Добрый день.
Столкнулся со странным поведением порта при работе с радиусом и voice vlan.
Свич MES2324P, версия ПО - 4.0.11.1
К порту подключен телефон, через него подключен тонкий клиент.
Vlan для данных - 2, для телефонии - 3
Настройки порта такие:
Код: Выделить всё
asw7(config-if)#do show running-config interface GigabitEthernet1/0/19
interface gigabitethernet1/0/19
dot1x host-mode multi-sessions
dot1x reauthentication
dot1x timeout reauth-period 300
dot1x authentication mac
dot1x port-control auto
switchport general pvid 2
lldp optional-tlv sys-cap
lldp optional-tlv 802.1 pvid enable
lldp optional-tlv 802.1 vlan-name add 3
lldp med enable network-policy poe-pse
lldp med network-policy add 1
lldp med network-policy add 2
lldp med network-policy add 3
switchport mode general
switchport general allowed vlan add 3 tagged
switchport general allowed vlan add 2 untagged
switchport forbidden default-vlan
!
asw7(config-if)#
При подключении устройств авторизованных в радиусе все работает как надо.
Если тонкий клиент не авторизован, то все равно получает доступ к сети!
Радиус отвечает таким
Код: Выделить всё
Login incorrect (eap_md5: Cleartext-Password is required for EAP-MD5 authentication): [7cd30aхххххх/<via Auth-Type = eap>] (from client asw07 port 67 cli 7C-D3-0A-хх-хх-хх) Login BAD
но порт авторизован:
Код: Выделить всё
asw7#show interfaces switchport GigabitEthernet 1/0/19
Added by: D-Default, S-Static, G-GVRP, R-Radius Assigned VLAN, T-Guest VLAN, V-Voice VLAN
Port : gi1/0/19
Port Mode: General
Gvrp Status: disabled
Ingress Filtering: true
Acceptable Frame Type: admitAll
Ingress UnTagged VLAN ( NATIVE ): 2
Protected: Disabled
802.1x state: multi-sessions mode , authorized
Port is member in:
Vlan Name Egress rule Added by
---- -------------------------------- ----------- ----------------
2 - Untagged S
3 - Tagged S
Если верить документации, то
Существует два варианта аутентификации:первый, когда проверка подлинности на основе порта требует аутентификации только одного клиента, чтобы доступ к системе имели все клиенты (режим multiplehosts), второй, когда проверка подлинности требует аутентификации всех подключенных к порту клиентов (режим multiplesessions). Если порт в режиме multiplehosts не проходит аутентификацию, то всем подключенным хостам будет отказано в доступе к ресурсам сети
Возможно я не правильно понял документацию и использовал не тот режим. Ок, меняем на
multi-host. Порт все равно авторизован:
Код: Выделить всё
asw7#show interfaces switchport GigabitEthernet 1/0/19
Added by: D-Default, S-Static, G-GVRP, R-Radius Assigned VLAN, T-Guest VLAN, V-Voice VLAN
Port : gi1/0/19
Port Mode: General
Gvrp Status: disabled
Ingress Filtering: true
Acceptable Frame Type: admitAll
Ingress UnTagged VLAN ( NATIVE ): 2
Protected: Disabled
802.1x state: multi-host mode , authorized
Port is member in:
Vlan Name Egress rule Added by
---- -------------------------------- ----------- ----------------
2 - Untagged S
3 - Tagged S
Подскажите, что я делаю не правильно? Или что свич делает не правильно?