URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID6
Нить номер: 21584
[ Назад ]

Исходное сообщение
"Помогите разобраться с dot1x на Cisco4503"
Отправлено amant , 10-Сен-10 08:42

Добрый день!
У меня есть такая проблема:
Есть Cisco4503 (cat4500-entservicesk9-mz.122-54.SG.bin) и радиус сервер (Win2003). Пытаюсь на нем развернуть dot1x, но возникают несколько проблем:
- ІР телефон (avaya) не всегда и долго авторизуется, а когда авторизуется получает ІР адрес, который по сети доступен, но сам телефон не работает. При любом нажатии на кнопку "пикает" 2 раза
- А ноут подключенный через телефон не авторизуется совсем, хотя на циске запросы появляются.
Еще одна интересная вещь, к этой Циске подключил транком Cisco2960, на котором dot1x отрабатывает без проблем.
Вот конфиг Cisco4503:
aaa new-model
aaa authentication dot1x default group radius
aaa authorization network default group radius
dot1x system-auth-control
interface GigabitEthernet2/35
description 43
switchport mode access
switchport voice vlan 121
authentication host-mode multi-domain
authentication port-control auto
authentication periodic
dot1x pae authenticator
ip radius source-interface GigabitEthernet1/3 vrf default
radius-server host х.х.х.х auth-port 1812 acct-port 1813 key ххх
radius-server authorization default Framed-Protocol ppp
radius-server vsa send authentication
И еще, есть другой свитч HP ProCurve 2650, на нем тоже развернут dot1x с этим же радиусом... Все хорошо отрабатывает, НО у пару троек пользователей сеть ни с того сеть пропадает... Причем у двух клиентов выключение-включение сетевой карты помогает восстановить сеть, а у одного даже это не помогает. На радиусе вижу, что авторизация прошла успешно, На компе тоже вижу логи authentication success, но комп получает стандартный майкрософтовский ІР.
Может кто сталкивался и сможет помоч?
Заранее спасибо!

Содержание

Помогите разобраться с dot1x на Cisco4503,enter, 12:57 , 10-Сен-10
- Помогите разобраться с dot1x на Cisco4503,amant, 13:38 , 10-Сен-10

Сообщения в этом обсуждении

"Помогите разобраться с dot1x на Cisco4503"
Отправлено enter , 10-Сен-10 12:57

Этот вариант подходит?
http://www.cisco.com/en/US/docs/switches/lan/catalyst4500/12...

"Помогите разобраться с dot1x на Cisco4503"
Отправлено amant , 10-Сен-10 13:38

>Этот вариант подходит?
>http://www.cisco.com/en/US/docs/switches/lan/catalyst4500/12...
именно по этой схеме я и двигался :)
HQ_SW_1FLOOR#sh dot1x int g2/35 de
Dot1x Info for GigabitEthernet2/35
-----------------------------------
PAE                       = AUTHENTICATOR
PortControl               = AUTO
ControlDirection          = Both
HostMode                  = MULTI_DOMAIN
QuietPeriod               = 60
ServerTimeout             = 0
SuppTimeout               = 30
ReAuthMax                 = 2
MaxReq                    = 2
TxPeriod                  = 30
Dot1x Authenticator Client List
-------------------------------
EAP Method                = PEAP
Supplicant                = 0023.ae16.723f
Session ID                = 0A0201250000004931C27C08
    Auth SM State         = AUTHENTICATED
    Auth BEND SM State    = IDLE
Port Status               = AUTHORIZED
EAP Method                = MD5
Supplicant                = 0007.3bb8.60a1
Session ID                = 0A0201250000004831BFF153
    Auth SM State         = AUTHENTICATED
    Auth BEND SM State    = IDLE
Port Status               = AUTHORIZED
но телефон не работает! и ноут тоже не работает, хотя получает ІР адрес... а порт динамическии переходит в нужный ВЛАН.
Я хочу понять, почему блокируется трафик?