Dot1x | 12.2(55)SE3
Dot1x | 12.2(55)SE3
Mam taki problem, że nie dostaje autoryzacji na radiusie ze switchy o sofcie 12.2(55)SE3. ACS nie widzi wogóle użytkowników, kompy są na pewno ok, bo Ci sami ludzie po WLC są autoryzowani. W innej lokalizacji na sofcie 15.0(2)SE niema tego problemu, jakieś inne pomysły oprócz upgradu softu?
W W7 usługa "autokonfiguracja sieci bezprzewodowej" jest standartowo właczona w przeciwieństwie do usługi "autokonfiguracja sieci przewodowej", co powoduje że do1x na wifi działa a na kablu nie. Sprawdziłeś to?
“Two possibilities exist: either we are alone in the Universe or we are not. Both are equally terrifying.” - A.C.Clark
sprawdzałeś bug list?natash pisze:Na CDA po CLI widzę logi, ale nie widzę wpisów po WEB na CDA, czyli jest coś nie tak z jakimś polem...
podeślij config odnośnie dot1x-a na tym switchu.
ML
-------------------------------------------------------------------------------------
"Minds are like parachutes, they work best when they are open"
-------------------------------------------------------------------------------------
"Minds are like parachutes, they work best when they are open"
Jak porównam logi na CDA z switchy z softem 1.50 vs 1.22 to brakuje mi linii:
Config:
Kod: Zaznacz cały
syslog-request={cisco:Cisco-AVPair=entity-attr:op=remove, cisco:Cisco-AVPair=entity-attr:value:time-stamp=2015-08-19T09:14:36Z, cisco:Cisco-AVPair=entity-attr:entity-id:ip=X.X.X.X}
Kod: Zaznacz cały
aaa authentication dot1x default group radius
aaa authorization network default group radius
aaa accounting dot1x default start-stop group radius
ip radius source-interface VlanXXX
radius-server dead-criteria time 5 tries 2
radius-server host X.X.X.X auth-port 1812 acct-port 1813 key 7 XXXXXX
radius-server host X.X.X.X auth-port 1812 acct-port 1813 key 7 XXXXXXX
radius-server host X.X.X.X auth-port 1812 acct-port 1813 key 7 XXXXXX
radius-server deadtime 5
radius-server vsa send accounting
radius-server vsa send authentication
interface GigabitEthernet1/0/25
switchport access vlan 50
switchport mode access
switchport voice vlan 900
switchport port-security maximum 10
no logging event link-status
authentication event fail action authorize vlan 800
authentication event server dead action reinitialize vlan 800
authentication event no-response action authorize vlan 800
authentication event server alive action reinitialize
authentication host-mode multi-domain
authentication port-control auto
mab
dot1x pae authenticator
dot1x timeout tx-period 3
storm-control broadcast level 10.00 5.00
storm-control multicast level 10.00 5.00
storm-control action shutdown
spanning-tree portfast
spanning-tree bpduguard enable
spanning-tree guard root
ip dhcp snooping limit rate 100
ip dhcp snooping trust
end
brakuje mi lub nie widzę w konfiguracji globalej:
Kod: Zaznacz cały
dot1x system-auth-control
Pozdrawiam
Grzegorz
Grzegorz
Tak jak mówi Grzegorz. Nie wiem co dokładnie robisz na ACS ale ja bym jeszcze dorzucił:Grzegorz pisze:brakuje mi lub nie widzę w konfiguracji globalej:
Kod: Zaznacz cały
dot1x system-auth-control
Kod: Zaznacz cały
ip device tracking
Kod: Zaznacz cały
authentication port-control auto - to masz , przegapiłem ...
authentication order mab dot1x
ML
-------------------------------------------------------------------------------------
"Minds are like parachutes, they work best when they are open"
-------------------------------------------------------------------------------------
"Minds are like parachutes, they work best when they are open"