Comprar ou Renovar
Comprar ou Renovar
cancelar
Activar sugestões
A sugestão automática ajuda-o a especificar os resultados de pesquisa sugerindo-lhe correspondências enquanto escreve.
Mostrar resultados para 
Pesquisar em vez de 
Queria dizer: 
cancel
Criar um novo artigo
1854
Apresentações
0
Útil
0
Comentários

Cisco Catalyst 2960-L Series Switches において Radius 認証が失敗する事がある

hhoujou
Level 1
Level 1

‎2017-07-25 10:28 AM - editado ‎2018-03-05 04:06 PM

概要

本ドキュメントは、Cisco Catalyst 2960-L Series Switches 際に Radius Server として特定のサーバーをご利用時に認証が出来ない事象について参考情報として記載しております。

事例

弊社 ISE/ACS 以外を Radius サーバーとしてご利用時に、認証が失敗する事があります。

本事象は、CSCvh28736 にて system mtu として "1522" の代わりに "1500" を設定可能とする変更に伴い発生致しません。

CSCvh28736 の実装されていない IOS をご利用時のみ該当する可能性のある事象となります。

 

前提

-Catalyst 2960-L Series Switch では、以下の system mtu をサポートしています。

C2960L(config)#system mtu ?
  1522   Set MTU to 1522
  2048   Set MTU to 2048
  jumbo  Set MTU to 10240

-EAP frame は Fragment が許可されていrません。(RFC3748)

 

事例1
MTU サイズ(1522) は Jumbo Frame の透過を許可していない Supplicant PC 上の interface の MTU サイズ(1500) を超過する為、supplicant PC にて該当の EAP frame は Drop されます。

事例2
Framed-MTU=1522 を catalyst から送出した場合、NPS は 自身の MTU(1500) を超過するにも関わらず、
MTU が 2,000 となる EAP frame を送出します。
結果として、EAP frame が転送可能な MTU(1522) を超過する為、Catalyst にて drop します。

対処方法

Radius Packet に対する MTU は IETF Radius attribute の "Framed-MTU" にて指定された値を利用します。

Radius Server 側で "Framed-MTU=1500" attribute を付与する事により当該事象の回避が可能です。

尚、MTU値は環境により可変となります為、Authenticator と Supplicant 間の最小の MTU に合わせて設定下さい。

 

追加情報

弊社 ACS / ISE を Radius Server として用いている際には、"Framed-MTU=1000" がデフォルト値となり

、当該事象が発生したケースは確認されていません。

 

参考情報として以下の情報が本事象に対して有用です。

EAP Fragmentation Implementations and Behavior

Configure the Framed-MTU Attribute

0 Útil
Getting Started

検索バーにキーワード、フレーズ、または質問を入力し、お探しのものを見つけましょう

シスコ コミュニティをいち早く使いこなしていただけるよう役立つリンクをまとめました。みなさんのジャーニーがより良いものとなるようお手伝いします

Customers Also Viewed These Support Documents