annuler
Affichage des résultats de 
Rechercher plutôt 
Vouliez-vous dire : 
cancel
688
Visites
0
Compliment
5
Réponses

bad adress avec switch cisco et 802.1X

cimiottic
Level 1
Level 1

Bonjour,

depuis plusieurs mois depuis que nous sommes passés en 802.1X nous connaissons un problème de bad adress qui sont directement liés aux switch cisco et 802.1. Je m'explique

nous avons :

des sites uniquement HP => pas de bad adress

site HP+Cisco => bad adress que pour les PC sur Cisco

sites purs Cisco => forcément bad adress

ce n'est pas trop genant car les PC obtiennent dans la foulée une nouvelle IP. le seul soucis c'est que celles ci sature les étandues vue que nos baux sont de 8 jours.

j'arrive a répéter le phénomène en faisant des shut no shut sur les ports. les bad adresses touchent aléatoirement les differents PC. parfois pas de bad adress mais la plupart du temps 2 trois par switch.

cela arrive sur des switch alone ou sur des stacks.

j'ai essayer de jouer sur pas mal de paramètres (quiet period,reauth, start...) sans succès.

les PC s'authentifient toujours bien sur notre serveur NPS en PEAP dans le bon vlan via certificat . le serveur dhcp est sur un serveur externe et c'est le serveur NPS via le routage accès distant qui renvois vers celui. notre routeur a son relais dhcp vers le serveur NPS en IP 1 et l'adresse du serveur dhcp en ip 2.

la seule différence <,et je ne sais pas si tout ce joue la ou non, mais sur le HP dans les evenements de stratégie réseau du serveur NPS les PC s'authentifient bien une seule fois en succès audit en PEAP avec id 6272 par contre pour les PC sur cisco j'ai deux succes d'audit en PEAP au même moment en ID 6272 suivie de id 6278 tout le temps dans le bon vlan.

ci dessous notre conf de cisco  C2960X habituelle (en conf / all)(version 15.2 firmware E5 je préciserai demain) :

[ CE CONTENU A ÉTÉ SUPPRIMÉ POUR PRÉSERVER VOTRE SÉCURITÉ ]

le problème intervient sur serveurs windows r2012 et 2016 qui héberge la VM NPS

 

en vous remerciant d'avance pour nos retour.

5 RÉPONSES 5

cimiottic
Level 1
Level 1

oups j'ai fais mon copie colle trop vite au mauvais endroit , donc la conf d un port est :

[ CE CONTENU A ÉTÉ SUPPRIMÉ POUR PRÉSERVER VOTRE SÉCURITÉ ]

et la fin de la conf concernant le 802.1X

[ CE CONTENU A ÉTÉ SUPPRIMÉ POUR PRÉSERVER VOTRE SÉCURITÉ ]

 

mais je crois que je vais aller sur le forum en anglais je pense pour avoir une chance de réponse

 

 

Nous cherchons un expert disponible... veuillez patienter.

Bonjour @cimiottic 

La première chose que je dirais est que vous devez confirmer que la redirection fonctionne de la même manière sur différents ordinateurs. Cisco propose plusieurs guides de redirection.Parmi eux se trouve celui-ci : 
https://www.cisco.com/c/en/us/support/docs/security/identity-services-engine/117620-configure-ISE-00.html.

En outre, il est important de savoir quelle politique d'autorisation est appliquée, car cela dépend de l'application ou non d'un VLAN spécifique. Il n'est pas spécifié, mais cette stratégie d'autorisation peut avoir une exigence d'entrée de l'événement 6272 au lieu de 6278.

Enfin, je pense que ce cas doit être traité avec TAC car c'est un cas extrêmement particulier.

 

Merci pour votre question,

Polo

* N.B. Si cette réponse vous a été utile, veuillez l'accepter comme solution. Merci d'avance!!!

Bonjour et merci pour votre réponse.

malheureusement je ne comprend pas tout ne gérant pas le coté système du 802.1X

ce que je peux dire c'est que nous n'utilisons pas de wifi, que si l'authentification échoue le port est mis dans le vlan poubelle et si authentif ok acces complet au réseau interne suivant son vlan (impression, pc...).

authentification en PEAP-TLS pour les matériels compatinles 802.1X.

je fais mes tests sur un stack de 2 cisco 2960X ou il y a en gros une dizaine d'utilisateurs. je fais un shut no shut de tous les ports et me remonte aléatoirement deux bad adress quasiment a chaque fois . tantôt un pc va faire deux bad adress de suite puis après ok et ca a l'air de tourner aléatoirement. Parfois pas de bad adress

a savoir que nous avons un grand parc informatique et que les même types de PC, même GPO, se trouvent donc a la fois sur des Cisco et HP et le phénomene ne concerne que les CIsco.

Ce qui laisse a penser qu'il pourrait s'agir d'un reglage a faire des cisco?.je vois que c'est port restent up dans le vlan client alors que le PC est sans doute soit en veille ou session fermée. je dois contacter les utilisateurs pour m'en assurer.,Je ne sais pas si cela peut jouer ou pas dans ce pb

j'ai oublié de dire que nous n'utilisons pas d'ACL et je ne comprend pas a quoi correspond TAC ? (tacacs?)

sinon en de buguant je vois bien qu'il n'y a pas de pb d'authentification par contre pour le dhcp le pc ne reprend pas son adresse ip (il y a bien les échanges normaux avec le serveur) et repasse en adresse apipa avant d'accepter dans la foulée une nouvelle adresse ip. son ancienne adresse devient donc bad adress.

donc chaque matin a l'arrivée du personnel, coupure électrique nous avons des bad adress.