• 全部
  • 经验案例
  • 典型配置
  • 技术公告
  • FAQ
  • 漏洞说明
  • 全部
  • 全部
  • 大数据引擎
  • 知了引擎
产品线
搜索
取消
案例类型
发布者
是否解决
是否官方
时间
搜索引擎
匹配模式
高级搜索

802.1x radius 下发 vlan 交换机s5130不动作

2021-04-27提问
  • 0关注
  • 1收藏,2618浏览
粉丝:0人 关注:0人

问题描述:

802.1x 认证成功,但下发的vlan 交换机 s5130 不动作,仍旧使用vlan1

debug radius 可以观察到服务器下发了三条属性,vlan是104



组网及组网描述:

freeradius 3 认证是成功

s5130 接收到了 用户属性


交换机debug radius如下

*Apr 27 15:04:32:468 2021 H3C SW RADIUS/7/PACKET:

    Framed-Protocol=PPP

    Framed-Compression=Van-Jacobson-TCP-IP

    Tunnel-Type:0=VLAN

    Tunnel-Medium-Type:0=IEEE-802

    Tunnel-Private-Group-Id:0="104"

    EAP-Message=0x010e00061920

    Message-Authenticator=0xa5194a6a10adef886f794e518d95353b

    State=0x38090a8d390713640f536e1bad07c576

      

交换机的log

%Apr 27 15:10:54:305 2021 H3C SW DOT1X/6/DOT1X_LOGIN_SUCC: -IfName=GigabitEthernet1/0/41-MACAddr=8c04-ba1a-e77a-AccessVLANID=1-AuthorizatiOnVLANID=1-Username=test-win10; User passed 802.1X authentication and came online.


显示dot1x 如下

dis dot1x

 

 Global 802.1X parameters:

   802.1X authentication                : Enabled

   EAP authentication                   : Enabled

   Max-tx period                        : 30 s

   Handshake period                     : 15 s

   Quiet timer                          : Disabled

       Quiet period                     : 60 s

   Supp timeout                         : 30 s

   Server timeout                       : 100 s

   Reauth period                        : 3600 s

   Max auth requests                    : 2

   User aging period for Auth-Fail VLAN : 1000 s

   User aging period for critical VLAN  : 1000 s

   User aging period for guest VLAN     : 1000 s

   EAD assistant function               : Disabled

       EAD timeout                      : 30 min

   Domain delimiter                     : @

   Max EAP-TLS-fragment (to-server)     : N/A

 Online 802.1X wired users              : 1

 

 GigabitEthernet1/0/41  is link-up

   802.1X authentication            : Enabled

   Handshake                        : Disabled

   Handshake reply                  : Disabled

   Handshake security               : Disabled

   Unicast trigger                  : Enabled

   Periodic reauth                  : Disabled

   Port role                        : Authenticator

   Authorization mode               : Auto

   Port access control              : Port-based

   Multicast trigger                : Disabled

   Mandatory auth domain            : Not configured

   Guest VLAN                       : Not configured

   Auth-Fail VLAN                   : Not configured

   Critical VLAN                    : Not configured

   Critical voice VLAN              : Disabled

   Add Guest VLAN delay             : Disabled

   Re-auth server-unreachable       : Logoff

   Max online users                 : 4294967295

   User IP freezing                 : Disabled

   Reauth period                    : 0 s

   Send Packets Without Tag         : Disabled

   Max Attempts Fail Number         : 0

   User aging                       : Enabled

   Server-recovery online-user-sync : Disabled

   Auth-Fail EAPOL                  : Disabled

   Critical EAPOL                   : Disabled

   Discard duplicate EAPOL-Start    : No

 

dis dot  con

Total connections: 1

Slot ID: 1

User MAC address: 8c04-ba1a-e77a

Access interface: GigabitEthernet1/0/41

Username: test-win10

User access state: Successful

Authentication domain: sjgs

Authentication method: EAP

Initial VLAN: 1

Authorization untagged VLAN: N/A

Authorization tagged VLAN list: N/A

Authorization ACL number/name: N/A

Authorization user profile: test

Authorization CAR: N/A

Authorization URL: N/A

Termination action: Default

Session timeout period: N/A

Online from: 2021/04/27 15:18:28

Online duration: 0h 15m 12s

 


交换机信息

BOARD TYPE:         S5130S-52S-LI

Release Version:    H3C S5130S-52S-LI-6326

 

交换机 配置:

 

 

 dot1x

 dot1x authentication-method eap

 dot1x access-user log enable abnormal-logoff failed-login normal-logoff successful-login

 

vlan 1

#

vlan 2 to 4094

 

interface GigabitEthernet1/0/41

 dot1x

 undo dot1x handshake

 undo dot1x multicast-trigger

 dot1x port-method portbased

 dot1x unicast-trigger

#

 

radius scheme sjgs52

 primary authentication 192.168.136.52 key cipher

 primary accounting 192.168.136.52 key cipher

 user-name-format without-domain

#

radius scheme system

 user-name-format without-domain

#

domain sjgs

 authorization-attribute user-profile test

 authentication lan-access radius-scheme sjgs52

 authorization lan-access radius-scheme sjgs52

 accounting lan-access radius-scheme sjgs52

 

 


最佳答案

粉丝:146人 关注:1人

组网需求

图15所示,主机Host通过802.1X认证接入网络,认证服务器为RADIUS服务器。Host接入Switch的端口在VLAN 1内;认证服务器在VLAN 2内;Update Server是用于客户端等软件下载和升级的服务器,在VLAN 10内;Switch连接Internet网络的端口在VLAN 5内。现有如下组网需求:

·     若802.1X用户认证失败,Host可以访问Update Server进行软件升级等操作。

·     若802.1X用户认证成功,Host可以访问Internet。

图15 Auth-Fail VLAN及VLAN下发组网图

 

1.5.3  配置思路

·     为实现802.1X用户认证失败后可以访问Update Server进行软件升级等操作,需配置Host接入Switch的端口加入Auth-Fail VLAN(VLAN 10)。

·     为实现802.1X用户认证成功后可以访问Internet,需配置认证服务器对于认证成功用户下发VLAN 5,此时Host和连接Internet网络的端口在同一VLAN(VLAN 5)内。

1.5.4  配置注意事项

·     如果用户端设备发出的是携带Tag的数据流,且接入端口上使能了802.1X认证并配置了Auth-Fail VLAN,为保证各种功能的正常使用,请为Voice VLAN、端口的缺省VLAN和802.1X的Auth-Fail VLAN分配不同的VLAN ID。

·     如果某个VLAN被指定为Super VLAN,则该VLAN不能被指定为某个端口的Auth-Fail VLAN;同样,如果某个VLAN被指定为某个端口的Auth-Fail VLAN,则该VLAN不能被指定为Super VLAN。

1.5.5  配置步骤

1. RADIUS服务器上的配置(以iMC服务器为例)

iMC服务器上的配置与“1.3  802.1X用户认证典型配置”类似,

仅需要在“增加接入规则”时,配置下发“VLAN5”,如图16

图16 配置授权VLAN

 

2. 接入设备Switch的配置

(1)     创建VLAN并将端口加入对应VLAN

<Switch> system-view

[Switch] vlan 1

[Switch-vlan1] port gigabitethernet 1/0/2

[Switch-vlan1] quit

[Switch] vlan 10

[Switch-vlan10] port gigabitethernet 1/0/1

[Switch-vlan10] quit

[Switch] vlan 2

[Switch-vlan2] port gigabitethernet 1/0/4

[Switch-vlan2] quit

[Switch] vlan 5

[Switch-vlan5] port gigabitethernet 1/0/3

[Switch-vlan5] quit

(2)     配置RADIUS方案

# 创建RADIUS方案radius1并进入其视图。

[Switch] radius scheme radius1

# 配置主认证/授权RADIUS服务器及其共享密钥。

[Switch-radius-radius1] primary authentication 10.11.1.1 1812

[Switch-radius-radius1] key authentication aabbcc

# 设置服务类型为extended.

[Switch-radius-radius1] server-type extended

# 配置发送给RADIUS服务器的用户名携带域名。

[Switch-radius-radius1] user-name-format with-domain

[Switch-radius-radius1] quit

(3)     配置ISP域

# 创建域test并进入其视图。

[Switch] domaim test

# 配置802.1X用户使用RADIUS方案radius1进行认证、授权。

[Switch-isp-test] authentication lan-access radius-scheme radius1

[Switch-isp-test] authorization  lan-access radius-scheme radius1

[Switch-isp-test] quit

# 配置域test为缺省用户域。

[Switch] domain default enable test

(4)     配置802.1X

# 开启指定端口的802.1X特性。

[Switch] interface gigabitethernet 1/0/2

[Switch-GigabitEthernet1/0/2] dot1x

配置端口上进行接入控制的方式为portbased

[Switch-GigabitEthernet1/0/2] dot1x port-method portbased

配置端口的授权状态为auto。(此配置可选,端口的授权状态缺省为auto

[Switch-GigabitEthernet1/0/2] dot1x port-control auto

配置端口的Auth-Fail VLAN。

[Switch-GigabitEthernet1/0/2] dot1x auth-fail vlan 10

[Switch-GigabitEthernet1/0/2] quit

# 开启全局802.1X特性。

[Switch] dot1x

3. 接入用户上的配置

具体配置和“1.2  802.1X用户认证典型配置”中的iNode客户端配置相似,仅需要在设置“连接属性”时,选则“连接断开后自动更新IP地址”,如图17所示。

图17 802.1X连接属性配置示意图

 

1.5.6  验证配置

通过命令display dot1x interface gigabitethernet 1/0/2可以查看端口GigabitEthernet1/0/2上Auth-Fail VLAN的配置情况。

若端口GE1/0/2下有用户802.1X认证失败(例如密码错误),则通过命令display vlan 10可以查看到端口GE1/0/2加入了配置的Auth-Fail VLAN。

若端口GE1/0/2下的用户802.1X认证成功,则认证服务器下发VLAN5,通过display interface gigabitethernet 1/0/2可以看到用户接入的端口GE1/0/2加入了认证服务器下发的VLAN 5中。

1.5.7  配置文件

说明

S5500-SI系列交换机不支持port link-mode bridge命令。

 

#

 domain default enable test

#

 dot1x

#

vlan 1

#

vlan 2

#

vlan 5

#

vlan 10

#

radius scheme radius1

 server-type extended

 primary authentication 10.1.1.1

 key authentication cipher $c$3$LAV0oGNaM9Z/CuVcWONBH4xezu48Agh5aQ==

#

domain test

 authentication lan-access radius-scheme radius1

 authorization lan-access radius-scheme radius1

 access-limit disable

 state active

 idle-cut disable

 self-service-url disable

#

interface GigabitEthernet1/0/1

 port link-mode bridge

 port access vlan 10

#

interface GigabitEthernet1/0/2

 port link-mode bridge

 dot1x auth-fail vlan 10

 dot1x port-method portbased

 dot1x

#

interface GigabitEthernet1/0/3

 port link-mode bridge

 port access vlan 5

#

interface GigabitEthernet1/0/4

 port link-mode bridge

 port access vlan 2

#

暂无评论

0 个回答

该问题暂时没有网友解答

编辑答案

你正在编辑答案

如果你要对问题或其他回答进行点评或询问,请使用评论功能。

分享扩散:

提出建议

    +

亲~登录后才可以操作哦!

确定

亲~检测到您登陆的账号未在http://hclhub.h3c.com进行注册

注册后可访问此模块

跳转hclhub

你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作

举报

×

侵犯我的权益 >
对根叔社区有害的内容 >
辱骂、歧视、挑衅等(不友善)

侵犯我的权益

×

泄露了我的隐私 >
侵犯了我企业的权益 >
抄袭了我的内容 >
诽谤我 >
辱骂、歧视、挑衅等(不友善)
骚扰我

泄露了我的隐私

×

您好,当您发现根叔知了上有泄漏您隐私的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到pub.zhiliao@h3c.com 邮箱,我们会尽快处理。
  • 1. 您认为哪些内容泄露了您的隐私?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)

侵犯了我企业的权益

×

您好,当您发现根叔知了上有关于您企业的造谣与诽谤、商业侵权等内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到 pub.zhiliao@h3c.com 邮箱,我们会在审核后尽快给您答复。
  • 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
  • 3. 是哪家企业?(营业执照,单位登记证明等证件)
  • 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。

抄袭了我的内容

×

原文链接或出处

诽谤我

×

您好,当您发现根叔知了上有诽谤您的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到pub.zhiliao@h3c.com 邮箱,我们会尽快处理。
  • 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。

对根叔社区有害的内容

×

垃圾广告信息
色情、暴力、血腥等违反法律法规的内容
政治敏感
不规范转载 >
辱骂、歧视、挑衅等(不友善)
骚扰我
诱导投票

不规范转载

×

举报说明