форумы  помощь  поиск  регистрация  майллист  ВХОД  слежка

Вариант для распечатки		Пред. тема | След. тема
Форумы Маршрутизаторы CISCO и др. оборудование. (Public)
Изначальное сообщение		[Проследить за развитием треда]

"Назначение статического IP-адреса при аутентификации по 802...."

Сообщение от buharaev (ok) on 15-Янв-07, 14:35

Доброго времени сутоквсем! Помогите пожалуйста в решении следующей проблемы: Есть коммутатор catalyst 2960, настроенный на аутентификацию 802.1x EAP TLS на RADIUS сервере (в качестве RADIUS используется Microsoft IAS, входящий в домен Microsoft windows 2003). В свойствах учетной записи пользователя прописан статический IP адрес. RADIUS возвращает этот IP адрес в своем ответе в атрибуте Framed-IP-Address. Циска получает этот IP-шник, но присваивать его клиенту не хочет, вместо этого клиенту присваивается первый свободный IP в пуле. Пробовал использовать и DHCP на циске и виндовый DHCP на контроллере, результат одинаковый. Можно ли каким-нибудь образом передать DHCP серверу значение IP, получаемое в аттрибуте Framed-IP-Address? Или можно ли как-нибудь по другому назначить статический IP-шник учетной записи в домене?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Сообщения по теме

[Сортировка по времени, UBB]

1. "Назначение статического IP-адреса при аутентификации по 802...."

Сообщение от buharaev (ok) on 17-Янв-07, 09:18

>Доброго времени сутоквсем! >Помогите пожалуйста в решении следующей проблемы: >Есть коммутатор catalyst 2960, настроенный на аутентификацию 802.1x EAP TLS на RADIUS >сервере (в качестве RADIUS используется Microsoft IAS, входящий в домен Microsoft >windows 2003). В свойствах учетной записи пользователя прописан статический IP адрес. >RADIUS возвращает этот IP адрес в своем ответе в атрибуте Framed-IP-Address. >Циска получает этот IP-шник, но присваивать его клиенту не хочет, вместо >этого клиенту присваивается первый свободный IP в пуле. Пробовал использовать и >DHCP на циске и виндовый DHCP на контроллере, результат одинаковый. Можно >ли каким-нибудь образом передать DHCP серверу значение IP, получаемое в аттрибуте >Framed-IP-Address? Или можно ли как-нибудь по другому назначить статический IP-шник учетной >записи в домене? Неужели никто не может помочь???

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	2. "Назначение статического IP-адреса при аутентификации по 802...."
	Сообщение от routercs on 17-Янв-07, 13:18
	>>Доброго времени сутоквсем! >>Помогите пожалуйста в решении следующей проблемы: >>Есть коммутатор catalyst 2960, настроенный на аутентификацию 802.1x EAP TLS на RADIUS >>сервере (в качестве RADIUS используется Microsoft IAS, входящий в домен Microsoft >>windows 2003). В свойствах учетной записи пользователя прописан статический IP адрес. >>RADIUS возвращает этот IP адрес в своем ответе в атрибуте Framed-IP-Address. >>Циска получает этот IP-шник, но присваивать его клиенту не хочет, вместо >>этого клиенту присваивается первый свободный IP в пуле. Пробовал использовать и >>DHCP на циске и виндовый DHCP на контроллере, результат одинаковый. Можно >>ли каким-нибудь образом передать DHCP серверу значение IP, получаемое в аттрибуте >>Framed-IP-Address? Или можно ли как-нибудь по другому назначить статический IP-шник учетной >>записи в домене? >Неужели никто не может помочь??? конфиг покажите
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	3. "Назначение статического IP-адреса при аутентификации по 802...."
	Сообщение от buharaev (??) on 17-Янв-07, 13:24
	>>>Доброго времени сутоквсем! >>>Помогите пожалуйста в решении следующей проблемы: >>>Есть коммутатор catalyst 2960, настроенный на аутентификацию 802.1x EAP TLS на RADIUS >>>сервере (в качестве RADIUS используется Microsoft IAS, входящий в домен Microsoft >>>windows 2003). В свойствах учетной записи пользователя прописан статический IP адрес. >>>RADIUS возвращает этот IP адрес в своем ответе в атрибуте Framed-IP-Address. >>>Циска получает этот IP-шник, но присваивать его клиенту не хочет, вместо >>>этого клиенту присваивается первый свободный IP в пуле. Пробовал использовать и >>>DHCP на циске и виндовый DHCP на контроллере, результат одинаковый. Можно >>>ли каким-нибудь образом передать DHCP серверу значение IP, получаемое в аттрибуте >>>Framed-IP-Address? Или можно ли как-нибудь по другому назначить статический IP-шник учетной >>>записи в домене? >>Неужели никто не может помочь??? >конфиг покажите Switch#sh run Building configuration... Current configuration : 2277 bytes ! version 12.2 no service pad service timestamps debug uptime service timestamps log uptime no service password-encryption ! hostname Switch ! enable password cisco ! username cisco password 0 cisco aaa new-model aaa authentication dot1x default group radius aaa authorization network default group radius aaa accounting delay-start ! aaa session-id common ip subnet-zero ! ip dhcp pool eap    network 10.10.10.0 255.255.255.0    dns-server 10.10.10.10 ! ip dhcp snooping vlan 1 ip dhcp snooping ip address-pool local ! ! ! dot1x system-auth-control dot1x critical eapol no file verify auto spanning-tree mode pvst spanning-tree extend system-id ! vlan internal allocation policy ascending ! interface FastEthernet0/1 switchport mode access switchport nonegotiate dot1x pae authenticator dot1x port-control auto spanning-tree portfast ! interface FastEthernet0/2 switchport mode access switchport nonegotiate dot1x pae authenticator dot1x port-control auto dot1x timeout reauth-period 60 dot1x reauthentication spanning-tree portfast ! interface FastEthernet0/3 ! interface FastEthernet0/4 ! interface FastEthernet0/5 ! interface FastEthernet0/6 ! interface FastEthernet0/7 ! interface FastEthernet0/8 ! interface FastEthernet0/9 ! interface FastEthernet0/10 ! interface FastEthernet0/11 ! interface FastEthernet0/12 ! interface FastEthernet0/13 ! interface FastEthernet0/14 ! interface FastEthernet0/15 ! interface FastEthernet0/16 ! interface FastEthernet0/17 ! interface FastEthernet0/18 ! interface FastEthernet0/19 ! interface FastEthernet0/20 ! interface FastEthernet0/21 ! interface FastEthernet0/22 ! interface FastEthernet0/23 ! interface FastEthernet0/24 ! interface GigabitEthernet0/1 ! interface GigabitEthernet0/2 ! interface Vlan1 ip address 10.10.10.110 255.255.255.0 no ip route-cache ! interface Vlan2 ip address 10.10.20.110 255.255.255.0 no ip route-cache ! ip local pool eap 10.10.10.140 10.10.10.160 ip http server radius-server attribute 8 include-in-access-req radius-server configure-nas radius-server host 10.10.10.10 auth-port 1812 acct-port 1646 key 123456 radius-server source-ports 1645-1646 radius-server authorization default Framed-Protocol ppp ! control-plane ! ! line con 0 line vty 0 4 password cisco line vty 5 15 ! end
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	4. "Назначение статического IP-адреса при аутентификации по 802...."
	Сообщение от routercs on 17-Янв-07, 22:10
	>>>>Доброго времени сутоквсем! >>>>Помогите пожалуйста в решении следующей проблемы: >>>>Есть коммутатор catalyst 2960, настроенный на аутентификацию 802.1x EAP TLS на RADIUS >>>>сервере (в качестве RADIUS используется Microsoft IAS, входящий в домен Microsoft >>>>windows 2003). В свойствах учетной записи пользователя прописан статический IP адрес. >>>>RADIUS возвращает этот IP адрес в своем ответе в атрибуте Framed-IP-Address. >>>>Циска получает этот IP-шник, но присваивать его клиенту не хочет, вместо >>>>этого клиенту присваивается первый свободный IP в пуле. Пробовал использовать и >>>>DHCP на циске и виндовый DHCP на контроллере, результат одинаковый. Можно >>>>ли каким-нибудь образом передать DHCP серверу значение IP, получаемое в аттрибуте >>>>Framed-IP-Address? Или можно ли как-нибудь по другому назначить статический IP-шник учетной >>>>записи в домене? >>>Неужели никто не может помочь??? >>конфиг покажите > >Switch#sh run >Building configuration... > >Current configuration : 2277 bytes >! >version 12.2 >no service pad >service timestamps debug uptime >service timestamps log uptime >no service password-encryption >! >hostname Switch >! >enable password cisco >! >username cisco password 0 cisco >aaa new-model >aaa authentication dot1x default group radius >aaa authorization network default group radius >aaa accounting delay-start >! >aaa session-id common >ip subnet-zero >! >ip dhcp pool eap >   network 10.10.10.0 255.255.255.0 >   dns-server 10.10.10.10 >! >ip dhcp snooping vlan 1 >ip dhcp snooping >ip address-pool local >! >! >! >dot1x system-auth-control >dot1x critical eapol >no file verify auto >spanning-tree mode pvst >spanning-tree extend system-id >! >vlan internal allocation policy ascending >! >interface FastEthernet0/1 > switchport mode access > switchport nonegotiate > dot1x pae authenticator > dot1x port-control auto > spanning-tree portfast >! >interface FastEthernet0/2 > switchport mode access > switchport nonegotiate > dot1x pae authenticator > dot1x port-control auto > dot1x timeout reauth-period 60 > dot1x reauthentication > spanning-tree portfast >! >interface FastEthernet0/3 >! >interface FastEthernet0/4 >! >interface FastEthernet0/5 >! >interface FastEthernet0/6 >! >interface FastEthernet0/7 >! >interface FastEthernet0/8 >! >interface FastEthernet0/9 >! >interface FastEthernet0/10 >! >interface FastEthernet0/11 >! >interface FastEthernet0/12 >! >interface FastEthernet0/13 >! >interface FastEthernet0/14 >! >interface FastEthernet0/15 >! >interface FastEthernet0/16 >! >interface FastEthernet0/17 >! >interface FastEthernet0/18 >! >interface FastEthernet0/19 >! >interface FastEthernet0/20 >! >interface FastEthernet0/21 >! >interface FastEthernet0/22 >! >interface FastEthernet0/23 >! >interface FastEthernet0/24 >! >interface GigabitEthernet0/1 >! >interface GigabitEthernet0/2 >! >interface Vlan1 > ip address 10.10.10.110 255.255.255.0 > no ip route-cache >! >interface Vlan2 > ip address 10.10.20.110 255.255.255.0 > no ip route-cache >! >ip local pool eap 10.10.10.140 10.10.10.160 >ip http server >radius-server attribute 8 include-in-access-req >radius-server configure-nas >radius-server host 10.10.10.10 auth-port 1812 acct-port 1646 key 123456 >radius-server source-ports 1645-1646 >radius-server authorization default Framed-Protocol ppp >! >control-plane >! >! >line con 0 >line vty 0 4 > password cisco >line vty 5 15 >! >end Я не понимаю, зачем команда ip address-pool local. address-pool            Specify default IP address pooling mechanism Может в этом загвоздка? А в чем смысл этой команды? ip dhcp snooping vlan 1 У Вас приниматься DHCP-offer'ы и DHCP-Acknowledgement'ы будут все равно со всех портов. И еще: dot1x у Вас сейчас может работать только на fast0/2 (я могу ошибаться) на fast0/1 не хватает настроек.
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	5. "Назначение статического IP-адреса при аутентификации по 802...."
	Сообщение от buharaev (??) on 18-Янв-07, 11:53
	>Я не понимаю, зачем команда ip address-pool local. > address-pool           > Specify default IP address pooling mechanism > >Может в этом загвоздка? > Убирл, ничего не изменилось... >А в чем смысл этой команды? ip dhcp snooping vlan 1 >У Вас приниматься DHCP-offer'ы и DHCP-Acknowledgement'ы будут все равно со всех портов. > Это осталось с предыдущего конфига... тоже убрал... > >И еще: dot1x у Вас сейчас может работать только на fast0/2 (я >могу ошибаться) на fast0/1 не хватает настроек. На первом порту dot1x работает, просто он не просит реаутентификации каждую минуту, как на втором. Начинает появляться подозрение, что решение данной задачи невозможно... Может быть хотябы можно радиусу ответить атрибутом Framed-IP-Address, в котором будет содержаться IP адрес, назначенный клиенту по DHCP? Что для этого нужно сделать?
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить	Индекс форумов | Темы | Пред. тема | След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]