О деактивации форума Eltex
Уважаемые коллеги! В связи с потерей актуальности данного ресурса, нами было принято решение о частичной деактивации форума Eltex. Мы отключили функции регистрации и создания новых тем, а также возможность оставлять сообщения. Форум продолжит работу в "режиме чтения", так как за долгие годы работы здесь накопилось много полезной информации и ответов на часто встречающиеся вопросы.
Мы активно развиваем другие каналы коммуникаций, которые позволяют более оперативно и адресно консультировать наших клиентов. Если у вас возникли вопросы по работе оборудования, вы можете обратиться в техническую поддержку Eltex, воспользовавшись формой обращения на сайте компании или оставить заявку в системе Service Desk. По иным вопросам проконсультируют наши менеджеры коммерческого отдела: eltex@eltex-co.ru.
Уважаемые коллеги! В связи с потерей актуальности данного ресурса, нами было принято решение о частичной деактивации форума Eltex. Мы отключили функции регистрации и создания новых тем, а также возможность оставлять сообщения. Форум продолжит работу в "режиме чтения", так как за долгие годы работы здесь накопилось много полезной информации и ответов на часто встречающиеся вопросы.
Мы активно развиваем другие каналы коммуникаций, которые позволяют более оперативно и адресно консультировать наших клиентов. Если у вас возникли вопросы по работе оборудования, вы можете обратиться в техническую поддержку Eltex, воспользовавшись формой обращения на сайте компании или оставить заявку в системе Service Desk. По иным вопросам проконсультируют наши менеджеры коммерческого отдела: eltex@eltex-co.ru.
802.1x и voice vlan
-
- Сообщения: 43
- Зарегистрирован: 16 ноя 2015 23:56
- Reputation: 0
- Откуда: Санкт-Петербург
802.1x и voice vlan
Здравствуйте!
Подскажите, есть ли возможность использовать на порту одновременно авторизацию клиентов по 802.1x и раздавать ip телефонам voice vlan.
Например на порту настроен 802.1x и клиент авторизуется на радиус сервере, а если в этот же порт воткнуть телефон, он получит заданный voice vlan по маске mac.
Спасибо.
Подскажите, есть ли возможность использовать на порту одновременно авторизацию клиентов по 802.1x и раздавать ip телефонам voice vlan.
Например на порту настроен 802.1x и клиент авторизуется на радиус сервере, а если в этот же порт воткнуть телефон, он получит заданный voice vlan по маске mac.
Спасибо.
Re: 802.1x и voice vlan
Добрый день
vlan database
vlan 100,200,300
exit
dot1x system-auth-control
aaa authentication dot1x default radius none
radius-server host 192.168.1.10 encrypted key da90833f59be
!
voice vlan aging-timeout 600
voice vlan oui-table add 001c25 PC
voice vlan id 300
voice vlan state oui-enabled
voice vlan cos 5
!
interface gigabitethernet 1/0/17
switchport mode general
switchport general allowed vlan add 100 untagged
voice vlan enable
switchport general pvid 100
dot1x guest-vlan enable
dot1x reauthentication
dot1x timeout reauth-period 300
dot1x port-control auto
exit
!
interface vlan 100
ip address 192.168.1.20 255.255.255.0
exit
!
interface vlan 200
dot1x guest-vlan
exit
Евгений Тур / Элтекс / Сервисный центр ШПД / https://eltex-co.ru/support/
-
- Сообщения: 43
- Зарегистрирован: 16 ноя 2015 23:56
- Reputation: 0
- Откуда: Санкт-Петербург
Re: 802.1x и voice vlan
Возможно что-то упустил, но voice не работает.
voice vlan aging-timeout 600
voice vlan oui-table add 001565
voice vlan id 17
voice vlan state oui-enabled
voice vlan cos 5
Конфигурация порта немного другая, влан раздает радиус, в этом проблем нет, все работает, но телефонам постоянно ставится guest-vlan
switchport mode general
dot1x guest-vlan enable
dot1x reauthentication
dot1x radius-attributes vlan
dot1x port-control auto
dot1x host-mode multi-sessions
spanning-tree portfast
voice vlan enable
Даже если просто настроить на порту:
switchport mode general
voice vlan enable
телефон вообще не получает адрес
Прошу помощи.
Спасибо.
voice vlan aging-timeout 600
voice vlan oui-table add 001565
voice vlan id 17
voice vlan state oui-enabled
voice vlan cos 5
Конфигурация порта немного другая, влан раздает радиус, в этом проблем нет, все работает, но телефонам постоянно ставится guest-vlan
switchport mode general
dot1x guest-vlan enable
dot1x reauthentication
dot1x radius-attributes vlan
dot1x port-control auto
dot1x host-mode multi-sessions
spanning-tree portfast
voice vlan enable
Даже если просто настроить на порту:
switchport mode general
voice vlan enable
телефон вообще не получает адрес
Прошу помощи.
Спасибо.
Re: 802.1x и voice vlan
Покажите с этого интерфейса
sh interfaces switchport gi 0/xxx
sh interfaces switchport gi 0/xxx
Евгений Тур / Элтекс / Сервисный центр ШПД / https://eltex-co.ru/support/
-
- Сообщения: 43
- Зарегистрирован: 16 ноя 2015 23:56
- Reputation: 0
- Откуда: Санкт-Петербург
Re: 802.1x и voice vlan
Port : gi1/0/11
Port Mode: General
Gvrp Status: disabled
Ingress Filtering: true
Acceptable Frame Type: all
Ingress UnTagged VLAN ( NATIVE ): 1
Protected: Disabled
Port is member in:
Vlan Name Egress rule Port Membership Type
---- -------------------------------- ----------- --------------------
24 - Untagged Dynamic
Forbidden VLANS:
Vlan Name
---- --------------------------------
Classification rules:
Protocol based VLANs:
Group ID Vlan ID
------------ -------
Mac based VLANs:
Group ID Vlan ID
------------ -------
Subnet based VLANs:
Group ID Vlan ID
------------ -------
Port Mode: General
Gvrp Status: disabled
Ingress Filtering: true
Acceptable Frame Type: all
Ingress UnTagged VLAN ( NATIVE ): 1
Protected: Disabled
Port is member in:
Vlan Name Egress rule Port Membership Type
---- -------------------------------- ----------- --------------------
24 - Untagged Dynamic
Forbidden VLANS:
Vlan Name
---- --------------------------------
Classification rules:
Protocol based VLANs:
Group ID Vlan ID
------------ -------
Mac based VLANs:
Group ID Vlan ID
------------ -------
Subnet based VLANs:
Group ID Vlan ID
------------ -------
-
- Сообщения: 43
- Зарегистрирован: 16 ноя 2015 23:56
- Reputation: 0
- Откуда: Санкт-Петербург
Re: 802.1x и voice vlan
Соответственно 24 vlan это гостевой, выданный автоматически
Re: 802.1x и voice vlan
При этом с OUI 001565 пакеты на порт прилетают? Какой MAC адрес у IP телефона?
Евгений Тур / Элтекс / Сервисный центр ШПД / https://eltex-co.ru/support/
-
- Сообщения: 43
- Зарегистрирован: 16 ноя 2015 23:56
- Reputation: 0
- Откуда: Санкт-Петербург
Re: 802.1x и voice vlan
mac 00-15-65-51-6e-39
Wireshark ничего не регистрирует
Wireshark ничего не регистрирует
Re: 802.1x и voice vlan
Где смотрите вайршарком? не регистрирует, значит запросы не прилетают? Если запросы не прилетают, то на основе чего на порт будет добавлен voice vlan?
Евгений Тур / Элтекс / Сервисный центр ШПД / https://eltex-co.ru/support/
-
- Сообщения: 43
- Зарегистрирован: 16 ноя 2015 23:56
- Reputation: 0
- Откуда: Санкт-Петербург
Re: 802.1x и voice vlan
Извеняюсь, смотрел не там, потому как на access порту он адрес получает, но запросов я не вижу. Попробую сделать зеркалирование трафика и с ноута посмотреть.
-
- Сообщения: 43
- Зарегистрирован: 16 ноя 2015 23:56
- Reputation: 0
- Откуда: Санкт-Петербург
Re: 802.1x и voice vlan
Да пакеты прилетают от XiamenYe_51:6e:39 (00:15:65:51:6e:39)
Re: 802.1x и voice vlan
Проверил работу функционала. 802.1x совместно с voice vlan в текущей версии ПО не работает.
Это критично для вас?
Это критично для вас?
Евгений Тур / Элтекс / Сервисный центр ШПД / https://eltex-co.ru/support/
-
- Сообщения: 43
- Зарегистрирован: 16 ноя 2015 23:56
- Reputation: 0
- Откуда: Санкт-Петербург
Re: 802.1x и voice vlan
Спасибо за проверку. Очень хотелось бы видеть подобный функционал.
На предприятии стоит задача внедрения радиуса, проводить авторизацию телефонов по mac достаточно трудоемко, поэтому решили вынести в voice по маске. Стоит ли ожидать внедрения данного или подобного решения 802.1x + voice vlan?
На предприятии стоит задача внедрения радиуса, проводить авторизацию телефонов по mac достаточно трудоемко, поэтому решили вынести в voice по маске. Стоит ли ожидать внедрения данного или подобного решения 802.1x + voice vlan?
Re: 802.1x и voice vlan
Рассмотрим реализацию в будущих версиях ПО. На первый взгляд проблем возникнуть не должно.
Сообщите в ЛС название вашей компании, город и ваши контактные данные. (требуется для создания заявки на доработку).
Сообщите в ЛС название вашей компании, город и ваши контактные данные. (требуется для создания заявки на доработку).
Евгений Тур / Элтекс / Сервисный центр ШПД / https://eltex-co.ru/support/
Re: 802.1x и voice vlan
Евгений Т писал(а):Рассмотрим реализацию в будущих версиях ПО. На первый взгляд проблем возникнуть не должно.
Сообщите в ЛС название вашей компании, город и ваши контактные данные. (требуется для создания заявки на доработку).
Добрый день Евгений, Подскажите решился ли данный вопрос. В настоящий момент решаю подобную задачу, наша компания закупает коммутаторы ELTEX, и поставлена задача анализа возможности внедрения 802.1x. В частности динамическое размещение сессии пользователей в необходимый vlan. Соответственно у нас так же есть IP-телефония. За телефонами частенько подключаются ПК. Соответствено два вопроса:
1) При передачи от радиуса на успешную авторизацию атрибутов :
Egress-VLANID = 0x310000ac (tagged VLAN 172 телефония)
Egress-VLAN-Name = 1VoIP
Ingress-Filters = Enable
Кммутатор Eltex 2124 выдает сообщение о том что ответ radius сервера не содержит информации о VLAN ID. Есть ли поддержка в данном коммутаторе RFC 4675 ?
2) Как с помощью радиус можно организовать работу IP-телефонии на вашем оборудовании. Например если я возвращаю пустой ответ успешной авторизации на коммутаторах HP то Телефон помещается в Voice VLAN, а для ПК передается не тегированый валан, и все успешно работает. При попытке реализовать данную схему на коммутаторах Eltex выдает ту же ошибку, о том что ответ радиус не содержит информацию о VLAN. Если на коммутаторе выключаю опцию dot1x radius-attributes vlan, то на порту назначается VLAN последнего авторизованого клиента. Конфигурации ниже.
Код: Выделить всё
Voice vlan oui-table add 000a6b
voice vlan id 172
voice vlan state oui-enabled
dot1x system-auth-contorl
dot1x mac-authentication format username lowercase separator - groupsize 2
aaa authentication enable default radius enable
aaa authentication login default radius local
aaa authentication mode break
radius-server host 10.0.252.197 key xxxxxxxxxxx
interface gigabitethernet 1/0/4
dot1x guest-vlan enable
dot1x reauthentication
dot1x timeout reauth-period 300
dot1x mac-authentication mac-only
dot1x radius-attributes vlan
dot1x port-control auto
dot1x host-mode multi-sessions
exit
interface vlan 161
name net-161
dot1x guest-vlan
exit
interface vlan 162
exit
interface vlan 172
name VoIP
exit
/etc/freeradius/3.0/user
Код: Выделить всё
DEFAULT Ldap-Group == ""Domain Admins"
Framed-Protocol = PPP,
Service-Type = Administrative-user,
cisco-avpair = "shell:priv-lvl=15"
DEFAULT Ldap-Group == "VoIP"
Egress-VLANID = 0x310000ac,
Egress-VLAN-Name = 1VoIP,
Ingress-Filters = Enabled
DEFAULT Ldap-Group = "nap-net-1"
Framed-Protocol = PPP,
Service-Type = Framed-User,
Tunnel-Type = VLAN,
Tunnel-Medium-Type = IEEE-802,
Tunnel-Private-Group-ID = 162
DEFAULT Auth-Type := Reject
Reply-Message = "Account not found"
Вернуться в «Коммутаторы и маршрутизаторы Ethernet»
Кто сейчас на конференции
Сейчас этот форум просматривают: нет зарегистрированных пользователей и 17 гостей