О деактивации форума Eltex

Уважаемые коллеги! В связи с потерей актуальности данного ресурса, нами было принято решение о частичной деактивации форума Eltex. Мы отключили функции регистрации и создания новых тем, а также возможность оставлять сообщения. Форум продолжит работу в "режиме чтения", так как за долгие годы работы здесь накопилось много полезной информации и ответов на часто встречающиеся вопросы.

Мы активно развиваем другие каналы коммуникаций, которые позволяют более оперативно и адресно консультировать наших клиентов. Если у вас возникли вопросы по работе оборудования, вы можете обратиться в техническую поддержку Eltex, воспользовавшись формой обращения на сайте компании или оставить заявку в системе Service Desk. По иным вопросам проконсультируют наши менеджеры коммерческого отдела: eltex@eltex-co.ru.

802.1x и voice vlan

MES, ESR
aleksandr__k
Сообщения: 43
Зарегистрирован: 16 ноя 2015 23:56
Reputation: 0
Откуда: Санкт-Петербург

802.1x и voice vlan

Сообщение aleksandr__k » 26 сен 2016 02:08

Здравствуйте!

Подскажите, есть ли возможность использовать на порту одновременно авторизацию клиентов по 802.1x и раздавать ip телефонам voice vlan.

Например на порту настроен 802.1x и клиент авторизуется на радиус сервере, а если в этот же порт воткнуть телефон, он получит заданный voice vlan по маске mac.

Спасибо.

Евгений Т
Сообщения: 1613
Зарегистрирован: 18 мар 2013 09:48
Reputation: 7
Откуда: Элтекс

Re: 802.1x и voice vlan

Сообщение Евгений Т » 27 сен 2016 12:36

Добрый день

vlan database
vlan 100,200,300
exit
dot1x system-auth-control
aaa authentication dot1x default radius none
radius-server host 192.168.1.10 encrypted key da90833f59be
!
voice vlan aging-timeout 600
voice vlan oui-table add 001c25 PC
voice vlan id 300
voice vlan state oui-enabled
voice vlan cos 5
!
interface gigabitethernet 1/0/17
switchport mode general
switchport general allowed vlan add 100 untagged
voice vlan enable
switchport general pvid 100
dot1x guest-vlan enable
dot1x reauthentication
dot1x timeout reauth-period 300
dot1x port-control auto
exit
!
interface vlan 100
ip address 192.168.1.20 255.255.255.0
exit
!
interface vlan 200
dot1x guest-vlan
exit
Евгений Тур / Элтекс / Сервисный центр ШПД / https://eltex-co.ru/support/

aleksandr__k
Сообщения: 43
Зарегистрирован: 16 ноя 2015 23:56
Reputation: 0
Откуда: Санкт-Петербург

Re: 802.1x и voice vlan

Сообщение aleksandr__k » 27 сен 2016 15:49

Возможно что-то упустил, но voice не работает.

voice vlan aging-timeout 600
voice vlan oui-table add 001565
voice vlan id 17
voice vlan state oui-enabled
voice vlan cos 5

Конфигурация порта немного другая, влан раздает радиус, в этом проблем нет, все работает, но телефонам постоянно ставится guest-vlan

switchport mode general
dot1x guest-vlan enable
dot1x reauthentication
dot1x radius-attributes vlan
dot1x port-control auto
dot1x host-mode multi-sessions
spanning-tree portfast
voice vlan enable


Даже если просто настроить на порту:

switchport mode general
voice vlan enable

телефон вообще не получает адрес

Прошу помощи.
Спасибо.

Евгений Т
Сообщения: 1613
Зарегистрирован: 18 мар 2013 09:48
Reputation: 7
Откуда: Элтекс

Re: 802.1x и voice vlan

Сообщение Евгений Т » 27 сен 2016 16:25

Покажите с этого интерфейса
sh interfaces switchport gi 0/xxx
Евгений Тур / Элтекс / Сервисный центр ШПД / https://eltex-co.ru/support/

aleksandr__k
Сообщения: 43
Зарегистрирован: 16 ноя 2015 23:56
Reputation: 0
Откуда: Санкт-Петербург

Re: 802.1x и voice vlan

Сообщение aleksandr__k » 27 сен 2016 17:42

Port : gi1/0/11
Port Mode: General
Gvrp Status: disabled
Ingress Filtering: true
Acceptable Frame Type: all
Ingress UnTagged VLAN ( NATIVE ): 1
Protected: Disabled

Port is member in:

Vlan Name Egress rule Port Membership Type
---- -------------------------------- ----------- --------------------
24 - Untagged Dynamic


Forbidden VLANS:
Vlan Name
---- --------------------------------


Classification rules:

Protocol based VLANs:
Group ID Vlan ID
------------ -------


Mac based VLANs:
Group ID Vlan ID
------------ -------


Subnet based VLANs:
Group ID Vlan ID
------------ -------

aleksandr__k
Сообщения: 43
Зарегистрирован: 16 ноя 2015 23:56
Reputation: 0
Откуда: Санкт-Петербург

Re: 802.1x и voice vlan

Сообщение aleksandr__k » 27 сен 2016 17:44

Соответственно 24 vlan это гостевой, выданный автоматически

Евгений Т
Сообщения: 1613
Зарегистрирован: 18 мар 2013 09:48
Reputation: 7
Откуда: Элтекс

Re: 802.1x и voice vlan

Сообщение Евгений Т » 27 сен 2016 17:45

При этом с OUI 001565 пакеты на порт прилетают? Какой MAC адрес у IP телефона?
Евгений Тур / Элтекс / Сервисный центр ШПД / https://eltex-co.ru/support/

aleksandr__k
Сообщения: 43
Зарегистрирован: 16 ноя 2015 23:56
Reputation: 0
Откуда: Санкт-Петербург

Re: 802.1x и voice vlan

Сообщение aleksandr__k » 27 сен 2016 17:55

mac 00-15-65-51-6e-39

Wireshark ничего не регистрирует

Евгений Т
Сообщения: 1613
Зарегистрирован: 18 мар 2013 09:48
Reputation: 7
Откуда: Элтекс

Re: 802.1x и voice vlan

Сообщение Евгений Т » 27 сен 2016 17:58

Где смотрите вайршарком? не регистрирует, значит запросы не прилетают? Если запросы не прилетают, то на основе чего на порт будет добавлен voice vlan?
Евгений Тур / Элтекс / Сервисный центр ШПД / https://eltex-co.ru/support/

aleksandr__k
Сообщения: 43
Зарегистрирован: 16 ноя 2015 23:56
Reputation: 0
Откуда: Санкт-Петербург

Re: 802.1x и voice vlan

Сообщение aleksandr__k » 27 сен 2016 18:18

Извеняюсь, смотрел не там, потому как на access порту он адрес получает, но запросов я не вижу. Попробую сделать зеркалирование трафика и с ноута посмотреть.

aleksandr__k
Сообщения: 43
Зарегистрирован: 16 ноя 2015 23:56
Reputation: 0
Откуда: Санкт-Петербург

Re: 802.1x и voice vlan

Сообщение aleksandr__k » 27 сен 2016 19:57

Да пакеты прилетают от XiamenYe_51:6e:39 (00:15:65:51:6e:39)

Евгений Т
Сообщения: 1613
Зарегистрирован: 18 мар 2013 09:48
Reputation: 7
Откуда: Элтекс

Re: 802.1x и voice vlan

Сообщение Евгений Т » 28 сен 2016 15:42

Проверил работу функционала. 802.1x совместно с voice vlan в текущей версии ПО не работает.
Это критично для вас?
Евгений Тур / Элтекс / Сервисный центр ШПД / https://eltex-co.ru/support/

aleksandr__k
Сообщения: 43
Зарегистрирован: 16 ноя 2015 23:56
Reputation: 0
Откуда: Санкт-Петербург

Re: 802.1x и voice vlan

Сообщение aleksandr__k » 28 сен 2016 16:17

Спасибо за проверку. Очень хотелось бы видеть подобный функционал.
На предприятии стоит задача внедрения радиуса, проводить авторизацию телефонов по mac достаточно трудоемко, поэтому решили вынести в voice по маске. Стоит ли ожидать внедрения данного или подобного решения 802.1x + voice vlan?

Евгений Т
Сообщения: 1613
Зарегистрирован: 18 мар 2013 09:48
Reputation: 7
Откуда: Элтекс

Re: 802.1x и voice vlan

Сообщение Евгений Т » 28 сен 2016 16:39

Рассмотрим реализацию в будущих версиях ПО. На первый взгляд проблем возникнуть не должно.
Сообщите в ЛС название вашей компании, город и ваши контактные данные. (требуется для создания заявки на доработку).
Евгений Тур / Элтекс / Сервисный центр ШПД / https://eltex-co.ru/support/

befusda
Сообщения: 3
Зарегистрирован: 10 май 2017 13:32
Reputation: 0

Re: 802.1x и voice vlan

Сообщение befusda » 27 дек 2017 08:34

Евгений Т писал(а):Рассмотрим реализацию в будущих версиях ПО. На первый взгляд проблем возникнуть не должно.
Сообщите в ЛС название вашей компании, город и ваши контактные данные. (требуется для создания заявки на доработку).

Добрый день Евгений, Подскажите решился ли данный вопрос. В настоящий момент решаю подобную задачу, наша компания закупает коммутаторы ELTEX, и поставлена задача анализа возможности внедрения 802.1x. В частности динамическое размещение сессии пользователей в необходимый vlan. Соответственно у нас так же есть IP-телефония. За телефонами частенько подключаются ПК. Соответствено два вопроса:
1) При передачи от радиуса на успешную авторизацию атрибутов :
Egress-VLANID = 0x310000ac (tagged VLAN 172 телефония)
Egress-VLAN-Name = 1VoIP
Ingress-Filters = Enable

Кммутатор Eltex 2124 выдает сообщение о том что ответ radius сервера не содержит информации о VLAN ID. Есть ли поддержка в данном коммутаторе RFC 4675 ?
2) Как с помощью радиус можно организовать работу IP-телефонии на вашем оборудовании. Например если я возвращаю пустой ответ успешной авторизации на коммутаторах HP то Телефон помещается в Voice VLAN, а для ПК передается не тегированый валан, и все успешно работает. При попытке реализовать данную схему на коммутаторах Eltex выдает ту же ошибку, о том что ответ радиус не содержит информацию о VLAN. Если на коммутаторе выключаю опцию dot1x radius-attributes vlan, то на порту назначается VLAN последнего авторизованого клиента. Конфигурации ниже.

Код: Выделить всё

Voice vlan oui-table add 000a6b
voice vlan id 172
voice vlan state oui-enabled

dot1x system-auth-contorl
dot1x mac-authentication format username lowercase separator - groupsize 2
aaa authentication enable default radius enable
aaa authentication login default radius local
aaa authentication mode break
radius-server host 10.0.252.197 key xxxxxxxxxxx

interface gigabitethernet 1/0/4
dot1x guest-vlan enable
dot1x reauthentication
dot1x timeout reauth-period 300
dot1x mac-authentication mac-only
dot1x radius-attributes vlan
dot1x port-control auto
dot1x host-mode multi-sessions
exit

interface vlan 161
name net-161
dot1x guest-vlan
exit

interface vlan 162
exit

interface vlan 172
name VoIP
exit



/etc/freeradius/3.0/user

Код: Выделить всё

DEFAULT Ldap-Group == ""Domain Admins"
  Framed-Protocol = PPP,
  Service-Type = Administrative-user,
  cisco-avpair = "shell:priv-lvl=15"
 
 DEFAULT Ldap-Group == "VoIP"
   Egress-VLANID = 0x310000ac,
   Egress-VLAN-Name = 1VoIP,
   Ingress-Filters = Enabled
   
DEFAULT Ldap-Group = "nap-net-1"
  Framed-Protocol = PPP,
  Service-Type = Framed-User,
  Tunnel-Type = VLAN,
  Tunnel-Medium-Type = IEEE-802,
  Tunnel-Private-Group-ID = 162

DEFAULT Auth-Type := Reject
   Reply-Message = "Account not found"


Вернуться в «Коммутаторы и маршрутизаторы Ethernet»

Кто сейчас на конференции

Сейчас этот форум просматривают: Bing [Bot] и 24 гостя