Wake-On-Lan i 802.1.X

Problemy związane ze switchingiem
Wiadomość
Autor
kojot
member
member
Posty: 19
Rejestracja: 29 cze 2016, 12:43

Wake-On-Lan i 802.1.X

#1

#1 Post autor: kojot »

Hej,
sytaucja przeze mnie zastana goście twierdzą że 3 miesiące temu działało :) ale wydaje mi się że coś kręcą patrząc że żadnych zmian w konfiguracji portów nikt nie robił, no ale trza pomóc coś zaproponować.
więc mam skonfigurowane 802.1x i MAB na porcie switch'a Cisco 2960X do niego podpięty ThinClient. Host w tym wypadku uwierzytelnia się po MAC adresie. Po udanym uwierzytelnieniu port przypisywany jest do VLANu 101 (userzy), adres IP hosta 192.168.10.10/24

Kod: Zaznacz cały

interface GigabitEthernet1/0/38
 description 802.1x
 switchport mode access
 authentication event server dead action reinitialize vlan 101
 authentication order dot1x mab
 authentication port-control auto
 mab
 dot1x pae authenticator
 dot1x timeout quiet-period 3
 dot1x timeout tx-period 3
 no cdp enable
 spanning-tree portfast
end

to działa i jest ok jak user odpala TC.
jak host się wyłączy to port jest widoczny w VLanie 1
Gi1/0/37 802.1x connected 1 a-full a-10 10/100/1000BaseTX

no i teraz mam pytanie jak w takim przypadku odpalić WoL ?
mam serwer w innej podsieci wysyła on magic packet UDP 7 na adres rozgłoszeniowy 192.168.10.255 ( VLAN 101) ale ten port nie znajduje się w tym Vlanie bo host jest off i nie przypisany mu został z radiusa vlan 101.
więc dodawanie ip directed-broadcast na porcie SVI switcha nie ma sensu.
znalazłem dla Extreme takie rozwiązanie https://gtacknowledge.extremenetworks.c ... ake-on-LAN
nie wiem czy Cisco ma podobne.
Ktoś miałby pomysł jak to odpalić ?
mi przychodzi do głowy zrobienie podsieci i vlanu który będzie przypisany do portu przed uwierzytelnieniem.. wtedy broadcast do tej podsieci obudzi TC i on wpadnie do Vlanu 101 - nie wiem tylko czy zadziała i nie można by zrobić tego prościej :)

Pozdr

kojot
member
member
Posty: 19
Rejestracja: 29 cze 2016, 12:43

Re: Wake-On-Lan i 802.1.X

#2

#2 Post autor: kojot »

hmm jeszcze jeden pomysł, przypisać port do VLANu 101 i użyć komendy " access-session control-direction {both | in} "
ktoś może mi wyjaśnić różnicę w komendzie z both i in ? czy przypisanie portu do VLANu 101 który w chwili obecnej zwracany jest przez serwer Radius nie jest przypadkiem niezalecane ?
czy w przypadku takiej konfiguracji może mnie ścigać ktoś od Security :) ?

ewentualnie ten Guest Vlan jakiś robić ....

ODPOWIEDZ