annuler
Affichage des résultats de 
Rechercher plutôt 
Vouliez-vous dire : 
cancel
1384
Visites
5
Compliment
6
Réponses

CBS350-24P-4X - dot1x mac reauthenticate

vbussiro
Level 1
Level 1

Salut,

J'essaie d'utiliser l'authentification radius pour les adresses mac.

D'abord ça semble ok, au premier branchement, le suppliant est correctement authentifié

10-Feb-2022 16:54:28 %SEC-I-SUPPLICANTAUTHORIZED: MAC 24:5e:be:xx:xx:xx is authorized on port gi2/0/14

Mais si vous le débranchez puis le rebranchez, le statut reste non authentifié et je ne vois aucune demande au serveur radius...

Quelques config ok : 

dot1x system-auth-control
dot1x traps authentication failure 802.1x mac
dot1x traps authentication success 802.1x mac
dot1x supplicant traps authentication failure
dot1x supplicant traps authentication success
dot1x mac-auth radius
encrypted dot1x mac-auth password *removed*
encrypted radius-server host 172.16.32.247 key *removed* usage dot1.x
aaa authentication login SSH local
aaa authentication enable SSH enable
aaa authentication login Console local
aaa accounting dot1x start-stop group radius

interface GigabitEthernet2/0/1
dot1x guest-vlan enable
dot1x reauthentication
dot1x timeout reauth-period 300
dot1x authentication mac
dot1x radius-attributes vlan static
dot1x port-control auto

Le firmware est à jour, je suis bloqué.

* n.b. Le message d'origine a été traduit en français. (Modérateur)

1 SOLUTION APPROUVÉE

Solutions approuvées

gtrejoor
Cisco Employee
Cisco Employee

Bonjour vbussiro

 

Cela signifie que l'appareil ne traite pas ou ne reconnaît pas que le port a été déconnecté et doit renvoyer l'authentification EAPOL, ma suggestion est que vous ouvrez un dossier avec TAC afin qu'ils puissent enquêter et voir s'il s'agit d'une configuration ou d'un logiciel défaut

Voir la solution dans l'envoi d'origine

6 RÉPONSES 6

gtrejoor
Cisco Employee
Cisco Employee

Bonjour  vbussiro


Ici, nous devons voir comment le paquet est envoyé au serveur Radius. Ma recommandation est de prendre une capture sur votre appareil vers le Radius et de voir si la demande d'accès EAPOL s'affiche et si nous avons une réponse.
Si le paquet de votre switch Authenticator ne s'affiche pas, cela pourrait être l'origine du problème. Vous pouvez également collecter des débogages AAA pour voir s'il génère un paquet de sortie, essayez d'abord avec votre méthode d'authentification qui dans ce cas, est dot1x.
Tapez "debug dot1x ?" et appliquez tous ceux qui sortent pour voir le flux des paquets. Si vous ne trouvez pas quelque indice, je vous suggère de supprimer toutes les lignes dot1x et d'essayer une par une pour voir quelle est la cause du problème. Autrement vous devez ouvrir un dossier pour qu'on puisse vous aider à déterminer s'il s'agit d'un bogue.

Merci beaucoup,

J'ai ouvert un dossier, et je reviendrai j'espère avec une solution sur le site.

 

La commande debug dot1x n'est pas valide sur un CBS350

 

Aujourd'hui après mes différentes tentatives de résolution, je n'ai plus du tout de demande lors du branchement d'un port... et ue capture de paquets ne monte absoluement aucune communication : | (et pourtant le serveur radius est bien joignable)

 

Je vais repartir de zéro sur un autre switch, mes neurones saturent...

 

 

Je suis reparti de la configuration initiale sur un autre switch, on est donc bien dans la situation décrite dans le premier post: 

 

Lancement des tests, et capture en parallèle :

Situation initiale : nic1 du qnap (mac autorisée dans le radius), radius éteint, int gi 1/0/47.
Capture de paquet :
1 192.168.30.45 172.16.32.247 RADIUS 184 Access-request id=14
2 172.16.32.247 192.168.30.245 ICMP 212 Destination unreachable (Port unreachable)
Log CBS : 25-Feb-2022 14:15:10 %SEC-W-SUPPLICANTUNAUTHORIZED: MAC 24:5e:be:21:05:b0 was rejected on port gi1/0/47 because Radius server does not respond

Situation donc normale
.

 

Je relance le service NPS (radius).
Capture de paquet
1 192.168.30.45 172.16.32.247 RADIUS 184 Access-request id=21
2 172.16.32.247 192.168.30.245 RADIUS 125 Access-Accept id=21
3 192.168.30.45 172.16.32.247 RADIUS 154 Accounting-Request id=22
4 172.16.32.247 192.168.30.245 RADIUS 62 Accounting-Response id=22
Log CBS :
switche6673d#25-Feb-2022 14:17:21 %LINK-I-Up: Vlan 100
25-Feb-2022 14:17:22 %SEC-I-PORTAUTHORIZED: Port gi1/0/47 is Authorized
25-Feb-2022 14:17:22 %SEC-I-SUPPLICANTAUTHORIZED: MAC 24:5e:be:21:05:b0 is authorized on port gi1/0/47
Situation normale également, le port passe en autorisé, correctement reconnu par le serveur radius.

 

Je déconnecte la nic1 du QNAP pour passer sur la NIC2 (mac non valide sur le radius), toujours sur le port gi1/0/47
Capture de paquet vide !
Log CBS :
25-Feb-2022 14:21:17 %LINK-W-Down: gi1/0/47
25-Feb-2022 14:21:17 %LINK-W-Down: Vlan 100
25-Feb-2022 14:21:17 %LINK-W-Down: Vlan 500
25-Feb-2022 14:21:24 %LINK-I-Up: gi1/0/47
25-Feb-2022 14:21:24 %LINK-I-Up: Vlan 500
25-Feb-2022 14:21:24 %SEC-W-PORTUNAUTHORIZED: Port gi1/0/47 is unAuthorized
25-Feb-2022 14:21:29 %STP-W-PORTSTATUS: gi1/0/47: STP status Forwarding
Pas de message supplicant, le port reste unauthorized

 

Je déconnecte du port gi1/0/47, toujours avec la nic2 du qnap, et je branche sur le port gi 1/0/45 :
Capture de paquet :
1 192.168.30.45 172.16.32.247 RADIUS 184 Access-request id=25
2 172.16.32.247 192.168.30.245 RADIUS 125 Access-reject id=25
Log CBS :
25-Feb-2022 14:25:57 %LINK-I-Up: gi1/0/45
25-Feb-2022 14:25:57 %LINK-I-Up: Vlan 500
25-Feb-2022 14:25:57 %SEC-W-PORTUNAUTHORIZED: Port gi1/0/45 is unAuthorized
25-Feb-2022 14:26:02 %STP-W-PORTSTATUS: gi1/0/45: STP status Forwarding
25-Feb-2022 14:26:06 %SEC-W-SUPPLICANTUNAUTHORIZED: MAC 24:5e:be:21:05:b1 was rejected on port gi1/0/45 due to wrong user name or password in Radius server
Situation normale, cela devait être rejeté. Port unauthorized, mais là j'ai bien un message qui me le dit le pourquoi du rejected.

 

Je déconnecte la nic2 pour repasser sur la nic1 (mac autorisée), toujours sur le gi1/0/45
Capture de paquet :
1 192.168.30.45 172.16.32.247 RADIUS 184 Access-request id=30
2 172.16.32.247 192.168.30.245 RADIUS 125 Access-Accept id=30
3 192.168.30.45 172.16.32.247 RADIUS 154 Accounting-Request id=31
4 172.16.32.247 192.168.30.245 RADIUS 62 Accounting-Response id=31
Log CBS :
25-Feb-2022 14:30:20 %LINK-I-Up: gi1/0/45
25-Feb-2022 14:30:20 %LINK-I-Up: Vlan 500
25-Feb-2022 14:30:25 %STP-W-PORTSTATUS: gi1/0/45: STP status Forwarding
25-Feb-2022 14:30:28 %LINK-I-Up: Vlan 100
25-Feb-2022 14:30:28 %SEC-I-PORTAUTHORIZED: Port gi1/0/45 is Authorized
25-Feb-2022 14:30:28 %SEC-I-SUPPLICANTAUTHORIZED: MAC 24:5e:be:21:05:b0 is authorized on port gi1/0/45
C’est toujours normal. Port authorized

 

Je repasse sur le port gi 1/0/47, toujours avec la nic1 (mac autorisée)
Capture de paquet vide !
Log CBS :
25-Feb-2022 14:34:35 %LINK-I-Up: gi1/0/47
25-Feb-2022 14:34:35 %LINK-I-Up: Vlan 500
25-Feb-2022 14:34:40 %STP-W-PORTSTATUS: gi1/0/47: STP status Forwarding
Pas de message supplicant port unauthorized à tort.

 

Je repasse sur le port gi 1/0/45, toujours avec la nic1, et même chose, pas de requête, le port reste unauthorized également, à tort.

 

Je ne pense pas que le problème soit du côté du serveur radius, puisque qu’aucune requête ne lui est envoyée.

Pour être exhaustif, au débranchement d’un port en état authorized, j’ai un accounting qui est fait vers le radius :
Capture de paquet :

 1 192.168.30.45 172.16.32.247 RADIUS 154 Accounting-Request id=38
 2 172.16.32.247 192.168.30.245 RADIUS 62 Accounting-Response id=38

 

Bref toujours le même comportement anormal pour moi : Une fois qu’un port a été autorisé une fois, et que ce port est débranché (repasse donc en unauthorized), il ne fait plus d’access-request, ce jusqu’au reboot du switch (pas d’histoire de timeout).

 

Jimena Saez
Community Manager
Community Manager

@vbussiro 

Nous avons cherché un expert pour vous aider, si la réponse vous convient, veuillez l'accepter comme solution pour valider la réponse de notre expert s.v.p.-

Merci bcp

Jimena

Voir réponse au message au dessus, du ‎25-02-2022 07:05 AM 

En passant, ce système de conversation, on risque de rater les dernières réponses...

gtrejoor
Cisco Employee
Cisco Employee

Bonjour vbussiro

 

Cela signifie que l'appareil ne traite pas ou ne reconnaît pas que le port a été déconnecté et doit renvoyer l'authentification EAPOL, ma suggestion est que vous ouvrez un dossier avec TAC afin qu'ils puissent enquêter et voir s'il s'agit d'une configuration ou d'un logiciel défaut

Mise en Route
Bienvenue dans la Communauté !

La communauté est un hub pour vous connecter avec vos pairs et les spécialistes Cisco, pour demander de l'aide, partager votre expertise, développer votre réseau et évoluer professionnellement.
Vous êtes un nouvel arrivant ? Cliquez ici pour en savoir plus.

Nous voulons que votre navigation soit la meilleure, donc vous trouverez des liens pour vous aider à être rapidement familiarisé avec la Communauté Cisco :