802.1x chỉ trên Vlan truy cập, không phải trên Vlan thoại

8

Tôi đã cấu hình thành công Cisco 3750G để thực hiện chức năng xác thực của quy trình 802.1x. Tôi có một máy Win7 thử nghiệm dưới dạng máy thay thế và máy chủ Windows 2008 chạy NPS làm Máy chủ xác thực. Máy Win7 có thể xác thực thành công.

Bây giờ tôi đã kết nối Điện thoại IP Cisco 7941 trước máy Win7, định cấu hình công tắc bằng lệnh vlan giọng nói swtichport , tôi cắm nó vào và nó được cấp nguồn, nhưng cổng nhanh chóng chuyển sang trạng thái xuống. Sau khi xem qua các bản ghi gỡ lỗi, tôi tin rằng vấn đề là một cái gì đó với 802.1x đang cố xác thực trên cả Vlan truy cập và Vlan thoại. Có cách nào để chỉ thực hiện 802.1x trên Access Vlan không? và không phải là tiếng nói?

Kịch bản:

{RADIUS}  <---->   {3750G} <-----> {Cisco 7941 Phone} <----->  {Win7 802.1x client}

Tôi hiện đang thử nghiệm trên giao diện gi1 / 0/3, đây là dòng cấu hình giao diện:

interface GigabitEthernet1/0/3
  description TestPort
  switchport access vlan 100
  switchport voice vlan 110
  switchport mode access
  authentication port-control auto
  authentication periodic
  authentication timer reauthenticate server
  dot1x pae authenticator
  spanning-tree portfast
  auto qos voip cisco-phone

Một số bản sửa lỗi từ 3750G

*Apr 21 13:44:04.045: %ILPOWER-7-DETECT: Interface Gi1/0/3: Power Device detected: IEEE PD
*Apr 21 13:44:04.322: %ILPOWER-5-POWER_GRANTED: Interface Gi1/0/3: Power granted
*Apr 21 13:44:07.811: dot1x-ev(Gi1/0/3): Interface state changed to UP
*Apr 21 13:44:07.811:     dot1x_auth Gi1/0/3: initial state auth_initialize has enter
*Apr 21 13:44:07.811: dot1x-sm(Gi1/0/3): 0x0000003B:auth_initialize_enter called
*Apr 21 13:44:07.811:     dot1x_auth Gi1/0/3: during state auth_initialize, got event 0(cfg_auto)
*Apr 21 13:44:07.811: @@@ dot1x_auth Gi1/0/3: auth_initialize -> auth_disconnected
*Apr 21 13:44:07.811: dot1x-sm(Gi1/0/3): 0x0000003B:auth_disconnected_enter called
*Apr 21 13:44:07.811:     dot1x_auth Gi1/0/3: idle during state auth_disconnected
*Apr 21 13:44:07.811: @@@ dot1x_auth Gi1/0/3: auth_disconnected -> auth_restart
*Apr 21 13:44:07.811: dot1x-sm(Gi1/0/3): 0x0000003B:auth_restart_enter called
*Apr 21 13:44:07.820: dot1x-ev(Gi1/0/3): Sending create new context event to EAP for 0x0000003B (0000.0000.0000)
*Apr 21 13:44:07.820:     dot1x_auth_bend Gi1/0/3: initial state auth_bend_initialize has enter
*Apr 21 13:44:07.820: dot1x-sm(Gi1/0/3): 0x0000003B:auth_bend_initialize_enter called
*Apr 21 13:44:07.820:     dot1x_auth_bend Gi1/0/3: initial state auth_bend_initialize has idle
*Apr 21 13:44:07.820:     dot1x_auth_bend Gi1/0/3: during state auth_bend_initialize, got event 16383(idle)
*Apr 21 13:44:07.820: @@@ dot1x_auth_bend Gi1/0/3: auth_bend_initialize -> auth_bend_idle
*Apr 21 13:44:07.820: dot1x-sm(Gi1/0/3): 0x0000003B:auth_bend_idle_enter called
*Apr 21 13:44:07.820: dot1x-ev(Gi1/0/3): Created a client entry (0x0000003B)
*Apr 21 13:44:07.820: dot1x-ev(Gi1/0/3): Dot1x authentication started for 0x0000003B (0000.0000.0000)
*Apr 21 13:44:07.820: dot1x-ev:DOT1X Supplicant not enabled on GigabitEthernet1/0/3
*Apr 21 13:44:07.820: dot1x-sm(Gi1/0/3): Posting !EAP_RESTART on Client 0x0000003B
*Apr 21 13:44:07.820:     dot1x_auth Gi1/0/3: during state auth_restart, got event 6(no_eapRestart)
*Apr 21 13:44:07.820: @@@ dot1x_auth Gi1/0/3: auth_restart -> auth_connecting
*Apr 21 13:44:07.820: dot1x-sm(Gi1/0/3): 0x0000003B:auth_connecting_enter called
*Apr 21 13:44:07.820: dot1x-sm(Gi1/0/3): 0x0000003B:auth_restart_connecting_action called
*Apr 21 13:44:07.820: dot1x-sm(Gi1/0/3): Posting RX_REQ on Client 0x0000003B
*Apr 21 13:44:07.820:     dot1x_auth Gi1/0/3: during state auth_connecting, got event 10(eapReq_no_reAuthMax)
*Apr 21 13:44:07.820: @@@ dot1x_auth Gi1/0/3: auth_connecting -> auth_authenticating
*Apr 21 13:44:07.820: dot1x-sm(Gi1/0/3): 0x0000003B:auth_authenticating_enter called
*Apr 21 13:44:07.820: dot1x-sm(Gi1/0/3): 0x0000003B:auth_connecting_authenticating_action called
*Apr 21 13:44:07.820: dot1x-sm(Gi1/0/3): Posting AUTH_START for 0x0000003B
*Apr 21 13:44:07.820:     dot1x_auth_bend Gi1/0/3: during state auth_bend_idle, got event 4(eapReq_authStart)
*Apr 21 13:44:07.820: @@@ dot1x_auth_bend Gi1/0/3: auth_bend_idle -> auth_bend_request
*Apr 21 13:44:07.820: dot1x-sm(Gi1/0/3): 0x0000003B:auth_bend_request_enter called
*Apr 21 13:44:07.820: dot1x-ev(Gi1/0/3): Sending EAPOL packet to group PAE address
*Apr 21 13:44:07.820: dot1x-ev(Gi1/0/3): Role determination not required
*Apr 21 13:44:07.820: dot1x-registry:registry:dot1x_ether_macaddr called
*Apr 21 13:44:07.820: dot1x-ev(Gi1/0/3): Sending out EAPOL packet
*Apr 21 13:44:07.820: EAPOL pak dump Tx
*Apr 21 13:44:07.820: EAPOL Version: 0x3  type: 0x0  length: 0x0005
*Apr 21 13:44:07.820: EAP code: 0x1  id: 0x1  length: 0x0005 type: 0x1
*Apr 21 13:44:07.820: dot1x-packet(Gi1/0/3): EAPOL packet sent to client 0x0000003B (0000.0000.0000)
*Apr 21 13:44:07.820: dot1x-sm(Gi1/0/3): 0x0000003B:auth_bend_idle_request_action called
*Apr 21 13:44:09.791: %LINK-3-UPDOWN: Interface GigabitEthernet1/0/3, changed state to up
*Apr 21 13:44:10.798: %LINEPROTO-5-UPDOWN: Line protocol on Interface GigabitEthernet1/0/3, changed state to up
*Apr 21 13:44:36.844: dot1x-ev(Gi1/0/3): Interface state changed to DOWN
*Apr 21 13:44:36.844: dot1x-ev(Gi1/0/3): Deleting client 0x0000003B (0000.0000.0000)
*Apr 21 13:44:36.844: dot1x-ev:dot1x_supp_port_down: No DOT1X subblock found on GigabitEthernet1/0/3
*Apr 21 13:44:36.844: dot1x-ev:Delete auth client (0x0000003B) message
*Apr 21 13:44:36.844: dot1x-ev:Auth client ctx destroyed
*Apr 21 13:44:37.842: %LINEPROTO-5-UPDOWN: Line protocol on Interface GigabitEthernet1/0/3, changed state to down
*Apr 21 13:44:38.841: %LINK-3-UPDOWN: Interface GigabitEthernet1/0/3, changed state to down

Cấu hình giao diện mới nhất: giao diện GigabitEthernet1 / 0/3 truy cập tổng đài truy cập vlan 105 chế độ chuyển mạch truy cập tổng đài thoại vlan 110 srr-queue băng thông chia sẻ 1 30 35 5 ưu tiên hàng đợi xác thực hướng điều khiển trong sự kiện xác thực không hoạt động xác thực đa xác thực mở thứ tự xác thực dot1x mab xác thực ưu tiên mab dot1x mab mls qos thiết bị tin cậy cisco-phone mls qos tin tưởng cos auto qos voip cisco-phone dot1x pae xác thực mở rộng chính sách dịch vụ portfast-port

Cấu hình toàn cầu cha

Gỡ lỗi:

show version
Switch Ports Model              SW Version            SW Image
------ ----- -----              ----------            ----------
*    1 28    WS-C3750G-24PS     15.0(2)SE6            C3750-IPSERVICESK9-M

#show authentication sessions interface gi1/0/3
            Interface:  GigabitEthernet1/0/3
          MAC Address:  Unknown
           IP Address:  Unknown
               Status:  Authz Success
               Domain:  DATA
      Security Policy:  Should Secure
      Security Status:  Unsecure
       Oper host mode:  multi-auth
     Oper control dir:  in
        Authorized By:  Authentication Server
          Vlan Policy:  N/A
      Session timeout:  N/A
         Idle timeout:  N/A
    Common Session ID:  0A6363FE0000001900347F3C
      Acct Session ID:  0x00000020
               Handle:  0x7A00001A

Runnable methods list:
       Method   State
       dot1x    Authc Success
       mab      Not run

#show dot1x all details
Sysauthcontrol              Enabled
Dot1x Protocol Version            3

Dot1x Info for GigabitEthernet1/0/3
-----------------------------------
PAE                       = AUTHENTICATOR
QuietPeriod               = 60
ServerTimeout             = 0
SuppTimeout               = 30
ReAuthMax                 = 2
MaxReq                    = 2
TxPeriod                  = 30

Dot1x Authenticator Client List Empty

show run | in dot1x
aaa authentication dot1x default group RADIUS
dot1x system-auth-control

Bảng điều khiển

Oct 15 20:16:41.392: dot1x-ev(Gi1/0/3): Interface state changed to DOWN
Oct 15 20:16:41.400: dot1x-ev(Gi1/0/3): Deleting client 0x74000003 (0000.0000.0000)
Oct 15 20:16:41.400: dot1x-ev:dot1x_supp_port_down: No DOT1X subblock found on GigabitEthernet1/0/3
Oct 15 20:16:41.400: dot1x-ev:Delete auth client (0x74000003) message
Oct 15 20:16:41.400: dot1x-ev:Auth client ctx destroyedshut
Oct 15 20:16:42.180: %SWITCH_QOS_TB-5-TRUST_DEVICE_LOST: cisco-phone no longer detected on port Gi1/0/3, operational port trust state is now untrusted
Oct 15 20:16:43.363: %LINK-5-CHANGED: Interface GigabitEthernet1/0/3, changed state to administratively down
Oct 15 20:16:44.370: %LINEPROTO-5-UPDOWN: Line protocol on Interface GigabitEthernet1/0/3, changed state tno shut
SW1(config-if)#
Oct 15 20:16:47.801: %ILPOWER-7-DETECT: Interface Gi1/0/3: Power Device detected: IEEE PD
Oct 15 20:16:48.807: %ILPOWER-5-POWER_GRANTED: Interface Gi1/0/3: Power granted
Oct 15 20:16:48.916: %LINK-3-UPDOWN: Interface GigabitEthernet1/0/3, changed state to down
Oct 15 20:16:50.124: dot1x-ev(Gi1/0/3): Interface state changed to UP
Oct 15 20:16:50.133:     dot1x_auth Gi1/0/3: initial state auth_initialize has enter
Oct 15 20:16:50.133: dot1x-sm(Gi1/0/3): 0xD8000004:auth_initialize_enter called
Oct 15 20:16:50.133:     dot1x_auth Gi1/0/3: during state auth_initialize, got event 1(cfg_force_auth)
Oct 15 20:16:50.133: @@@ dot1x_auth Gi1/0/3: auth_initialize -> auth_force_auth
Oct 15 20:16:50.133: dot1x-sm(Gi1/0/3): 0xD8000004:auth_force_auth_enter called
Oct 15 20:16:50.133: dot1x-ev(Gi1/0/3): Sending EAPOL packet to group PAE address
Oct 15 20:16:50.133: dot1x-ev(Gi1/0/3): Role determination not required
Oct 15 20:16:50.133: dot1x-registry:registry:dot1x_ether_macaddr called
Oct 15 20:16:50.133: dot1x-ev(Gi1/0/3): Sending out EAPOL packet
Oct 15 20:16:50.133: EAPOL pak dump Tx
Oct 15 20:16:50.133: EAPOL Version: 0x3  type: 0x0  length: 0x0004
Oct 15 20:16:50.133: EAP code: 0x3  id: 0x1  length: 0x0004
Oct 15 20:16:50.133: dot1x-packet(Gi1/0/3): dot1x_auth_txCannedStatus: EAPOL packet sent to client 0xD8000004 (0000.0000.0000)
Oct 15 20:16:50.133:     dot1x_auth_bend Gi1/0/3: initial state auth_bend_initialize has enter
Oct 15 20:16:50.133: dot1x-sm(Gi1/0/3): 0xD8000004:auth_bend_initialize_enter called
Oct 15 20:16:50.133:     dot1x_auth_bend Gi1/0/3: initial state auth_bend_initialize has idle
Oct 15 20:16:50.133:     dot1x_auth_bend Gi1/0/3: during state auth_bend_initialize, got event 16383(idle)
Oct 15 20:16:50.133: @@@ dot1x_auth_bend Gi1/0/3: auth_bend_initialize -> auth_bend_idle
Oct 15 20:16:50.133: dot1x-sm(Gi1/0/3): 0xD8000004:auth_bend_idle_enter called
Oct 15 20:16:50.133: dot1x-ev(Gi1/0/3): Created a client entry (0xD8000004)
Oct 15 20:16:50.133: dot1x-ev(Gi1/0/3): Dot1x authentication started for 0xD8000004 (0000.0000.0000)
Oct 15 20:16:50.133: dot1x-ev:DOT1X Supplicant not enabled on GigabitEthernet1/0/3
Oct 15 20:16:50.141: dot1x-ev(Gi1/0/3): Sending event (2) to Auth Mgr for 0000.0000.0000
Oct 15 20:16:50.141: dot1x-redundancy: State for client  0000.0000.0000 successfully retrieved
Oct 15 20:16:52.113: %LINK-3-UPDOWN: Interface GigabitEthernet1/0/3, changed state to up
Oct 15 20:16:53.119: %LINEPROTO-5-UPDOWN: Line protocol on Interface GigabitEthernet1/0/3, changed state to up
Oct 15 20:17:34.542: %SWITCH_QOS_TB-5-TRUST_DEVICE_DETECTED: cisco-phone detected on port Gi1/0/3, port's configured trust state is now operational.

Cổng vẫn kết thúc ở trạng thái tắt, nhưng cung cấp năng lượng cho Điện thoại ...

cisco  cisco-catalyst  authentication  ieee-802.1x  mac-auth-bypass 
Jim
nguồn
Thêm các lệnh bổ sung sau, điều này sẽ giải quyết vấn đề của bạn. Đảm bảo rằng MAC của bạn có điện thoại MAC trên NPS - "sự kiện xác thực thất bại trong phương thức tiếp theo" - "xác thực mở" - "ưu tiên xác thực dot1x mab" - "hạn chế vi phạm xác thực" - "mab" - "thời gian chờ dot1x td-period 5 "
Jaxxs
Bạn có thể đăng "sh ver" của bạn?
Jaxxs
Và bạn có thể gửi cấu hình của bạn? Chỉ muốn xem dot1x và AAA toàn cầu của bạn.
Jaxxs
Đã thêm các bản sửa lỗi mới nhất và các cấu hình toàn cầu.
Jim
Có vẻ như Cisco 7941 thực sự hỗ trợ dot1x. Cần định cấu hình này: Chọn Cài đặt> Cấu hình bảo mật> Xác thực 802.1X> Xác thực thiết bị. Xem thêm EAP-MD5 cho SS trong cùng menu.
Jaxxs

Câu trả lời:

4

Bạn sẽ cần định cấu hình xác thực MAB (Mac Auth Bypass) cho điện thoại ip trong giao diện đa vlan. Bạn cũng cần đa auth để chuyển đổi biết tìm nhiều hơn một địa chỉ MAC.

-Authentication host-mode multi-auth

thứ tự xác thực mab dot1x

Jaxx
nguồn
mutli-domain hoặc multi-auth? Tôi đọc rằng đa miền là cần thiết nếu bạn sử dụng hai vlans truy cập và giọng nói khác nhau?
Jim
Khi đa cấu hình được định cấu hình, một điện thoại được xác thực duy nhất được phép trong miền thoại (Vlan), nhưng số lượng thiết bị dữ liệu không giới hạn có thể được xác thực trong miền dữ liệu (Vlan)
Jaxxs
Phát hành một "mab" trên giao diện là tất cả những gì tôi phải làm? Bất cứ ai cũng có bất kỳ liên kết tốt về cách thiết lập này trên phía Windows NPS? Mọi thứ tôi tìm thấy là dành cho Cisco ACS.
Jim
5

802.1x là cổng dựa. Vì vậy, ở dạng đơn giản nhất, cổng có được ủy quyền hoặc không; một khi được ủy quyền - giới hạn MAC sang một bên - lưu lượng truy cập từ bất cứ điều gì sẽ được cho phép. Các hệ thống 802.1x hiện đại thông minh hơn nhiều ("phức tạp hơn") và có thể độc lập cảnh sát nhiều máy chủ trên một cổng. Đây là nơi multi-authmulti-domainđến. (Tham khảo ý kiến ​​của Cisco tại đây )

Như Jaxxs chỉ ra, sự thỏa hiệp duy nhất là cho phép điện thoại truy cập mà không cần xác thực (tức là bằng MAC.) Bởi vì 7941 sẽ không tự thực hiện 802.1x, nhưng sẽ vượt qua EAPOL và "giả" đăng xuất khi cổng PC mất kết nối

(Bỏ qua rằng đó là về NX-OS, đây là cách MAB hoạt động.)

Chùm ngây
nguồn
1

CDP thực sự cần quan tâm đến việc xác thực cổng cho điện thoại IP của Cisco. Có một tính năng ít được biết đến gọi là "Bỏ qua CDP" cho phép chuyển đổi của Cisco phát hiện TLV cụ thể trong thông báo CDP cho phép xác thực ngay lập tức. Tuy nhiên, hãy lưu ý rằng phiên bản mới hơn của Cisco IOS không còn bao gồm tính năng bỏ qua CDP này.

Joe
nguồn
1
Trên bề mặt bỏ qua cdp nghe có vẻ như một lỗ hổng bảo mật và một điều tốt để loại bỏ
Mike Pennington
1

Điện thoại phải có khả năng làm CDP. Nếu công tắc xem điện thoại là hàng xóm CDP, nó sẽ bỏ qua CDP và sẽ không cố gắng xác thực.

Multi-auth là không cần thiết cho một điện thoại. Điều đó sẽ cho phép nhiều máy trong vlan dữ liệu bị tắt theo mặc định và sẽ hiển thị "Vi phạm bảo mật" trong nhật ký.

Đa miền sẽ cho phép một điện thoại xác thực.

Bạn nên cấu hình thứ tự xác thực dot1x mab để thử dot1x trước.

Cũng thêm tự động kiểm soát cổng xác thực.

https://www.cisco.com/c/en/us/td/docs/switches/lan/catalyst3750x_3560x/software/release/12-2_55_se/configuration/guide/3750xscg/sw8021x.html

Dòng Tên
nguồn
Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.