mam dot1x skonfigurowane na porcie z radiusem na windowsie z przydzielaniem danych vlanów. Wszystko chodzi jak loguje się użytkownikiem przypisanym do grupy, przełączam się na drugiego z innej grupy i dostaje następny odpowiedni vlan.
Problem pojawia się gdy loguje się użytkownikiem którego nie mam dodanego do grupy....
powinien trafić na fail vlan 50, a nie przydziela z automatu komputerowi odpowiedniego vlanu!! Pozostaje vlan z poprzedniego dobrego użytkownika lub jak po pierwszym włączeniu brak ip.
Konfiguracja:
Kod: Zaznacz cały
dot1x system-auth-control
dot1x guest-vlan supplicant
!
interface FastEthernet0/1
switchport mode access
authentication event fail action authorize vlan 50
authentication event no-response action authorize vlan 50
authentication port-control auto
authentication periodic
dot1x pae authenticator
dot1x timeout quiet-period 2
dot1x timeout tx-period 2
spanning-tree portfast
Ciekawostka że jak wyjmę kabel i włożę to zautentykuje do dobrego. ale dopiero jak już jestem zalogowany. lub jak zrobie release i renew.
Wygląda to tak że loguje się już windows i lecą timeouty do dot1x i jak już ustawi się port na przełączniku na vlan guest 50 to komputer jest już zalogowany i nie przestawia się na dobry IP.
0A14C868000000220003136A
000044: *Mar 1 00:05:13.733: %DOT1X-5-FAIL: Authentication failed for client (c81f.6604.f2b9) on Interface Fa0/1 AuditSessionID
0A14C868000000220003136A
000045: *Mar 1 00:05:13.733: %AUTHMGR-7-RESULT: Authentication result 'fail' from 'dot1x' for client (c81f.6604.f2b9) on Interface Fa0/1
AuditSessionID 0A14C868000000220003136A
000046: *Mar 1 00:05:19.907: %DOT1X-5-FAIL: Authentication failed for client (c81f.6604.f2b9) on Interface Fa0/1 AuditSessionID
0A14C868000000220003136A
000047: *Mar 1 00:05:19.907: %AUTHMGR-7-RESULT: Authentication result 'timeout' from 'dot1x' for client (c81f.6604.f2b9) on Interface Fa0/1
AuditSessionID 0A14C868000000220003136A
000048: *Mar 1 00:05:19.907: %DOT1X-5-RESULT_OVERRIDE: Authentication result overridden for client (c81f.6604.f2b9) on Interface Fa0/1
AuditSessionID 0A14C868000000220003136A
000049: *Mar 1 00:05:28.086: %DOT1X-5-FAIL: Authentication failed for client (c81f.6604.f2b9) on Interface Fa0/1 AuditSessionID
0A14C868000000220003136A
000050: *Mar 1 00:05:28.086: %AUTHMGR-7-RESULT: Authentication result 'timeout' from 'dot1x' for client (c81f.6604.f2b9) on Interface Fa0/1
AuditSessionID 0A14C868000000220003136A
000051: *Mar 1 00:05:28.128: %AUTHMGR-5-VLANASSIGN: VLAN 50 assigned to Interface Fa0/1 AuditSessionID 0A14C868000000220003136A
000052: *Mar 1 00:05:28.766: %AUTHMGR-5-SUCCESS: Authorization succeeded for client (c81f.6604.f2b9) on Interface Fa0/1 AuditSessionID
0A14C868000000220003136A
000053: *Mar 1 00:05:28.766: %DOT1X-5-RESULT_OVERRIDE: Authentication result overridden for client (c81f.6604.f2b9) on Interface Fa0/1
AuditSessionID 0A14C868000000220003136A
C2960-PO-1#
Co może być powodem? czemu się ip na komputerzenie zmienia skoro na przełączniku vlan się zmienił?
C2960-PO-1#sh authentication sessions int f0/1
Interface: FastEthernet0/1
MAC Address: c81f.6604.f2b9
IP Address: Unknown
User-Name: DOMAIN\itguest2
Status: Authz Success
Domain: DATA
Oper host mode: single-host
Oper control dir: both
Authorized By: Auth Fail Vlan
Vlan Policy: 50
Session timeout: 3600s (local), Remaining: 3579s
Timeout action: Reauthenticate
Idle timeout: N/A
Common Session ID: 0A14C868000000230006B30B
Acct Session ID: 0x00000033
Handle: 0x90000024
Runnable methods list:
Method State
dot1x Authc Failed
C2960-PO-1#sh dot1x int f0/1
Dot1x Info for FastEthernet0/1
-----------------------------------
PAE = AUTHENTICATOR
QuietPeriod = 2
ServerTimeout = 0
SuppTimeout = 30
ReAuthMax = 2
MaxReq = 2
TxPeriod = 2
C2960-PO-1#sh authentication int f0/1
Client list:
Interface MAC Address Method Domain Status Session ID
Fa0/1 c81f.6604.f2b9 dot1x DATA Authz Success 0A14C868000000230006B30B
Available methods list:
Handle Priority Name
3 0 dot1x
Runnable methods list:
Handle Priority Name
3 0 dot1x