О деактивации форума Eltex

Уважаемые коллеги! В связи с потерей актуальности данного ресурса, нами было принято решение о частичной деактивации форума Eltex. Мы отключили функции регистрации и создания новых тем, а также возможность оставлять сообщения. Форум продолжит работу в "режиме чтения", так как за долгие годы работы здесь накопилось много полезной информации и ответов на часто встречающиеся вопросы.

Мы активно развиваем другие каналы коммуникаций, которые позволяют более оперативно и адресно консультировать наших клиентов. Если у вас возникли вопросы по работе оборудования, вы можете обратиться в техническую поддержку Eltex, воспользовавшись формой обращения на сайте компании или оставить заявку в системе Service Desk. По иным вопросам проконсультируют наши менеджеры коммерческого отдела: eltex@eltex-co.ru.

802.1x и voice vlan

MES, ESR
Евгений Т
Сообщения: 1613
Зарегистрирован: 18 мар 2013 09:48
Reputation: 7
Откуда: Элтекс

Re: 802.1x и voice vlan

Сообщение Евгений Т » 09 янв 2018 10:47

Здравствуйте.
Подскажите решился ли данный вопрос.

Решено в версии 1.1.47, которую вы можете скачать с нашего сайта.

Есть ли поддержка в данном коммутаторе RFC 4675 ?

Поддержан атрибут для назначения влана на порт.
Tunnel-Private-Group-ID (81)

Как с помощью радиус можно организовать работу IP-телефонии на вашем оборудовании.

Через радиус voice vlan с помощью вышеуказанного атрибута можно пробросить только в нетегированном виде.
voice vlan работает по другому принципу. Он пробрасывает на интерфейс voice vlan при появлении пакета с SRC MAC = заданному OUI.
Евгений Тур / Элтекс / Сервисный центр ШПД / https://eltex-co.ru/support/

AlienStorm
Сообщения: 1
Зарегистрирован: 09 авг 2019 15:18
Reputation: 0

Re: 802.1x и voice vlan

Сообщение AlienStorm » 09 авг 2019 16:08

Добрый день.

Столкнулся со странным поведением порта при работе с радиусом и voice vlan.
Свич MES2324P, версия ПО - 4.0.11.1
К порту подключен телефон, через него подключен тонкий клиент.
Vlan для данных - 2, для телефонии - 3

Настройки порта такие:

Код: Выделить всё

asw7(config-if)#do show running-config interface GigabitEthernet1/0/19
interface gigabitethernet1/0/19
 dot1x host-mode multi-sessions
 dot1x reauthentication
 dot1x timeout reauth-period 300
 dot1x authentication mac
 dot1x port-control auto
 switchport general pvid 2
 lldp optional-tlv sys-cap
 lldp optional-tlv 802.1 pvid enable
 lldp optional-tlv 802.1 vlan-name add 3
 lldp med enable network-policy poe-pse
 lldp med network-policy add 1
 lldp med network-policy add 2
 lldp med network-policy add 3
 switchport mode general
 switchport general allowed vlan add 3 tagged
 switchport general allowed vlan add 2 untagged
 switchport forbidden default-vlan
!
asw7(config-if)#


При подключении устройств авторизованных в радиусе все работает как надо.

Если тонкий клиент не авторизован, то все равно получает доступ к сети!
Радиус отвечает таким

Код: Выделить всё

Login incorrect (eap_md5: Cleartext-Password is required for EAP-MD5 authentication): [7cd30aхххххх/<via Auth-Type = eap>] (from client asw07 port 67 cli 7C-D3-0A-хх-хх-хх) Login BAD


но порт авторизован:

Код: Выделить всё

asw7#show interfaces switchport GigabitEthernet 1/0/19
Added by: D-Default, S-Static, G-GVRP, R-Radius Assigned VLAN, T-Guest VLAN, V-Voice VLAN
Port : gi1/0/19
Port Mode: General
Gvrp Status: disabled
Ingress Filtering: true
Acceptable Frame Type: admitAll
Ingress UnTagged VLAN ( NATIVE ): 2
Protected: Disabled
802.1x state: multi-sessions mode , authorized

Port is member in:

Vlan               Name               Egress rule     Added by
---- -------------------------------- ----------- ----------------
 2                  -                  Untagged          S
 3                  -                   Tagged           S



Если верить документации, то
Существует два варианта аутентификации:первый, когда проверка подлинности на основе порта требует аутентификации только одного клиента, чтобы доступ к системе имели все клиенты (режим multiplehosts), второй, когда проверка подлинности требует аутентификации всех подключенных к порту клиентов (режим multiplesessions). Если порт в режиме multiplehosts не проходит аутентификацию, то всем подключенным хостам будет отказано в доступе к ресурсам сети


Возможно я не правильно понял документацию и использовал не тот режим. Ок, меняем на multi-host. Порт все равно авторизован:

Код: Выделить всё

asw7#show interfaces switchport GigabitEthernet 1/0/19
Added by: D-Default, S-Static, G-GVRP, R-Radius Assigned VLAN, T-Guest VLAN, V-Voice VLAN
Port : gi1/0/19
Port Mode: General
Gvrp Status: disabled
Ingress Filtering: true
Acceptable Frame Type: admitAll
Ingress UnTagged VLAN ( NATIVE ): 2
Protected: Disabled
802.1x state: multi-host mode , authorized

Port is member in:

Vlan               Name               Egress rule     Added by
---- -------------------------------- ----------- ----------------
 2                  -                  Untagged          S
 3                  -                   Tagged           S



Подскажите, что я делаю не правильно? Или что свич делает не правильно?

alex_bat
Сообщения: 300
Зарегистрирован: 25 сен 2017 17:56
Reputation: 0

Re: 802.1x и voice vlan

Сообщение alex_bat » 09 авг 2019 17:15

Здравствуйте, сообщите мне свои контактные данные в ЛС
Александр Баталов / Элтекс / Сервисный центр ШПД / https://eltex-co.ru/support/


Вернуться в «Коммутаторы и маршрутизаторы Ethernet»

Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и 17 гостей