication
dot1x auth-fail vlan 530
no cdp enable
spanning-tree portfast
spanning-tree bpdufilter enable
spanning-tree bpduguard enable
spanning-tree guard none
end