问题描述:
使用交换机的802.1x动态vlan功能,但总是不切换,radius下发的vlan号为字符型的"25",对应的vlan id中尝试配置name 25或不配效果一样.
同样的报文在华为交换机上的hybrid端口下可切换成功.按理说radius协议通用,应该不是报文内容导致,不清楚是否还有其他需要配置的
组网及组网描述:
端口配置:
interface GigabitEthernet1/0/9
port link-type hybrid
undo port hybrid vlan 1
port hybrid vlan 17 25 199 untagged
port hybrid pvid vlan 17
dot1x
收到raidus下发的动态vlan报文,debugging信息全部成功:
*Jan 4 05:06:28:476 2013 H3C RADIUS/7/PACKET:
MS-MPPE-Receive-Key=******
MS-MPPE-Send-Key=******
Tunnel-Type:0=VLAN
Tunnel-Medium-Type:0=IEEE-802
Tunnel-Private-Group-Id:0="25"
EAP-Message=0x0320000d00010a0b6ea7005000
Message-Authenticator=0x05961398368abc8874d2f775647c1503
User-Name="testing"
*Jan 4 05:06:28:477 2013 H3C RADIUS/7/PACKET:
02 5d 00 c2 37 d7 36 de 63 cf a2 ac 63 fe 17 e7
2a 71 38 f6 1a 3a 00 00 01 37 11 34 87 f7 d8 b2
23 72 b1 00 2f b2 e5 33 89 58 e5 f5 a5 90 a8 53
d9 35 7f 0d 9b 3d 8a a9 38 7e 2a 27 8c ec d2 15
02 95 10 ac 7f f9 6f 1d 38 fd fa 81 56 e5 1a 3a
00 00 01 37 10 34 8c c9 5f 24 d9 9a ef 16 cf 4c
eb e3 ee 47 84 db 8d d7 e0 5f 70 2d f0 6f f2 a7
ce 34 81 94 98 d2 4c 59 ce 5b 48 99 8d db 1f 70
bb 00 1e 11 93 6b 87 cc 40 06 00 00 00 0d 41 06
00 00 00 06 51 04 32 35 4f 0f 03 20 00 0d 00 01
0a 0b 6e a7 00 50 00 50 12 05 96 13 98 36 8a bc
88 74 d2 f7 75 64 7c 15 03 01 09 74 65 73 74 69
6e 67
*Jan 4 05:06:28:478 2013 H3C RADIUS/7/EVENT: PAM_RADIUS: Processing RADIUS authentication.
*Jan 4 05:06:28:478 2013 H3C RADIUS/7/EVENT: PAM_RADIUS: Fetched authentication reply-data successfully, resultCode: 0
*Jan 4 05:06:28:492 2013 H3C RADIUS/7/EVENT: Sent reply message successfully.
查看端口vlan未被修改为25:
<H3C>dis dot1x connection
Total connections: 1
Slot ID: 1
User MAC address: c018-5004-5c80
Access interface: GigabitEthernet1/0/9
Username: testing
User access state: Successful
Authentication domain: zf167
Authentication method: EAP
Initial VLAN: 17
Authorization untagged VLAN: N/A
Authorization tagged VLAN list: N/A
Authorization ACL number/name: N/A
Authorization user profile: N/A
Authorization CAR: N/A
Authorization URL: N/A
Termination action: Default
- 2023-11-27提问
- 举报
-
(0)
最佳答案
没看明白你的具体需求,我印象huawei那个是可以设置pre-auth vlan还有auth-fail vlan之类的,华三是参考下面这些:
https://www.h3c.com/cn/d_202010/1348908_30005_0.ht
其他的动态vlan应该是radius来控制,这个需要看是用的什么radius了吧,,,
- 2023-11-27回答
- 评论(1)
- 举报
-
(0)
这个功能叫动态授权vlan下发,靠radius的64 65 81三个属性确定,81的属性携带要切换的vlanid
你不是没有配置动态vlan吗 可以结合guest vlan 做
- 2023-11-27回答
- 评论(2)
- 举报
-
(0)
这个功能也叫动态授权vlan,发表问题时提示敏感字符,把授权去掉了
动态vlan是在radius报文中体现的,64 65 81三条属性决定,81的属性中带有vlanid
这个功能也叫动态授权vlan,发表问题时提示敏感字符,把授权去掉了
需求:
1.3 802.1X支持VLAN下发
raiuds协议中的属性:Tunnel-Private-Group-id (81)
该属性和64、 65号属性配合使用:
· 当64号属性值为13,且65号属性值为6时,表示下发VLAN名称;
- 2023-11-27回答
- 评论(0)
- 举报
-
(0)
编辑答案
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
举报
×
侵犯我的权益
×
侵犯了我企业的权益
×
- 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
- 3. 是哪家企业?(营业执照,单位登记证明等证件)
- 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
抄袭了我的内容
×
原文链接或出处
诽谤我
×
- 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
对根叔社区有害的内容
×
不规范转载
×
举报说明
这个功能叫动态授权vlan下发,靠radius的64 65 81三个属性确定,81的属性携带要切换的vlanid