URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID6
Нить номер: 21584
[ Назад ]

Исходное сообщение
"Помогите разобраться с dot1x на Cisco4503"

Отправлено amant , 10-Сен-10 08:42 
Добрый день!
У меня есть такая проблема:

Есть Cisco4503 (cat4500-entservicesk9-mz.122-54.SG.bin) и радиус сервер (Win2003). Пытаюсь на нем развернуть dot1x, но возникают несколько проблем:
- ІР телефон (avaya) не всегда и долго авторизуется, а когда авторизуется получает ІР адрес, который по сети доступен, но сам телефон не работает. При любом нажатии на кнопку "пикает" 2 раза
- А ноут подключенный через телефон не авторизуется совсем, хотя на циске запросы появляются.

Еще одна интересная вещь, к этой Циске подключил транком Cisco2960, на котором dot1x отрабатывает без проблем.

Вот конфиг Cisco4503:

aaa new-model
aaa authentication dot1x default group radius
aaa authorization network default group radius

dot1x system-auth-control

interface GigabitEthernet2/35
description 43
switchport mode access
switchport voice vlan 121
authentication host-mode multi-domain
authentication port-control auto
authentication periodic
dot1x pae authenticator

ip radius source-interface GigabitEthernet1/3 vrf default
radius-server host х.х.х.х auth-port 1812 acct-port 1813 key ххх
radius-server authorization default Framed-Protocol ppp
radius-server vsa send authentication

И еще, есть другой свитч HP ProCurve 2650, на нем тоже развернут dot1x с этим же радиусом... Все хорошо отрабатывает, НО у пару троек пользователей сеть ни с того сеть пропадает... Причем у двух клиентов выключение-включение сетевой карты помогает восстановить сеть, а у одного даже это не помогает. На радиусе вижу, что авторизация прошла успешно, На компе тоже вижу логи authentication success, но комп получает стандартный майкрософтовский ІР.

Может кто сталкивался и сможет помоч?
Заранее спасибо!


Содержание

Сообщения в этом обсуждении
"Помогите разобраться с dot1x на Cisco4503"
Отправлено enter , 10-Сен-10 12:57 
Этот вариант подходит?
http://www.cisco.com/en/US/docs/switches/lan/catalyst4500/12...


"Помогите разобраться с dot1x на Cisco4503"
Отправлено amant , 10-Сен-10 13:38 
>Этот вариант подходит?
>http://www.cisco.com/en/US/docs/switches/lan/catalyst4500/12...

именно по этой схеме я и двигался :)

HQ_SW_1FLOOR#sh dot1x int g2/35 de

Dot1x Info for GigabitEthernet2/35
-----------------------------------
PAE                       = AUTHENTICATOR
PortControl               = AUTO
ControlDirection          = Both
HostMode                  = MULTI_DOMAIN
QuietPeriod               = 60
ServerTimeout             = 0
SuppTimeout               = 30
ReAuthMax                 = 2
MaxReq                    = 2
TxPeriod                  = 30

Dot1x Authenticator Client List
-------------------------------
EAP Method                = PEAP
Supplicant                = 0023.ae16.723f
Session ID                = 0A0201250000004931C27C08
    Auth SM State         = AUTHENTICATED
    Auth BEND SM State    = IDLE
Port Status               = AUTHORIZED

EAP Method                = MD5
Supplicant                = 0007.3bb8.60a1
Session ID                = 0A0201250000004831BFF153
    Auth SM State         = AUTHENTICATED
    Auth BEND SM State    = IDLE
Port Status               = AUTHORIZED

но телефон не работает! и ноут тоже не работает, хотя получает ІР адрес... а порт динамическии переходит в нужный ВЛАН.

Я хочу понять, почему блокируется трафик?