Tình hình:
Tôi đang cố gắng để có được 802.1X làm việc cho tôi. Tôi muốn máy chủ RADIUS tự động gán Vlan cho các cổng dựa trên thuộc tính trả lời RADIUS cho người dùng cụ thể. Tôi có bộ chuyển đổi HP E2620 và máy chủ FreeRADIUS. Người thay thế là một máy Windows 8.1
Tôi đã đề cập đến tài liệu này trên trang web freeradius.
Những gì tôi đã làm cho đến nay:
Trên FreeRADIUS tôi đã tạo một người dùng với các tham số như vậy:
dot1xtest User-Password := "secret"
Tunnel-Type = "VLAN",
Tunnel-Medium-Type = "IEEE-802",
Tunnel-Private-Group-ID = "100"
Tôi cũng đã thử Tunnel-Pvt-Group-ID
thay thế, nhưng nó không hoạt động trên FreeRADIUS, chỉ sủa vào tôi (tôi đã thấy điều này trên các tài nguyên để định cấu hình trên Microsoft NPS, một trong số này ). Ngoài ra, tôi đã thử các giá trị "802", 802, 6 cho loại phương tiện đường hầm.
Ngoài ra, tôi đã cố gắng sử dụng tên Vlan thực tế thay vì Vlan-ID làm giá trị ID nhóm. Dù sao kiểu dữ liệu của nó là chuỗi.
Tôi đã cấu hình công tắc HP để sử dụng máy chủ RADIUS này cho AAA và thiết lập công tắc này cho cổng 10:
aaa port-access gvrp-vlans
aaa authentication port-access eap-radius
aaa port-access authenticator 10
aaa port-access authenticator 10 auth-vid 150
aaa port-access authenticator 10 unauth-vid 200
aaa port-access authenticator active
Vlan:
VLAN 100 - VLAN which I want to get after authentication.
VLAN 150 - VLAN which I get now, because my config is not working
VLAN 200 - Unauthorized VLAN which is used on auth. failure
Ghi chú:
Cổng 10 cũng có Vlan 150 chưa được gán cho nó :
vlan 150 untagged 10
. Và tôi không thể thoát khỏi sự phân công tĩnhTất cả các Vlan được liệt kê ở trên đều có trong cơ sở dữ liệu Vlan của switch.
Bất cứ khi nào tôi cắm vào cổng này, nó sẽ hỏi tôi thông tin đăng nhập; Sau khi tôi thành công với xác thực, nó chỉ gửi tôi đến Vlan150 và nếu tôi thất bại, tôi sẽ truy cập Vlan200.
Tôi đã kích hoạt xác thực 802.1X trên kết nối Windows giống như được mô tả ở đây .
Tôi đã thử kích hoạt GVRP - nó không thay đổi bất cứ điều gì
Đầu ra lệnh chẩn đoán / hiển thị:
Gán tĩnh Vlan cho Cổng 10. Vlan 150 không được gắn thẻ
SW # show vlans ports 10 detail
Status and Counters - VLAN Information - for ports 10
VLAN ID Name | Status Voice Jumbo Mode
------- -------------------------------- + ---------- ----- ----- --------
150 VLAN150 | Port-based No No Untagged
Trong show logging
tôi thấy điều này:
I 08/28/14 08:29:24 00077 ports: port 10 is now off-line
I 08/28/14 08:29:29 00435 ports: port 10 is Blocked by AAA
I 08/28/14 08:29:29 00435 ports: port 10 is Blocked by STP
I 08/28/14 08:29:29 00076 ports: port 10 is now on-line
I 08/28/14 08:29:29 00001 vlan: VLAN200 virtual LAN enabled
I 08/28/14 08:29:29 00435 ports: port 10 is Blocked by AAA
I 08/28/14 08:29:29 00002 vlan: UNUSED virtual LAN disabled
I 08/28/14 08:29:29 00435 ports: port 10 is Blocked by STP
I 08/28/14 08:29:29 00076 ports: port 10 is now on-line
I 08/28/14 08:29:29 00001 vlan: UNUSED virtual LAN enabled
I 08/28/14 08:29:47 00002 vlan: UNUSED virtual LAN disabled
show port-access authenticator
đầu ra:
SW # show port-access authenticator
Port Access Authenticator Status
Port-access authenticator activated [No] : Yes
Allow RADIUS-assigned dynamic (GVRP) VLANs [No] : Yes
Auths/ Unauth Untagged Tagged % In RADIUS Cntrl
Port Guests Clients VLAN VLANs Port COS Limit ACL Dir
---- ------- ------- -------- ------ --------- ----- ------ -----
10 1/0 0 150 No No No No both
Kiểm tra người dùng RADIUS:
Linux-server # radtest dot1xtest secret localhost 0 secretkey
Sending Access-Request of id 158 to 127.0.0.1 port 1812
User-Name = "dot1xtest"
User-Password = "secret"
NAS-IP-Address = 127.0.0.1
NAS-Port = 0
Message-Authenticator = 0x00000000000000000000000000000000
rad_recv: Access-Accept packet from host 127.0.0.1 port 1812, id=158, length=37
Tunnel-Type:0 = VLAN
Tunnel-Medium-Type:0 = 802
Tunnel-Private-Group-Id:0 = "100"
Đây là những gì tôi thấy trong TCPdump trên máy chủ RADIUS. Tôi đã chụp lưu lượng truy cập UDP đi với cổng nguồn 1812. Đó là những gì công tắc của tôi nhận được (nếu thực tế, không biết cách kiểm tra ...)
Tunnel Type Attribute (64), length: 6, Value: Tag[Unused]#13
0x0000: 0000 000d
Tunnel Medium Attribute (65), length: 6, Value: Tag[Unused]802
0x0000: 0000 0006
Tunnel Private Group Attribute (81), length: 5, Value: 100
0x0000: 3130 30
Gỡ lỗi:
debug security radius-server
debug security port-access authenticator
debug destination buffer
Sau đó tôi rút phích cắm và cắm cáp và đã làm show debug buffer
và đây là bản sao dán của nó . Thật kỳ lạ, không có gì được nói về bất kỳ quy kết nào liên quan đến Vlan.
Câu hỏi:
Tôi đang làm gì sai?
Tôi đã đọc trong một loạt các tài nguyên rằng nếu RADIUS chỉ định một công tắc Vlan ID sẽ sử dụng tài nguyên đó ở vị trí đầu tiên. Sau đó, nó rơi trở lại Vlan ủy quyền được định cấu hình cho Trình xác thực truy cập cổng nếu xác thực thành công. Nếu không có, nó gán Vlan không được cấu hình trên cổng. Tại sao tôi không có hành vi đó?
Tôi bắt đầu nghĩ rằng thuộc tính Tunnel-Private-Group-Id
không được hỗ trợ trên các thiết bị chuyển mạch này. Dường như mọi tài nguyên đều đề cập đến Tunnel-Pvt-Group-Id
thay vào đó (cấu hình trên Microsoft). Quá tệ, tôi không có Windows Server để kiểm tra.
Có lẽ nó liên quan đến phần sụn? Chưa thử nâng cấp, tôi sử dụng RA_15_06_0009.swi và đã có RA_15_14_0007.swi ngoài đó rồi
Cập nhật
Chỉ cần thử trên một 3500yl-24G-PWR
mô hình và vẫn không hoạt động. Vì vậy, tôi đoán, các công tắc chỉ không nhận cấu hình từ máy chủ RADIUS (hoặc tôi đã sử dụng các thuộc tính hoặc toán tử không chính xác?). Làm thế nào tôi có thể khắc phục sự cố đó?
aaa port-access authenticator 10 auth-vid 150
tuyên bố. IIRC, điều này sẽ cho biết công tắc sử dụng 150 cho các thiết bị được xác thực trừ khi nó nhận được giá trị khác với RADIUS. Không có điều này, tôi nghi ngờ nó sẽ chỉ sử dụng giá trị cổng được cấu hình. Không đăng bài như một câu trả lời vì tôi đang làm việc mất trí nhớ và ngày nay nó thường thất bại. Nếu nó hoạt động, cho tôi biết và tôi sẽ đăng dưới dạng câu trả lời.