取消
显示结果 
搜索替代 
您的意思是: 
cancel
336
查看次数
4
有帮助
13
回复

WS-C2960X-48TS-LL交换机802.1x端口只能单用户认证,不支持基于端口的多用户认证,而且还不支持radius失效的逃生配置

349797592@qq.com
Spotlight
Spotlight

WS-C2960X-48TS-LL交换机802.1x端口只能单用户认证,不支持基于端口的多用户认证,而且还不支持radius失效的逃生配置
可以配置逃生和多用户认证的交换机是型号  WS-C3560V2-48T 的思科交换机,配置如下附件WS-C3560V2-48T.txt
不可以配置逃生和多用户认证的交换机型号 WS-C2960X-48TS-LL 的思科交换机,配置如下附件WS-C2960X-48TS-LL.txt 


-----------
目前公司存在的问题是这样,大神们,请问WS-C2960X-48TS-LL这台设备是不是不支持以下呢,还是配置命令不对呢,求救给位大神

1、集团35楼3号交换机不支持准入命令:目前跟王工沟通确认,以替换交换机的方式解决。
2、集团WS-C2960X-48TS-LL交换机不支持逃生命令、不支持多认证模式:
a、影响设备数量:该型号设备集团共14台。(该数据由王工今日统计,详见邮件下方)
b、WS-C2960X-48TS-LL交换机逃生不支持
①不支持影响:当主备两台设备都宕机后,交换机无法自动逃生,影响终端无法入网。
②解决方案:
1)更换交换机设备。
2)两个服务器都故障的情况下,通过刷脚本的方式进行取消准入。
3)部署一台miniradius用于逃生(涉及到额外成本问题)。
c、WS-C2960X-48TS-LL交换机多认证不支持
①不支持影响:不支持HUB场景下和通过IP电话串接的方式;一个端口下,只允许一台终端认证
②解决方案:更换交换机设备。
3、软件管理事项:
a、现场目前采用的是白名单的方式:是需要管理员手动进行维护。
b、建议采用黑名单的方式:只针对侵权或规定无法使用的软件进行管控。
 
 
集团WS-C2960X-48TS-LL交换机清单:
HQ-CAS-37F-SW-02_XX.XX.XX.XX_WS-C2960X-48TS-LL

 

13 条回复13

ilay
VIP
VIP

2960x应该支持802.1x啊只是配置命令上稍有差异,我看你2960x的46口上配置了802.1x的认证

应该可以自己改host-mode到 multi-auth或者multi-domain的啊

不好意思,过年应该事情很忙,没注意看邮件,在此感谢大神解答

思科交换机:
单主机模式(single-host):一个端口下,只允许一台终端认证,交换机默认配置多主机模式(multi-host)一个端口下,只需一台终端进行认证,其它终端不用认证;
多认证模式(multi-auth):一个端口下,每台终端都需认证,通常配置该模式
多域模式(multi-domain):一个端口下,只允许一台终端(Data VLAN)+一台IP话机(Voice VLAN)。
interface GigabitEthernet0/46
switchport access vlan 37
switchport mode access
authentication event no-response action authorize vlan 37
authentication host-mode multi-host   //可以修改为端口的多主机认证,可以该端口接hub或者交换机
authentication order dot1x mab
authentication port-control auto
authentication periodic
authentication timer reauthenticate server
authentication timer restart 360
mab eap
dot1x pae authenticator
dot1x timeout tx-period 5
dot1x max-reauth-req 1
spanning-tree portfast edge
spanning-tree bpduguard enable
end


WS-C2960X-48TS-LL交换机逃生不支持,大佬知道逃生的配置方法,我这边其他POE交换机是可以配置的,就这型号不行,很奇怪.

2b34eaa80daed36195836126831a26a.png

你好,2960x型号(WS-C2960X-48TS-LL)是支持802.1x认证的,
只是不支持比如radius认证服务器挂了不支持逃生,还有不支持多认证模式啊,请教大神

你好,2960x型号(WS-C2960X-48TS-LL)是支持802.1x认证的,就是接口下不支持配置authentication host-mode multi-auth,只有当前型号(WS-C2960X-48TS-LL)不支持多认证模式。
还有不支持比如radius认证服务器挂了不支持逃生,请教大神

感觉区别可能是你的型号的问题,-LL的应该是运行的LANLITE版本的镜像,并非是lanbase的,我用2960X-48TS-L是可以配置逃生设置的。

同时查了一下2960x支持的feature,lanlite和lanbase在802.1x的支持上没有看到有差异。但目前有区别的也只有版本的问题了

---


Switch Ports Model                     SW Version            SW Image                
------ ----- -----                     ----------            ----------              
*    1 52    WS-C2960X-48TS-L          15.2(2)E3             C2960X-UNIVERSALK9-M    


Configuration register is 0xF

TEST-SW#           sh inv
NAME: "1", DESCR: "WS-C2960X-48TS-L"
PID: WS-C2960X-48TS-L  , VID: V03  , SN: FCW202xxxxx


TEST-SW#sh run int g1/0/24
Building configuration...

Current configuration : 350 bytes
!
interface GigabitEthernet1/0/24
 switchport access vlan 193
 switchport mode access
 authentication event server dead action authorize vlan 193
 authentication event no-response action authorize vlan 199
 authentication event server alive action reinitialize
 authentication port-control auto
 dot1x pae authenticator
 spanning-tree portfast
end

TEST-SW#

大佬,可以加下你微信交流一下这个问题,可以付费咨询一下

我这边有两种型号的交换机,分别是型号:WS-C2960X-48LPS-L(支持POE供电交换机)  (支持多认证和支持逃生配置)
                                                                WS-C2960X-48TS-LL (不支持POE供电交换机) (不支持多认证和支持逃生配置)
这两台的show version的ios版本是一样,当时是通过同一个ios版本进行升级的,升级的版本是

349797592qqcom_0-1708676714267.png

349797592qqcom_1-1708676762292.png
是不是硬件型号不支持导致的,大佬

 

 


      

对的,-L是运行的lanbase的的镜像,-LL运行的是lanlite的镜像,虽然两个软件镜像名称显示没有区别,但是实际设备的型号会限制软件运行的级别。

可以通过show license 来确认。

 

以下就是两台交换机show license 的结果,区别如下,能看出点什么吗,大佬

 WS-C2960X-48TS-LL (不支持POE供电交换机) (不支持多认证和支持逃生配置)
HQ-CAS-35F-SW-03#show license
Index 1 Feature: lanbase
Period left: 0 minute 0 second
Index 2 Feature: lanlite
Period left: Life time
License Type: Permanent
License State: Active, In Use
License Priority: Medium
License Count: Non-Counted
---------
WS-C2960X-48LPS-L(支持POE供电交换机)  (支持多认证和支持逃生配置)
HQ-CAS-30F-SW-01#show license
Index 1 Feature: lanlite
Period left: 0 minute 0 second
Index 2 Feature: lanbase
Period left: Life time
License Type: Permanent
License State: Active, In Use
License Priority: Medium
License Count: Non-Counted

很奇怪,其中 WS-C2960X-48TS-LL (不支持POE供电交换机) (不支持多认证和支持逃生配置)的软件版本是 lanbase
WS-C2960X-48LPS-L(支持POE供电交换机)  (支持多认证和支持逃生配置) 的软件版本是lanlite
lanlite反而支持 802.1x的多认证和逃生功能

你这看反了啊,支持的是lanbase,不支持的是lanlite

我这边有两种型号的交换机,分别是型号:WS-C2960X-48LPS-L(支持POE供电交换机)  (支持多认证和支持逃生配置)
                                                                WS-C2960X-48TS-LL (不支持POE供电交换机) (不支持多认证和支持逃生配置)
这两台的show version的ios版本是一样,当时是通过同一个ios版本进行升级的,升级的版本是

349797592qqcom_0-1708676714267.png

349797592qqcom_1-1708676762292.png
是不是硬件型号不支持导致的,大佬这个是啥问题呢

 

 


      

入门指南

使用上面的搜索栏输入关键字、短语或问题,搜索问题的答案。

我们希望您在这里的旅程尽可能顺利,因此这里有一些链接可以帮助您快速熟悉思科社区:









快捷链接