Problem z rozłączaniem dot1x - dynamiczne VLAN'y

Problemy z zakresu security (VPN, firewall, IDS/IPS itp.)
Wiadomość
Autor
KirM
newbie
newbie
Posty: 1
Rejestracja: 20 gru 2020, 19:10

Problem z rozłączaniem dot1x - dynamiczne VLAN'y

#1

#1 Post autor: KirM »

Cześć,

mam problem działaniem dot1x na przełącznikach Cisco.
2 serwery z NPS Windows 2016, przełącznik C9200 oraz 2960x.

Skonfigurowałem przełącznik do działania z dot1x i NPS, i raz mi to działa, a raz nie. Brak jakiegoś schematu czy punktu zaczepienia dlaczego to przestaje działać. Logi nic nie mówią.
Komputer autoryzuje się na podstawie grupy w AD i certyfikatu urządzenia, a drukarka po MAB.

Skonfigurowałem port i wszystko działa, na drugi dzień port przestał działać, wyłączenie i włączenie czasem pomaga, a a czasem nie i trzeba zmieniać konfig interfejsu.

Szczegóły:
--
NPS przydziela VLAN'y na przełączniku, host komputer/laptop uwierzytelnia się za pomocą certyfikatu i grupa w AD, drukarka uwierzytelnia się za pomocą MAB.

Na przełączniku:

Kod: Zaznacz cały

aaa authentication dot1x default group NPS
aaa authorization network default group NPS

Kod: Zaznacz cały

aaa group server radius NPS
 server name NPS1
 server name NPS2
 deadtime 1

Kod: Zaznacz cały

interface GigabitEthernet1/0/1
 switchport mode access
 authentication event fail action next-method
 authentication order mab dot1x
 authentication priority dot1x mab
 authentication port-control auto
 authentication periodic
 authentication timer reauthenticate server
 mab
 dot1x pae authenticator
end
Jak przechwytuje ruch w wiresharku to brak jakiś błędów czy problemów. Najgorsze w tym jest to, że raz to działa a raz nie - losowo.
Czy ktoś miał podobny problem?
Może ktoś ma podobny mechanizm u siebie wdrożony który działa i mógłby się podzielić jak skonfigurował port.
Albo w mojej konfiguracji jest błąd, każda rada na wagę złota.

chunkpunk
wannabe
wannabe
Posty: 55
Rejestracja: 31 mar 2011, 10:40

Re: Problem z rozłączaniem dot1x - dynamiczne VLAN'y

#2

#2 Post autor: chunkpunk »

A jakis default vlan mode acces ?

U mnie tak :

switchport mode access
switchport access vlan 901
authentication event fail action next-method
authentication event server dead action authorize
authentication event server alive action reinitialize
authentication host-mode multi-domain
mab
authentication violation restrict
authentication periodic
authentication timer reauthenticate server
authentication timer inactivity server dynamic
dot1x timeout tx-period 10
spanning-tree portfast
authentication port-control auto
dot1x pae authenticator

Konfiga przelacznika nie chce mi sie listowac
:)

ODPOWIEDZ