Cisco Sw3750 problem z aaa new-model
Cisco Sw3750 problem z aaa new-model
Mam problem z konfiguracja uwierzytelniania na Cisco switchu 3750 (wersja ios ipbase 12.2(25r)sec.
Skonfigurowana jest grupa radius z serwerem, podane porty, hasło. Nadmienię, że na innych switchach (w tym na tym samym modelu z ios ipbase 12.2(55)SE5 działa), oraz na starszych 2950, jak również na jednej ASIE 5520 wszystko działa bez problemu.
Włączając debug na danym switchu widzę, że wychodzi zapytanie do serwera ale jak by nie dostawał odpowiedzi, po czym idzie drugie zapytanie, trzecie i kończy.
Od strony serwera Wireshark pokazuje pytanie od switcha, po czym wysyła odpowiedź. Gdy robię debug dla pakietów udp widzę, że coś przychodzi z serwera na switch. Niestety wygląda tak, jak by switch tego pakietu nie przetwarzał? Czy ktoś może z tym się spotkał?
Jeśli chodzi o serwer to jest to windows 2012 r2 z zainstalowanym NPS.
Skonfigurowana jest grupa radius z serwerem, podane porty, hasło. Nadmienię, że na innych switchach (w tym na tym samym modelu z ios ipbase 12.2(55)SE5 działa), oraz na starszych 2950, jak również na jednej ASIE 5520 wszystko działa bez problemu.
Włączając debug na danym switchu widzę, że wychodzi zapytanie do serwera ale jak by nie dostawał odpowiedzi, po czym idzie drugie zapytanie, trzecie i kończy.
Od strony serwera Wireshark pokazuje pytanie od switcha, po czym wysyła odpowiedź. Gdy robię debug dla pakietów udp widzę, że coś przychodzi z serwera na switch. Niestety wygląda tak, jak by switch tego pakietu nie przetwarzał? Czy ktoś może z tym się spotkał?
Jeśli chodzi o serwer to jest to windows 2012 r2 z zainstalowanym NPS.
Witam.
Do wiadomości - okazało się, że problem mam jeszcze na kilku switchach z tym samym IOS w których nie mogłem zrobić upgradu. Na szczęście taki sam błąd pokazał się w troszkę nowszym IOS ale po mojej interwencji czyli wyrzuceniu wpisu którego nie dawałem:
, gdy wpis wstawiłem z powrotem zadziałało - wpisałem to samo w switchach w których miałem ten sam IOS co w pierwszym poście i wtedy zadziałało - co najlepsze przy wpisaniu
opcji tej nie ma - nieudokumentowana opcja?
Do wiadomości - okazało się, że problem mam jeszcze na kilku switchach z tym samym IOS w których nie mogłem zrobić upgradu. Na szczęście taki sam błąd pokazał się w troszkę nowszym IOS ale po mojej interwencji czyli wyrzuceniu wpisu którego nie dawałem:
Kod: Zaznacz cały
radius-server source-port 1645-1646
Kod: Zaznacz cały
radius-server ?
-
- wannabe
- Posty: 581
- Rejestracja: 27 wrz 2007, 01:13
Dzięki - taka konfiguracja też działa, ale dalej potrzebuję
która też nie jest do pokazania po
Dzięki za radę.
Kod: Zaznacz cały
radius source-port 1645-1646
Kod: Zaznacz cały
radius ?
Dzięki za radę.
-
- wannabe
- Posty: 581
- Rejestracja: 27 wrz 2007, 01:13
Powiem tak. Konfiguracja wygląda na switchu identycznie w dwóch przypadkach.
1. brak jest wpisu:
switch wysyła zapytanie do radiusa - wireshark na serwerze pokazuje Access-Accept, po czym drugi pakiet wysyłany do switcha destination unreachable (port unreachable). Komunikacja pomiędzy switchem i serwerem
switch: 21645 -> serwer: 1812
serwer: 1812 -> switch: 21645
2. jest wpis:
switch wysyła zapytanie, dostaje Access-Accept i wszystko działa. Wireshark na serwerze pokazuje komunikację:
switch:1645 -> serwer 1812
serwer:1812 -> switch:1645
w obu przypadkach użyty jest auth-port 1812 acct-port 1813
po dodaniu wpisu zmienia się jedynie port z którego switch wysyła zapytania i na które dostaje odpowiedź.
Jak powiedziałem wcześniej w tej wersji softu 12.2(25r)SEC brak w podpowiedziach wzmianki o source-port, zarówno po wpisaniu radius, jak i radius-server. Opcja jednak jest przyjmowana przez system, po jej wpisaniu jest w konfigu i wszystko działa
Temat w tym momencie już jako ciekawostka dla kogoś komu by nie chodziło.
Pozrawiam
1. brak jest wpisu:
Kod: Zaznacz cały
radius-server source-port 1645-1646
switch: 21645 -> serwer: 1812
serwer: 1812 -> switch: 21645
2. jest wpis:
Kod: Zaznacz cały
radius-server source-port 1645-1646
switch:1645 -> serwer 1812
serwer:1812 -> switch:1645
w obu przypadkach użyty jest auth-port 1812 acct-port 1813
po dodaniu wpisu zmienia się jedynie port z którego switch wysyła zapytania i na które dostaje odpowiedź.
Jak powiedziałem wcześniej w tej wersji softu 12.2(25r)SEC brak w podpowiedziach wzmianki o source-port, zarówno po wpisaniu radius, jak i radius-server. Opcja jednak jest przyjmowana przez system, po jej wpisaniu jest w konfigu i wszystko działa
Temat w tym momencie już jako ciekawostka dla kogoś komu by nie chodziło.
Pozrawiam