问题描述:
IMC和ap结合做802.1x认证,802.1x认证做在ap上的,ap上的配置上联口把所有vlan透传下来,接终端的端口是配置的access,在PC上进行拨号认证,通过debug日志查看ap信息,发现ap能通过认证阶段,但是在计费阶段报文出现错误,主要错误信息如下
*Dec 9 17:43:02:284 2018 ap DOT1X/7/EVENT: Processing deauthorization event: UserMAC=0021-70cc-8dc0, VLANID=500, Interface=GigabitEthernet1/0/4.
*Dec 9 17:43:02:286 2018 ap DOT1X/7/EVENT: PAE is in Disconnect state: UserMAC=0021-70cc-8dc0, VLANID=500, Interface=GigabitEthernet1/0/4. %
Dec 9 17:43:02:286 2018 ap DOT1X/6/DOT1X_LOGOFF: -IfName=GigabitEthernet1/0/4-MACAddr=0021-70cc-8dc0-VLANId=500-UserName=sym_d-ErrCode=5; Session of the 802.1X user was terminated.
*Dec 9 17:43:02:287 2018 ap DOT1X/7/EVENT: Interface GigabitEthernet1/0/4 received DOT1X_PSM_E_USER_UNAUTHORED event.
*Dec 9 17:43:02:296 2018 ap DOT1X/7/ERROR: Failed to find user by MAC 0021-70cc-8dc0 and Interface GigabitEthernet1/0/4 when receiving accounting-start response.
用户现场想要实现的配置为不同的账号对应不同的权限,然后下发不同的vlan进行认证,这里我想问下是否应该把AP连接PC的端口配置成trunk模式允许所有vlan透传下来,这样授权后由IMC下发配置?请知道的告诉下谢谢了
- 2018-12-09提问
- 举报
-
(0)
最佳答案
支持VLAN下发
1. 授权VLAN
用户通过802.1X或MAC地址认证方式认证成功后,授权服务器可以下发授权VLAN,用来限制用户访问网络资源。下发的授权VLAN信息可以有多种形式,包括数字型VLAN和字符型VLAN,字符型VLAN又可分为VLAN名称、VLAN组名。
服务器向设备下发授权VLAN信息后,设备首先对其进行解析,只要解析成功,即以对应的方法下发授权VLAN;如果解析不成功,则用户授权失败。
· 若认证服务器下发的授权VLAN信息为一个VLAN ID,则该VLAN是有效的授权VLAN。
· 若认证服务器下发的授权VLAN信息为一个VLAN名称,则仅当对应的VLAN存在时该VLAN才是有效的授权VLAN。
· 若认证服务器下发的授权VLAN信息为一个VLAN组名,则设备首先会通过组名查找该组内配置的VLAN列表,然后将该组VLAN中负载最小的VLAN作为有效的授权VLAN。关于VLAN组的相关配置,请参见“二层技术-以太网交换配置指导”中的“VLAN”。
· 若认证服务器下发的授权VLAN信息为一个包含若干VLAN编号以及若干VLAN名称的字符串,则设备首先将其解析为一组VLAN ID,然后将该组VLAN中ID最小的VLAN作为有效的授权VLAN。
解析出来有效的授权VLAN后,则需要进行下发。
由于授权信息是用来控制数据报文转发的,因此,授权信息必须在授权点下发。这也就意味着,在认证设备和授权设备分离场景下,用户在认证设备上获取授权信息后,认证设备需要将授权信息携带至授权设备下发。
基于上述考虑,下发的方式分为本地下发授权VLAN和远端下发授权VLAN:
在认证设备和授权设备未分离场景下,在认证设备上获取用户授权VLAN信息后,直接在认证设备下发。
在认证设备和授权设备分离场景下,认证设备上获取用户授权VLAN信息后,需要将该信息发送至远端授权设备,授权信息在远端设备上解析后下发。
- 2018-12-09回答
- 评论(24)
- 举报
-
(0)
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
举报
×
侵犯我的权益
×
侵犯了我企业的权益
×
- 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
- 3. 是哪家企业?(营业执照,单位登记证明等证件)
- 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
抄袭了我的内容
×
原文链接或出处
诽谤我
×
- 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
对根叔社区有害的内容
×
不规范转载
×
举报说明
那接pc的ap端口是不是直接配置trunk就可以了?
pc连接接口配置access就可以,设备上只用创建授权vlan即可
有个这个问题,假如我配置的vlan是300,对应的是B类资费,那么如果资费改了,变成A类资费了,那么这个时候我还是手动把这个接口的vlan改为A类资费的vlan200吗?如果我想让他自动下发对应的vlan,那么接口上能不能直接配置成trunk
不需要手动修改vlan,采用授权vlan后,aaa服务器会直接给端口上线的用户下发到授权vlan中,端口也会采用授权vlan业务通过
这里不是很理解,但是端口的vlan始终不是授权vlan啊,难道会自动在接口上把这个vlan授权吗?
是的
给你看个案例 mac 授权valn 和1x思路是一样的 http://kms2.h3c.com/View.aspx?id=44213
那也就是说,比如同一个vlan,vlan300上既有可能有授权的A类用户,也有可能有授权的B类用户?就是说账号的权限和vlan的对应关系不是一一对应的,而是账号的不同权限可以对应同一个vlan?是这样吗
vlan是在aaa服务器上和账号绑定的,如果绑定授权vlan,那么一个账号就和vlan 是对应的,该用户上线成功的用户所连接端口就在授权vlan下
其实我想说的就是这个问题,一个账号和vlan对应一个vlan,那这个授权的vlan和终端接入的vlan不一样,这个怎么算
用户上线成功的用户所连接端口就在授权vlan下,“自动”下发授权vlan 不用配置truk
谢谢你的回答哈,我这里还是有点没有弄懂这个授权vlan是什么意思,我这边的情况是,我终端接ap,在AP的这个端口配置了vlan300,实际上用户上线后发送的数据包就是会带上vlan300的标签,但是这个时候如果授权vlan是200,那么这个时候是不是就会有问题,必须要把端口pvid改为200才行
拿你这个举例来说,如果授权是vlan200,授权成功后相当于就是pvid就是vlan200 不用再手动修改,也不用再做任何配置,这就是自动的意思
好的明白了,谢谢了
不客气
我现在在AP上把连接终端的接口配置的access口,对应的vlan也是账号对应的vlan,但是通过debug信息看到认证通过,授权没有通过,不知道是为什么,明天准备把端口直接配置成trunk试试,请问你遇到过这种问题吗
应该是授权vlan没有下发成功,先确认下配置有没有问题吧
设备上的配置我这边确认了没问题。直接配置成免认证都可以的
那就看是否是授权vlan,设备无法识别导致认证不成功
你的意思是设备不支持这个功能吗?
1x一般都可下发授权vlan 有可能是不兼容导致
这边AC的版本和AP的版本都是配套的,难道是IMC的版本不兼容吗?
具体的抓包再看下吧
OK,谢谢你了