dot1x guest vlan

Problemy z zakresu security (VPN, firewall, IDS/IPS itp.)
Wiadomość
Autor
huar
wannabe
wannabe
Posty: 169
Rejestracja: 28 paź 2008, 21:24

dot1x guest vlan

#1

#1 Post autor: huar »

Witam,

mam dot1x skonfigurowane na porcie z radiusem na windowsie z przydzielaniem danych vlanów. Wszystko chodzi jak loguje się użytkownikiem przypisanym do grupy, przełączam się na drugiego z innej grupy i dostaje następny odpowiedni vlan.

Problem pojawia się gdy loguje się użytkownikiem którego nie mam dodanego do grupy....
powinien trafić na fail vlan 50, a nie przydziela z automatu komputerowi odpowiedniego vlanu!! Pozostaje vlan z poprzedniego dobrego użytkownika lub jak po pierwszym włączeniu brak ip.

Konfiguracja:

Kod: Zaznacz cały

dot1x system-auth-control
dot1x guest-vlan supplicant
!
interface FastEthernet0/1
 switchport mode access
 authentication event fail action authorize vlan 50
 authentication event no-response action authorize vlan 50
 authentication port-control auto
 authentication periodic
 dot1x pae authenticator
 dot1x timeout quiet-period 2
 dot1x timeout tx-period 2
 spanning-tree portfast

Ciekawostka że jak wyjmę kabel i włożę to zautentykuje do dobrego. ale dopiero jak już jestem zalogowany. lub jak zrobie release i renew.

Wygląda to tak że loguje się już windows i lecą timeouty do dot1x i jak już ustawi się port na przełączniku na vlan guest 50 to komputer jest już zalogowany i nie przestawia się na dobry IP.
0A14C868000000220003136A
000044: *Mar 1 00:05:13.733: %DOT1X-5-FAIL: Authentication failed for client (c81f.6604.f2b9) on Interface Fa0/1 AuditSessionID

0A14C868000000220003136A
000045: *Mar 1 00:05:13.733: %AUTHMGR-7-RESULT: Authentication result 'fail' from 'dot1x' for client (c81f.6604.f2b9) on Interface Fa0/1

AuditSessionID 0A14C868000000220003136A
000046: *Mar 1 00:05:19.907: %DOT1X-5-FAIL: Authentication failed for client (c81f.6604.f2b9) on Interface Fa0/1 AuditSessionID

0A14C868000000220003136A
000047: *Mar 1 00:05:19.907: %AUTHMGR-7-RESULT: Authentication result 'timeout' from 'dot1x' for client (c81f.6604.f2b9) on Interface Fa0/1

AuditSessionID 0A14C868000000220003136A
000048: *Mar 1 00:05:19.907: %DOT1X-5-RESULT_OVERRIDE: Authentication result overridden for client (c81f.6604.f2b9) on Interface Fa0/1

AuditSessionID 0A14C868000000220003136A
000049: *Mar 1 00:05:28.086: %DOT1X-5-FAIL: Authentication failed for client (c81f.6604.f2b9) on Interface Fa0/1 AuditSessionID

0A14C868000000220003136A
000050: *Mar 1 00:05:28.086: %AUTHMGR-7-RESULT: Authentication result 'timeout' from 'dot1x' for client (c81f.6604.f2b9) on Interface Fa0/1

AuditSessionID 0A14C868000000220003136A
000051: *Mar 1 00:05:28.128: %AUTHMGR-5-VLANASSIGN: VLAN 50 assigned to Interface Fa0/1 AuditSessionID 0A14C868000000220003136A
000052: *Mar 1 00:05:28.766: %AUTHMGR-5-SUCCESS: Authorization succeeded for client (c81f.6604.f2b9) on Interface Fa0/1 AuditSessionID

0A14C868000000220003136A
000053: *Mar 1 00:05:28.766: %DOT1X-5-RESULT_OVERRIDE: Authentication result overridden for client (c81f.6604.f2b9) on Interface Fa0/1

AuditSessionID 0A14C868000000220003136A
C2960-PO-1#

C2960-PO-1#sh authentication sessions int f0/1
Interface: FastEthernet0/1
MAC Address: c81f.6604.f2b9
IP Address: Unknown
User-Name: DOMAIN\itguest2
Status: Authz Success
Domain: DATA
Oper host mode: single-host
Oper control dir: both
Authorized By: Auth Fail Vlan
Vlan Policy: 50
Session timeout: 3600s (local), Remaining: 3579s
Timeout action: Reauthenticate
Idle timeout: N/A
Common Session ID: 0A14C868000000230006B30B
Acct Session ID: 0x00000033
Handle: 0x90000024

Runnable methods list:
Method State
dot1x Authc Failed

C2960-PO-1#sh dot1x int f0/1
Dot1x Info for FastEthernet0/1
-----------------------------------
PAE = AUTHENTICATOR
QuietPeriod = 2
ServerTimeout = 0
SuppTimeout = 30
ReAuthMax = 2
MaxReq = 2
TxPeriod = 2



C2960-PO-1#sh authentication int f0/1

Client list:
Interface MAC Address Method Domain Status Session ID
Fa0/1 c81f.6604.f2b9 dot1x DATA Authz Success 0A14C868000000230006B30B

Available methods list:
Handle Priority Name
3 0 dot1x
Runnable methods list:
Handle Priority Name
3 0 dot1x
Co może być powodem? czemu się ip na komputerzenie zmienia skoro na przełączniku vlan się zmienił?

huar
wannabe
wannabe
Posty: 169
Rejestracja: 28 paź 2008, 21:24

#2

#2 Post autor: huar »

zrobiłem że po autentykacji komputera wrzuca się port do vlanu guest, to spowodowało że zostaje w guescie jak użytkownika nie zautentykuję się

Lecz jest problem że jak się wylogowuje z guesta to cisza żadnych wiadomości dot1x.

Zostaje w guescie, utyka i nie chce się wydostać

ODPOWIEDZ