The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  майллист  ВХОД  слежка  RSS
"Назначение статического IP-адреса при аутентификации по 802...."
Вариант для распечатки  
Пред. тема | След. тема 
Форумы Маршрутизаторы CISCO и др. оборудование. (Public)
Изначальное сообщение [Проследить за развитием треда]

"Назначение статического IP-адреса при аутентификации по 802...."  
Сообщение от buharaev email(ok) on 15-Янв-07, 14:35 
Доброго времени сутоквсем!
Помогите пожалуйста в решении следующей проблемы:
Есть коммутатор catalyst 2960, настроенный на аутентификацию 802.1x EAP TLS на RADIUS сервере (в качестве RADIUS используется Microsoft IAS, входящий в домен Microsoft windows 2003). В свойствах учетной записи пользователя прописан статический IP адрес. RADIUS возвращает этот IP адрес в своем ответе в атрибуте Framed-IP-Address. Циска получает этот IP-шник, но присваивать его клиенту не хочет, вместо этого клиенту присваивается первый свободный IP в пуле. Пробовал использовать и DHCP на циске и виндовый DHCP на контроллере, результат одинаковый. Можно ли каким-нибудь образом передать DHCP серверу значение IP, получаемое в аттрибуте Framed-IP-Address? Или можно ли как-нибудь по другому назначить статический IP-шник учетной записи в домене?
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

 Оглавление

Сообщения по теме [Сортировка по времени, UBB]


1. "Назначение статического IP-адреса при аутентификации по 802...."  
Сообщение от buharaev email(ok) on 17-Янв-07, 09:18 
>Доброго времени сутоквсем!
>Помогите пожалуйста в решении следующей проблемы:
>Есть коммутатор catalyst 2960, настроенный на аутентификацию 802.1x EAP TLS на RADIUS
>сервере (в качестве RADIUS используется Microsoft IAS, входящий в домен Microsoft
>windows 2003). В свойствах учетной записи пользователя прописан статический IP адрес.
>RADIUS возвращает этот IP адрес в своем ответе в атрибуте Framed-IP-Address.
>Циска получает этот IP-шник, но присваивать его клиенту не хочет, вместо
>этого клиенту присваивается первый свободный IP в пуле. Пробовал использовать и
>DHCP на циске и виндовый DHCP на контроллере, результат одинаковый. Можно
>ли каким-нибудь образом передать DHCP серверу значение IP, получаемое в аттрибуте
>Framed-IP-Address? Или можно ли как-нибудь по другому назначить статический IP-шник учетной
>записи в домене?
Неужели никто не может помочь???

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

2. "Назначение статического IP-адреса при аутентификации по 802...."  
Сообщение от routercs email on 17-Янв-07, 13:18 
>>Доброго времени сутоквсем!
>>Помогите пожалуйста в решении следующей проблемы:
>>Есть коммутатор catalyst 2960, настроенный на аутентификацию 802.1x EAP TLS на RADIUS
>>сервере (в качестве RADIUS используется Microsoft IAS, входящий в домен Microsoft
>>windows 2003). В свойствах учетной записи пользователя прописан статический IP адрес.
>>RADIUS возвращает этот IP адрес в своем ответе в атрибуте Framed-IP-Address.
>>Циска получает этот IP-шник, но присваивать его клиенту не хочет, вместо
>>этого клиенту присваивается первый свободный IP в пуле. Пробовал использовать и
>>DHCP на циске и виндовый DHCP на контроллере, результат одинаковый. Можно
>>ли каким-нибудь образом передать DHCP серверу значение IP, получаемое в аттрибуте
>>Framed-IP-Address? Или можно ли как-нибудь по другому назначить статический IP-шник учетной
>>записи в домене?
>Неужели никто не может помочь???
конфиг покажите

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

3. "Назначение статического IP-адреса при аутентификации по 802...."  
Сообщение от buharaev email(??) on 17-Янв-07, 13:24 
>>>Доброго времени сутоквсем!
>>>Помогите пожалуйста в решении следующей проблемы:
>>>Есть коммутатор catalyst 2960, настроенный на аутентификацию 802.1x EAP TLS на RADIUS
>>>сервере (в качестве RADIUS используется Microsoft IAS, входящий в домен Microsoft
>>>windows 2003). В свойствах учетной записи пользователя прописан статический IP адрес.
>>>RADIUS возвращает этот IP адрес в своем ответе в атрибуте Framed-IP-Address.
>>>Циска получает этот IP-шник, но присваивать его клиенту не хочет, вместо
>>>этого клиенту присваивается первый свободный IP в пуле. Пробовал использовать и
>>>DHCP на циске и виндовый DHCP на контроллере, результат одинаковый. Можно
>>>ли каким-нибудь образом передать DHCP серверу значение IP, получаемое в аттрибуте
>>>Framed-IP-Address? Или можно ли как-нибудь по другому назначить статический IP-шник учетной
>>>записи в домене?
>>Неужели никто не может помочь???
>конфиг покажите

Switch#sh run
Building configuration...

Current configuration : 2277 bytes
!
version 12.2
no service pad
service timestamps debug uptime
service timestamps log uptime
no service password-encryption
!
hostname Switch
!
enable password cisco
!
username cisco password 0 cisco
aaa new-model
aaa authentication dot1x default group radius
aaa authorization network default group radius
aaa accounting delay-start
!
aaa session-id common
ip subnet-zero
!
ip dhcp pool eap
   network 10.10.10.0 255.255.255.0
   dns-server 10.10.10.10
!
ip dhcp snooping vlan 1
ip dhcp snooping
ip address-pool local
!
!
!
dot1x system-auth-control
dot1x critical eapol
no file verify auto
spanning-tree mode pvst
spanning-tree extend system-id
!
vlan internal allocation policy ascending
!
interface FastEthernet0/1
switchport mode access
switchport nonegotiate
dot1x pae authenticator
dot1x port-control auto
spanning-tree portfast
!
interface FastEthernet0/2
switchport mode access
switchport nonegotiate
dot1x pae authenticator
dot1x port-control auto
dot1x timeout reauth-period 60
dot1x reauthentication
spanning-tree portfast
!
interface FastEthernet0/3
!
interface FastEthernet0/4
!
interface FastEthernet0/5
!
interface FastEthernet0/6
!
interface FastEthernet0/7
!
interface FastEthernet0/8
!
interface FastEthernet0/9
!
interface FastEthernet0/10
!
interface FastEthernet0/11
!
interface FastEthernet0/12
!
interface FastEthernet0/13
!
interface FastEthernet0/14
!
interface FastEthernet0/15
!
interface FastEthernet0/16
!
interface FastEthernet0/17
!
interface FastEthernet0/18
!
interface FastEthernet0/19
!
interface FastEthernet0/20
!
interface FastEthernet0/21
!
interface FastEthernet0/22
!
interface FastEthernet0/23
!
interface FastEthernet0/24
!
interface GigabitEthernet0/1
!
interface GigabitEthernet0/2
!
interface Vlan1
ip address 10.10.10.110 255.255.255.0
no ip route-cache
!
interface Vlan2
ip address 10.10.20.110 255.255.255.0
no ip route-cache
!
ip local pool eap 10.10.10.140 10.10.10.160
ip http server
radius-server attribute 8 include-in-access-req
radius-server configure-nas
radius-server host 10.10.10.10 auth-port 1812 acct-port 1646 key 123456
radius-server source-ports 1645-1646
radius-server authorization default Framed-Protocol ppp
!
control-plane
!
!
line con 0
line vty 0 4
password cisco
line vty 5 15
!
end

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

4. "Назначение статического IP-адреса при аутентификации по 802...."  
Сообщение от routercs email on 17-Янв-07, 22:10 
>>>>Доброго времени сутоквсем!
>>>>Помогите пожалуйста в решении следующей проблемы:
>>>>Есть коммутатор catalyst 2960, настроенный на аутентификацию 802.1x EAP TLS на RADIUS
>>>>сервере (в качестве RADIUS используется Microsoft IAS, входящий в домен Microsoft
>>>>windows 2003). В свойствах учетной записи пользователя прописан статический IP адрес.
>>>>RADIUS возвращает этот IP адрес в своем ответе в атрибуте Framed-IP-Address.
>>>>Циска получает этот IP-шник, но присваивать его клиенту не хочет, вместо
>>>>этого клиенту присваивается первый свободный IP в пуле. Пробовал использовать и
>>>>DHCP на циске и виндовый DHCP на контроллере, результат одинаковый. Можно
>>>>ли каким-нибудь образом передать DHCP серверу значение IP, получаемое в аттрибуте
>>>>Framed-IP-Address? Или можно ли как-нибудь по другому назначить статический IP-шник учетной
>>>>записи в домене?
>>>Неужели никто не может помочь???
>>конфиг покажите
>
>Switch#sh run
>Building configuration...
>
>Current configuration : 2277 bytes
>!
>version 12.2
>no service pad
>service timestamps debug uptime
>service timestamps log uptime
>no service password-encryption
>!
>hostname Switch
>!
>enable password cisco
>!
>username cisco password 0 cisco
>aaa new-model
>aaa authentication dot1x default group radius
>aaa authorization network default group radius
>aaa accounting delay-start
>!
>aaa session-id common
>ip subnet-zero
>!
>ip dhcp pool eap
>   network 10.10.10.0 255.255.255.0
>   dns-server 10.10.10.10
>!
>ip dhcp snooping vlan 1
>ip dhcp snooping
>ip address-pool local
>!
>!
>!
>dot1x system-auth-control
>dot1x critical eapol
>no file verify auto
>spanning-tree mode pvst
>spanning-tree extend system-id
>!
>vlan internal allocation policy ascending
>!
>interface FastEthernet0/1
> switchport mode access
> switchport nonegotiate
> dot1x pae authenticator
> dot1x port-control auto
> spanning-tree portfast
>!
>interface FastEthernet0/2
> switchport mode access
> switchport nonegotiate
> dot1x pae authenticator
> dot1x port-control auto
> dot1x timeout reauth-period 60
> dot1x reauthentication
> spanning-tree portfast
>!
>interface FastEthernet0/3
>!
>interface FastEthernet0/4
>!
>interface FastEthernet0/5
>!
>interface FastEthernet0/6
>!
>interface FastEthernet0/7
>!
>interface FastEthernet0/8
>!
>interface FastEthernet0/9
>!
>interface FastEthernet0/10
>!
>interface FastEthernet0/11
>!
>interface FastEthernet0/12
>!
>interface FastEthernet0/13
>!
>interface FastEthernet0/14
>!
>interface FastEthernet0/15
>!
>interface FastEthernet0/16
>!
>interface FastEthernet0/17
>!
>interface FastEthernet0/18
>!
>interface FastEthernet0/19
>!
>interface FastEthernet0/20
>!
>interface FastEthernet0/21
>!
>interface FastEthernet0/22
>!
>interface FastEthernet0/23
>!
>interface FastEthernet0/24
>!
>interface GigabitEthernet0/1
>!
>interface GigabitEthernet0/2
>!
>interface Vlan1
> ip address 10.10.10.110 255.255.255.0
> no ip route-cache
>!
>interface Vlan2
> ip address 10.10.20.110 255.255.255.0
> no ip route-cache
>!
>ip local pool eap 10.10.10.140 10.10.10.160
>ip http server
>radius-server attribute 8 include-in-access-req
>radius-server configure-nas
>radius-server host 10.10.10.10 auth-port 1812 acct-port 1646 key 123456
>radius-server source-ports 1645-1646
>radius-server authorization default Framed-Protocol ppp
>!
>control-plane
>!
>!
>line con 0
>line vty 0 4
> password cisco
>line vty 5 15
>!
>end
Я не понимаю, зачем команда ip address-pool local.
address-pool            Specify default IP address pooling mechanism

Может в этом загвоздка?

А в чем смысл этой команды? ip dhcp snooping vlan 1
У Вас приниматься DHCP-offer'ы и DHCP-Acknowledgement'ы будут все равно со всех портов.

И еще: dot1x у Вас сейчас может работать только на fast0/2 (я могу ошибаться) на fast0/1 не хватает настроек.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

5. "Назначение статического IP-адреса при аутентификации по 802...."  
Сообщение от buharaev email(??) on 18-Янв-07, 11:53 

>Я не понимаю, зачем команда ip address-pool local.
> address-pool          
> Specify default IP address pooling mechanism
>
>Может в этом загвоздка?
>

Убирл, ничего не изменилось...

>А в чем смысл этой команды? ip dhcp snooping vlan 1
>У Вас приниматься DHCP-offer'ы и DHCP-Acknowledgement'ы будут все равно со всех портов.
>

Это осталось с предыдущего конфига... тоже убрал...

>
>И еще: dot1x у Вас сейчас может работать только на fast0/2 (я
>могу ошибаться) на fast0/1 не хватает настроек.
На первом порту dot1x работает, просто он не просит реаутентификации каждую минуту, как на втором.


Начинает появляться подозрение, что решение данной задачи невозможно...
Может быть хотябы можно радиусу ответить атрибутом Framed-IP-Address, в котором будет содержаться IP адрес, назначенный клиенту по DHCP? Что для этого нужно сделать?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру