cancel
Showing results for 
Search instead for 
Did you mean: 
cancel
Announcements

Welcome to the Cisco Small Business Community

Have a question? Click on a topic board below to get started in the community.
Get the latest news in this issue of the Cisco Small Business Monthly Newsletter

93
Views
0
Helpful
2
Replies
Beginner

IP-Telefon erzeugt keine Mac Based Authentication am Core Switch?

Hallo Community,

 

wir setzen bei unseren Workgroup-Switchen (z.B. WS-C2960+48TC-L) Mac Based Authentication ein. Neben den üblichen PCs sollen sich (logischerweise) auch die IP-Telefone authentifizieren müssen. Was auch problemlos funktioniert.

Die Konfiguration auf dem Workgroup-Switchen sieht bspw. wie folgt aus:

 switchport access vlan 11
 switchport mode access
 switchport voice vlan 15
 srr-queue bandwidth share 1 30 35 5
 priority-queue out
 authentication host-mode multi-host
 authentication order mab
 authentication port-control auto
 authentication periodic
 authentication timer reauthenticate 7200
 authentication timer restart 300
 mab
 mls qos trust dscp
 dot1x pae authenticator
 dot1x timeout tx-period 5
 spanning-tree portfast edge
 service-policy input VOIP

Die Mac Based Authentication auf den Core-Switchen (gestackte 3850er, z.B. WS-C3850-48T) für reguläre PCs funktioniert auch wunderbar, aber leider nur nicht bei den IP-Telefonen. Bei angeschlossenen IP-Telefonen findet zwar eine Authentifizierung statt, die Mac-Adresse bleibt aber weiterhin völlig unbekannt (kein Eintrag in ARP-Table).

Nur wenn am integrierten Switch vom IP-Telefon ein weiteres Gerät (PC) hängt, dann funktioniert es. Nach der Authentifizierung kann sogar der PC wieder abgesteckt werden, der Port und die Kommunikation bleibt weiterhin aktiv.

Die Konfiguration eines Ports hier sieht wie folgt aus:

 switchport access vlan 11
 switchport mode access
 switchport nonegotiate
 switchport voice vlan 15
 authentication host-mode multi-host
 authentication order mab
 authentication port-control auto
 authentication periodic
 authentication timer reauthenticate 7200
 authentication timer restart 300
 mab
 dot1x pae authenticator
 dot1x timeout tx-period 5
 spanning-tree portfast

Da die IP-Telefone an den Workgroup-Switchen problemlos funktionieren und mit derselben Einstellung am Core-Switch nicht, vermute ich eine fehlende oder falsche Einstellung am Core-Switch.

Hat jemand vielleicht eine Idee, Begründung oder gar eine Lösung parat?

Grüße,

KS

 

 

2 REPLIES 2
Highlighted
Beginner

Re: IP-Telefon erzeugt keine Mac Based Authentication am Core Switch?

Es tut mir leid, aber ich muss meine Aussage ein wenig korrigieren:

Die Authentifizierung findet tatsächlich doch statt.

Gi4/0/41   xxxx.xxxx.xxxx  m:OK           AZ: SA-                 X     396s

Allerdings kein Eintrag in der ARP-Table, keine Kommunikation vom und zum Gerät.

In der Mac-Table existiert der Eintrag:

Vlan    Mac Address       Type        Ports
----    -----------       --------    -----
 101    xxxx.xxxx.xxxx    STATIC      Gi4/0/41

Auch ein sh ip route 192.168.15.153 (IP vom IP-Telefon) zeigt keine Auffälligkeiten:

Routing entry for 192.168.0.0/16
  Known via "connected", distance 0, metric 0 (connected, via interface)
  Routing Descriptor Blocks:
  * directly connected, via Vlan15
      Route metric is 0, traffic share count is 1
Highlighted
Beginner

Re: IP-Telefon erzeugt keine Mac Based Authentication am Core Switch?

I recorded two wireshark sessions, first one with enabled Mac Based Authentication, second one without.

The very first recorded packages were identically:

Two ARP requests with the own ipaddress: "Who has 192.168.15.153? Tell 0.0.0.0".

Next an ARP request for the target server: "

Without Mac Based Authentication enabled, there comes the answer directly: "192.168.20.200 is at xx:xx:xx:xx:xx:xx".

With MBA enabled, no answer given. There are some ICMPv6 Router Solicitation requests, but no Advertisement.

After 12 further ARP request tries "Who has 192.168.15.153? Tell 0.0.0.0", the device gave up.

I still have no clue why the core switch is not answering to the ARP requests.

 

CreatePlease to create content
This widget could not be displayed.